Nu organisaties naar de cloud migreren en vertrouwen op cloudgebaseerde apps en diensten, zien ze zich geconfronteerd met beveiligingsrisico’s en -uitdagingen. Toegangsbeveiliging voor data in de cloud is een belangrijk aandachtspunt voor organisaties. Sterk identiteits- en verificatiebeheer is de basis tegen bedreigingen in de cloud. Denk aan onbevoegde toegang, het compromitteren van accounts en hacks.
Cloudproviders hebben beveiligingsoplossingen ontwikkeld die bedrijven helpen om genoemde problemen aan te pakken. Hierbij is het niet verstandig om op één paard te wedden. Cybercriminelen proberen continu gebruik te maken van bedreigingen en kwetsbaarheden in het systeem van de cloudprovider. Op deze manier proberen ze binnen te dringen in de bedrijfsinfrastructuur en daarmee gegevens te verwijderen of compromitteren, of zelfs bedrijfsactiviteiten te verstoren. Door een cloudprovider aan te vallen bereik je immers veel organisaties in één keer.
Organisaties kunnen deze hiaten in de beveiliging voorkomen door gebruik te maken van het concept van gedeelde verantwoordelijkheid voor cloudsecurity. Dit houdt in dat een deel van de verantwoordelijkheden bij de cloudprovider ligt en een deel bij het bedrijf zelf. Afhankelijk van de omgeving – iaas, paas of saas? – die een organisatie gebruikt, variëren de verantwoordelijkheden. Op deze manier kunnen bedrijven:
- Security scheiden van de data (bij cloudproviders);
- Eigen beveiligingstools inzetten om cyberdreigingen te voorkomen;
- Sterke toegangsbeveiliging instellen en zichzelf beschermen tegen cybercriminelen.
De vier voordelen
Waarom zouden organisaties moeten kiezen voor een neutrale toegangsbeveiliging voor de cloud? Vier voordelen:
- Wees onafhankelijk en voorkom deelgenoot te worden van bedreigingen en aanvallen op de cloudprovider
Het gebruik van verschillende methodes en security-technologieën, onafhankelijk van een cloudprovider, kunnen de kans op bedreigingen elimineren en grotere obstakels vormen voor kwaadwillenden. Denk hierbij aan het plaatsen van een extra barrière door middel van byos (bring your own security).
- Controleer uw eigen beleid voor regelgeving/compliance
De hoeveelheid privacy- en gegevensbeschermingsvereisten evolueert en heeft een diepgaande invloed op hoe bedrijven gegevensbeveiliging moeten zien. Als voorbeeld de Schrems II-regel, die nieuwe uitdagingen heeft gecreëerd rondom het gebruik van Amerikaanse cloudproviders. Bedrijven dienen te kiezen voor oplossingen die de nodige flexibiliteit bieden om binnen verschillende jurisdicties te opereren. Door taken te scheiden en oplossingen te kiezen voor toegangsbeveiliging die voldoen aan specifieke zakelijke use-cases en compliancy, zorgen zij ervoor dat ongewenste bezoekers geen toegang kunnen krijgen tot hun data.
- Controleer de eigen cloudbeveiliging
Hoewel het mogelijk is om infrastructuur en dataopslag uit te besteden, is dit niet mogelijk voor uw verantwoordelijkheden in het geval van een datalek. Het is altijd beter om zelf de controle te houden en de toegangsbeveiliging tot gegevens centraal en effectief te beheren. Door deze afhankelijkheid te verminderen, en minder te vertrouwen op de cloudprovider, wordt er een kleiner dreigingsoppervlak gecreëerd en de kans op schade verkleind.
- Vermijd vendor lock-in
Door voor een cloud based beveiligingsoplossing te kiezen, lopen organisaties het risico op vendor lock-in, wat de totale risico-omgeving kan verhogen. Bovendien kunnen native toegangsbeveiligingsoplossingen de complexiteit van de beveiligingscontroles vergroten, waardoor potentiële blind spots ontstaan. Aangezien bedrijven de kans op bedrijfsrisico’s willen verkleinen en hun veerkracht willen vergroten, is functiescheiding de beste oplossing om het beveiligings- en privacy beleid te versterken.
Overwegingen
Voordat bedrijven een cloudneutrale toegangsbeveiliging kunnen selecteren, is het verstandig dat zij hun bedrijfs- en beveiligingsomgeving grondig onderzoeken en de volgende zaken overwegen:
- Bevat de iam-oplossing een breed scala aan authenticatietechnieken om alle type gebruikers, zowel intern als extern, te beschermen?
- Voldoet de iam-oplossing aan de zakelijke behoeften en het beleid voor compliance? Let hierbij ook op conceptuele bepalingen omtrent gegevenssoevereiniteit en -bescherming.
- Stelt de oplossing het bedrijf in staat om de security centraal en flexibel te beheren?
- Draagt het potentiële platform voor toegangsbeveiliging bij aan de doelstellingen van de algehele organisatie?
Door na te gaan of de desbetreffende oplossing voldoet aan bovenstaande eisen, en zich bewust te zijn van de voordelen van cloudneutrale toegangsbeveiliging, kunnen bedrijven een geschikte oplossing vinden die het beste bij hen past. Door niet op één paard te wedden en de verantwoordelijkheid te delen met hun cloudprovider, beschermen bedrijven zichzelf bovendien beter tegen cybercriminaliteit.
(Auteur Guido Gerrits is regional sales director identity & access management, Benelux & Nordics bij Thales.)
