De multicloud - hoe bescherm je wat je niet kunt controleren?

StefaanH

Stefaan Hinderyckx – Director Security – Europe – Dimension Data

In de afgelopen jaren is cloudtechnologie het grote succesverhaal in de technologiesector geworden. Organisaties hebben de cloud massaal omarmd en gebruiken nu veelal een mix van public en private cloud, naast een (legacy) on-premise omgeving. Een bekende variant die we bij veel bedrijven zien is AWS voor de DevOps, Azure voor Microsoft 365 en een private cloud- en on-premise omgeving voor specifieke kritische applicaties.

De belofte van de cloud was ooit dat alles eenvoudiger zou worden. Dat is wellicht op sommige gebieden het geval geweest, maar zeker niet op het gebied van security. De reden daarvoor is dat iedere cloud weer andere, proprietary manieren hanteert voor de beveiliging. Verder worden de bestaande applicaties met lift & shift naar de multi-cloud gebracht, zonder een stevige focus op de securityaspecten. Daarnaast gebruiken DevOps-teams verschillende, losstaande cloudplatforms, architecturen, applicatiediensten en toolsets, waarbij een goed overzicht ontbreekt. De ingebouwde cloud-security-services (zoals WAF, anti-DDoS en IAM) zijn in de praktijk meestal basisvoorzieningen en vaak ook merkgebonden. Ook stijgt de leercurve van de organisatie doordat er van cloudsilo's gebruik wordt gemaakt. Er is daarnaast sprake van fragmentatie en een gebrek aan standaardisatie en het harmoniseren van securitydiensten is lastig. Het afdwingen van een gemeenschappelijke security-policy is binnen multicloud-omgevingen dan ook nagenoeg onmogelijk.

Gedeelde verantwoordelijkheid

Het is in dit verband van belang te weten dat security binnen een cloudomgeving een gedeelde verantwoordelijkheid is. Cloudleveranciers schermen met het idee dat zij veiliger zijn dan een on-premise-infrastructuur, omdat het leveren van clouddiensten hun core business is. Uiteraard investeren hyperscalers en andere cloudaanbieders zwaar in fysieke en digitale beveiliging. Maar ook dan behoudt de afnemer een belangrijke verantwoordelijkheid. Zo staan cloudaanbieders wel in voor de veiligheid van de basisinfrastructuur, maar blijft de afnemer zelf verantwoordelijk voor de veiligheid van het OS, de applicaties, het platform en de data en intellectueel eigendom.

Zo moet u als u AWS gebruikt zelf de AWS Services API’s uitzetten, als u deze niet wilt gebruiken. Die staan standaard aan. Nog een voorbeeld: bij gebruik van Azure VNET staan alle outbound-poorten standaard open. Als u dat niet wilt, moet u ze zelf blokkeren.

Uitdagingen van multicloud security

Kijkend naar de belangrijkste uitdagingen van nu op het gebied van security en multicloud, dan zijn dat:

  • Inzicht – native cloud security biedt niet het inzicht in applicaties, data en netwerk dat nodig is om ze afdoende te beschermen. U mist de details om goed te monitoren en in te grijpen als het misgaat. Bij hyperscalers is inzicht relatief beknopt en krijgt een IT-afdeling vaak niet veel meer dan een overzicht van ip-nummers, terwijl u juist wilt weten wie op welk moment wat doet. Met andere woorden: u wilt het weten als medewerker X via ip-nummer 64.81.2.23 vanuit China een exe-bestand downloadt.
  • De ‘attack surface’ is relatief groot, doordat de native security controls vaak standaard open staan. Daarnaast is het heel complex om ieder cloudplatform volledig te configureren en kan misconfiguratie gemakkelijk leiden tot aanvallen of misbruik van de cloudomgeving.
  • Het beschermen tegen bekende bedreigingen. U heeft zelf geen controle over wat er precies naar uw cloudomgeving(en) wordt gestuurd of welke devices connectie maken. Bescherming tegen de meeste bekende bedreigingen wordt overigens wel geboden door de bestaande antivirusleveranciers.
  • Het detecteren van en reageren op nieuwe bedreigingen. Nieuwe bedreigingen en polymorfe malware kunnen traditionele antivirussoftware omzeilen. Dat is te vermijden met lokale of cloud-sandboxen, waarmee bestanden getest kunnen worden op hun intentie.
  • Dataprotectie. Hoe zijn waardevolle data te beschermen in een multicloudomgeving? Hier speelt encryptie in ieder geval een rol om de impact van een eventuele inbreuk te minimaliseren.
  • Compliance en gedrag. Hoe zorgt u voor ‘continuous compliance’ in de multi-cloud en hoe zijn gebruikersgedrag en shadow-IT te volgen?

Er zijn verschillende middelen en manieren om de security in een multicloudomgeving goed te ondersteunen, waaronder speciale gateways en CASB. Op de beurs Infosecurity 2018 ga ik hier uitgebreid op in tijdens een presentatie met als thema ‘How to secure what you don't control - The multi-cloud security challenge’. Aanmelden voor de beurs kan hier.