Organisaties migreren in drommen naar de publieke cloud. Als je in sneltreinvaart deze overstap wilt maken, vlieg je geheid uit de bocht. Hoe de juiste route te volgen en daar veilig aan te komen?
Veilig werken in de publieke cloud vereist een andere mentaliteit vergeleken met private en on-prem omgevingen. In tegenstelling tot ‘traditionele’ omgevingen, zijn publieke-cloud-omgevingen niet automatisch dichtgetimmerd en afgescheiden van de buitenwereld. De fundamentele inrichting bepaalt hoe goed data en applicaties in de omgeving zijn te beveiligen, zonder de voordelen van de cloud (zoals flexibiliteit en schaalbaarheid) teniet te doen.
De overstap naar de publieke cloud raakt de gehele organisatie en brengt vraagstukken mee rond identiteit- en toegangsmanagement, logging, redundantie van systemen, governance, compliance. It is dan niet meer de enige besluitvormer – ook de compliance manager, ciso, cto en cco zijn stakeholders. Kortom, publieke-cloudmigratie is niet puur een technisch, maar ook een strategisch vraagstuk.
Verzameling
Uit zorgvuldige afstemming tussen de stakeholders en hun behoeften komt een verzameling (security)richtlijnen waar een nieuwe cloud-omgeving aan moet voldoen. Samen met bewezen securitymethodieken kunnen deze richtlijnen worden gebruikt om een cloud landing zone op te zetten: een framework om cloudmigraties veilig en efficiënt te laten verlopen. Een cloud landing zone wordt afgekaderd door guardrails (vangrails): parameters die applicatiegedrag en dataverkeer binnen de cloud-omgeving sturen.
Een cloud landing zone is altijd maatwerk, omdat de richtlijnen per organisatie kunnen verschillen. Compliance-vereisten zijn bijvoorbeeld vrijwel nooit hetzelfde, en verschillende uptime-behoeften leiden tot andere parameters voor redundantie. De optimale cloud landing zone combineert dus diepgravende kennis van de organisatie met specialistische technische kennis van de cloud. Deze combinatie hangt af van een goed samenspel tussen de interne stakeholders en externe (cloud)leveranciers en adviseurs.
Aanvullende beveiliging
Met een cloud landing zone heb je een veilige basis voor je verdere cloudreis. Om vervolgens veilig op weg te blijven, is aanvullende beveiliging nodig van de applicaties die óp de cloud landing zone draaien. Een groot deel van veiligheidsrisico’s bevindt zich namelijk in deze applicatie-laag, omdat de ontwikkelsnelheid in cloud-omgevingen vaak ontzettend hoog ligt.
Om de applicatie-laag te beveiligen is meer nodig dan een (half)jaarlijkse pentest, aangezien applicatie-updates in principe dagelijks zijn uit te brengen. Je hebt een continue feedbackloop nodig in plaats van periodieke momentopnames. Als de cloud landing zone de vangrail levert, kun je security van de applicatie-laag zien als het monitoringsysteem voor verkeersveiligheid dat in de gaten houdt of alle auto’s op de weg zich goed gedragen.
Als je dagelijks software-updates uitrolt, is het verstandig om ook dagelijks de security te testen. Je kunt dat kostenefficiënt doen door alleen onderdelen te testen waar veranderingen plaatsvinden. Dat houdt je ontwikkelproces ook wendbaarder, omdat je niet bij iedere release op de rem hoeft te trappen om een grootschalige securitytest uit te voeren. Deze methode van testen heet dan ook agile security.
Aanvullende wendbaarheid, schaalvoordeel en kostenefficiëntie kun je realiseren met behulp van automatisering – zowel in de cloud landing zone als in agile security. Zo kun je de afgesproken richtlijnen vastleggen in automatische code-checks om ingediende wijzigingen te blokkeren die buiten de guardrail vallen.
Menselijke check
Bedenk dat volledige automatisering niet wenselijk is. Handelingen met complexe logica vereisen nog altijd een menselijke check. Als organisatie moet je er dus voor waken dat je over de nodige expertise beschikt alvorens de stap naar de publieke cloud te zetten. Dat kan uitdagend zijn, want zeker security is een specialistisch vakgebied geworden. Aangezien securitytalent schaars is, heeft een organisatie enkele opties: je kunt de felle concurrentiestrijd aangaan en nieuw personeel werven, bestaand (verborgen) talent bij- of omscholen óf een externe partner aanhaken die op basis van brede ervaring de nodige best practices onder de knie heeft.
Het is hoe dan ook belangrijk dat je niet alleen de juiste route uitstippelt voor jouw cloudmigratie, maar ook de juiste vangrail aanbrengt en vervolgens het cloudverkeer doorlopend monitort. Zo voorkom je dat cloudmigratie een hellerit wordt en bespaar je de organisatie een hoop hoofdpijn.
(Auteurs Izak-Jan van den Nieuwendijk en David Vaartjes zijn respectievelijk cloudconsultant bij Solvinity en co-founder van Securify.)