Wat is cloudbeveiliging?

Cloudbeveiliging bestaat uit een reeks stappen die worden ondernomen om een cloudomgeving, zowel privé als openbaar, te beschermen tegen interne en externe beveiligingsrisico's.

Cloud computing is een methode voor het opslaan van gegevens, infrastructuur en toepassingen via internet. Cloudbeveiliging is een manier om de cloud te beschermen tegen aanvallen, zowel externe als interne. Deze is doorgaans onderworpen aan een reeks controles, procedures en beleidsregels die samenwerken om alle bedrijfsmiddelen in de cloud te beschermen. Wanneer deze protocollen worden geïmplementeerd, kunnen ze ook helpen om de naleving van regelgeving en de administratieve overhead te verminderen.

Cloudbeveiliging is in de grond IT-beveiliging, maar bevindt zich ergens gecentraliseerd. De maatregelen en bescherming zijn hetzelfde, maar cloudbeveiliging wordt gehost in software. Cloudcomputing-software is eenvoudig schaalbaar, portable en dynamisch, waardoor het kan reageren op een omgeving en bijbehorende workflows kan ondersteunen. Dit vermindert ook exponentieel het risico op gegevensverlies of -beschadiging.

Zero trust en waarom u het moet omarmen

Beveiligingsprofessionals dienen standaard niets binnen of buiten het netwerk te vertrouwen. Zero trust-beleid dwingt principes van de minste bevoegdheden af, waarbij gebruikers alleen de minst mogelijke hoeveelheid toegang en resources krijgen die ze nodig hebben om hun rol uit te voeren. Er wordt ook gebruikgemaakt van microsegmentatie, die cloudbeveiliging in delen breekt door veilige zones te creëren die werklasten in afzonderlijke segmenten opdeelt.

  • Interne private cloud: wordt gebruikt door intern personeel dat de virtuele omgeving beheert.
  • Publieke cloud providers private cloud: een derde partij zorgt voor de computeromgeving met één omgeving die een klant bedient.
  • Publieke cloud: SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) en Paas (Platform-as-a-Service).
  • Hybride cloud: private en publieke cloudsystemen worden gedeeld door zowel publieke als particuliere providers, opgedeeld op basis van kosten, overhead en werklasten.

Gecentraliseerde beveiliging

Cloudbeveiliging centraliseert beveiligingsmaatregelen op dezelfde manier als cloud computing gegevens centraliseert. Voor het centraal beheren van verkeersanalyse, het bewaken van netwerkevents en webfiltering zijn minder beleids- en software-updates nodig. Dit kan het IT-proces stroomlijnen en tijd vrijmaken voor meer technisch werk in plaats van meerdere systemen te moeten controleren.

Omgeleide kosten

Cloudbeveiliging vermindert de behoefte aan speciale hardware, wat de kosten drastisch kan verlagen, inclusief de overhead voor beheer. IT-teams werkten ook reactief aan beveiligingsrisico's, wat meer tijd kan kosten dan de proactieve beveiligingsmaatregelen van cloudbeveiliging die constante bewaking bieden zonder vrijwel enige menselijke interactie.

Minder administratie

Cloudbeveiliging vermindert de noodzaak van menselijke interactie en interventie. Er zijn geen handmatige beveiligingsconfiguraties en -updates die tijd en andere waardevolle bronnen in beslag kunnen nemen. Alle beveiligingsbeheer wordt automatisch beheerd vanaf een centrale locatie.

Betrouwbaarheid

Met de juiste maatregelen voor cloud computing kunnen gebruikers zonder problemen vanaf meerdere locaties veilig toegang krijgen tot bedrijfsmiddelen.

Er zijn een paar manieren waarop, waar en waarom kwetsbaarheden ontstaan:

Groter aanvalsoppervlak

Cloudomgevingen zijn steeds vaker het doelwit van aanvallen van hackers die slecht beveiligde kwetsbaarheden willen misbruiken, waardoor ze toegang krijgen tot gegevens en ze processen kunnen verstoren. Veelvoorkomende aanvallen zijn malware, zero-day-aanvallen en het overnemen van accounts.

Gebrek aan zichtbaarheid en controle

Het kan voor cloudgebruikers moeilijk zijn om hun bedrijfsmiddelen te kwantificeren of hun omgevingen te visualiseren wanneer cloudproviders de volledige controle hebben en de infrastructuur niet bekend maken aan hun klanten.

Steeds veranderende werklasten

Traditionele beveiligingstools kunnen lastig zijn, omdat ze doorgaans niet in staat zijn om beleidsregels af te dwingen in dynamische cloudomgevingen. Cloud-assets zijn snel en dynamisch te wijzigen, wat kan bijdragen aan dit probleem.

DevOps, DevSecOps en automatisering

DevOps en DevSecOps worden geleidelijk door organisaties overgenomen als onderdeel van hun cultuur. Beide systemen zijn geautomatiseerd en werken aan het integreren van beveiligingscontroles en -protocollen in elke stap van het ontwikkelingsproces. Dit betekent dat wijzigingen in de beveiliging na de ontwikkeling van het product de cyclus kunnen ondermijnen en de time-to-market kunnen verlengen.

Wat is DevOps?

Nauwkeurig beheer van bevoegdheden en sleutels

Sessies kunnen worden blootgesteld aan beveiligingsrisico's wanneer er onjuist geconfigureerde sleutels zijn. Cloudprogramma's kunnen standaard ook te veel machtigingen voor een account bieden, wat het principe van de minste bevoegdheden schendt.

Complexe omgevingen

Bedrijven geven de voorkeur aan hybride omgevingen en omgevingen met meerdere clouds. Voor deze methoden zijn vaak tools nodig die geschikt zijn voor alle soorten cloudmodellen, waaronder openbare en particuliere, maar die niet altijd eenvoudig te implementeren of te configureren zijn.

Cloudnaleving en -beheer

Organisaties zijn verantwoordelijk voor het afstemmen van hun processen op accreditatieprogramma's zoals HIPAA, FDPR, PCI 3.2 en NIST 800-53. Dit kan moeilijk zijn, omdat er niet altijd een goed inzicht is in cloudomgevingen. Voor audits en het garanderen van constante naleving zijn meestal speciale hulpmiddelen nodig.

Hoewel publieke clouds over het algemeen veilig zijn, hebben ze niet dezelfde isolatieniveau als private clouds. Het zijn multi-tenancymodellen, wat betekent dat een bedrijf serverruimte kan huren van een systeem waarin zich ook andere huurders bevinden met hun eigen serverruimte. Het hostingbedrijf houdt meestal toezicht op beveiligingsmaatregelen en zorgt ervoor dat elk bedrijf de juiste hoeveelheid privacy heeft.

Maar de multi-tenancy factor kan een eigen bedreiging vormen. Als een andere partij die ruimte huurt iets schadelijks toelaat of onachtzaam handelt, kunnen aanvallen zoals DDoS-aanvallen (Distributed Denial-of-Service) zich verspreiden.

Versleuteling en beveiliging worden toegepast op verschillende werklasten op verschillende niveaus, afhankelijk van de vereisten. Hybride clouds bieden de mogelijkheid om risico's beter te beperken. De combinatie van twee cloudomgevingen maakt diversificatie mogelijk en de keuze om werklasten op bepaalde plaatsen te positioneren, afhankelijk van de verschillende vereisten. Zo kunnen bijvoorbeeld gevoelige werklasten en gegevens worden opgeslagen in een privécloud en kunnen meer standaardwerklasten in een publieke cloud worden geplaatst. Hoewel er problemen zijn zoals een groter aanvalsoppervlak en gegevensmigratie, is het diversifiëren met een hybride cloud een geweldige manier om beveiligingsrisico's te beperken.

Granulaire, beleidsgebaseerde IAM- en verificatiecontroles in complexe infrastructuren
Het is raadzaam om binnen groepen en rollen te werken in plaats van op het niveau van individueel identiteits- en toegangsbeheer. Groepen en rollen kunnen het eenvoudiger maken om bedrijfsvereisten en -regels bij te werken. De principes van de minste bevoegdheden worden idealiter toegepast op elke groep of rol. Voor een goede hygiëne op het gebied van identiteits- en toegangsbeheer zijn een sterk wachtwoordbeleid en time-outs van machtigingen nodig.

Zero-trust beveiligingscontroles van cloudnetwerken voor logisch geïsoleerde netwerken en microsegmenten
Logisch isoleren van bronnen binnen het netwerk van een cloud en het microsegmenteren van resources met behulp van subnetten om een beveiligingsbeleid op subnetniveau in te stellen. Gebruik statische, door de gebruiker gedefinieerde configuraties en een speciale WAN om de toegang voor gebruikers aan te passen.

Afdwingen van beleid en processen voor virtuele serverbeveiliging, zoals wijzigingsbeheer en software-updates
Cloud-leveranciers passen consistent nalevingsregels toe bij het opzetten van een virtuele server.

Beveiliging van alle applicaties (en met name cloud-native gedistribueerde applicaties) met een next-gen firewall voor webapplicaties
Granulaire inspectie en controle op het verkeer van servers, automatische updates van WAF-regels en microservices die werklasten uitvoeren.

Verbeterde gegevensbescherming
Codering op alle transportlagen, continu risicobeheer, beveiligde communicatie en behoud van datahygiëne bij opslag.

Dreigingsinformatie die bekende en onbekende bedreigingen detecteert en herstelt in real time
Cloudleveranciers vergelijken geaggregeerde logboekgegevens met interne en externe gegevens om context toe te voegen aan diverse stromen van native logs. Er zijn ook detectiesystemen voor AI-afwijkingen die bedreigingen kunnen ondervangen voor forensische analyses om het niveau van de dreiging te bepalen. Real time waarschuwingen kunnen een dreigingslandschap visualiseren voor snellere responstijden.

  • SaaS: klanten moeten hun eigen gegevens en gebruikerstoegang beveiligen.
  • PaaS: klanten beveiligen hun eigen gegevens, gebruikerstoegang en applicaties.
  • IaaS: klanten beveiligen hun gegevens, gebruikerstoegang, besturingssystemen, virtueel netwerkverkeer en applicaties.

Gebruik vertrouwde software

Gebruik alleen software van bekende en vertrouwde bronnen. Het is belangrijk om te weten wat er in de cloud wordt geïmplementeerd, waar het vandaan komt en of er al dan niet sprake is van potentieel schadelijke code.

Inzicht in naleving

Er zijn strenge nalevingswetten die bepalen hoe gegevens worden gebruikt, waaronder persoonlijke en financiële informatie. Controleer de noodzakelijke voorschriften en zorg dat u begrijpt of de cloudomgeving u kan helpen om aan de regelgeving te voldoen.

Levenscycli beheren

Levenscyclusbeheer kan voorkomen dat er veronachtzaming optreedt. Verouderde exemplaren kunnen een beveiligingsrisico inhouden, omdat er geen beveiligingspatches zijn geïmplementeerd.

Denk aan overdraagbaarheid

Er moet altijd de mogelijkheid zijn om werklasten naar een andere cloud te migreren, zelfs als er geen plan bestaat om dit te doen.

Maak gebruik van continue bewaking

Het voortdurend bewaken van werkruimten kan helpen bij het voorkomen van beveiligingsschendingen.

Kies de juiste mensen

Het personeel moet betrouwbaar en zeer gekwalificeerd zijn. Het is van essentieel belang dat al het personeel de complexe aspecten van cloudbeveiliging begrijpt. Als er een keuze wordt gemaakt om over te stappen naar een externe leverancier, vergewis u er dan van dat hun team goed is uitgerust en goed op de hoogte is.

Aan de slag met SecOps

Herken, prioriteer en reageer sneller op dreigingen.

Contact
Demo