De laatste tijd lezen we in het nieuws met enige regelmaat berichten over hackers die data weten te stelen uit publieke cloudomgevingen, zoals bijvoorbeeld een recente hack bij Amazon Web Services (AWS). De oorzaak hiervan ligt vaak in de manier hoe klanten hun security hebben ingericht in de cloud, en niet aan de beveiliging van de publieke cloud zelf. Want het echte beveiligingsprobleem zit vooral in hoe klanten hun IT-omgevingen in de publieke cloud hebben ingericht en hoe ze deze op orde houden. Een geautomatiseerde inrichting van cloudomgevingen is van het grootste belang om veiligheidsissues te voorkomen. In deze blog laat ik u zien wat cloudleveranciers doen aan security, wat er van de klanten wordt verwacht en waar het vaak mis gaat.
Cloudleveranciers doen veel aan security
Het gebruik van een cloudleverancier ten opzichte van het gebruik van een eigen datacenter heeft een aantal duidelijke voordelen. U hoeft nauwelijks iets te investeren, u heeft minder gespecialiseerde beheerders nodig en de cloudleverancier zorgt voor de fysieke beveiliging van het datacenter en de inrichting van het cloudplatform.
Omdat cloudleveranciers IT-omgevingen leveren voor een groot aantal klanten uit de meest uiteenlopende markten (van financiële sector tot gezondheidszorg), moeten ze voldoen aan de meest strenge eisen. Cloudleveranciers tonen hun hoge beveiligingsniveau aan door hun datacenters en methodes te laten voldoen aan security-standaarden die algemeen geaccepteerd zijn in de sectoren waarin hun klanten actief zijn, denk aan PCI-DSS (financiële sector) en HIPAA (gezondheidszorg). Ter vergelijking: voor de meeste organisaties is het ondoenlijk en zeer kostbaar om al deze externe audits zelf uit te laten voeren. Cloudleveranciers kunnen zich dit vanwege hun schaalgrootte wel veroorloven
Security is van levensbelang voor cloudleveranciers
Het marktaandeel, het aantal datacenters en het aantal diensten van de drie grootste cloudleveranciers – Google, AWS en Azure – is enorm. Ze hebben een groot aantal datacenters over de hele wereld met vele honderdduizenden servers, grootschalige opslag en zeer complexe netwerkomgevingen. Ze hebben grote teams in huis die zich met specifieke aspecten van security bezighouden zoals netwerkbeveiliging, encryptie, Identity & Access Management (IAM), logging en monitoring. En door het grote aantal klanten van cloudleveranciers profiteert elke klant van kennis die is opgedaan bij andere klanten.
Voor de cloudleveranciers staat bovendien veel op het spel als het om beveiliging gaat – ze hebben alleen bestaansrecht als er niets op hun security valt af te dingen. Als ze hierin een fout maken, lopen ze het risico hun geloofwaardigheid te verliezen als betrouwbare partner.
Een veilige inrichting van de cloud is cruciaal
Het onderliggende cloudplatform kan dan een hoog beveiligingsniveau hebben, de inrichting van cloudomgevingen is een zaak van het bedrijf (de klant) zelf. En daarbij kan het gebeuren dat de klant de security onvolledig of niet correct heeft geconfigureerd. Om hun klanten te helpen hebben de grote cloudleveranciers tools en geautomatiseerde services beschikbaar om de kans op fouten te verkleinen.
Diensten in de publieke cloud zijn standaard stevig afgeschermd. Maar om gebruik te kunnen maken van diensten moeten ze wel toegankelijk worden gemaakt. En hier gaat het vaak mis. Dat heeft twee redenen:
- De inrichting van een cloudomgeving is anders dan men gewend is in een on-premises omgeving.
- Een kleine fout kan zeer grote gevolgen hebben – met een enkele klik kan de klantomgeving leesbaar worden voor het hele internet.
Voor het inrichten van een cloudomgeving is daarom specialistische kennis nodig. Het gaat echt om een heel ander platform dat het traditionele on-premises landschap, met veel instellingsmogelijkheden en nieuwe best practices. Klanten moeten in staat zijn om met dit nieuwe platform om te gaan.
Als in een dergelijke omgeving zonder voldoende kennis van zaken een configuratiefout wordt gemaakt, dan kunnen de gevolgen veel meer impact hebben dan in een on-premises omgeving. Als bijvoorbeeld de beveiliging van Amazon’s S3 object storage niet goed is geconfigureerd, kan het zomaar gebeuren dat uw data publiek toegankelijk wordt. Een configuratiefout in een on-premises omgeving heeft vaak minder vergaande gevolgen.
Tools en automatisering zijn een goede hulp
Gelukkig leveren cloudleveranciers een aantal tools en services om het risico van configuratiefouten te beperken. Problemen kunnen zelfs automatisch worden opgelost. Zo leveren cloudleveranciers scripts die geautomatiseerd kunnen worden gestart om dataopslag die voor de hele wereld leesbaar is, automatisch af te sluiten en u vervolgens te alarmeren. Ik zou u dan ook sterk willen aanraden om zoveel mogelijk gebruik te maken van de beschikbare tooling, zodat u het snel weet als er zich een configuratiefout voordoet.
Verder is het van het grootste belang om wijzigingen in een cloudomgeving niet handmatig door te voeren, maar om gebruik te maken van zoveel mogelijk automatisering. Door het gebruik van templates en scripts kunnen onderdelen in de cloud geautomatiseerd en eenduidig worden geïmplementeerd.
Beveiliging van de publieke cloud is een gedeelde verantwoordelijkheid
Publieke cloudomgevingen hebben een erg hoge security standaard, waarbij toegang tot cloudonderdelen per definitie dicht staat. Het is de verantwoordelijkheid van de cloudleverancier om het platform veilig te houden. Maar het is de verantwoordelijkheid van het bedrijf zelf om te zorgen voor de beveiliging van de configuratie van de cloud. De beveiliging van de publieke cloud is een gedeelde verantwoordelijkheid. Wees u bewust dat een kleine fout in de cloud verregaande gevolgen kan hebben, gebruik de beschikbare tools en zorg voor maximale automatisering;scripts maken immers geen fouten, mensen wel.
Bron: BinnenlandsBestuur digitaal