Multi-Cloud Security: maak je cloudreis net wat minder spannend!

Cloud computing bestaat tientallen jaren en is een commercieel fenomeen. Cloud is integraal onderdeel van de bedrijfsstrategie. Onderzoeksbureau Gartner voorspelt dat in 2025 85% van de bedrijven een cloud-first principe zal omarmen en schat dat meer dan 95% van de nieuwe digitale workloads op cloud-native platforms geïmplementeerd wordt tegen slechts 30% in 2021.

Wanneer organisaties aan hun cloudreis beginnen, kunnen ze starten met een privécloud of een enkel public cloud platform. Naarmate cloud breder wordt ingezet, realiseren ze zich dat zij meer cloudleveranciers nodig hebben en beginnen ze hun reis naar een multi-cloudmodel. In het recente onderzoek van de Cloud Security Alliance (CSA), Cloud Security and Technology Maturity Survey, gaf 61% van de ondervraagde organisaties aan dat ze óf een hybride cloudmodel (36%) óf een combinatie van hybride en multicloud (25%) gebruiken.

Organisaties hebben belangrijke redenen voor het adopteren van multi-cloud. Zij willen:

• gebruikmaken van de best-in-class functies van verschillende Cloud Service Providers (CSP) (29%)
• een vendor lock-in voorkomen (21%)
• het risico op cloudconcentratie verlagen(16%)

Om van de voordelen te kunnen profiteren, moet eerst aan een aantal voorwaarden worden voldaan.

Verkeerde configuraties en beveiligingsinstellingen

51% van de respondenten is van mening dat de belangrijkste pijnpunten een verkeerde configuratie van de cloud en onjuiste beveiligingsinstellingen zijn. Het is dan ook absoluut noodzakelijk om de configuraties in de cloud goed onder controle te hebben en zo beveiliging te waarborgen. Dat kan op meerdere manieren:

• Creëer regels, standaarden en een security baseline voor de cloud: Bepaal beleid en standaarden specifiek voor cloudomgevingen, voordat u aan de reis naar de cloud begint. Stel basisconfiguraties voor beveiliging vast voor elk cloudplatform dat de organisatie wil gaan gebruiken. Zorg ervoor dat deze basisconfiguraties via een geautomatiseerd proces geforceerd kunnen worden. Zo wordt handmatige tussenkomst en dus risico verminderd.
• Zorg voor een transparante cloudstructuur: Wanneer de organisatie bestaat uit een mix van hybride en multi-cloudmodellen, is het lastig een uniform beeld te krijgen van de hele infrastructuur, inclusief on-premise en cloud. Meerdere aanbieders maken deel uit van uw infrastructuur en hebben verantwoordelijkheden. Zorg dat u weet waarvoor uw organisatie verantwoordelijk is. Gebruik de juiste tooling om de juiste mate van transparantie in uw multi-cloudstructuur te realiseren.
• Implementeer geautomatiseerde tooling om verkeerde configuraties te ontdekken en automatisch te herstellen via Cloud Security Posture Management (CSPM). Automatisering is hier van cruciaal belang, aangezien mensenwerk foutgevoelig en niet schaalbaar is.
• Zorg voor een beveiligde CI/CD Pipeline: Automatisering is een must als het gaat om cloudimplementaties. Niet alleen omdat het makkelijk is, maar ook om beveiliging al meteen in de ‘build-fase’ mee te nemen. Applicatieteams mogen geen directe toegang hebben tot cloudassets om implementaties uit te voeren. In plaats daarvan moet alles uit de beveiligde CI/CD pipeline komen. Alles wat hierin terechtkomt, moet vanuit beveiligingsoogpunt worden gescand voordat het in productie wordt genomen.

In alle omgevingen identiteiten overbruggen

Het opzetten van een Identity and Access Management-oplossing voor on-premise assets is niet eenvoudig, maar voor hybride en multi-cloud IAM-configuraties is het nog lastiger. Vanuit het oogpunt van governance en toegangsbeleid is het hebben van één enkel Identity Access Management-platform met alle identiteiten van alle cloudplatforms ideaal. Volgens de CSA-studie zijn de meest gebruikelijke methoden voor het beheren van identiteiten in multi-cloudomgevingen de volgende:

• Single Sign-on en federatie (81%)
• Legacy-oplossingen (60%)
• Centraal beheerde identiteiten (56%)

Er bestaan al nieuwe methodes, zoals Adaptive Access Management, beheer van rechten van betrokkenen op het gebied van privacy en Dynamic User Recertification, maar deze staan nog in de kinderschoenen.

Alle systemen, inclusief cloudservices, hebben zogenaamde geprivilegieerde accounts nodig. Denk hierbij aan beheerdersaccounts die worden gebruikt door cloudengineers, of aan mensen die toegang hebben tot DevOps-pipelines. Voor dit soort accounts moeten organisaties de toegang goed kunnen regelen. Deze accounts moeten worden afgeschermd en wachtwoorden moeten met vaste tussenpozen worden gewijzigd zodat ze goed beveiligd zijn. Bovendien vereisen deze accounts, net als alle andere accounts, het gebruik van Multi-Factor Authentication (MFA), waardoor de organisatie als geheel beter wordt beveiligd.

Het databeheer over meerdere platforms is een helse klus in een multi-cloudomgeving. Governance is een must. Organisaties moeten een raamwerk hebben dat informatie classificeert in overeenstemming met zakelijke behoeften en de gevoeligheid van de informatie.

Elke Cloud Service Provider heeft aanbiedingen op dit gebied

Als de organisatie haar cloudgebruik uitbreidt, is het raadzaam om Cloud Access Security Brokers (CASB) te implementeren voor het afdwingen van beleid rond gegevensbeveiliging, compliance en het geautomatiseerd beheren van toegestane services. CASB's zijn over het algemeen on-premise en als Security as a Service beschikbaar. Organisaties blijven overschakelen naar een multi-cloudmodel, waardoor het cruciaal is om gebruik te maken van datasecurity-oplossingen die hun gegevens beschermen – onafhankelijk van de cloudserviceprovider. Het model van gegevensbescherming blijft dan consistent, maar kosten en complexiteit van opnieuw ontwerpen en implementeren van specifieke tooling worden lager.

Een reis naar de cloud maken is spannend. Het cloudmodel levert financiële besparingen op in de vorm van schaalvoordelen, maar de snelheid waarmee het innovatie mogelijk maakt, is misschien wel interessanter. Met multi-cloudmodellen kan nog veel meer. Dit is allemaal leuk en aardig, maar er is slechts een stukje slechte code of een verkeerde configuratie nodig om dit in een nachtmerrie te veranderen, die een organisatie miljoenen kan kosten. Vergeet nooit dat het in de cloud draait om gedeelde beveiliging! Organisaties moeten multi-cloudbeveiliging serieus nemen en zichzelf beschermen, terwijl ze tegelijkertijd de vruchten plukken van de voordelen van het cloudtijdperk!

Meer informatie

Lees het onderzoeksrapport van CSA 'Cloud Security and Technology Maturity Evolution'. Het rapport wordt gesponsord door CyberRes, een bedrijfsonderdeel van Micro Focus, in samenwerking met het Cloud Security Alliance (CSA).

Door: Rob Aragao, Chief Security Strategist, CyberRes Micro Focus