Wat is cloudcomputing-beveiliging?
- IAM-woordenlijst
- Wat is cloudcomputing-beveiliging?
Cloudcomputing-beveiliging, ook wel cloudbeveiliging genoemd, is een parapluterm die verwijst naar de technologieën, processen en controles die worden gebruikt om cloudinfrastructuren, services en apps te beschermen, evenals gegevens die worden opgeslagen of verwerkt in de cloud.
Wat is cloudcomputing?
Voordat we in de details van cloudbeveiliging duiken, moeten we eerst begrijpen wat cloudcomputing is.
In een traditionele gegevensomgeving is een organisatie eigenaar van de back-end-hardware en andere infrastructuur en bedient deze ook, hetzij op locatie of in een datacentrum (de laatstgenoemde staat bekend als een 'privécloud'). Dit betekent dat de organisatie verantwoordelijk is voor de configuratie, het onderhoud en de beveiliging van alles, inclusief servers en andere hardware.
In een cloudcomputing-omgeving 'huurt' een organisatie in feite cloudinfrastructuur van een cloudservices-provider. De cloudservices-provider is eigenaar en beheerder van het datacenter, alle servers en andere hardware, en alle onderliggende infrastructuur, zoals kabels op de zeebodem. De organisatie hoeft hierbij dus niet de cloudinfrastructuur te onderhouden en beveiligen, en biedt ook veel andere voordelen, zoals de eenvoudige schaalbaarheid en prijsmodellen waarbij wordt betaald naar gebruik.
Niet alle cloudcomputingservices zijn gelijk. Er zijn drie primaire soorten, en moderne organisaties gebruiken ze vaak allemaal in combinatie:
Software-as-a-Service (SaaS) is het meestvoorkomende type cloudservice. Vrijwel iedereen gebruikt SaaS-apps, zelfs al zijn ze zich daar niet bewust van. A SaaS-product dat via internet wordt geleverd en gebruikt via een mobiele app, een desktop-app of een browser. SaaS-apps omvatten alles, van consumenten-apps zoals Gmail en Netflix, tot zakelijke oplossingen zoals Salesforce en de Google Workspace-officesuite.
Infrastructure-as-a-service (IaaS) is een cloudservice die zich primair richt op organisaties, hoewel sommige technologie-enthousiastelingen ook een IaaS-service voor persoonlijk gebruik aanschaffen. De cloudservices-provider levert infrastructuurservices, zoals servers, opslag, netwerken en virtualisatie, terwijl de consument het besturingssysteem en data, apps, middleware en runtimes afhandelt. Wanneer mensen het hebben over een 'openbare cloud', hebben ze het meestal over IaaS. Voorbeelden van openbare cloudservers zijn de grote drie in de branche: Amazon Web Services (AWS), Google Cloud Platform (GCP) en Microsoft Entra ID (Azure).
Platform-as-a-service (PaaS)-oplossingen richten zich voornamelijk op ontwikkelaars. De klant zorgt voor de apps en data, en de cloudprovider voor al het andere, waaronder het besturingssysteem, middleware en runtime. Met andere woorden: PaaS-oplossingen bieden ontwikkelaars een out-of-the-box-omgeving waarin ze apps kunnen bouwen, inzetten en beheren zonder zich zorgen te hoeven maken over het updaten van het besturingssysteem of de software. PaaS-voorbeelden zijn AWS Elastic Beanstalk, Heroku en Google App Engine. Over het algemeen wordt PaaS samen met IaaS gebruikt. Een bedrijf kan bijvoorbeeld AWS gebruiken voor hosting en AWS Elastic Beanstalk voor het ontwikkelen van apps.
Begrijpen waar de cloudprovider verantwoordelijk voor is en waar de cloudklant verantwoordelijk voor is, is cruciaal om cloudbeveiliging te begrijpen.
Wat is cloudbeveiliging?
Cloudbeveiliging is gebaseerd op het model van gedeelde verantwoordelijkheid. In dit model:
- De cloudprovider is verantwoordelijk voor de beveiliging van de cloud, dat wil zeggen het fysieke datacenter, andere middelen zoals kabels op de bodem van de zee en logistieke cloudinftrastructuur.
- Uw organisatie is verantwoordelijk voor beveiliging in de cloud, dat wil zeggen de apps, systemen en gegevens die u in de cloud plaatst.
U kunt het vergelijken met een opslagplek die u huurt. U bent verantwoordelijk voor de spullen in de unit, wat betekent dat u de deur van de unit moet sluiten en de sleutel veilig moet opbergen. Het bedrijf dat de opslagunits verhuurt is verantwoordelijk voor de beveiliging van het hele complex via controles zoals een poort via een omheind terrein, camera's, adequate verlichting in gemeenschappelijke ruimtes en bewakers. De verhuurder is verantwoordelijk voor de beveiliging van het opslagcentrum, u bent verantwoordelijk voor de beveiliging van uw eigen unit.
Hoe werkt cloudbeveiliging?
Of we het hebben over een SaaS-app, een IaaS-installatie (openbare cloud) of een PaaS-ontwikkelaarsplatform: cloudbeveiliging is sterk gebaseerd op Identity and Access Management (IAM) en Data Loss Prevention (DLP); met andere woorden, voorkomen dat onbevoegde partijen toegang krijgen tot uw cloudservice... en uw gegevens.
Als we even voortborduren op ons opslagvoorbeeld: als u de sleutel van uw unit onbeheerd achterlaat en iemand die steelt en gebruikt om toegang te krijgen tot uw unit, hebben de beveiligingsmaatregelen van de verhuurder van de unit niet gefaald, maar die van u zelf. Als u een zwak, makkelijk te raden wachtwoord kiest om uw Gmail-account of GCP-beheerdersconsole te beveiligen en een cybercrimineel die compromitteert, was het een fout in uw beveiliging, niet die van Google.
Naast het voorkomen van onbevoegde toegang en gegevensroof, wil cloudbeveiliging ook incidenteel gegevensverlies of of beschadiging via menselijke fouten of nalatigheid voorkome, en ervoor zorgen dat als er gegevensverlies optreedt, deze ook weer hersteld wordt. Dit alles in naleving van privacywetten zoals HIPAA, wat onbevoegde toegang tot particuliere medische dossiers verbiedt. Cloudbeveiliging is fundamenteel voor reacties op beveiligingsincidenten, rampenherstel en planning voor bedrijfscontinuïteit.
Tot de veelvoorkomende cloudbeveiligingsmaatregelen behoren:
- IAM-controles zoals Role-Based Access Control (RBAC) en toegang met minimale privileges, wat betekent dat werknemers toegang hebben tot uitsluitend de apps en gegevens die ze nodig hebben om hun werk te doen, niets meer
- DLP-tools die vertrouwelijke gegevens identificeren, classificeren, het gebruik ervan monitoren en misbruik van gegevens voorkomen, zoals voorkomen dat eindgebruikers vertrouwelijke informatie buiten de bedrijfsnetwerken delen
- Versleuteling van gegevens, zowel in ruste als onderweg
- Veilige systeemconfiguratie en onderhoud
Kleven er risico's aan cloudbeveiliging?
Hier zijn een aantal van de grootste uitdagingen en risico's gekoppeld aan cloudbeveiliging.
- De cloud creëert een sterk uitgebreid aanvalsoppervlak zonder netwerkperimeter. Een van de grootste fouten die organisaties maken als ze naar de cloud migreren, is denken dat ze heel eenvoudig al hun huidige beveiligingstools en beleidsregels kunnen overzetten. Hoewel veel aspecten van cloudbeveiliging evenknieën zijn van hun tegenhangers on-premise, verloopt het beveiligen van een cloudomgeving toch heel anders dan het beveiligen van hardware on-prem, omdat de cloud geen afgebakende netwerkperimeter heeft.
- Er kan een gebrek aan zichtbaarheid zijn in de cloud, helemaal in de zeer complexe data-omgevingen van vandaag de dag. Er zijn vrijwel geen organisaties die maar van 1 openbare cloud gebruikmaken. De meeste organisaties gebruiken minimaal 2 openbare clouds, (wat een multi-cloud-omgeving) wordt genoemd of combineren openbare clouds met on-premise infrastructuur (wat een hybride cloudomgeving wordt genoemd). Helaas komt elke cloudomgeving met eigen monitoringtools, waardoor het moeilijk wordt voor IT-beheerders en DevOps-personeel om het grotere geheel in de gaten te houden in de data-omgeving.
- Workload-sprawl is een ander probleem met zichtbaarheid, zelfs voor organisaties die maar 1 openbare cloud gebruiken. Virtual Machines (VM's) en containers zijn makkelijk om te vermenigvuldigen. Ongebruikte VM's en containers vormen een probleem voor de beveiliging, om nog maar te zwijgen over een hoge factuur voor cloudservices.
- Schaduw-IT, of werknemers die apps gebruiken die niet zijn goedgekeurd door beveiligingspersoneel, zijn een ander probleem in de cloud.
- Bedrijven kunnen compatibiliteitsproblemen ondervinden met oude systemen en software, vooral oude Line-of-Business (LOB)-apps die niet vervangen kunnen worden of opnieuw ingesteld in de cloud.
- Misconfiguraties van de cloud veroorzaken ook problemen, zoals het onbedoeld instellen van een cloudmap zodat die zichtbaar is terwijl er vertrouwelijke gegevens in aanwezig zijn.
Best practices cloudbeveiliging
Zorg dat u het gedeelde verantwoordelijkheidsmodel heel goed begrijpt en waar uw organisatie wel en niet verantwoordelijk voor is op het gebied van beveiliging. Dit klinkt misschien logisch, maar uitzoeken wie voor wat verantwoordelijk is kan lastig zijn, vooral in hybride omgevingen.
Een van de voordelen van cloudcomputing is dat bronnen vanaf elke plek en elk apparaat toegankelijk zijn. Maar vanuit een beveiligingsperspectief betekent dat dat er meer eindpunten beveiligd moeten worden. Eindpuntbeveiliging en mobiel apparaat-beheertools stellen u in staat om toegangsbeleidsregels af te dwingen en toegangsverificatieoplossingen in te zetten, evenals firewalls, antivirusprogramma's, schijfversleuteling en andere beveiligingsmiddelen. Tot de andere best practices voor cloudcomputing behoren:
- Versleutel alle gegevens die u opslaat of verwerkt in de cloud, zowel onderweg als in ruste
- Scan uw omgeving op zwakke plekken, en verhelp alles wat u vindt zo snel mogelijk.
- Maak regelmatig back-ups in geval van een ransomware-aanval of een ramp.
- Log en monitor alle gebruikers- en netwerkactiviteit via uw data-omgeving.
- Configureer al uw cloudinstellingen heel zorgvuldig. Een goede vuistregel is dat u uw instellingen zelden standaard wilt laten zijn. Profiteer optimaal van de beveiligingsinstellingen en -tools van uw cloudprovider, en zorg dat u de nieuwe tools en verbeteringen bijhoudt.
- Implementeer een zero-trust beveiligingsbeleid, compleet met netwerksegmentatie en sterke Identity and Access Management (IAM)-tools en controles, waaronder op rollen gebaseerde toegang, toegang met minimale privileges, sterke wachtwoorden, apparaatgoedkeuring en multi-factor-authenticatie (MFA).