Acht stappen voor slim en veilig gebruik van de cloud

Bijna alle bedrijven gebruiken in minder of meerdere maten cloudoplossingen. Dat moet ook wel, want wil je concurrerend blijven in deze snel veranderende wereld, heb je twee dingen nodig: snelheid en flexibiliteit. En dat is precies wat cloudinfrastructuren en -diensten bieden. Clouddiensten geven bedrijven toegang tot slimme technologie op vrijwel onbeperkte wereldwijde schaal. Het voordeel is dat er geen forse investeringen nodig zijn, zoals bij een in eigen beheer ontwikkelde oplossing. Om het volledige potentieel van de cloud te gebruiken, is het belangrijk ook te kijken naar de rol van cybersecurity. Die stelt de business in staat om de kansen te benutten die de cloud biedt en te voorkomen dat de overstap hiernaar de organisatie in gevaar brengt. De volgende stappen helpen security-teams bij een veilige overstap naar de cloud.

Omarm diversiteit

De voorkeur voor een cloudomgeving zal vaak per team verschillen, al naar gelang de kennis van specifieke platforms van de teamleden of hun specifieke behoeften en doelstellingen. Iedereen dwingen om gebruik te maken van één centraal geselecteerde optie zorgt weliswaar voor een ingrijpende vereenvoudiging van het beheer, maar is in de praktijk vaak geen haalbare kaart. 76% van alle organisaties maakt momenteel gebruik van twee of meer cloud providers1. Dat betekent dat security- en netwerkteams de business moeten ondersteunen door dezelfde mate van bescherming en connectiviteit naar een divers scala aan cloudomgevingen te brengen en deze cloudomgevingen met elkaar te integreren.

Standaardisering

De enige manier om consistente beveiliging naar sterk uiteenlopende cloudplatforms te brengen is door te zorgen voor standaardisering. Door het abstraheren van de beveiliging van de onderliggende omgeving kunnen organisaties dezelfde beveiliging van grootzakelijke kwaliteit toepassen op een divers scala aan omgevingen. Dit biedt de business de vrijheid om met vertrouwen zijn voorkeursplatform te selecteren. Een geïntegreerd security-framework kan het makkelijker maken voor security-teams om deze mate van bescherming te bieden integraal overzicht te krijgen op een uiterst divers en sterk gedistribueerd digitaal landschap. Het beheer verloopt daarmee eenvoudiger en de toepassing van beveiligingsregels efficiënter. De leercurve is korter en de bedrijfsbrede beveiliging krijgt een boost. Zonder dit beveiligingskader bestaat de kans dat er zich problemen voordoen die de organisatie ervan weerhouden om naar de cloud over te stappen.

Maak gebruik van DevOps-praktijken

Om de beveiliging te integreren met deze flexibele cloudomgevingen moeten security- en netwerkteams overstappen op DevOps-praktijken en -tools en de bijbehorende cultuur en mentaliteit. Cybersecurity groeit daarmee uit tot code, iets wat wel Infrastructure as Code (IaC) wordt genoemd, of tot een dienst die naar wens kan worden afgenomen. De beveiliging wordt georchestreerd door DevOps-tools, getest en gevalideerd in de CI/CD (Continuous Integration/Continuous Deployment)-pipeline en naar centrale repository’s gepusht, zodat verschillende teams er toegang toe kunnen krijgen. Deze Security-as-Code of Security-as-a-Service moet zich kenmerken door selfservice, flexibiliteit en een modulaire opzet. Er moeten real-time beveiligingsmechanismen mee worden geïntegreerd om risico’s proactief terug te kunnen dringen, of het nu gaat om cyberaanvallen, beveiligingslekken of simpele menselijke fouten. Daarnaast moet er gebruik worden gemaakt van AI en machine learning om de beveiligingsprocessen zo soepel mogelijk te laten verlopen. Het is van cruciaal belang dat security-teams voorzien in de on demand schaalbaarheid en flexibiliteit die inherent zijn aan de wereld van DevOps. Automatisering en API’s spelen daarbij een sleutelrol.

Het voordeel van DevSecOps

Security- en netwerkteams die de cloud onder de knie krijgen en uitblinken in het ontsluiten van de flexibiliteit daarvan kunnen hun organisatie tastbare zakelijke toegevoegde waarde bieden. Een geïntegreerd Development, Security en Operations (DevSecOps)-team past zijn multidisciplinaire expertise toe en stemt de doelstellingen op elkaar af om sneller en efficiënter resultaten boeken met minder risico’s. Als de beveiliging een integraal onderdeel van de IT-omgeving vormt kunnen de risico’s tijdens elk stadium van de softwarelevenscyclus effectiever worden beheerd en kunnen veilige ontwerpen voortdurend worden getest en gevalideerd. Dit minimaliseert de kans op verrassingen in de laatste minuut en kostbare wijzigingen terwijl de code van de ontwikkelingsfase naar de implementatiefase gaat. Cloudomgevingen kunnen tijdens de verschillende fasen van elkaar afwijken, maar een cross-platformaanpak van de beveiliging vereenvoudigt de beveiliging daarvan. Abstrahering en automatisering zijn ook hier van cruciaal belang.

Investeer in upskilling

Als organisaties zich willen aanpassen aan deze nieuwe werkbenaderingen, omgevingen en tools, zullen hun medewerkers dat eveneens moeten doen. Alles is nu omgezet in code, en elke cloudomgeving is volstrekt uniek. Teams moeten begrijpen hoe ze de beveiliging voor deze verschillende omgevingen moeten ontwerpen, inzicht verwerven in de beschikbare diensten en opties en nagaan hoe zij die optimaal kunnen inzetten. En dat wordt een stuk lastiger naarmate teams gebruik beginnen te maken van microservices. Je kunt dit proces bespoedigen door een beroep te doen op de expertise van leveranciers. Zij hebben ervaring met het ontwerpen van de beveiliging en het integreren daarvan met de met de uiteenlopende cloudomgevingen voor een breed scala aan toepassingsscenario’s. Hun beproefde modulaire ontwerpen kunnen dienen als een basistemplate die kan worden aangepast aan de specifieke bedrijfsbehoeften. Veel leveranciers bieden gratis training aan en in sommige gevallen ook cloudadvies en professionele diensten om teams te helpen om sneller naar de cloud over te stappen.

Maak optimaal gebruik van de cloud

Naast het ondersteunen en in goede banen leiden van de overstap van andere teams naar de cloud kunnen security- en netwerkteams de cloud ook inzetten om hun eigen diensten aan te bieden. Als er nieuwe projecten in gang worden gezet of bestaande beveiligingsoplossingen aan vervanging toe zijn, kunnen zij die gelegenheid benutten om hun opties op dezelfde manier te evalueren als collega’s die verantwoordelijk zijn voor de aanschaf van applicaties.

• Moeten we het zelf ontwikkelen of afnemen als Security as a Service (SecaaS)?
• Als we het zelf ontwikkelen, moeten we dat dan op locatie of in de cloud doen?
• Als we het in de cloud ontwikkelen, voor welke cloud moeten we dan kiezen?
• Welke clouddiensten kunnen we gebruiken voor het automatiseren van het risicobeheer, de bescherming tegen cyberbedreigingen en de compliance?

De cloud biedt daarmee de kans om voor een transformatie te zorgen van de manier waarop security en connectiviteit worden aangeboden.

Richt een Cloud Center of Excellence op

Overstappen naar de cloud is geen sinecure. Het vraagt om de juiste vaardigheden en organisatorische structuur en om afstemming tussen de verschillende functies en teams. Het oprichten van een Cloud Center of Excellence (CCoE) is een best practice voor het faciliteren van deze transitie. Dit multidisciplinaire team kan voor een snellere overstap naar de cloud zorgen door het samenbrengen van vaardigheden die nodig zijn voor de standaardisatie en automatisering die nodig zijn voor een succesvolle inzet van de cloud. Let wel: we hebben het hier niet over het samenstellen van een statisch team van IT-experts, maar een dynamische groep van vertegenwoordigers van de IT-afdeling, financiële afdeling, inkoopafdeling en de business. Deze groep past zijn activiteiten aan de bedrijfsbehoeften aan om de clouddoelstellingen te realiseren en grip op de risico’s te houden.

Betrek de directie bij het proces

Een succesvolle cloudtransitie vraagt om nieuwe processen en structuren en aanzienlijke upskilling van het personeel. Het verkrijgen van draagvlak bij het management is eveneens van cruciaal belang. Het is dan wel belangrijk om te weten hoe je met directieleden moet omgaan en hun zakelijke taal te spreken. Het is zaak om de zakelijke waarde van cybersecurity en de nieuwe structuren duidelijk naar voren te brengen. Geef aan wat de voordelen zijn qua time-to-value, concurrentievoordeel, bedrijfswaardering, risicobeheer en compliance. Dit kan van onschatbare waarde zijn voor het transformeren van de rol van de beveiliging binnen de onderneming en om steun te krijgen voor strategische initiatieven. Een succesvolle overstap naar de cloud zal zorgen voor de snelheid, flexibiliteit en geavanceerde diensten die de organisatie klaarstomen voor digitaal succes. Voor security- en netwerkteams vertegenwoordigt dit een kans om zichzelf te positioneren als een pijler van zakelijk succes. 1 2021 Cloud Security Report

Vincent Zeebregts, country manager Nederland bij Fortinet