Hoe krijg je de juiste controle over de cloud?

Vertrouwen in de cloud is niet altijd even vanzelfsprekend geweest. Er was een tijd dat security- en riskmanagementprofessionals angstig waren om gevoelige data en infrastructuren toe te vertrouwen aan een cloudprovider. IT-teams zijn van oudsher natuurlijk nauw betrokken bij het daadwerkelijk bouwen van de infrastructuur: van de locatie, koeling en stroomvoorziening tot aan de server, opslag en het netwerk. Dergelijk toezicht is echter niet mogelijk wanneer verantwoordelijkheden worden gedelegeerd naar een cloudprovider. En door koste wat het kost alle controle bij zichzelf te willen houden, profiteren organisaties niet optimaal van de mogelijkheden die cloud biedt voor efficiëntie en security. Het is tijd voor een andere manier van denken.

In het rapport CISO Playbook: How to Retain the Right Kinds of Control in the Cloud vergelijkt Gartner het overstappen naar de cloud met reizen in een vliegtuig ten opzichte van zelf achter het stuur van de auto kruipen. Bij een vliegreis leg je de controle in handen van de crew en dat kan tot ongerustheid leiden. Een irreële angst, aangezien vliegtuigen uitvoerig gecontroleerd en nagelopen worden voorafgaand aan iedere vlucht. Vergelijk dat maar eens met de sporadische check die je doet van het oliepeil en de banden van de eigen auto. De migratie naar de cloud voedt de noodzaak voor een andere vorm van datacontrole en een beter begrip hoe cloud serviceproviders zorgen voor een betere beveiliging. Pas dan zullen organisaties zich prettig voelen bij het overdragen van het beheer van het onderliggende platform.

Vandaag de dag bezitten klanten nog steeds hun data, maar delen ze het beheer van deze data met cloudproviders. Het concept ‘controle’ is veranderd van fysiek, locatiegebonden eigendom naar het toezien op processen. Informatiebeveiligers en risicomanagers moeten daardoor een nieuwe aanpak van indirecte controle omarmen, om zo een optimale efficiëntie, beveiliging en bovenal gemoedsrust te realiseren. Met dit in het achterhoofd is het interessant om na te gaan hoe je de juiste controle over de cloud krijgt. De volgende drie stappen kunnen hierbij helpen.

  1. Ontwerp een Identity Access Strategy

Cloudbased concepten van controle kunnen lastig te bevatten zijn voor securityteams en -ontwikkelaars. Maar eigenlijk verschilt dit niet met bijvoorbeeld het gebruik van koper- of glasvezelnetwerken: hierin verzorgen telecombedrijven de fysieke infrastructuur, terwijl de data die op het netwerk worden verstuurd eigendom blijven van hun klanten. Het afbakenen van securityverantwoordelijkheden is het belangrijkste: zo is op ieder moment duidelijk wie er verantwoordelijk is voor security.

Securityteams moeten een Identity Access Management Strategy ontwerpen die niet alleen het cloudplatform afdekt, maar ook de externe applicaties en diensten die op dit platform beschikbaar zijn. Gebruikers moeten toegang krijgen op basis van het ‘least privilege’-principe, alleen noodzakelijke rechten voor de specifieke gebruiker, in plaats van onbeperkte rechten voor iedere gebruiker. Dit verbetert de auditmogelijkheden en verkleint het risico op ongeautoriseerde veranderingen aan het platform.

Daarbij is samenwerking met de cloudprovider aan te raden om encryptie op een hoog niveau mogelijk te maken. Versleuteling van gegevens – of die nu verstuurd worden of ergens zijn opgeslagen – is een manier om data te beveiligen, scheiden en isoleren op een openbaar cloudplatform. Hoewel het hoogst onwaarschijnlijk is dat het iemand lukt in te breken in een fysiek datacenter om een diskdrive te bemachtigen met jouw data, wordt het toch ten zeerste aangeraden om opgeslagen data te versleutelen.

  1. Meer monitoren en auditdoelwitten aanpassen

Regelgeving wordt steeds ingewikkelder en organisaties die gebruikmaken van de cloud moeten steeds vaker aantonen dat ze voldoen aan de regels. Dat een deel van de controle is gedelegeerd naar een cloud serviceprovider, betekent dat je moet kunnen aantonen dat ook daar alle regelgeving wordt gevolgd.

Om dit voor elkaar te krijgen, moet er samengewerkt worden met een cloud serviceprovider die security- en compliance monitoring biedt. En bovendien beschikt over de juiste verklaringen waarmee voldaan wordt aan auditvoorwaarden.

  1. Vergelijk securitymaatregelen en gebruik SLA’s

Een ander aandachtspunt zijn de contractuele voorwaarden waaraan cloud serviceproviders zijn gebonden met betrekking tot de bescherming van klantdata en privacy. Contracten met hyperscale cloudproviders, beschermen vaak vooral hun eigen belangen. Bij andere cloud serviceproviders is er meer onderhandelingsruimte in de voorwaarden.

Het laatste onderdeel waar goed naar gekeken moet worden, zijn SLA’s. Sommige cloud serviceproviders zijn behoorlijk star in hun SLA’s en daardoor kan het lastig zijn om deze te veranderen. Het is belangrijk om uit te zoeken hoe een cloud serviceprovider omgaat met compliance. Kunnen ze inzicht geven in hun certificaten en attesten? Hoe flexibel zijn hun SLA’s wanneer het bijvoorbeeld gaat om beschikbaarheid? Word je gecompenseerd wanneer een bepaalde service niet geleverd kan worden? Dergelijke vragen moeten beantwoord worden voordat je in zee gaat met een cloud serviceprovider. Kijk hierbij ook naar hoe de veiligheidsmaatregelen voor extern opgeslagen data zich verhouden ten opzichte van de eigen risicobereidheid.

Kortom, door de toename van zowel securityrisico’s, compliancevoorwaarden als het gebruik van clouddiensten is het belangrijk om te beseffen dat er een gedeelde verantwoordelijkheid is als het gaat om cloud security. Door de juiste balans te vinden tussen het delegeren en vasthouden van controle zullen organisaties meer profijt hebben van de voordelen die cloudservices bieden. Controle hebben over de cloud betekent niet dat je ieder aspect hiervan in beheer moet hebben, maar dat je weet waar je verantwoordelijkheden liggen zodat je de juiste vorm van controle verkrijgt.

Rudy Arts, regional sales executive EMEA bij iland

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.