Hoe kwetsbaar zijn we in de cloud? Enkele misvattingen over cloud security
De voordelen van digitale transformatie zijn duidelijk; organisaties zijn nu in staat sneller te innoveren, sneller apps en diensten te lanceren tegen een fractie van de kosten. Daarbij maken ze allemaal gebruik van de cloud. Focus ligt op functionaliteit van de aangeboden diensten: het moet snel gaan, het moet er mooi uitzien en goed werken. Er is minder aandacht voor de veiligheidsaspecten van de tool.
Voor de ontwikkelaars is security eigenlijk een blok aan het been. Alles moet in realtime, en een app mag geen onderbreking of vertraging door security-protocols ondervinden. Echte updates zijn niet meer nodig: developers lanceren gewoon een nieuwe versie van de app met één druk op de knop. En dat geeft frictie met de security-mensen die verwachten dat het protocol wordt gevolgd.
Is de cloud-omgeving altijd veilig?
Cloud providers hebben klanten ervan overtuigd dat de cloud veilig is. Maar klopt dat wel?
Nee, een cloud-omgeving wordt continu aangevallen. We zien ook steeds meer geavanceerdere en geautomatiseerde aanvallen, én nieuwe aanvallen met als doel toegang tot de data krijgen, of computerkracht ‘stelen’ voor bitcoin mining (waarbij de hackers de processorkracht bewust kunstmatig laag houden zodat het gebruik niet zichtbaar is).
We deden een test waarbij we cloud services gebruikten en nagingen of de gebruikte settings voldoende waren. We hebben hiervoor een server in de cloud-omgeving van een provider opgezet en deze aan het internet gekoppeld. Om nog beter te kunnen analyseren hebben we er nog een HoneyPot voor geplaatst. Na 15 minuten waren al 149 aanvallen gedetecteerd. Na een week telden we bijna 4 miljoen pogingen!
Gedeelde verantwoordelijkheid
Heel veel bedrijven hebben zo’n overeenkomst met cloud providers waarin staat dat hun datacenters zeer veilig zijn. Maar die cloud providers zijn niet voor alles verantwoordelijk. Cloud providers zijn verantwoordelijk voor de veiligheid van de cloud. De klant is verantwoordelijk voor de veiligheid in de cloud: hij moet ervoor zorgen dat zijn data beveiligd zijn en moet ervoor zorgen dat zijn apps veilig zijn. Het gaat dus om een shared responsibility model. Een verantwoordelijkheid die – zeker met het oog op de GDPR-regelgeving – zeer belangrijk is. De discussie over Shadow IT hebben we dan zelfs nog niet gehad.
Je bedrijf weg!
Vele nieuwe business zitten volledig in de cloud. Denk maar aan Uber, Netflix of andere business zoals reisplatformen die in een virtuele omgeving draaien. Je ziet nieuwe autonome aanvalsvectoren opduiken die zich een toegang tot de admin willen verschaffen. Want eenmaal ze die in handen hebben, kunnen ze het bedrijf eigenlijk overnemen. Stel dat als zaakvoerder je eigen wachtwoord weg is of je credentials zijn gestolen, heb je dan wel nog een bedrijf? Zo is er nog niet over nagedacht, maar het is een reëel gevaar.
Vier basisprincipes
Om dit allemaal te voorkomen geven we tot slot vier basisprincipes mee die je in acht moet houden om de cloud effectief te beveiligen.
- Vertrouw op een uitgebreide, gelaagde beveiliging die zowel de bekende als de onbekende malware (en zero-day attacks) kan detecteren.
- Het moet eenvoudig te implementeren en te bedienen zijn. Niet alleen door securityspecialisten maar ook door DevOps of deskmedewerkers. Dat kan door implementaties met één klik en door een doorgedreven automatisering van de tools.
- Dynamische security-aanpak: de cloud heeft een dynamisch karakter, dus moet de context – informatie over de infrastructuur, gebruikers, bedreigingen, … – gedeeld en geanalyseerd worden zodat men snel en automatisch wordt gewaarschuwd en de policy kan aanpassen aan eventuele wijzigingen in de cloudomgeving.
- Steeds meer bedrijven werken in een hybride omgeving. Bestaande vaste netwerken gecombineerd met meer dan één public cloud provider gaan de architectuur van morgen vormen. Het is dan absoluut noodzakelijk om het overzicht te bewaren. Zorg dat je “in the driver seat” zit. Werk daarom met een gecentraliseerd management om te controleren waar alle data en netwerken zich in de cloud bevinden. Werk met logboeken, rapportages en threat intelligence vanuit één enkele beheersconsole.