Als cloudaanbieder zou je voor mogelijke inbrekers als standaard veiligheidsmaatregel waarschuwingen moeten aanbrengen op je systeem. Het komt vaak genoeg voor dat cloud security testers, met goede bedoelingen maar ongevraagd, zoeken naar kwetsbaarheden in je cloud.
Als je over straat loopt, ben je gewend om daar allerlei verschillende borden en displays tegen te komen die aangeven dat een bepaald terrein privébezit is en ongenode bezoekers niet zonder meer welkom zijn. Afhankelijk van wat voor activiteiten op een terrein worden uitgevoerd, kunnen er ook nog extra hekken zijn geplaatst om de bezoekers van het terrein te houden, samen met waarschuwingsborden dat het betreden strafbaar is en kan worden beboet.
Het is de bedoeling dat daarmee goedbedoelende burgers niet abusievelijk inbreuk maken op privé-eigendom. Personen die dan alsnog het terrein betreden, zullen die overtreding bewust doen.
In de huidige wereld van cloud-deployment is de situatie enigszins vergelijkbaar. Het is relatief eenvoudig om een cloud-omgeving op te zetten. Het is echter een relatief grote uitdaging om dat eigendom te beveiligen en ervoor te zorgen dat alleen legitieme bezoekers je cloud betreden en van de beschikbare diensten gebruik maken.
Cloud-technologie heeft de zaken getransformeerd en sinds de pandemie staat het nog meer in de schijnwerpers. Het platform stelt teams in staat op afstand efficiënt samen te werken tijdens de lockdownperiode. De cloud-technologie zal het IT-landschap nog jaren blijven bepalen.
Het beheer van een cloud-omgeving vereist een uitgekiende mix van vaardigheden wat betreft applicaties, code en automatisering. Omdat het relatief eenvoudig is om een cloud-omgeving in gebruik te nemen, groeit het aanbod van cloud-toepassingen in hoog tempo. Het nadeel is dat de vaardigheden wat betreft de beveiliging geen gelijke tred houden. Het beveiligen van een cloud-omgeving blijft een gespecialiseerde rol die training en ervaring vereist.
Er zijn verschillende soorten vaardigheden die vereist zijn voor de beveiliging van een cloud-omgeving. Die zijn bijvoorbeeld nodig voor de taken van een Cloud Security Manager, die verantwoordelijk is voor het aansturen; een Cloud Security Architect, die het ontwerp vormgeeft; een Cloud Security Engineer, die verantwoordelijk is voor het bouwen van beveiligingsmogelijkheden; een Cloud Security Analyst, die verantwoordelijk is voor het beschermen en het analyseren van problemen; en een DevOps Professional, die verantwoordelijk is voor het bouwen van toepassingen en systemen.
Standaard zijn er bij het verwerven van een cloud-omgeving slechts enkele basis beveiligingshekken aanwezig en wordt het aan de huurders overgelaten om hun eigen beveiliging te realiseren. Doordat er structureel te weinig wordt geïnvesteerd in de beveiliging van cloud-omgevingen, krijg je te maken met drie soorten bezoekers.
De eerste soort is de echte bezoeker die komt en gaat, en gebruikmaakt van de diensten van een cloud-omgeving. Die vormt nauwelijks een bedreiging voor de aanwezige cloud-beveiliging. De tweede soort is de bezoeker die geen kwade bedoelingen heeft, maar de beveiliging van een cloud test en, indien hij veiligheidsgaten ontdekt, zijn expertise aanbiedt om de beveiliging te verbeteren. Dit kunnen cloudsecuritytesters en -onderzoekers zijn. De derde groep zijn de kwaadwillende bezoekers die zoeken naar gaten in de beveiliging en deze zullen misbruiken als ze eenmaal hebben besloten dat een bedrijf interessant voor ze is.
In sommige opzichten kan de tweede groep bezoekers die de beveiliging van een cloud-omgeving test, net zo schadelijk zijn als de derde kwaadwillende groep bezoekers. Eigenaren van een cloud-omgeving moeten proactieve maatregelen nemen en waarschuwingen tonen om het opdringerige gedrag van cloudsecuritytesters te weren. Die kunnen namelijk onbedoeld schade aanrichten, vergelijkbaar met kwaadwillende bezoekers.
Niet alle eigenaren van een cloud-omgeving investeren voldoende in de beveiliging. Een cloudsecuritytester kan de beveiliging van een cloud kraken en zich toegang verschaffen tot gegevens van een organisatie. Door het verder blootstellen van de kwetsbaarheden van een organisatie aan de autoriteiten, om zo professionele diensten aan de cloud
-eigenaar aan te bieden, kan ongewild schade worden veroorzaakt doordat data in het publieke domein terechtkomen.
Door waarschuwingen te plaatsen om zo cloud-testers op de hoogte te brengen dat hun activiteiten ongewenst zijn en een strafbare inbreuk vormen, kan de organisatie de juiste wettelijke maatregelen treffen, ook met betrekking tot de compliance. Het is beter dat cloud-testers een organisatie vooraf benaderen en hun diensten als ethische hackers aanbieden, met duidelijk gedefinieerde regels voor alle betrokken partijen.
Frank Kim
Voor meer informatie over Cloud Security van Frank Kim en het Sans Insitute, ga naar www.sans.org/NL-cloud-security-training.
