De digitale transformatie en de acceptatie van de cloud zijn niets nieuws. De afgelopen maanden zorgden echter wel voor een stroomversnelling: er zijn meer cloudapplicaties in gebruik genomen, zoals tools voor samenwerken, video conferencing en cloud-mailboxen. Daarnaast werken medewerkers niet meer vanaf een vaste werkplek die goed beveiligd is, maar thuis of ergens anders, via wisselende verbindingen.
Het toenemende gebruik van deze applicaties door externe medewerkers leidde ook tot een toename van cybercriminaliteit, die bovendien steeds slimmer wordt door het gebruik van nauwgezette social engineering-technieken, ontworpen om menselijke fouten te misbruiken. Gelukkig wordt cloud security ook steeds intelligenter.
Verantwoordelijkheid
Via cloud-mailboxen en apps voor online samenwerking worden belangrijke taken uitgevoerd, gevoelige informatie gedeeld en vertrouwelijke bestanden verzonden. Verplaatsing van data en infrastructuur naar de cloud brengt echter risico’s met zich mee en dit zijn andere security-risico’s dan on-premise. Data zijn ‘uit handen’ en als klant heb je geen zicht op wat er in de cloud gebeurt. Ondertussen ligt de verantwoordelijkheid over de informatie in de cloud nog steeds bij organisaties zelf, niet bij de cloudleverancier.
Een goed voorbeeld is Office365. Vanaf de hele wereld kan ingelogd worden op de volledige Office365-omgeving, met Exchange Online, Sharepoint, Dynamics CRM en OneDrive. Als cloudleverancier garandeert Microsoft data-integriteit in Office365, maar de verantwoordelijkheid voor de toegangsbeveiliging tot deze omgeving ligt bij de klant.
Dit roept vragen op. Hoe forceren beheerders het gebruik van sterke wachtwoorden of multifactor-authenticatie door medewerkers? Hoe moeten ze applicatie-verkeer naar Office365 behandelen? En hoe kunnen ze zien of er data worden geüpload naar de cloud, in strijd met compliancy-regels?
Cybercriminelen profiteren van alles wat trending is. Volgens een artikel van Check Point Research rapporteerde Google in april 2020 dagelijks meer dan 18 miljoen mails met malware of phishing-pogingen met het coronavirus als thema. Daarnaast werden 240 miljoen coronavirus-gerelateerde spamberichten verstuurd. Ook gebruikten criminelen zowel Microsoft Teams als Google Meet voor imitatie-aanvallen, waarbij uitnodigingen worden verzonden met een kwaadaardige url verborgen in de knop ‘Open Microsoft Teams’. Hoe kunnen beheerders deze initiatieven tijdig ontdekken?
Cloud-native security schiet tekort
Cloudleveranciers bieden wel wat security-functionaliteit. Standaard security-tools in de cloud-oplossingen gaan uit van ip-adres, source ip, destination ip en poortnummer, waarop ze access control-lijsten toepassen. Dit is vergelijkbaar met het controleren van de allereerste internetverbindingen, jaren geleden.
Dit is uiteraard niet toereikend meer. Beheerders hebben inzicht nodig in inkomende en uitgaande data, of er een datalek veroorzaakt wordt, of er kwetsbaarheden in zitten. Bovendien gebruiken bijna alle applicaties tegenwoordig versleuteling (https), waardoor er geen onderscheid gemaakt kan worden. Er is dus geen controle op wat er gebeurt in de cloud.
Ontwikkelingen in cloud security
Hoe kunnen beveiligingsbeheerders de controle terugkrijgen in een wereld waar organisaties gemiddeld 29 applicaties in de cloud hebben draaien? Inzicht in de cloud in een dynamisch security-speelveld vraagt om een intelligente oplossing, die speciaal ontworpen is voor het beweeglijke karakter van cloudomgevingen. Daarbij zien we verschillende ontwikkelingen in cloud security.
Allereerst is er ‘configuratie en compliance’. Veel bedrijven hebben geen idee wie toegang heeft tot welke applicaties in de cloud. Een netwerktekening, die laat zien welke assets met welke protocollen toegang hebben tot internet, geeft inzicht in hoe de cloud is opgebouwd en gebruikt wordt. Met inzicht in de configuratie is het mogelijk te gaan monitoren op compliance. Staat bijvoorbeeld in de regels dat bepaalde database assets niet direct aan het internet gekoppeld mogen worden en iemand doet dat per abuis tóch, dan is de cloud-configuratie niet meer compliant en volgt een melding.
Een tweede aspect is ‘unified management’. Er is een overkoepelend management dashboard essentieel om inzicht te verkrijgen. De meeste cloudleveranciers bieden wel een security dashboard aan, maar per applicatie. Dat houdt in dat er, uitgaande van het gemiddelde van 29 applicaties die een organisatie in gebruik heeft, ook 29 dashboards in de gaten gehouden moeten worden. Een unified management dashboard geeft beheerders het inzicht wat ze nodig hebben, real time.
Ai en machine learning
Verder is er nog machine learning en kunstmatige intelligentie waardoor cloud security slimmer wordt. Cloud logs worden omgezet in actionable security, door de logs af te zetten tegen een database met threat-informatie. In deze database worden bijvoorbeeld webadressen die malware verspreiden, geregistreerd. Daarnaast kan machine learning kan de nieuwste vormen van phishing met zero-font link ontdekken. Een zero-font link is niet zichtbaar, maar als er ergens in de e-mail geklikt wordt, opent een vorm van malware op de achtergrond.
Kunstmatige intelligentie en machine learning kunnen ook dienen ter beveiliging van identiteiten van gebruikers. Het systeem leert dan over de locatie en devices waarmee de gebruiker inlogt, en geeft een melding als er afwijkende gebeurtenissen plaatsvinden. Dit geldt tevens voor het gebruik van applicaties en het ontdekken van shadow it: bijvoorbeeld een werknemer die Wetransfer gebruikt, terwijl alleen Dropbox volgens de compliancy-regels is toegestaan
Tot slot is er ook nog de beveiliging dankzij api’s. Door een api-gebaseerde infrastructuur te gebruiken, kunnen cloud-security-oplossingen veel betere beveiligingsscores behalen. Api’s analyseren gegevens tijdens verzending en in rust om er zeker van te zijn dat er geen schadelijke inhoud binnendringt of zich verspreidt binnen de organisatie. Door de api-gebaseerde architectuur vangt deze cyberbescherming voor cloudgebaseerde e-mailprogramma’s en kantoorapplicaties gemiddeld dertig procent meer op dan door cloudleveranciers verstrekte oplossingen.
Conclusie
De cloud is niet geheel zonder risico’s, maar dat is een on-premise infrastructuur ook niet. Waar het om draait is cloud confidence: controle en inzicht in de cloud. Door de ontwikkelingen in cloud security, waaronder het toevoegen van intelligentie en api’s, verkrijgen de beheerders de grip op de omgeving die ze nodig hebben. Een unified management dashboard is daarbij essentieel om snel en eenvoudig inzicht en controle te kunnen houden.
Arthur van Vliet, operations manager bij Pinewood
Ik heb webinar gemist want ik ben een voorstander van een unfied (single pane) dashboard welke als een ‘buienradar’ de donderwolken ziet ontwikkelen. Tenslotte is mijn conclusies als ‘luchtdoelartillerist’ tot op heden dat de cloud wel beheerSbaar is maar niet beheerbaar omdat er gewoon te veel bewegende doelen zijn. Een conclusie die uit een emperisch onderzoek komt want inzichtelijkheid in de ‘value chains’ is bijvoorbeeld nog niet zo eenvoudig te geven als je een puzzel met duizend stukjes hebt. Puzzelstukjes die ook nog eens sneller wijzigen dan dat de inkt van het plaatje droog is door de ‘agility’ van de cloud waar sommige (micro)services een lifecycle hebben van enkele maanden. De ‘unmanaged cloud’ van allerlei niet gecontracteerde (Shadow) IT is namelijk vaak nogal mistig en alleen aan de voordeur controleren wat er in of uitgaat is niet voldoende als we kijken naar alle ‘ramen’ in de muren van een organisatie. Oja, dit geldt ook voor de personele wijzigingen door een projectmatige opzet met een flexibele arbeidsschil waardoor de autorisaties op services dagelijks veranderden.
mooi ge/be-schreven Ewout.
Maare, hoe combineer je die donderwolken toch met je “lift-and-shift” aanpak ? 😉
Dino,
Volgens mij had ik het over een policy-gedreven oplossing want betreffende lift uit de ‘donderwolk’ zul je natuurlijk eerst de metrieken moeten hebben die de business case van zo’n verandering bepalen. En deze ‘buienradar’ van AI en API’s – ik gebruikte de CLI in toenmalige project – in de ‘unmanaged cloud’ van duizend puzzelstukjes gaat vooral om het DIKW-model omdat er nog wat stappen zitten in een vertaling van de nietzeggende gegevens naar de wetenschap of je van de drup in de regen bent beland. Zo wordt gegeven van 100 op je teller pas informatie over je snelheid met metriek van kilometer per uur. En als je deze informatie correleert met verkeersbord voor het betreffende weggedeelte dan geeft dat je de kennis of je een compliant een verplaatsing van A naar B doet. Oja, als je teller mijlen per uur aangeeft dan ben je inderdaad sneller op de plaats van bestemming maar ook met het risico van een ‘naheffing’ omdat je een non-compliant verplaatsing hebt gedaan;-)
Met je zinsconstructies maak jij die cloud niet transparanter. Je claimt een lift-shift oplossing te hebben door de boel in code te definieren, waarbij niet eens duidelijk is welke code dat dan is. Maar als ik je vorige reactie ontleed in risicos lees ik weinig policy-gedreven maar wel :
– donderwolken
– niet beheerbaar
– te veel bewegende doelen
– puzzel met duizend stukjes
– die snel wijzigen
– korte lifecycle
– unmanaged cloud
– shadow IT
– dagelijks wijzigende autorisaties
En das nog functioneel, ik heb het nog niet over cloud-implementatie afhankelijke oplossingen. Providers zijn best behulpzaam bij transitie maar alleen als die samen met het geld hun richting op gaat.
Volgens het model kom ik uit op :
– Data : moeilijke zinnen van Ewout
– Informatie : donderwolken, niet beheerbaar … dagelijks wijzigende autorisaties
– Knowledge : lift-and-shift klinkt makkelijker dan het is
– Whisdom : legacy knuffelen
Dino,
Dat jij selectief winkelt in mijn reacties en via andere zinscontructies conclusies trekt die ik niet geschreven heb is je eigen verdienste, jouw mening. Want ik zeg niet dat de cloud transparanter wordt door een code-based infrastructuur maar dat deze daardoor wel flexibeler is, zeker met een policy-gedreven deployment van workloads. En zoals ik tijdens Computable-expertsessie in 2012 riep dat de cloud wel kansen biedt maar GEEN wonderen heb ik – naar mijn weten – altijd hetzelfde beweerd over software-defined. En beheerbaarheid van een hosted oplossing is heel wat groter door – zoals ik altijd gesteld heb – het eigenaarschap over de beheerinterfaces buiten de gebruikelijke API’s van een webportal om. Middels ‘managed’ hardware kun je de non-functionele OPEX metrieken zoals prestaties per Watt via een ‘buienradar’ inzichtelijk maken. Want een mogelijke schaduw in de wolken zijn de nieuwe regels aangaande CO2-footprint van je ‘web-based’ workloads. De ‘cloud economics’ van een prijs per vierkante meter voor halfvolle rekken met dedicated platformen bij hosting provider die het grootste deel van de tijd idle zijn is niet groen. Legacy heeft dan ook vooral het imago van grijs en het is nogal tendentieus om te stellen dat providers alleen behulpzaam zijn bij transitie als het geld hun richting op gaat. Legacy-knuffelaars zijn tenslotte de consultants die schrijven met een vork omdat ze hun klanten in de hoek gedreven hebben van een vendor lock-in.