Hoewel de cloud veel voordelen biedt voor organisaties met betrekking tot flexibiliteit, beschikbaarheid en prestaties, brengt het ook zijn eigen set uitdagingen met zich mee. De vraag hoe al het verkeer buiten de figuurlijke muren van de organisatie te beveiligen, houdt bestuurders al een tijd lang bezig. Zero-trust leent zich als uitstekend beveiligingsconcept voor deze versnipperde situatie die tegenwoordig meer regel is dan uitzondering.
In het verleden werd dit beveiligingsconcept vooral toegepast op het beveiligen van de verbinding tussen gebruikers en applicaties. Maar naarmate bedrijven meer gebruikmaken van de cloud om hun workloads te hosten, wordt het ook interessant om te kijken wat zero-trust voor de beveiliging van deze omgevingen kan betekenen.
Traditionele methoden
Gartner voorspelt dat in 2025 meer dan 95 procent van de nieuwe digitale workloads in cloud-native omgevingen zullen draaien (ter vergelijking: in 2021 was dit nog slechts dertig procent). Het beveiligen van deze workloads en de communicatie die zij onderling en met externe bronnen behouden, zou dan ook prioriteit moeten zijn voor elke organisatie met een cloud-first-strategie. Maar in plaats van moderne beveiligingsconcepten toe te passen op moderne architecturen, kiezen veel bedrijven nog altijd voor traditionele methoden, zoals firewalls. Dit leidt echter alleen maar tot nieuwe uitdagingen.
Firewalls zijn nog altijd veelvuldig in gebruik om gebruikers en workloads te beschermen, hoewel deze zich niet meer binnen de vier muren van het kantoor bevinden. De multi-cloudomgevingen van tegenwoordig zijn zo complex, dat deze traditionele aanpak vooral hoge kosten en complexiteit in de hand werkt. Zo werpt local-local-verkeer nog eens een extra hindernis op.
Een dergelijke traditionele aanpak kan ook leiden tot vertraging omdat al het verkeer via de firewall geleid moet worden. Het is dus een dure oplossing, zowel monetair als met betrekking tot de gebruikerservaring. Daarnaast zou je kunnen zeggen dat een firewall deels werkt op basis van impliciet vertrouwen wanneer iets of iemand deze eenmaal gepasseerd is. Zero-trust werkt precies andersom, op basis van expliciet vertrouwen dat elkesessie opnieuw moet worden verdiend.
Supply chain
Zoals gezegd kennen we zero-trust vooral van het beveiligen van de verbinding tussen gebruikers en applicaties. Het toepassen van het zero trust-concept op workloads is echter nog niet zo gebruikelijk. Zeker gezien het feit dat niet alleen applicaties en software, maar ook workloads die blootgesteld staan aan internet en het verkeer dat hiertussen plaatsvindt, door cybercriminelen is te misbruiken om de organisatie te hacken en malware te verspreiden. Dit geldt bijvoorbeeld ook voor communicatie binnen de supply chain. De laatste jaren zijn er meerdere supply chain-aanvallen geweest die grote impact hebben gehad op de hele keten, iets waar nog te weinig organisaties zich bewust van zijn.
Een van de grootste voordelen van het toepassen van zero-trust op cloud workload-communicatie is dat deze gepaard gaat met minder complexiteit. Toegang wordt verleend op basis van beleid. Een beveiligingsplatform fungeert als tussenliggende laag om dit beleid te implementeren. Cloud-workloads kunnen zo worden gekoppeld aan gedefinieerde bestemmingen op het internet, om updates door te voeren of om te communiceren met applicaties in andere clouds of in het datacenter. Een cloudgebaseerde aanpak is hierbij ideaal omdat dit ruimte biedt voor schaalvergroting en weinig beheer vereist. Ook hier vormen gedefinieerde toegangsrechten de basis voor veilige communicatie.
Naast de complexiteit wordt ook de kwetsbaarheid van cloud-workloads voor cyberaanvallen via het internet verminderd. Omdat de communicatie tussen workloads altijd via de beveiligingslaag loopt zijn de applicaties zelf niet online zichtbaar en kunnen deze dus lastiger worden aangevallen. Hierdoor verdwijnt (langzamherhand) het aanvalsoppervlak, wat tegen de trend van versnipperde werkmodellen in gaat.
Blootstelling
Workload-verbindingen in cloudomgevingen moeten net zo veilig zijn als verbindingen tussen gebruikers en cloudgebaseerde applicaties. En als we Gartner moeten geloven, is daar alle reden toe nu digitale workloads steeds vaker op cloud-native platforms draaien. Door zero-trust security toe te passen op cloud-workloads, kunnen security-teams ervoor zorgen dat deze relaties eenvoudig en veilig zijn, terwijl ze hun blootstelling aan het internet – en dus aan kwaadwillenden – verminderen.
Spot aan, licht uit is Zero Trust meer dan netwerk beveiliging want toegangsrechten die in de loop der tijd verkregen worden moeten wel overeenstemmen met de rol. Beleid- of rol gebaseerd maken al die cloud-native microservices het er ook niet makkelijker op want een expliciet vertrouwen op basis van een sessie is uiteindelijk nutteloos als je geen 100% zekerheid hebt aangaande de identiteit.
Wat betreft het proces, geautoriseerd tot het doen van betalingen kent een ander vertrouwen dan het klaar zetten van de betalingen. De check & balance van functiescheiding zorgt voor een controle welke gebaseerd is op een organisatorische opdeling. En uiteraard moet je hierin niet het netwerk vergeten want naast vertrouwen hebben we nog zoiets als geheimhouding.
Het wantrouwen geldt ook de andere kant op want al die logfiles bevatten tot op de persoon herleidbare gegevens. Want vertrouwen is goed, controle is beter zijn veel organisaties zich niet bewust van de waarde die logfiles hebben. Zo kun je deze gebruiken om een model te trainen zodat je sneller de anomalie ziet maar je kunt deze patronen ook voor andere doeleinden gebruiken.
Al die cloud-native platformen die achter de firewall van de organisatie draaien hebben als voordeel dat de concurrentie niet leert hoe de hazen lopen want bedrijfsspionage omvat ook het verkrijgen van kennis aangaande bepaalde patronen.