4 september 2015 13:09

Security in de cloud: een vak apart

[Partnerinfo] De cloud wordt steeds belangrijker in de ICT-infrastructuur van een bedrijf. Veiligheid is hierbij cruciaal.

Uit recente cijfers van Smart Business blijkt dat Belgische bedrijven, als het om security gaat, meer tijd en middelen investeren in security van de cloud. Ging vorig jaar 12 procent van het securitybudget naar de cloud, dan is dat vandaag 16 procent.

Deze gestage toename is geen verrassing. Maar de vele voordelen van de cloud brengt ook een paar aandachtspunten met zich mee. Grotere veiligheidsrisico’s, en hoe deze ook onderling binnen diverse cloudtypes verschillen, is daar één van, zo niet de belangrijkste.

Bescherming is prioriteit

Meer dan ooit is een goede kijk op security en business continuity cruciaal in een cloudomgeving. Anders bestaat er een reële kans dat de baten die bedrijven halen uit de cloud overschaduwd worden door de nadelen. Denk hierbij bijvoorbeeld aan onderbroken werkoperaties, data-inbreuken, het stelen van intellectueel eigendom, en schade aan merk(en): allemaal ernstige gebeurtenissen met een funeste invloed op het imago en de omzet van een bedrijf.

De bescherming van de cloud is dus een prioriteit, nog meer dan bij een traditioneel datacenter. Volgens onderzoeksorganisatie Stratecast hoeft men echter niet meteen radicaal nieuwe technieken toe te passen. “Toewerken naar dezelfde veiligheidsdoelstellingen als in klassieke omgevingen is het juiste pad om te volgen voor de cloud,” stelt Stratecast.

Gedeelde verantwoordelijkheid

Niet elke cloud is gelijk. Risico’s variëren tussen private, publieke en hybride cloudmodellen. Eén ding hebben ze wel gemeen op het vlak van veiligheid: de verantwoordelijkheid is gedeeld tussen het bedrijf en de cloud provider. Wat soms voor verwarring zorgt.

Bedrijven hebben ook vaak geen diepgaand zicht op de veiligheidsmaatregelen die de cloud provider neemt of heeft ingesteld. “De kracht van de bescherming van een cloud hangt voor een groot deel samen met de kracht van de veiligheidsoperaties en de administratie die de cloud provider onderneemt,” zegt Stratecast.

Hieronder een overzicht van de security verantwoordelijkheden in het cloud model, onderverdeeld voor Infrastructure as a Services (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS).

Zoals te vermoeden valt, is het vooral de publieke cloud die IT-verantwoordelijken voor de meeste problemen stelt als het gaat om security. Deze valt in het algemeen moelijker te beveiligen en is voor hackers een interessant en gemakkelijk(er) doelwit. Deze factoren spelen een rol:

Multi-tenancy of het feit dat verschillende gebruikers van dezelfde cloud service gebruikmaken op hetzelfde moment.
De mobiliteit van werklast betekent dat ook de beveiliging van data moet kunnen meereizen.
Alle gebruikers loggen remote in, en die aanmeldprocessen blijken niet altijd even secuur.

Een veilige cloud bouwen

In het verleden volgden evoluties in malware en cyberveiligheid elkaar op de voet. Zij zorgden ervoor dat innovaties van security in een continu tempo werden gedaan. De frequente ontwikkeling van nieuwe praktijken is daarin cruciaal geweest, en zo ook voor de cloud.

De kernconcepten van traditionele veiligheidsstrategieën zijn effectief. Zij kunnen naar de cloud aangepast worden, maar dan moeten ze geïmplementeerd worden met kennis van zaken en met de risico’s in het achterhoofd die verschillende types cloud met zich meebrengen.

Ook de kwaliteit van de gebruikte technologie is van groot belang. Kortom beveiliging in de cloud is een gedeelde verantwoordelijkheid. Maar met de nodige afspraken en aandachtspunten, komt u al een heel eind.

Wilt u meer weten over dit onderwerp, download dan de whitepaper Best practice Security in a Cloud-Enabled World.