Cloudaanbieders storten zich massaal op de financiële sector, zodat finance-organisaties sneller kunnen groeien door meer essentiële bedrijfsfuncties naar de cloud te brengen. Hoewel de sector financiële dienstverlening de clouddiensten omarmt, zijn er groeiende zorgen, zo blijkt uit onderzoek van The Cloud Security Alliance.
Er is een grote verscheidenheid aan technologieën, architecturen en benaderingen voor het inzetten en het beheren van technologie binnen het cloudlandschap. Zo is inzichtelijkheid bij een multi-cloud-aanpak een constant probleem en zorgen ook wet- en regelgeving voor verwarring. Tel daar bij op dat ook beveiliging in toenemende mate een rol speelt.
Hoe zorg je er nu voor dat je nieuwe cloud-aanpak geen risico’s meebrengt voor je data en systemen?
Multi-cloud-implementaties
Tegenwoordig zijn multi-cloud-omgevingen populair, waardoor traditionele beveiligingsmaatregelen voor private, publieke en hybride cloud-implementaties niet meer genoeg zijn. Maar weinig systemen bevinden zich op slechts één platform in één datacenter. Dit betekent dat er een nieuw tijdperk is aangebroken waarin anders moet worden nagedacht over beveiliging, compliance en risicobeheer.
De traditionele beveiligingsdrie-eenheid van betrouwbaarheid, integriteit en beschikbaarheid wordt aanzienlijk complexer in een multi-cloud-architectuur. Wat gegevensbescherming betreft, moet worden voldaan aan landspecifieke voorwaarden zodra een systeem zich op meerdere fysieke locaties bevindt. Up-time-beschikbaarheid in een multi-cloud-omgeving kan ook een uitdaging zijn. Tot slot is het waarborgen van integriteit van systemen met meerdere leveranciers nodig om onderliggende technische beperkingen aan te pakken.
Een complexe cloud-architectuur doet niets af aan traditionele beveiligingsmaatregelen, zoals versleuteling, identiteits- en toegangsbeheer, backup en bewaking. Wel bemoeilijkt het de maatregelen zoals single sign-on-authenticatie en fysieke beveiligingscontroles. Bovendien zijn systeemgrenzen soms moeilijk te trekken, waardoor inzicht in de datastromen des te belangrijker is bij het naleven van regels. Tot slot moet risicomanagement, dat de basis vormt voor de meeste compliance-beoordelingen, functioneren voor complexe multi-cloud-omgevingen.
Compliance
Regelgeving is bepalend in de financiële sector en cloudoplossingen moeten hierop aan te passen zijn. Veel cloudleveranciers zijn zich hiervan bewust en leveren dashboards en rapportages om organisaties te helpen bij compliance-controles. Compliance van de cloud leverancier is wat anders dan de compliance van de applicaties welke actief zijn binnen de cloud. Dit gebrek aan samenhang is vaak het gevolg van een concurrerende focus tussen de cloudaanbieder (die een consistent platform voor meerdere klanten wil bieden) en de organisatie (die de cloud wil gebruiken binnen de beperkingen van het compliance-programma).
Financiële bedrijven zijn waarschijnlijk al bekend met verschillende voorschriften, zoals de GDPR. Dit soort voorschriften vereisen gecontroleerde naleving van technische controles die bijvoorbeeld dataverwerking, beveiliging en leveranciersbeheer regelen. Het is belangrijk dat een cloudleverancier de bedrijfsomgeving bewaakt en ervoor zorgt dat de cloudinfrastructuur en -toepassingen voldoen aan de meest recente versie van een compliance-vereiste; het is zelfs nog beter als de regelsets en beleidslijnen aan te passen zijn.
Devsecops
Samen met de acceptatie van clouddiensten door de financiële sector is er ook een toename in het gebruik van devops-methoden. Dit heeft de potentie om de snelheid van applicatieontwikkeling en -updates te verbeteren. Devsecops introduceert de integratie van beveiliging in het pipeline-proces om code en infrastructuur op een snelle manier te bouwen, testen, vrij te geven en te implementeren, beheren en bewaken. De stappen in de pipeline kunnen bij een adequate uitvoering de snelheid verbeteren, evenals de efficiëntie en compliance.
Controles en zichtbaarheid
Hoewel de migratie naar de cloud goed is voor organisaties, is de operationele impact een uitdaging. Cloudleveranciers hebben een breed scala aan technische toolkits en bijbehorende tools voor administratie en beheer, wat compliance-beheer tot een echte uitdaging maakt. Security developer-teams hebben daarom tools nodig om deze nieuwe complexiteit aan te pakken – om cloud-omgevingen te beheren, technische en beveiligingsuitdagingen te verminderen en aan compliance-eisen te voldoen.
Beveiliging van applicaties
Veel financiële dienstverleners maken gebruik van moderne web-based applicaties die verschillende soorten gegevens verzamelen, waardoor ze een gewild doelwit zijn voor hackers. Bovendien brengen web-based applicaties een geheel nieuwe reeks beveiligingskwesties met zich mee, waaronder het gebruik van meerdere api’s voor het leveren van belangrijke functies zoals communicatie, encryptie en encryptiebeheer, en sterke authenticatie.
In een traditionele netwerkinfrastructuur hing de beveiliging van applicaties grotendeels af van het netwerk waarop ze draaiden, waarbij toegangscontrole, databack-ups en roll-outs binnen de organisatie werden gecontroleerd. Voor cloud georiënteerde bedrijven verandert het model. Netwerken draaien niet langer op een enkel besturingssysteem met statische punten. Cloud-applicaties zijn ontworpen om te draaien zonder de aanname van traditionele netwerkbeveiliging. Cloudmechanismen zoals virtuele load balancing, virtuele firewalls en een groot aantal andere conceptuele apparaten zorgen voor architectonische complexiteit en grotere risico’s voor de beveiliging van toepassingen.
Organisaties moeten dus een nieuw type applicatieontwikkeling omarmen dat beveiligingsbewustzijn direct in applicaties inbouwt en granulaire toegang tot de applicatie biedt terwijl deze ook tegen aanvallen wordt beschermd.
Auteur: Hans van den Boomen, manager security engineer team bij Check Point Software Technologies
