5 stappen voor een betere cloud security
Een goede cloud-beveiliging wordt steeds belangrijker, ongeacht de cloud-aanbieder. Nu Amazon, Google en Microsoft een steeds groter deel van de hosting-markt innemen, kijken hackers vooral naar deze platforms om hun kwetsbaarheden te vinden. Ondanks de vele tools die beschikbaar zijn om de huidige beveiligingsvoorzieningen te beoordelen, gaat het nog te vaak fout. Cybercriminaliteit staat hoog op de agenda van zowel overheid als bedrijven. Maar welke 5 stappen kun je nemen om de cloud-omgeving beter te beschermen?
Hanteer een ‘Zero Trust’ beleid
Voorheen hadden bedrijven een natuurlijke barrière om indringers buiten te houden. Als een gebruiker eenmaal in de digitale omgeving was toegelaten, werd deze door de interne infrastructuur als vertrouwd beschouwd. Met de komst van de cloud zijn diensten overal en voor iedereen toegankelijk.
‘Zero Trust’ werd geïntroduceerd om bedrijven te helpen hun gebruikers toegang te geven tot precies dat wat ze nodig hadden, ongeacht de locatie en zonder het risico te lopen dat bedrijfssystemen die hierdoor openbaar beschikbaar zijn in gevaar komen. Het begint met een positie van wantrouwen - of Zero Trust, zoals de naam al aangeeft - en verwacht vervolgens van de gebruiker dat hij zijn identiteit, locatie en de omgeving van zijn apparaat bewijst.
Afhankelijk van waar het apparaat zich bevindt kan het beveiligingsniveau variëren: van een eenvoudige identificatie tot een volledige verificatie van het apparaat die nodig is om te voldoen aan de bedrijfsnormen voor risicovolle toepassingen. In de context van de cloud stelt een ‘Zero Trust’ aanpak bedrijven in staat om administratieve taken uit te voeren of toegang te krijgen tot meer gevoelige bedrijfssystemen zonder de traditionele barrière.
Zet in op encryptie
Het is belangrijk om ervoor te zorgen dat gegevens in de cloud - waar mogelijk - worden versleuteld. Hoewel de grote cloud-aanbieders alles in het werk stellen om ervoor te zorgen dat hun systemen veilig zijn en de scheiding tussen klanten in stand wordt gehouden, is het belangrijk om te onthouden dat het multi-tenant platforms zijn. Als gevolg hiervan bestaat het risico dat het platform door een systematische storing gegevens lekt.
Alleen encryptie is dus nog niet genoeg. Dit komt omdat de meerderheid van gegevensinbreuken zich voordoen op live-systemen waarvan de gegevens in een ongecodeerd format beschikbaar zijn. De beste manier om dit tegen te gaan is om encryptie tijdens het transport toe te passen, waarbij gegevens alleen worden ontcijferd wanneer ze nodig zijn voor de verwerking. Dit is de enige manier om er zeker van te zijn dat gegevens niet worden onderschept.
Investeer in DevSecOps
Bij het ontwikkelen van een applicatie voor de cloud maken bedrijven vaak kennis met het concept van DevOps en Continuous Integration, Continuous Delivery (CI/CD). Maar de beveiliging in het DevOps-proces wordt hierbij vaak vergeten. De ontwikkeling van een applicatie ondergaat regelmatig het CI/CD-proces en wordt goedgekeurd door het beveiligingsteam.
Alleen de fundamentele principes van verschuiving die in DevOps overblijven, veranderen niet omdat het over veiligheid gaat. Het is cruciaal om mee te gaan met het tempo van een DevOps-team en hen in staat te stellen om veiligheidsproblemen vroeg in de ontwikkelingscyclus op te lossen.
Met DevSecOps worden dus kwetsbaarheden in de code en het ontwerp al vroeg in het softwareontwikkelingsproces geïdentificeerd. Dit helpt om de kosten voor het oplossen van bugs te verlagen en zorgt voor een betere relatie tussen de ontwikkelings- en beveiligingsteams in de business.
Ontwikkel een Runtime Application Self-protection-oplossing (RASP)
Een effectieve RASP-oplossing voorkomt en bewaakt schadelijk gebruik van applicaties. Het valideert dat elk proces of functie bedoeld is om te produceren en vergelijkt dat met de daadwerkelijke output van de applicatie.
Er zijn veel RASP-producten ontworpen om een meer traditionele web application firewall aan te vullen door de eigenlijke applicatiecode te analyseren. Dit stelt hen in staat het risiconiveau van een bepaald verzoek vast te stellen, wat meestal resulteert in een lager percentage false-positive. Ze kunnen ofwel in een monitor- en alarmmodus worden gezet, ofwel in een blokkeringsmodus.
Het aardige van RASP-oplossingen is dat ze geïntegreerd zijn in de applicatiecode, wat betekent dat ze kunnen worden ingezet voor container- en serverloze oplossingen zonder compatibiliteitsproblemen. Maar zoals bij alles wat geautomatiseerd is, zijn er altijd inlog- en validatieprocessen nodig, wat ons bij het laatste punt brengt.
Sluit aan bij een Security Operations Centre
Het is voor organisaties essentieel dat er een 24x7x365 Security Operations Centre (SOC) is voor elke beveiligingsoplossing. Geautomatiseerde tools zijn een uitstekend begin, maar slechts een deel van de puzzel. Uiteindelijk is het altijd een wapenwedloop tussen hackers en beveiligingsbedrijven die op zoek zijn naar technologische oplossingen voor cyberbeveiliging.
Een goed uitgeruste SOC helpt te identificeren wanneer er beveiligingsprotocollen worden overtreden. Ervaren analisten die een organisatie 24 uur per dag en 7 dagen per week beschermen zijn key in het detecteren en blokkeren van geavanceerde en aanhoudende bedreigingen.
Een SOC-team heeft toegang tot alle data die worden verzameld en geanalyseerd. Bijgestaan door de beveiligingstechnologieën is het SOC-team in staat om applicaties realtime te verdedigen en gegevenslekken te voorkomen. Een gemiddeld team ontvangt dagelijks 10.000 waarschuwingen, waarvan het merendeel van de bedreigingen verkeerd geprioriteerd en false-positive zijn. Het is daarom belangrijk om specialisten in dienst te hebben met uitstekende analysevaardigheden.
Het onderhouden van een dergelijk team is een dure en operationeel uitdagende taak, zelfs als rekening wordt gehouden met deze vijf aandachtsgebieden (Zero Trust, encryptie, DevSecOps, RASP en SOC). Het kan helpen om te werken met een managed security service partner. Door bedreigingen te detecteren, hierop te reageren en deze vervolgens te beperken op basis van vooraf overeengekomen runbooks, kan deze partij helpen de operationele en financiële lasten van een volledig team te verlichten. Hoe? Door expertise en tools te bieden die kunnen voorkomen dat bedrijfkritische gegevens worden gestolen en ervoor zorgen dat de organisatie voldoet aan vastgestelde beveiligingsnormen.
De boodschap mag duidelijk zijn: neem cloud-beveiliging serieus en voorkom dat gevoelige gegevens op straat komen te liggen.
Bert Stam is sales directeur Noord-Europa, Rackspace