Multi-cloudgebruik vereist multi-cloud security

Om flexibel te zijn en te blijven in de toekomst maken steeds meer bedrijven de overstap naar een cloudomgeving. Daarbij kiezen de meeste niet voor één specifieke aanbieder, maar voor verschillende. Men spreekt dan van multi-cloud. Sommige workloads gaan naar AWS, andere naar Azure en weer andere naar een lokale aanbieder of een landelijke Managed Service Provider.

Bij de keuze voor een cloudaanbieder, zo laat de praktijk zien, is security in de regel niet het eerste waar een bedrijf op let. Toch hebben deze keuzes verschillende consequenties voor security. Want een multi-cloudaanpak zorgt voor een aantal duidelijke uitdagingen op dit gebied:

  • De bestaande applicaties worden naar de multi-cloud overgebracht, zonder een stevige focus op de securityaspecten.
  • DevOps-teams gebruiken verschillende, losstaande cloudplatforms, architecturen, applicatiediensten en toolsets. Een goed overzicht ontbreekt.
  • De ingebouwde cloud-security-services (zoals WAF, anti-DDoS en IAM) zijn in de praktijk meestal basisvoorzieningen en vaak ook merkgebonden.
  • De leercurve van de organisatie stijgt doordat er van ‘cloudsilo’s’ gebruik wordt gemaakt.
  • Er is sprake van fragmentatie en een gebrek aan standaardisatie en het harmoniseren van securitydiensten is lastig.
  • Het afdwingen van een gemeenschappelijke security-policy is binnen multi-cloudomgevingen nagenoeg onmogelijk.

Dit alles leidt tot significante security-risico’s.

Volgens een onderzoek van Rightscale uit 2017 is security voor bedrijven die starten met de cloud de belangrijkste uitdaging. Bij bedrijven met de nodige cloudvolwassenheid komt security op de vierde plek, na kostenbeheersing, compliance en gebrek aan resources en expertise.

Cloudleveranciers schermen alle met het idee dat zij veiliger zijn dan een on-premise-infrastructuur, omdat het leveren van clouddiensten hun core business is. Uiteraard investeren hyperscalers en andere cloudaanbieders zwaar in fysieke en digitale beveiliging. Maar ook dan behoudt de afnemer een belangrijke verantwoordelijkheid. Zo staan cloudaanbieders wel in voor de veiligheid van de basisinfrastructuur, maar blijft de afnemer zelf verantwoordelijk voor de veiligheid van het OS, de applicaties, het platform en de data en intellectueel eigendom.

Om enkele voorbeelden te noemen: als u AWS gebruikt, moet u zelf de AWS Services API uitzetten, als u deze niet wilt gebruiken. Die staat standaard aan. Nog een voorbeeld: bij gebruik van Azure VNET staan alle outbound-poorten standaard open. Als u dat niet wilt, moet u ze zelf blokkeren.

Een ander aspect is inzicht en context. Hoe meer inzicht er is in wat er gebeurt op een netwerk of platform, hoe beter. Bij hyperscalers is dat inzicht relatief beknopt en krijgt een IT-afdeling vaak niet veel meer dan een overzicht van IP-nummers, terwijl u juist wilt weten wie op welk moment wat doet. Met andere woorden: u wilt het weten als medewerker De Jong via IP-nummer 64.81.2.23 vanuit China een exe-bestand downloadt. Dat is context.

Het is duidelijk dat ingebouwde cloudsecurity alleen ontoereikend is. Deze problematiek is aan te pakken met de inzet van een cloudsecurity-gateway. Deze gateways lossen vier belangrijke issues op:

  • U verkrijgt inzicht in alle cloud- en SaaS-apps.
  • U beperkt de aanvalsmogelijkheden door specifieke applicatiefuncties te beperken en de toegang tot sites en content te reguleren.
  • U bent beter in staat om alle bekende aanvalsmethodieken tegen te houden.
  • U kunt nieuwe bedreigingen beter detecteren en voorkomen.

Hierbij is de cloudsecurity-gateway het middel tot een doel. Met alleen technologie is complete cloudsecurity niet te realiseren. Het gaat ook om het op orde hebben van uw change management en interne communicatie. Governance begint met het management, dat goed geïnformeerd moet zijn om zo de risico’s in kaart te kunnen brengen. Bedenk dat een doorsneeorganisatie meer dan zevenhonderd cloud-apps in gebruik heeft, maar dat er maar zestig echt bekend zijn bij de IT-afdeling.

Begin de reis naar de cloud daarom met de lastigste applicatie, zodat u ervaring opdoet. Zorg ervoor dat developers een security-mindset ontwikkelen. Monitor ongebruikelijke activiteiten of verkeer, eventueel met behulp van machine learning. En gebruik Privileged Account Security Management voor kritische cloud-admin-accounts. Dan is het mogelijk om op een veilige manier gebruik te maken van de multi-cloud.

Stefaan Hinderyckx – Director Security – Europe – Dimension Data

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.