Cloud security. Achter deze twee woorden schuilt een uiterst divers landschap van technologieën en oplossingen. Elk type cloud en elke klant vergt een andere beveiliging. Wij praatten met Stefaan Hinderyckx van NTT LTD over het belang van cloud security en hoe een bedrijf zich vandaag optimaal beveiligt.
“Wanneer we bij een klant langsgaan om over Cloud Security te praten, schrikken ze vaak hoe lang die meeting uiteindelijk heeft geduurd”, zegt Stefaan Hinderyckx, Senior VP Cybersecurity Europe bij NTT LTD, “en ze beseffen pas achteraf hoeveel vragen er nodig waren om alles te bespreken, zowel vragen aan ons als vragen voor hen over hun infrastructuur en – niet te vergeten – over hun bedrijfsobjectieven.” Er zijn immers immens veel types cloud, van een eenvoudige toepassing in Software as a Service (SaaS)-model tot een volledig in de cloud gehoste ICT-infrastructuur. Elk van deze cloudvarianten vraagt om een eigen aanpak en een eigen oplossing, en daar moet een security partner rekening mee houden, vervolgt Hinderyckx: “Het heeft totaal geen zin om bij klanten die alleen maar SaaS consumeren over Cloud Security Posture Management (CSPM) en Cloud Workload Protection Platforms (CWPP) te gaan praten.”
Een kwestie van maturiteit
De dialoog wordt dus goeddeels bepaald door de ‘cloudmaturiteit’ van een bedrijf. “Heeft de klant jaren ervaring met cloudinfrastructuur of hanteert hij een Cloud First of Cloud Native approach? Dan zal het gesprek eerder over ‘Shift Left’, API Security en de DevSecOps-cultuur gaan dan over de traditionele infrastructure security controls”, geeft Stefaan Hinderyckx als voorbeeld. “Deze standaard oplossingen blijven belangrijk, maar zijn voor de mature cloudgebruiker doorgaans al onder controle. Bedrijven die nog maar aan het begin staan van hun cloud journey, zullen we dan weer wel wijzen op de standaard cloud securityoplossingen op de markt.”
Het voordeel van omvattende leveranciers
Voor elk type cloudomgeving is er een specifiek type beveiliging nodig. En voor elk type beveiliging komen tientallen of honderden leveranciers in aanmerking. Aangezien elke klant meestal een combinatie van beveiligingsoplossingen nodig heeft, wordt het haast onmogelijk om door het bos de bomen nog te zien, weet Stefaan Hinderyckx: “Gelukkig bestaan er nog leveranciers zoals Check Point, die met hun CloudGuard-gamma een allesomvattende optimale beveiliging kunnen creëren, van de devops pipeline met oa IaC scanning, tot het beveiligen van IaaS en PaaS met workloads zoals virtuele machines, containers of serverless functions tot SaaS-omgevingen toe. En dit alles in een hybride multi-cloudomgeving. Dat helpt bij het beheersbaar houden van het aantal security-leveranciers.”
En de cloudgiganten?
Als men toch graag de security zo veel mogelijk in de handen van één partij legt, waarom zouden klanten dan niet opteren voor de beveiligingsoplossingen van cloudgiganten zoals Amazon, Azure, Oracle of Google zelf? Zij hebben per slot van rekening de grondigste kennis van hun cloudomgeving, en hebben intussen toch al een aardige security-expertise opgebouwd? “Voor hun eigen security-omgeving zijn zij inderdaad een te overwegen oplossing”, antwoordt Stefaan Hinderyckx, “maar in de praktijk zijn er slechts weinig bedrijven die zich beperken tot één enkele cloud. Erg vaak heb je een hybride omgeving van privé en publieke clouds, en dan heb je toch weer een partij nodig die al deze omgevingen kan helpen ondersteunen. En configureren, want foute configuraties in de public cloud horen tot de grootste security threats. Je hebt een uniforme manier van configureren nodig, over de verschillende public clouds heen. Een goede CSPM-tool van toonaangevende security-leveranciers zoals Check Point kan hierbij een cruciale rol spelen.”
Begeleiding naar of in de cloud
NTT heeft zich de voorbije jaren bewezen als betrouwbare partner voor cloud security. “Zowel klanten die de bestaande cloudbeveiliging willen optimaliseren als zij die verdere stappen willen zetten richting cloud, kunnen bij NTT terecht voor degelijk advies”, zegt Stefaan Hinderyckx, “dit advies steunt zowel op onze security-expertise als op onze grondige kennis van hun zakelijke objectieven.”
Zero Trust als basishouding
Elk onderneming is uniek, en elke cloudinfrastructuur is verschillend. Maar het basisprincipe om elk cloud security traject aan te vatten is steeds hetzelfde, merkt Stefaan Hinderyckx op: “Alles wat we aanbevelen en/of implementeren is gebaseerd op het ‘Zero Trust’-principe. Iedereen is verdacht tot ze expliciet geïdentificeerd zijn als betrouwbaar. Dat is nog steeds het beste uitgangspunt om een optimale beveiliging te kunnen garanderen. Never trust, continuously monitor, always verify: dat zijn de drie slagzinnen waarmee je onze securityaanpak en -activiteiten kan samenvatten.”
