Vijf dingen die jouw bedrijf moet weten over multicloud

Christiaan Beek, Lead Scientist, Sr. Principal Engineer bij McAfee

Cloudadoptie neemt snel toe nu steeds meer bedrijven inzien welke voordelen het gebruik van meerdere cloudplatformen hen biedt. Door de groei van deze trend kijken ook aanbieders kritisch naar hun clouddiensten portfolio: ik zie steeds meer nieuwe tools op de markt die een breed scala aan clouduitdagingen beloven te adresseren.

Of je nu je huidige multicloud strategie optimaliseert of er één vanaf de grond af aan opbouwt, we hebben de belangrijkste zaken rondom multicloud voor bedrijven voor je op een rijtje gezet.

  1. Bepaal welke functies essentieel zijn voor jouw multicloud strategie en welke je eigenlijk niet nodig hebt

Wanneer je de beste multicloud structuur voor jouw bedrijf bepaalt, durf dan buiten de lijnen te denken. Wat heeft jouw bedrijf echt nodig en welke clouddiensten helpen je daarbij? Maak je minder zorgen over het ‘hoe’ van de implementatie en kijk in plaats daarvan naar het ‘waarom’ en het ‘wat’ dat je door je aanbieders beantwoord wilt zien. Top cloudaanbieders in IaaS/PaaS- en SaaS-omgevingen bieden allemaal hun eigen buitgewoon uitgebreide mogelijkheden en hebben elk een aantrekkelijke toegevoegde waarde. Om in dit woud van aanbieders door de bomen het bos weer te kunnen zien moet je begrijpen welke onderdelen voor jouw bedrijf onmisbaar zijn om je organisatie écht te kunnen veranderen.

Naast de verschillende individuele verzoeken voor een nieuwe of andere functionaliteit, moeten organisaties kijken naar ‘verzamelingen’ van behoeften die met elkaar overeenkomen. Overweeg bijvoorbeeld eerst SaaS-oplossingen voor bekende, herhaaldelijke behoeften. Kijk vervolgens of functionaliteiten naar IaaS verhuisd kunnen worden of native in PaaS kunnen worden gebouwd, voor efficiënte toepassingen.

  1. Noodzakelijke securitymaatregelen voor het ontwerp van een multicloud structuur

Allereerst: zie je nieuwe cloudinfrastructuur niet als een aparte omgeving. Het is niet alleen een nieuw datacenter, dus je organisatie moet zich er bewust van zijn hoe een overstap naar een nieuwe cloudinfrastructuur het securitybeheer beïnvloedt. Maak gebruik van bronnen zoals de MITRE ATT&CK-matrix en de Basic and Foundational Controls-lijst om de volgende vraag te beantwoorden: “Hoe zorg ik ervoor dat ik één duidelijk overzicht bewaar en inzicht in mijn security behoud, wanneer ik nieuwe cloud providers integreer?”

Maak gebruik van de securitylaag voor je cloudtoegang voor een succesvolle multicloud migratie en gebruik daarnaast een platform dat je aanpak voor het identificeren van dreigingen samenvoegt. Een andere uitdaging wordt gevormd door identity management. Voor een grootschalige overstap naar de cloud moet je de bezem door je identity directory halen, zodat je klaar bent voor gedeelde sign-ons. Door gebruik te maken van een platform voor identity management en/of aggregatie om je identiteit bloot te stellen aan de bekendste clouddiensten, verlicht je de last van de cloudimplementatie en blootstelling aan dreigingen, bij welke aanbieder dan ook.

  1. Bewaak je compliance

Het is van belang om in te gaten houden dat je blijft voldoen aan de minimale compliance eisen van je organisatie, ook als je data je interne omgeving verlaat en wordt overgeheveld naar de cloudomgeving van je aanbieder. Naarmate je organisatie zich ontwikkelt, moet de manier waarop je cloudaanbieder aan jouw compliance kan voldoen op hetzelfde tempo meegroeien.

Om te beginnen moet je ervoor zorgen dat de eindverantwoordelijken van verschillende bedrijfsonderdelen op de hoogte zijn van het feit dat zij ook eindverantwoordelijk zijn voor compliance, omdat service providers mogelijk niet aan alle vereisten voldoen. Je juridische afdeling moet onderdeel zijn van aankoopbeslissingen en over de juiste technische kennis beschikken om potentiële onbetrouwbare cloudaanbieders te kunnen identificeren. Zo voorkom je dat medewerkers extra diensten ‘op krediet’ kunnen aanschaffen, zonder dat daar op de juiste manier toezicht op wordt gehouden.

Vraag providers of ze je kunnen voorzien van kopieën van hun SSAE16 audits. Dit zou je, naast meer formele ‘due diligence’-processen, standaard moeten doen. Bedrijven die zich op dit gebied verder willen ontwikkelen doen er goed aan te kijken naar de STAR-toekenning van de Cloud Security Alliance en de daaraan verbonden Cloud Controls Matrix. Deze vormen samen een goede benchmark om cloud providers te toetsen.

  1. Krijg de C-suite aan boord van je multicloud strategie

Het gebruik van cloud services moet aansluiten op de strategische focus van je bedrijf. Bedrijven die vooruitlopen op technologische ontwikkelingen kunnen deze voordelen gebruiken om initiatieven op efficiëntievlak in gang te zetten, nieuwe innovaties op de markt te brengen en kosten te managen. Deze boodschap kun je verder versterken door de hoofden van je technologische afdeling na te laten denken over de juiste meetmethoden en organisatorische aanpassingen die ervoor zorgen dat ze de échte toegevoegde waarde van de cloud kunnen laten zien. Als je de C-suite aan boord wilt krijgen, zorg dan dat je de volgende vragen kunt beantwoorden:

  • Hoe meet je de snelheid waarmee je de nieuwe mogelijkheden kunt introduceren?
  • Welke toegevoegde waarde en productverbeteringen worden er met clouddiensten mogelijk?
  • Hoe meet en controleert je organisatie het gebruik om je kosten te verantwoorden?
  • Hoe weet je of je bedrijf ook daadwerkelijk krijgt wat je cloudaanbieder heeft beloofd? 
  1. Bescherm je bedrijf en beveilig de cloud

Veel bedrijven zullen hun basisbeveiliging een ‘upgrade’ geven wanneer ze overstappen naar bekende cloudaanbieders. De mate waarin je gehele beveiligingsgraad wordt beïnvloed, is voor een groot deel afhankelijk van de toewijding aan het onboarding proces van nieuwe cloudaanbieders. De invoer van onmisbare technische maatregelen zoals een security-laag voor je cloudtoegang en een juist beleid op het gebied van de technische implementatie, zouden een drijfveer moeten zijn voor minimale veiligheidsvereisten.

Het op de juiste manier beheren van je cloudomgeving is één van de grootste uitdagingen. Bij McAfee maken we gebruik van een Cloud Maturity Model waarmee eenvoudig vast te stellen is waar klanten nu staan en of ze klaar zijn voor het gebruik van nieuwe cloudaanbieders.

Het aantal verschillende cloudaanbieders in je cloudomgeving moet duidelijk in kaart worden gebracht. Bepaal in hoeverre je afhankelijk bent van een bepaalde dienst en hoe gevoelig de data is die door deze dienst gebruikt wordt. Diensten die op beide criteria hoog scoren, moeten beter beveiligd worden om de gehele beveiligingsgraad van je bedrijf op peil te houden.

Bij iedere nieuwe Tech-trend worden fouten breed uitgemeten in de media. Dat is voor de overstap naar de cloud niet anders. Neem de tijd om deze artikelen over het ‘hoe’ en ‘waarom’ van eerdere inbraken in de cloud door te nemen en voorkom zo dat je zelf een potentieel slachtoffer wordt. Bronnen zoals het Top Threats to Cloud Computing: Deep Dive rapport van de Cloud Security Alliance en het rapport van McAfee over Practical Guidance and the State of Cloud Security zijn daarbij een handig startpunt.

Leren van de ervaringen van een ander heeft in dit geval altijd de voorkeur boven zelf iets ondervinden. Want leren van fouten rondom de beveiliging van je cloud nadat er bij je is ingebroken is vaak een zeer kostbare les!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.