Zes oplossingen om een multi-cloud afdoende te beveiligen
Stefaan Hinderyckx – Director Security – Europe – Dimension Data
De cloud heeft op veel gebieden voor meer eenvoud en inzicht gezorgd. Maar dat geldt niet voor security. Iedere cloudprovider hanteert weer andere, proprietary manieren voor de beveiliging. Verder worden de bestaande applicaties met lift & shift naar de multi-cloud gebracht, zonder een stevige focus op de securityaspecten. Daarnaast gebruiken DevOps-teams verschillende, losstaande cloudplatforms, architecturen, applicatiediensten en toolsets, waardoor een goed overzicht ontbreekt.
Veel ingebouwde cloud-security-services (zoals Web Application Firewall anti-DDoS en Identity & Access Management) zijn in de praktijk meestal basisvoorzieningen en vaak ook merkgebonden. Zo biedt een WAF alleen bescherming voor http en webapps en is er geen inzicht in alle poorten. Ook zijn er beperkte mogelijkheden voor bedreigingsdetectie. Een alternatief is het sluiten van alle poorten, behalve 80 en 443. Dat klinkt aannemelijk, maar zal bijvoorbeeld ontwikkelaars die Chef of Puppet gebruiken, sterk beperken in hun werk omdat zij veel verschillende andere poorten nodig hebben.
Het is duidelijk dat er niet één afdoende oplossing is voor multi-cloudsecurity. Het zal nodig zijn om een combinatie van maatregelen te nemen:
Multi-cloud security-gateway – deze next-generation firewall fungeert als een IPSec-terminatiepunt en dwingt next generation security-policy’s af, die applicaties controleren en geavanceerde cyberaanvallen voorkomen. Deze gateways worden steeds slimmer en zijn nu ook cloud-deployable.
Cloud Access Security Broker (CASB) met Data Loss Prevention – een CASB fungeert als een soort politieagent die toegelaten verkeer doorlaat en security-policy’s en controlemechanismen uitbreidt naar de cloud.
Microservices-security – deze oplossing bevindt zich binnen virtual switching en cloud en controleert toegang tot servers en services en het oost- en westverkeer in een datacenter.
Cloud-encryptie en sleutelbeheer – bevindt zich tussen on-premise en cloud en voorziet in het versleutelen van alle data waardoor deze beveiligd is tegen ongeautoriseerde toegang. Hierbij is het sleutelbeheer cruciaal. Die kan het best in eigen huis ondergebracht worden.
Cloud DNS – in tegenstelling tot een CASB ziet Cloud DNS wel alle verzoeken aan een cloudservice. Cloud DNS is daarnaast in staat om risico in te schatten en de toegang te weigeren op basis van bepaalde criteria. Cloud DNS is on- en off-premise inzetbaar.
Multi-cloud-inzicht – deze oplossing gaat uit van complete netwerkmonitoring en herkent afwijkend gedrag.
Deze zes manieren om cloudservices te beveiligen, hebben alle hun specifieke eigenschappen. Zo is een cloudsecurity-gateway sterk in het creëren van inzicht en het voorkomen van bekende bedreigingen, maar minder in dataprotectie en compliance. Multi-cloud-inzicht daarentegen biedt uitstekende mogelijkheden voor compliance, maar is weer minder sterk in het detecteren van bedreigingen – bekende en nieuwe. Belangrijkste conclusie is dat een organisatie niet uitsluitend op de maatregelen van de cloudprovider vertrouwt. Die bieden niet de betrouwbaarheid, die anno 2018 nodig is. Met een combinatie van maatregelen is data in multi-clouds afdoende te beschermen.
Meer weten over hoe u uw multi-cloud het beste beschermt met deze zes manieren? Vraag het de securityconsultants van Dimension Data. Kijk voor alle informatie op de website.