Cloud security: grotendeels een kwestie van goed configureren

Bert-Stam-Rackspace

Bert Stam, Sales Director Northern Europe, Rackspace

Cloudleveranciers en - toegegeven, ook wij - zullen altijd de eersten zijn om te beweren dat een cloudstrategie zo goed als altijd veiliger is dan een optie met on-premises oplossingen. Dit is omdat het voor cloudleveranciers een bestaansvoorwaarde is om de beveiliging van hun product goed te regelen. Aangezien het bieden van een veilige opslag en infrastructuur hun product is, kan een fout op dit punt hen direct de kop kosten. Bij bedrijven die werken met on-premise opslag is security wellicht erg belangrijk, maar niet hun corebusiness. De financiële en tijdsinvesteringen in het optimaal houden van de beveiliging zal dan ook altijd onderdoen voor die van professionele cloudaanbieders.

Dit gezegd hebbende, moeten we toegeven dat de cloud volledig nieuwe mogelijke gevaren met zich meebrengt. Een voorbeeld hiervan is een zogenaamde Server-side Request Forgery (SSRF), waarbij een ongeautoriseerde derde zich toegang verschaft tot gevoelige data.

Het is belangrijk om op te merken dat een SSRF-aanval weliswaar moeilijk te detecteren is, maar wel redelijk goed te voorkomen. Bij een SSRF-aanval maakt de aanvaller namelijk misbruik van het feit dat er bij de configuratie van de cloud te ruimhartig is omgegaan met het verlenen van toegang en het geven van privileges voor te veel onderdelen van de cloud aan te veel werknemers. Vergelijk het met iedereen op kantoor de sleutel geven van de voordeur, van de serverruimte én van alle bureaulades. Het risico dat iemand een setje sleutels kan stelen of kan namaken, is zo uiteraard veel groter dan wanneer die sleutels in handen zijn van slechts een select groepje werknemers, die zich ook nog eens heel bewust zijn van hun verantwoordelijkheid om de sleutels te beschermen.

We noemen dit principe ook wel cyberhygiëne. Het principe gaat uit van een ‘zo min mogelijk privileges’-filosofie, waarbij in de basis niemand toegang heeft tot iets. Dit moet onderdeel zijn van de initiële systeemarchitectuur, uitrol en verder gebruik en onderhoud. Wanneer je al een systeemarchitectuur hebt waarbij dit principe niet is toegepast, is nog niet alles verloren. Je kunt de bestaande configuraties eens goed onder de loep nemen en ervoor zorgen dat componenten of gebruikersaccounts - vooral wanneer deze ook aan het internet gekoppeld zijn - niet te veel privileges hebben.

Enkele praktische tips voor optimale configuraties:

  • Zet preventieve bescherming op in de vorm van afgestemde firewalls voor webapplicaties of inbraakpreventiesystemen die specifieke bescherming tegen SSRF-aanvallen bieden.
  • Zorg voor de minste privileges en rechten voor componenten en gebruikers van de cloudapplicaties.
  • Controleer of de firewall- en security groups zijn ingesteld op de connectiviteit met de minste privileges voor zowel inkomend als uitgaand verkeer.
  • Bewaak cloud-telemetrie voor aanwijzingen van abnormale activiteiten die een SSRF-aanval kunnen betekenen.
  • Gebruik waar mogelijk multifactorauthenticatie.
  • Herhaal deze stappen elke maand om er zeker van te zijn dat bijvoorbeeld de accounts van medewerkers die uit dienst zijn getreden of die een andere functie hebben gekregen zijn verwijderd of aangepast.

Het is begrijpelijk dat bedrijven het op juiste wijze configureren van al deze onderdelen ingewikkeld vinden en ertegenop zien om deze exercitie maandelijks te herhalen. Gelukkig bestaan er partijen die niet alleen kunnen helpen wanneer een cloudmigratie moet plaatsvinden, maar ook bij het beheer van de cloud. Met die hulp kunnen bedrijven zich weer gewoon focussen op hun corebusiness en vertrouwen dat zij op de veiligst mogelijke manier kunnen profiteren van de voordelen van de cloud.