Cloud niet per definitie veilig: hoe neem je de juiste security maatregelen?
Organisaties kiezen steeds vaker voor de cloud, onder andere om hun complexe IT-infrastructuur te vereenvoudigen. Daarbij gaan zij er regelmatig ten onrechte van uit dat de security goed geregeld is. Een datalek, diefstal of ransomware-aanval ligt echter onverminderd op de loer. Het is belangrijk dat je voor de migratie een goede cloudstrategie hebt waarbij de veiligheid van data en applicaties vanaf het begin wordt betrokken, zegt Bart van den Oetelaar, Teamlead Security Operations Center.
Dat veel bedrijven en instellingen te maken hebben met grote cyberaanvallen, is niemand ontgaan. Verhalen over miljoenen persoonsgegevens die op straat komen te liggen en ransomware-aanvallen bij zowel grote multinationals al bij het MKB, hebben security hoog op de agenda gezet. Terecht, want het was lang een ondergeschoven kindje en dat is het ten dele nog steeds, ook als het om security in de cloud gaat.
Niet per definitie veilig
Je moet ervan uitgaan dat je in de cloud niet per definitie veilig bent. In het cybersecurity-landschap hebben we te maken met snelle veranderingen. Iets wat vandaag als veilig wordt beschouwd, kan morgen nieuw ontdekte ernstige kwetsbaarheden bevatten. Een recent voorbeeld is de wereldwijd veel gebruikte Apache Log4j-software , een standaardonderdeel van ontelbare applicaties. Het werd jarenlang als volkomen onschuldig beschouwd totdat er ernstige kwetsbaarheden in werden ontdekt. Dit soort incidenten bewijst dat je veel tijd en aandacht moet spenderen aan het veilig maken én het veilig houden van alles wat je in de cloud doet.
Organisaties gaan ervan uit dat ze de security overdragen zodra ze een public cloudleverancier inschakelen. “Het staat bij Microsoft, Google of in de Amazon-cloud, dus het zal het wel veilig zijn.” Die aanname is goed te verklaren. De grote public cloudleveranciers bieden allerlei gestandaardiseerde diensten aan, bijvoorbeeld voor e-mail, authenticatie, databases en webapplicaties. Die standaardisering maakt de beveiliging een stuk eenvoudiger en de providers hebben voor die diensten vaak al veel geregeld op het gebied van security. Geen wonder dus dat een klant verwacht dat het veilig is en blijft. Echter, lang niet alles valt binnen zo’n standaardoplossing…
Specifieke omgeving
Wat we in de praktijk zien, is dat de meeste klanten vaak een IT-landschap hebben dat net iets afwijkt van zo’n one-size-fits-all-opzet. Er zijn eigenlijk altijd wel specifieke onderdelen in de infrastructuur of apps, bijvoorbeeld maatwerksoftware.
In de meeste gevallen is het juist deze maatwerksoftware die bedrijf kritisch is. De standaarddiensten van public cloudleveranciers sluiten vaak echter slecht aan op maatwerksoftware, waardoor de veiligheid van de software en de bijbehorende data gevaar loopt.
Om dit probleem op te lossen, is expertise nodig op het gebied van security, (infra)architectuur én softwareontwikkeling. Tal van zaken zijn belangrijk voor voldoende beveiliging van deze software. Denk aan encryptie, key- /secret management, behavioural analytics, auditlogging, monitoring en segmentatie. Het is van belang dat deze extra werkzaamheden worden afgerond tijdens de migratie naar de cloud.
Nu in plaats van later
In plaats van af te wachten wat de leverancier wel en niet doet, is het dan ook heel verstandig om vooraf een goede cloudarchitectuur op te stellen. In het ontwerpproces van de architectuur moet security altijd een prominente plek hebben . Als je security pas later in het proces in overweging neemt, wordt het steeds complexer om die aansluiting te vinden met de technieken die ervoor nodig zijn. Besluit je bijvoorbeeld in een later stadium nog om extra monitoring, een functionaliteit als multifactor-authenticatie of data in-transit encryption toe te voegen, dan is dat vaak veel complexer en kost het meer tijd en daarmee geld, dan wanneer je hier in het begin al rekening mee houdt.
Omgeving én applicatie
Bij security zijn twee aspecten cruciaal: beschermen en monitoren. Heb je een dienst afgenomen in de cloud, dan moet je nadat je die hebt afgeschermd ook gaan monitoren of er een security-issue ontstaat. Daarbij is het van belang om te kijken naar gedrag binnen de omgeving en binnen de applicatie: waar zit de data, hoe zou de applicatie misbruikt kunnen worden, hoe detecteer je potentieel misbruik? Naast deze threat analysis is het belangrijk om custom monitoring in te richten om de omgeving beter te monitoren en te beschermen. Hierbij worden processen als risicomanagement en technieken als threat modeling en behavioural analysis vaak gecombineerd met verschillende geavanceerde securitydiensten zoals Security Information & Event Management (SIEM) en geavanceerd Vulnerability Management. Alleen zo kun je goed grip hebben en houden op cybersecurity.
DigiD, ISO en NEN
Een veilige cloudomgeving is niet alleen noodzakelijk om cyberaanvallen af te wenden, het is vaak een vereiste om bepaalde andere belangrijke diensten te mogen gebruiken. Zo hebben veel van onze klanten voor hun dienstverlening bijvoorbeeld een DigiD-certificering nodig. Wil je die krijgen, dan wordt er echt getoetst of je de juiste beveiligingsmaatregelen en de juiste manier van monitoring hebt ingeregeld. Ook een ISAE 3402-verklaring en ISO 27001, 9000 en NEN-certificeringen worden steeds meer vereist voor de cloudomgeving en applicaties van bedrijven in de zorg.
Volledig Nederlandse cloud
En dan is er nog de bescherming van data, onder meer volgens de AVG. Dat kan zeker een uitdaging zijn , vooral wanneer de data naar een cloud gaat. Vaak hebben bedrijven wel een datacenter in Nederland of ergens dichtbij in Europa staan, maar doen ze alsnog zaken met een bedrijf in de Verenigde Staten, of vallen ze zelf onder die wet- en regelgeving. Hoe ga je daarmee om? Mag dat volgens de AVG?
Een private cloudoplossing die zich geheel op Nederlands grondgebied bevindt, onder regie van een volledig Nederlands bedrijf, is dan een mogelijke oplossing. Er zijn op het gebied van security bijna altijd wel aanvullende diensten nodig, zoals extra monitoring, geavanceerde firewalls of zelfs een volledig Security Operations Center. Ook hier spelen de genoemde eisen voor certificering weer een grote rol.
Er zijn IT-leveranciers, zoals Info Support, die een private cloudoplossing leveren. Onze private cloudoplossing is in Nederland gevestigd, heeft Nederlands eigenaarschap en beschikt over ISO9001,ISO20000, ISO27001 en NEN7510-certificeringen..