Beveiliging van de publieke cloud vraagt om aanpak op meerdere niveaus

Wim van Campen 3

Zou u uw huissleutels aan een onbekende overhandigen en vervolgens een paar weken met vakantie gaan? Ik denk het niet. Toch is dat in feite wat sommige bedrijven doen als ze hun applicaties en data verplaatsen naar een publieke cloud. Security is een belangrijk punt van zorg bij investeringen in de cloud. Hoewel het erop lijkt dat organisaties daar nu anders over beginnen te denken, wijst ons State of Cloud Adoption-onderzoek uit dat datalekken nog altijd de belangrijkste zorg is voor bedrijven die Software-as-as-Service (SaaS), Infrastructure as a Service (IaaS) of zelfs private clouds uitrollen. Uit een onderzoek Crowd Research Partners uit 2015 blijkt zelfs dat 9 op de 10 securityprofessionals bezorgd is over cloud security.

Deze zorgen weerhouden organisaties echter niet van het investeren in de cloud. Ons onderzoek laat zien dat het vertrouwen in cloud security toeneemt, maar dat slechts een derde van de respondenten meent dat hun senior executives de veiligheidsrisico’s goed kunnen inschatten.

Het beveiligen van de publieke cloud is iets heel anders dan het beveiligen van on-premise oplossingen. Een fundamenteel verschil is dat cloud providers uitgaan van ‘gedeelde verantwoordelijkheid’, waarbij de risico’s worden gedeeld tussen de leverancier van de cloud dienst en de afnemer. Een ander verschil is dat klanten voor het beveiligen van de cloud andere producten en systemen aanschaffen dan  voor het beveiligen van het datacenter.

Bij het beveiligen van de publieke cloud moet in de eerste plaats goed gekeken worden om welke applicaties en infrastructuurcomponenten het gaat. Sommige toepassingen, zoals webhosting en file services, hebben een relatief laag risico en vereisen daarom niet de hoogste beveiligingsgaranties. Ook het gekozen cloudmodel speelt een rol bij keuzes voor en investeringen in security. SaaS-leveranciers zullen over het algemeen de verantwoordelijkheid nemen voor de beveiliging op applicatie- en systeemniveau. Aanbieders van IaaS leggen die verantwoordelijkheid echter over het algemeen neer bij de afnemer. Daarnaast zal geen enkele aanbieder van publieke clouddiensten de verantwoordelijkheid nemen voor gebruikerstoegang en gegevensbescherming, hoewel zij soms wel maatregelen bieden die uw eigen stappen op dit gebied ondersteunen.

Bij het formuleren van een strategie voor de publieke cloud zijn er drie beveiligingsniveaus die overwogen dienen te worden:

Security op systeemniveau voor IaaS

Hierbij gaat het om beveiliging van de basisinfrastructuur: componenten op systeemniveau zoals het besturingssysteem, de netwerken, virtuele machines, beheertools en containers. Hier is het zaak om te kiezen voor cloud providers die het makkelijk maken om uw systemen te patchen en up to date te houden. De aanbieder moet ook goed inzicht bieden in al uw cloud virtual machines. Een van de uitdagingen van de publieke cloud is namelijk dat het makkelijk is om even snel nieuwe VM's en containers te creëren. Het probleem is dat nog wel eens wordt vergeten om deze VM’s en containers weer te verwijderen als ze niet meer nodig zijn. Deze zogenaamde ‘zombies’ vormen een veiligheidsrisico, omdat ze aanvallers potentieel toegang kunnen bieden tot andere, bedrijfskritische systemen binnen uw organisaties.

Vergeet niet dat u zelf verantwoordelijk bent voor de beveiliging op systeemniveau van uw IaaS- en PaaS-omgevingen. Het integreren van de beveiliging van en rapportage over deze omgevingen met die van uw lokale systemen biedt meer efficiency. Zorg ervoor dat daarbij beveiligingsmaatregelen worden gebruikt die passen bij het type server. Daarbij kan het bijvoorbeeld gaan om intrusion prevention, applicatiebeheer, geavanceerde antimalware oplossingen en oplossingen voor het detecteren van dreigingen. Al deze middelen moeten centraal worden beheerd voor optimaal inzicht en compliance. Op deze manier is het ook mogelijk om beleidsregels en informatie over dreigingen uit te wisselen met uw lokale infrastructuur.

Beveiliging op applicatieniveau

Hier gaat het vooral om identiteits- en toegangsbeheer. Het gaat niet zozeer om financiële investeringen, maar om goed beleid dat er voor zorgt dat gebruikers niet zelf zomaar cloudapplicaties kunnen inzetten zonder dat de IT-afdeling daarvan op de hoogte is.

Na beleid dat IT het nodige inzicht biedt, is een belangrijke volgende stap investeren in multifactor authenticatie en identity management. De eerste betreft het gebruik van twee of meer apparaten of toepassingen waarmee gebruikers toegang krijgen tot applicaties. Bijvoorbeeld een verificatiecode die naar een smartphone of e-mailadres wordt gestuurd en die bij het inloggen moet worden ingevoerd. Zo wordt voorkomen dat een gestolen wachtwoord alleen voldoende is om toegang te krijgen.

Identity management beveiligt de toegang tot applicaties doordat gebruikers eerst moeten worden geïdentificeerd via veilige bedrijfssystemen, zoals LDAP of Active Directory. Als uw organisatie al gebruikmaakt van een dergelijke directory, is een investering in cloud brokering software die single sign-on ondersteunt misschien de moeite waard. Daarmee kunnen uw gebruikers zich bij al hun cloud-diensten aanmelden via hun lokale directory login. Een andere mogelijkheid om de beveiliging te versterken is investeren in versleutelde VPN-verbindingen.

Beveiliging op dataniveau

Hier gaat het om het beveiligen van de gegevens zelf. Geen enkele cloud provider zal de verantwoordelijkheid nemen voor uw gegevens, maar daar zijn wel oplossingen voor. Veel cloud providers bieden bijvoorbeeld encryptie standaard als optie. Maar er zijn er ook die deze mogelijkheid niet bieden, of die gegevens niet altijd of niet sterk genoeg versleutelen. 256-bit encryptie is tegenwoordig het minimale versleutelingsniveau.

Nog belangrijker is dat u het volledige beheer houdt over uw encryptiesleutels. Als een cloud provider erop aandringt om deze encryptiesleutels te overhandigen, heeft u geen garantie meer dat uw gegevens veilig zijn. Zoek dan liever een andere provider. Zorg er bovendien voor dat uw gegevens alleen tijdens het gebruik onversleuteld zijn. Sommige providers vereisen dat data in ‘platte tekst’ naar hun datacenters worden overgezet, maar dat is natuurlijk een aanzienlijk  beveiligingsrisico.

Deze drie beveiligingsniveaus zouden niet apart moeten worden geïmplementeerd. Cloud security is een end-to-end uitdaging waarbij de oplossingen deel uit moeten maken van de totale IT-omgeving. Het is niet iets dat als een soort add-on kan worden toegevoegd.

Welke cloud provider u ook kiest, zorg ervoor dat de securitygaranties volledig zijn gespecificeerd in het contract en de SLA. Een goed contract beschrijft beschrijven precies welke procedures worden toegepast, samen met eventuele sancties voor de provider als deze niet worden nageleefd, hoe ze hierover rapporteren en hoe u kunt controleren dat aan de contractuele voorwaarden wordt voldaan.

Wim van Campen, Vice-president Noord- en Oost Europa Intel Security