Voor de ins en outs over cloudbeveiliging spraken we met Frank Kim, technisch directeur bij SANS Cloud Security Curriculum.
SANS Cloud Security Curriculum
Wat zijn op dit moment de grootste bedreigingen voor cloudbeveiliging?
Volg het geld. Waar er waarde is, zullen aanvallers volgen. Of het nu gaat om gevoelige gegevens die makkelijk uitgebuit kunnen worden, intellectueel eigendom of bedrijfsinformatie die kan worden gestolen, het zit allemaal in de cloud.
De zakelijke drijfveren om over te stappen op de cloud zijn onmiskenbaar en de georganiseerde misdaad, corrupte overheden en concurrenten weten dat. Zij kunnen zich rechtstreeks richten op cloudsystemen en -infrastructuur van een bedrijf, of – wat vaker voorkomt – op de zwakste schakel in het personeel, of het nu gaat om kwaadwillende of nalatige insiders.
Wat zijn de meest voorkomende beveiligingsfouten die cloudgebruikers maken?
De cloud heeft schijnbaar eenvoudige beveiligingsproblemen groter gemaakt. Kijk maar naar de top drie beveiligingsissues:
- Beveiligingsmisconfiguraties – een technisch medewerker of systeembeheerder maakt een fout die resulteert in een beveiligingsfout in de configuratie. Die onveilige instelling kan resulteren in een hele map met gevoelige gegevens die per ongeluk op het internet wordt gedeeld en door iedereen kan worden gedownload.
- Onjuist identiteits- en toegangsbeheer – het kan nog subtieler zijn dan een eenvoudige misconfiguratie. Het lijkt eenvoudig in te stellen wie er wat mag doen in de cloud. Het is echter niet zo eenvoudig als het lijkt. Overlappende en verwarrende instellingen kunnen leiden tot te ruime toegangsinstellingen, waardoor insiders of iemand van buitenaf toegang kunnen krijgen tot systemen en gegevens die ze niet mogen hebben.
- Onvoldoende applicatiebeveiliging – cloudinfrastructuur is aantoonbaar veiliger dan veel traditionele on-site omgevingen. Het feit dat de cloudinfrastructuur veiliger is, betekent echter niet dat aanvallers het opgeven. Zij zullen zich richten op de zwakste schakel en dat zijn tegenwoordig vaak op maat gemaakte bedrijfsapplicaties. Controlemechanismen en praktijken voor applicatiebeveiliging zijn nu nog belangrijker in de cloud.
Wat zijn je tips voor het beveiligen van cloudomgevingen?
Het kan in eerste instantie overweldigend lijken, maar het is uiteindelijk minder complex dan gedacht om grip te krijgen op je cloudbeveiliging. Leer de diensten van je cloudprovider tot in detail kennen, zodat je ze op de juiste manier kunt gebruiken en beveiligen.
Dat betekent vaak meerdere providers, zoals AWS, Azure en GCP, omdat de meeste bedrijven veelal meer dan één provider gebruiken. Zorg voor de juiste monitoring en transparantie om afwijkende activiteiten te identificeren. Zorg ten slotte voor consistente controles en beheerprocessen.
Onthoud dat een fout makkelijk gemaakt is, en dat je moet verwachten dat fouten zich zullen voordoen. Door automatisering consistent door te voeren en beveiliging in te bedden in je bedrijfs- en technische processen, kun je ervoor zorgen dat die processen vanaf het begin juist worden opgebouwd.
Is cloudbeveiliging een gedeelde verantwoordelijkheid?
Ja en nee. Alle grote cloudaanbieders omarmen een zogenaamd ‘shared responsibility’ model. De cloudaanbieders nemen een significant deel voor hun rekening, zoals de fysieke beveiliging en de beveiliging van de cloudinfrastructuur.
Het is echter aan het bedrijf – de gebruiker van de cloud – om veilige systemen en toepassingen te bouwen en te implementeren. Vergeet niet dat als er een inbreuk plaatsvindt, jij degene bent die in het nieuws komt en uiteindelijk verantwoordelijk bent tegenover je klanten.