Veilig naar de public cloud, waar let je op?

Nog maar enkele jaren terug was de weerstand tegen de public cloud groot vanwege de vermeende onveiligheid. Inmiddels werken steeds meer organisaties volgens een cloud-first strategie. De cloud biedt nu eenmaal grote voordelen, en de datacenters waar de cloud in draait, zijn goed beveiligd. Maar de beveiliging van datacenters is maar een deel van de puzzel. Cloudleveranciers zijn namelijk niet verantwoordelijk voor hóe klanten de cloud gebruiken. Je kunt datacenters zo goed beveiligen als je wilt, maar als je je cloudomgeving niet veilig inricht, loop je alsnog grote risico’s. En daar ben je dan zelf aansprakelijk voor.

Hoe je security inricht is dus ook in de cloud van groot belang. Maar dit kun je niet benaderen met dezelfde methodes die voor on-premises goed werken. Dat is in (multi)cloudomgevingen niet genoeg meer.

On-premises vs. cloudsecurity

Cloudsecurity werkt heel anders dan het beveiligen van on-premises netwerken. Waar je met een klassiek netwerk een firewall rond je hele hebben en houden kon opwerpen, ligt met een public cloud-infrastructuur een deel van je organisatie buiten die muur. Security is daarmee niet meer een kwestie van iedereen buitenhouden; je moet nu juist iedereen toegang geven terwijl je tegelijkertijd ongewenste gasten buitenhoudt.

Toegangsbeveiliging is niet nieuw. Een van de oudste manieren om netwerken binnen te dringen is nog steeds door wachtwoorden te raden, of via social engineering te verkrijgen. Dit gaat ook op voor de public cloud, maar met een belangrijk verschil.

Voor on-premises netwerken draait beveiliging om personen. Aangezien het hele netwerk afgeschermd is, is het vooral belangrijk wie je toelaat tot het netwerk. Dat kun je stevig beveiligen met bijvoorbeeld multifactorauthenticatie (MFA); een extra stap die een hacker niet zomaar kan repliceren. Maar in de cloud zijn vooral externe processen een grote bedreiging, en daar kun je je niet tegen weren met MFA.

Gebruikerstoegang kan prima met MFA worden geregeld, maar voor procesautorisatie is een andere oplossing nodig. Het gebruik van API-sleutels is een veelgebruikte methode. Dit werkt uitstekend, maar API-sleutels kunnen niet met MFA worden beveiligd. Als zo’n sleutel in de verkeerde handen valt of niet op tijd wordt gedeactiveerd, ontstaan direct gaten in de beveiliging.

“Cloudsecurity werkt heel anders dan het beveiligen van on-premises netwerken.”

Gebrekkige inzet van beschikbare securitytools

Cloudsecurity kan bouwen op krachtige tools. Zo heeft Microsoft Azure het Security Center, AWS levert Security Hub, in Google Cloud is er het Cloud Security Command Center. Deze tools bouwen een extra muur om de gehele IT-omgeving, zowel bij on-premises als in de cloud(s). Vervolgens kan de gehele omgeving vanuit één plek worden gecontroleerd. Zo wordt verdacht gebruik van API-sleutels direct ontdekt. Deze en andere inzichten zijn extreem waardevol en maken heel wat oudere veiligheidsmaatregelen overbodig. Toch merken we dat ze vaak niet worden gebruikt. Er wordt dan vertrouwd op de oude, bekende securityoplossingen om de cloud te beveiligen. Dat is begrijpelijk, maar omdat cloudomgevingen complexer zijn dan on-premises netwerken, zijn deze oplossingen minder geschikt. Daarnaast is het vaak kostbaar en onnodig complex om deze oplossingen toe te passen in de cloud, wat zorgt voor efficiëntieproblemen en onvoorziene kwetsbaarheden.

De grootste uitdagingen in cloudsecurity

Bedrijven zijn zich vaak niet bewust van de nieuwe securityuitdagingen die de transitie naar de cloud (of het nu hybrid of zelfs multicloud is) met zich meebrengt. Compliance is zo’n uitdaging. Het is bijvoorbeeld bijzonder lastig om SOC 2-standaarden uit te breiden naar de cloud, laat staan naar een multicloudomgeving. Er zijn maar weinig bedrijven die dit kunnen – en Solvinity is een van de Managed Service Providers die dit wél kan.

Daarnaast worden zaken als hardening een stuk lastiger in de cloud. Continuous hardening is onderdeel van iedere fatsoenlijke securitystrategie, zodat er niet onbedoeld gaten vallen in de beveiliging. Nu is hardening al zeer lastig te implementeren in on-premises omgevingen. Maar het is nog veel lastiger om dit door te trekken naar een cloudomgeving.

De grootste uitdaging in deze cloudwereld is om de razendsnelle ontwikkelingen bij te benen. Dat is voor niet-specialisten nauwelijks te doen, omdat cloudsecurity zeer specifieke kennis vereist. Ervaren cloudsecurityspecialisten zijn lastig te vinden, en het bijscholen van eigen personeel is meestal geen optie.

De hulp van een externe specialist kan daarom ontzettend veel waarde toevoegen, wil je niet onnodig kwetsbaar zijn in een public cloud. Zo kun je vertrouwen op ervaren mensen die volledig gefocust zijn op het leveren van de meest efficiënte en effectieve cloudsecurity, ongeacht of je een private, public, hybrid of multicloudomgeving hebt!