Cloud vraagt nieuwe benadering van security

Angst voor de cloud is bij de meeste organisaties inmiddels verdwenen. Het inzicht dat moderne datacenters werkelijk goed beveiligd zijn en dat cloud computing onmisbaar is voor een digitale bedrijfsstrategie, maakt dat de cloud inmiddels door steeds meer organisaties wordt omarmd. Daarbij worden specifieke security-uitdagingen van de cloud helaas nog te vaak over het hoofd gezien.

Innovatie en transformatie maken IT

steeds complexer. Het managen van die complexiteit is tegenwoordig zelfs een van de belangrijkste taken van de IT-afdeling. Die zit daar niet bepaald op te wachten: van IT wordt verwacht dat ze een digitale strategie ontvouwen en de business naar een nieuwe digitale toekomst leiden. Daarom probeert IT zo veel mogelijk onderhouds- en beheertaken af te stoten, door een beroep te doen op de specialistische kennis van derden, zoals de zeer specifieke expertise van cloud providers voor het hosten van data en applicaties.

Ideale omgeving

Die cloud providers doen er uiteraard alles aan om hun datacenters te beschermen tegen hackers, aanslagen, spionnen en andere bedreigingen van buiten. Hun hele businessmodel draait om het aanbieden van een ideale omgeving waar klanten altijd snel en veilig bij hun data kunnen. Dankzij hun specialisatie excelleren ze in uptime, high availability en maximale connectiviteit, en dan ook nog eens zo groen en goedkoop mogelijk. Vanuit die optiek is de overstap naar de cloud voor veel organisaties een enorme stap vooruit.

Veel afnemers lijken er echter vanuit te gaan dat ze niet alleen een stuk complexiteit, maar ook verantwoordelijkheid hebben uitbesteed - maar zo gemakkelijk gaat dat niet. Cloud providers leveren een stuk infrastructuur, maar wat binnen die infrastructuur met (privacy)gevoelige gegevens gebeurt, blijft de verantwoorde­lijkheid van de afnemer. Helaas vergeten veel afnemers vooraf na te gaan hoe ze die verantwoordelijkheid onder die nieuwe omstandigheden het best kunnen invullen.

Detectie in complexe omgeving

Het businessmodel van cloudproviders draait om efficiëntie. Door de kosten voor bijvoorbeeld netwerkverbindingen, hardware, energie en koeling te spreiden over een groot aantal klanten kunnen, ondanks de kleine marges, standaard services van hoge kwaliteit tegen relatief lage prijzen worden aangeboden. Daar hoort een degelijke beveiliging bij, maar die security is vooral bedoeld om de verantwoordelijkheid van de providers af te dekken. De verant­woordelijkheid die afnemers zelf hebben voor de data in hun organisatie, vraagt om andere, op maat gesneden maatregelen.

De meeste cloud providers zijn bijvoorbeeld niet berekend op cybercrime van binnenuit. Een medewerker die op legitieme wijze inlogt, of een inbreker die gebruikmaakt van legitieme inloggegevens, doet over het algemeen bij cloud providers geen alarmbel rinkelen. Als iemand toegang zoekt tot vertrouwelijke gegevens, of plots grote hoeveelheden data wegsluist naar het buitenland, is dat voor cloud providers niet zonder meer reden om alarm te slaan. De detectie van activiteiten die kunnen duiden op cybercrime hoort bij de meeste cloud providers niet tot het standaard arsenaal en moet dus worden opgepakt door het eigen security-team of externe security-specialisten, die bijvoorbeeld vanuit een Security Operations Center (SOC) het dataverkeer controleren.

Onregelmatigheden

Voor de detectie van dit soort onregel­matigheden hebben de security-teams toegang nodig tot bijvoorbeeld loggegevens. Maar lang niet alle cloud providers zijn bereid of in staat dergelijke loggegevens zomaar te verstrekken. In sommige gevallen van shared hosting is het zelfs technisch ondoenlijk unieke loggegevens van één enkele klant uit de shared servers te halen. In ieder geval zal daar dan een prijskaartje aan hangen - en er zijn maar weinig nieuwe cloud-gebruikers die dáár bij hun keuze voor de cloud rekening mee hebben gehouden.

Security en multicloud

Daar komt nog bij dat organisaties steeds vaker gebruikmaken van ‘multicloud’, waarbij de data van organisaties verspreid wordt over soms tientallen verschillende cloud providers. Denk aan de vele verschillende SaaS-leveranciers waar bedrijven tegenwoordig zaken mee doen (en de diverse andere ‘as-a-Services’ die inmiddels beschikbaar zijn), maar ook aan de wens om op elk gewenst moment flexibel te kunnen overstappen naar een andere cloud provider.

Dat heeft allemaal duidelijk voordelen vanuit business-perspectief, maar elk van die providers gaat anders om met loggegevens en als die data niet zorgvuldig worden gekoppeld, valt de bodem uit het security-model. Ook over de organisatie van cybersecurity over al deze omgevingen heen wordt nog onvoldoende nagedacht. Het kàn vaak wel, maar als vooraf geen duidelijke afspraken zijn gemaakt met iedere cloud provider over hoe met dit soort security-voorwaarden wordt omgegaan, kan het heel ingewikkeld worden om dat achteraf alsnog te regelen. Zo kan een voordeel omslaan in een serieus nadeel, als blijkt dat de beveiliging van bedrijfsgevoelige gegevens op al die verschillende locaties alleen effectief op te pakken is tegen een forse meerprijs.

Cloud-strategie

Innovatie en digitale transformatie zijn tegenwoordig vrijwel ondenkbaar zonder cloud computing. Maar wie bij de stap naar de cloud onvoldoende rekening houdt met de security-implicaties, kan voor nare verrassingen komen te staan. Daarom is het belangrijk dat cybersecurity zo vroeg mogelijk wordt meegenomen in de cloud-strategie, zodat de oplossingen (en de partners) die gekozen worden klaar zijn voor een effectieve en efficiënte beveiliging van de bedrijfsgegevens.

Fokke Dijksma, CyberSecurity Consultant Lead bij Thales Nederland