Cloud en security moeten hand in hand in 2019

Darron

Darron Gibbard is CTSO bij Qualys

Volgens Goldman Sachs gaan we tot 2021 ieder jaar 20 procent meer besteden aan cloudtechnologie. De wereldwijde markt groeit naar 116 miljard dollar per jaar. Het merendeel van dit bedrag gaat naar de grote public-cloudproviders als Amazon Web Services, Microsoft, Google en Alibaba. Dit jaar gaat er in deze markt ongeveer 47 miljard dollar om.

De toenemende belangstelling voor de cloud heeft de nodige consequenties voor de mensen die in de IT actief zijn. Zo kan de CIO de performance van IT-diensten verbeteren en sneller inspelen op trends. Tegelijkertijd wil de CISO zorgen voor optimale veiligheid van interne en externe systemen. De cloud is de toekomst en de vraag is hoe cloudimplementaties eenvoudiger veiliger te maken zijn.

Google Cloud Next

In 2018 hielden de drie grote westerse public-cloudproviders – Amazon, Microsoft en Google – grote conferenties waar security een belangrijk thema was. Tijdens Google Cloud Next in Londen schetste de toenmalige CEO Diane Greene hoe Google eigen technologie toevoegt aan zijn hardware om deze veiliger te maken. Ook zijn er maatregelen om te voorkomen dat workloads worden verplaatst door ongeautoriseerde medewerkers.

Ignite

Tijdens Ignite gaf CEO Satya Nadella aan hoe Microsoft de operationele security heeft ingericht op basis van 6,5 biljoen datapunten die iedere dag worden verwerkt. Hij lichtte ook toe hoe Microsoft investeert in artificial intelligence en automation om in te spelen op het groeiende aantal aanvallen op IT-omgevingen.

AWS Re:Invent

En tijdens AWS Re:Invent gaf het AWS-team een overzicht van hun beveiligingsmaatregelen, variërend van nieuwe serverless en op containers gerichte technologie zoals Firecracker tot aan bredere middelen, waaronder implementatie van centrale security-hubs en integratie met oplossingen van derde partijen. Al deze aankondigingen onderstrepen hoe deze cloudproviders hard bezig zijn met security.

Cloud- en securitystrategie gaan hand in hand

Met deze sterke focus op cloud en security laat zich de vraag stellen hoe een en ander zich ontwikkelt in 2019. Er zijn in dat verband vijf thema’s om naar te kijken: accuratesse, inzicht, schaalbaarheid, directheid en orkestratie.

Voor bedrijven die hun infrastructuur meer en meer naar de cloud brengen, is de belangrijkste driver meer flexibiliteit. Public-cloudservices en hybrid-cloudmodellen kunnen die flexibiliteit, directheid en schaalbaarheid bieden. Voor accuratesse en inzicht is echter meer nodig. Het is om te beginnen nodig te definiëren wat beide in het kader van cloudinzet in de praktijk betekenen. Inzicht draait om het creëren van een totaalbeeld van alle IT-infrastructuurelementen in de cloud, ongeacht of ze van on-premise naar de cloud zijn gebracht of in de cloud gecreëerd. Accuratesse draait om het up-to-date houden van al die elementen. Dat vereist inzicht in interne en externe platforms en in de diverse manieren van applicatie-inzet.

Platforms veranderen continu

Naast het gebruik van op en af te schalen cloudinstances kan een ontwikkelaar ook kiezen voor het draaien van applicaties in softwarecontainers of op serverless computingplatforms zoals AWS Lambda. Traditionele IT-management- en security-tools kunnen deze nieuwe platforms niet goed volgen. Daardoor kan een CIO of CISO niet zien welke assets op een bepaald moment actief zijn. Als we dit koppelen aan het direct opspinnen of stoppen van een container om te voldoen aan schaalbaarheidseisen, is duidelijk dat IT-omgevingen elke minuut kunnen veranderen. Dat betekent dat elke security-scan een tijdelijk karakter heeft.

Daarom is het van belang dat security-teams al bij het plannen van een cloudmigratie rekening houden met de eis van continu inzicht. Want hier geldt het oude adagium ‘Je kunt het onbekende niet beveiligen’ meer dan ooit.

Volledig inzicht in alle assets

Tegelijkertijd is het nodig om de lijst van actieve assets in een infrastructuur honderd procent up-to-date te houden met het oog op compliancy. Als je geen compleet beeld hebt van alle platforms en het niet mogelijk is om security-policy’s over alle platforms te orkestreren, zal het voor de CISO heel lastig zijn om een overall security-strategie te implementeren. Transparante orkestratie over alle platforms heen en op de juiste manier uitgevoerd maakt security-beheer een stuk gemakkelijker, zeker als het aantal platforms dat een organisatie gebruikt, groeit.

Ook in 2018 groeide het cloudgebruik. Organisaties willen digitaal transformeren en de cloud maakt dat mogelijk. Voor CIO’s en CISO’s betekent dit echter ook dat ze er gezamenlijk voor moeten zorgen dat ze security inbouwen in hun plannen. Wie zijn kaarten zet op de cloud, moet dat veilig doen. Dan is volop te profiteren van digitale transformatie.