Tien jaar geleden waren de meeste beveiligingsanalisten er vrij zeker van dat we snel in staat zouden zijn om zakelijke cloudomgevingen te beveiligen. We hadden het gedeeltelijk bij het rechte eind – de 3 belangrijkste beveiligingsbedreigingen voor de cloud van nu zijn veel minder zorgwekkend dan ze al die jaren geleden waren.
Maar terwijl wij hard werkten aan de beveiliging van de cloud, was er nog iets anders aan de hand. Ook het aantal, de complexiteit en de verfijning van cloudinfrastructuren nam toe. Dit betekent dat in 2020, volgens het 2020 State of the Cloud Report van Flexera, 93% van de bedrijven een multi-cloudstrategie heeft – een stijging ten opzichte van 81% twee jaar geleden.
Helaas voor cybersecurity engineers zijn multi-cloudomgevingen niet alleen moeilijker te beveiligen dan cloudsystemen, ze zijn zelfs exponentieel veel moeilijker te beveiligen. In dit artikel bekijken we waarom dat zo is en wat we eraan kunnen doen.
De opkomst van multi-cloud
Achteraf gezien zou de opkomst van multi-cloudinfrastructuren wel eens even problematisch kunnen blijken als onvermijdelijk. CISO's zijn al sinds de opkomst van cloudsystemen op de hoogte van het belang van cloudbeveiliging, maar door gebrek aan tijd en middelen is het in de praktijk een beetje moeilijker te beheren.
In veel organisaties weten IT-managers meestal niet hoeveel clouds er in gebruik zijn, laat staan hoe ze die moeten beveiligen. In uw gemiddelde onderneming is er normaal gesproken een grote, vrij gecentraliseerde cloud, die intern wordt beheerd. Daarnaast zijn er waarschijnlijk een aantal bijkomende clouds, elk met betrekking tot een stukje software – één voor productiviteitssoftware op kantoor, één voor het archiveren van gesprekken op communicatieclients, enz.
Tot overmaat van ramp zijn veel van deze clouds ongevoelig voor toezicht vanuit de organisatie zelf. In antwoord op de bezorgdheid over de veiligheid van het web zijn sommige bedrijven bijvoorbeeld overgeschakeld naar privé-browsers. De meeste daarvan staan gebruikers echter toe om gegevens op te slaan in eigen, versleutelde clouds die ontworpen zijn om ontoegankelijk te zijn voor IT-beheerders. Dat is een probleem.
Exponentiële complexiteit
En daar blijft het niet bij. Volgens het SaaS Trends-rapport van 2020 van technologieleverancier Blissfully bestaat de gemiddelde IT-infrastructuur tegenwoordig niet alleen uit meerdere clouds, maar ook uit gemiddeld 288 verschillende SaaS-producten (Software-as-a-Service).
Al deze SaaS-tools hebben verschillende beveiligingseisen en elke tool werkt op complexe manieren samen met de bestaande cloudinfrastructuur. Apps de nodige toegang geven tot cloudopslag binnen de onderneming is op zich al een hele opgave, en heeft ertoe geleid dat veel beheerders hun cloudbeveiliging opener hebben gelaten dan anders het geval zou zijn, om het soort problemen met cloudincompatibiliteit te vermijden die zeer gebruikelijk zijn in B2B-omgevingen.
Op een fundamenteler niveau vormt elk van deze SaaS-oplossingen een potentiële bedreiging, omdat (bijna per definitie) elke SaaS-toepassing niet alleen gegevens moet uitwisselen met een cloud die door de provider wordt gehost, maar ook met een cloud binnen de onderneming waarin de toepassing wordt gebruikt.
Deze aaneensluitende reeks clouds, beveiligingseisen en soms onverenigbare beleidsregels hebben geleid tot een enorme complexiteit, en uiteindelijk is het deze complexiteit die de echte vijand van cloudbeveiliging is. Volgens de Hosting Tribunal heeft een onderzoek van LogicMonitor en IDC uitgewezen dat meer dan 60% van de bedrijven zich zorgen maakt over privacy- en regelgevingskwesties, samen met governance en compliance van cloudservices.
Het beveiligen van multi-cloudomgevingen
Deze complexiteit maakt het recept voor cloudbeveiliging afhankelijk van de precieze aard van de cloud en de apps die binnen uw specifieke organisatie worden gebruikt. Er zijn echter een aantal principes die kunnen worden toegepast om een betere beveiliging van multi-clouds te waarborgen.
1. Ga eerst en vooral terug naar de basis en erken dat het doel van uw clouds uiteindelijk is om gegevens op te slaan voor applicaties. Door dit zo te zeggen, herkennen we meteen een belangrijk feit dat we misschien vergeten zijn te midden van de complexiteit van multi-cloudomgevingen: dat applicatiebeveiliging nog steeds de belangrijkste factor is in cyberbeveiliging. Door uw applicaties te vergrendelen en te zorgen voor de juiste authenticatie voor cloudsystemen, kunt u de kans dat u wordt gehackt tot een minimum beperken.
2. Ten tweede loont het de moeite om te kijken naar opkomende oplossingen die u kunnen helpen ongeoorloofde toegang tot uw clouds te voorkomen. Cloud Access Security Brokers (CASB's) zijn bijvoorbeeld stukjes software die u tussen uw organisatie en cloud service providers kunt plaatsen om beveiligingsmaatregelen te consolideren en af te dwingen, zoals authenticatie, credential mapping, apparaatprofielen, encryptie en malwaredetectie.
3. Ten derde moet u ervoor zorgen dat beveiliging is ingebouwd in elke extra cloud die u aan uw systemen toevoegt. Dat is misschien een schrale troost voor beheerders die al met meerdere clouds worstelen, toegevoegd door beveiligingsengineers die hun organisatie al lang hebben verlaten, maar er is geen tijd zoals het heden: zorg ervoor dat elke nieuwe cloud die u toevoegt alleen toegankelijk is voor de applicaties (en gebruikers) die echt toegang nodig hebben, in plaats van deze open te laten om compatibiliteitsproblemen te voorkomen.
Het is bovenal van cruciaal belang dat cyberbeveiligingsanalisten een goed zicht houden op de clouds die daadwerkelijk in hun organisatie worden gebruikt. Elke opslagplaats moet in kaart worden gebracht en verantwoord worden. Anders stelt u zich bloot aan aanvallen.
De toekomst
Ondanks de huidige problemen bij het beveiligen van multi-cloudomgevingen, zijn er tal van voordelen verbonden aan het verplaatsen van uw bedrijfsactiviteiten naar de cloud. De meeste cloudoplossingen zijn gebruiksvriendelijk, waardoor het eenvoudiger wordt om samen te werken met teamgenoten op afstand en waardoor de flexibiliteit en mobiliteit toenemen.
Ook op het gebied van beveiliging zijn er tekenen van hoop. Meer CISO's en hun teams werken nauw samen met ontwikkelaars en andere belanghebbenden, en dat doen ze in een vroeger stadium van projectcycli, om ervoor te zorgen dat vanaf het begin rekening wordt gehouden met beveiliging. Na verloop van tijd zal dit betekenen dat er meer clouds worden gebouwd met ingebouwde beveiliging, en dat multi-cloudomgevingen inherent veiliger zijn.
Opmerking: Dit blogartikel is geschreven door een gastauteur met als doel om onze lezers een gevarieerder aanbod te geven. De standpunten die in dit artikel van de auteur worden uiteengezet, zijn uitsluitend die van de auteur en zijn niet noodzakelijk een afspiegeling van die van GlobalSign.
Ontdek hoe u het leven van uw IT- en beveiligingsteams kunt vereenvoudigen door hen ingewikkelde PKI-taken en -beheer uit handen te nemen. Neem vandaag nog contact op met een van onze GlobalSign-experts.