In navolging van de cloud-opmars is de beveiliging ervan een ‘hot topic’. Het is een unieke tak van sport; maar waarom eigenlijk? Wat maakt het anders dan algemene IT-beveiliging? We bespreken het met experts van Conscia, PQR, Tesorion, Thales en Upwind Security.
Cloud security anno 2025 is naast een ‘hot topic’ ook simpelweg ‘big business’, om in de Engelse termen te blijven. Dat blijkt alleen al uit Google’s recordovername van Wiz voor 32 miljard dollar. Steven Duckaert, Solution Architect bij Upwind Security, ziet de overname als “indrukwekkend” en een goede zaak voor de algemene markt. Het hoge bedrag verklaart hij uit het feit dat er een enorme markt aan te spreken is. Nu heeft Google niet zo’n goede reputatie als het om overnames gaat, aldus Duckaert, dus het wordt even wachten of Wiz achter een lock-in verdwijnt.
Steven Maas, Sales Director Data & Application Security BeNeLux bij Thales, duidt de Wiz-deal als volgt. “Google bezit iets minder dan 15 procent van de public cloud-markt. Ze staan bekend om andere zaken dan hun cloud. Zij moeten dus stappen als deze maken.” Volgens Erik de Jong, Chief Research Officer bij Tesorion, is de Wiz-overname mogelijk nadelig voor klanten; consolidatie in de markt leidt zelden tot lagere prijzen. Ook Wesley Swartelé, System Architect bij Conscia Belgium, weet dat een oplossing zoals die van Wiz regelmatig verdwijnt in de grotere suite. “Dan ben je het kwijt”, zo concludeert hij.
Strategisch Architect bij PQR Andre Honders trekt de stap van Google breder. “Het accent komt in 2025 op cloud security te liggen.” Om te zien waarom en hoe, moeten we het verschil in de uitdaging om de cloud te beveiligen duiden ten opzichte van de klassieke on-prem omgeving. Of, wetende dat er niet zoiets is als een domme vraag: wat is cloud security eigenlijk?
Het datacenter van een ander, of toch meer dan dat?
“Cloud is alles in iemand anders datacenter”, vat Steven Maas het samen. “Je gebruikt de resources van een third party, maar het is belangrijk om de controle zelf te behouden.” Bewegingen in deze richting zijn er genoeg: bring your own key, managementplatformen die public cloud(s) en on-prem combineren, et cetera. Daarbij komt het gedeelde verantwoordelijkheidsmodel om de hoek kijken. “Als klant blijf je verantwoordelijk, waar je data ook zit. Heel simpel”, stelt Maas. Erik de Jong nuanceert: “Die verantwoordelijkheid verandert onder je voeten.” Hij verwijst hierbij naar regelgeving zoals NIS2 en de Cyber Resilience Act (CRA), wetten die steeds hogere eisen stellen bij organisaties zelf. Ze kunnen bij de rechter na dataverlies niet naar een ander wijzen als men zelf de security-basis niet in orde had.
Een belangrijk punt dat dit compliceert, is dat je als klant niet altijd weet wat er in cloud datacenters gebeurt. Tegelijkertijd erkent De Jong dat on-premises omgevingen hetzelfde probleem kennen. “Er is een spectrum aan problemen. Veel overlap”, zegt hij, iets wat Wesley Swartelé beaamt: “Tussen on-prem en cloud moet je veel zaken gelijktrekken.”
Andre Honders wijst op een specifiek cloud-aspect: “Je zit in een gedeelde omgeving, waar nog tien andere klanten op zitten. Dan krijg je met andere visies en technieken te maken die niet on-prem voorkomen.” Dit is zonder meer het geval. Er zijn in de public cloud genoeg rampscenario’s te bedenken. Een voorbeeld: wat als een configuratiefout bij de hyperscaler de ene klant toegang geeft tot het geheugen of de opslag van een andere klant?
Steven Duckaert stelt daarentegen dat veel oplossingen zowel voor on-premises als cloud geschikt zijn. “Waarom een Ferrari voor de cloud en een goedkopere auto voor on-prem? Het risico is even groot”, vraagt hij zich af. Sterker nog: in een on-prem omgeving zullen organisaties zich hier eerder van bewust zijn omdat ze zelf aan alle knoppen kunnen zitten. “De C-suite ligt niet wakker van een securityoplossing voor beide omgevingen”, vervolgt Duckaert. Hij merkt op dat cloud security-vendoren ook oplossingen voor on-premises aanbieden. “Klanten gebruiken ook SaaS van Upwind om hun omgevingen te beschermen. Je hebt runtime context nodig om niet te veel alerts te krijgen.”
Zo versmelten cloud security en algemene security weer. We merken bij het gesprek voortdurend dat de eisen en wensen grotendeels overeenkomen; immers is de on-prem locatie ook een cloud. Toch herinnert De Jong van Tesorion ons eraan dat het “helpt om een sticker te plakken” op een bepaald aandachtspunt. Hij merkt op dat Microsoft vijf securitydomeinen aanstipt, “maar dat ligt aan perceptie.” Met andere woorden: de opsplitsing van securityvelden is nuttig, maar niet in steen gebeiteld.
De schaalkwestie
Steven Maas ziet wel een toegevoegde waarde in de stap naar cloudplatformen, waarbij er weldegelijk een fundamenteel verschil met on-prem bestaat. “Je gaat ervan uit dat de cloudprovider het beter kan dan jijzelf. Dat is ook vaak zo”, stelt hij, iets waar zowel De Jong als Honders het mee eens zijn, ook als het gaat om zaken als brandgevaar in datacenters. “Wat gebeurt er met de data, wie heeft toegang, is het versleuteld, et cetera. De controle moet aan de klant, het maakt niet uit waar het staat. Data versleutelen, tokenizen, quantum secure, dat moet je zelf inrichten”, somt Maas van Thales op.
Een belangrijk knelpunt blijft echter het gebrek aan gekwalificeerd personeel. Dit horen we om de haverklap als het om security gaat. En ook in andere IT-velden eigenlijk, en zo kun je vast een maatschappijbrede conclusie vinden, maar het is in deze sector wellicht penibeler. Zo ziet Erik de Jong het in ieder geval. “Dit is geen IT-probleem. Vraag maar aan schilders. Bij elk bedrijf draagt een klein deel bij aan het meeste werk.” Wesley Swartelé onderschrijft hoe dan ook dat het binnen deze industrie een uitdaging voor organisaties is om het (juiste) personeel bij elkaar te rapen. “Een goede IT’er vinden met de juiste mindset is lastig. Het gaat om mensen die voorbij 9-tot-5 werken: lezen over de nieuwste ontwikkelingen, zelf een lab thuis hebben. De ontwikkelingen stoppen niet, het veld evolueert zo snel.” Dat personeel vind je dus niet zomaar en als dat wel lukt, moet je deze persoon nog zien te behouden.
Steven Duckaert wijst op een ander aspect, namelijk AI. Het staat bekend als een toevoeging voor software om te vereenvoudigen. Niets is echter minder waar, zo stelt hij: “AI-tooling is lastig voor verdedigers. Security is echt complex.”
De praktijk: tussen overschatting en onderschatting
Nu we een beter beeld hebben van cloud security als geheel, verschuiven we naar de praktische realiteit anno 2025. Hoe is het gesteld met cloud security in de praktijk? Wesley Swartelé ziet dat de aandacht er zeker is voor de inzet van de cloud. Daar waar de kritische opstelling uitbleef toen de cloud ruim een decennium geleden opkwam, is dit veranderd. Deels uit juridische noodzaak, zoals eerder genoemd, maar organisaties willen niet al hun gegevens aan een ander overdragen. “Niet meer alle data naar de cloud”, observeert hij. “Bij encryptie eisen organisaties controle op de keys. Er zijn evoluties en meer vereisten zoals NIS2. Er zijn ook grote organisaties die er bijna te veel mee bezig zijn.”
De focus op encryptie roept de vraag op of dat niet het juiste middelpunt is. Steven Maas wijst op de onvoorspelbare factor hierin: de geopolitieke realiteit anno 2025, met alle mogelijke risico’s die deze realiteit met zich meebrengt. “Wat doet de overheid? Encryptie is één van de middelen om controle te houden.” Erik de Jong stelt dat het bewustzijn van de mogelijke nadelen van de Amerikaanse cloudadoptie er al tien jaar geleden had moeten zijn. “Op Europees niveau kan er een verandering plaatsvinden. Maar vanuit Nederland is het kansloos om orde op zaken te stellen.”
Swartelé ziet hybride cloud als de ideale oplossing, “maar als Europa zijn we te laat” voor een echt tegenwicht voor AWS, Azure en Google Cloud. Maas ziet dit anders: “Er komen alternatieven, ook om een Nederlandse cloud te realiseren.” De Jong blijft realistisch: “Als eindklant is er nog geen alternatief waar je met een paar keer klikken klaar bent.” Wellicht zit daar de crux: technisch gezien is alle functionaliteit misschien bij elkaar te verzamelen met Europese tools, maar de eenvoud ontbreekt.
Motivatie door schade en schande
We hebben het belang van wetgeving meermaals genoemd. Is er al sprake van intrinsieke motivatie bij organisaties om de cloud te beveiligen? Steven Duckaert ziet dat de juiste regulering goede vangrails biedt. “Harvest now, decrypt later is een risico. Maar de keys bewaren is al redelijk eenvoudig.” Hij constateert veel aandacht voor misconfiguraties, “maar helaas genereert dit ook ‘alert fatigue’.”
Erik de Jong merkt op dat het enorm afhangt van de klant. “We noemen het intrinsieke motivatie, maar die ‘motivatie’ komt door ransomware-aanvallen die je overal ziet. De risicoperceptie is realistischer geworden.”
Steven Maas ziet een duidelijke kanteling: “Het feit dat een cyberaanval de hele productie kan stilliggen, is voor veel bedrijven een kantelpunt.” Hij noemt voorbeelden zoals de cyberaanval en het daarop volgende datalek bij Duvel Moortgat. “Er is echt wel awareness: daar zitten kosten aan, maar je moet het verkopen als een investering. Kroonjuwelen wil je beveiligen.” Andre Honders maakt onderscheid naar bedrijfsgrootte: “Bij mkb’ers moet de oplossing gelijk werken, zij gaan niet in IT investeren.”
Conclusie: op naar de juiste vragen stellen
Zo zien we dat cloud security niet alleen een volwassen discipline is, maar er tal redenen zijn om het te adopteren. Dat erkennen de experts aan tafel, die elk vanuit een andere hoek het cloud security-speelveld bekijken. Er zijn antwoorden genoeg vanuit zowel een partij als Wiz als de vele andere startups, securityplatformen en hyperscalers. Echter is het aan de klant om de juiste vragen te stellen. Men merkt op dat dit nog te weinig gebeurt. Om die reden zullen we een later artikel wijden aan wat die vragen precies zijn, van mkb’ers tot enterprises.
Voor nu is duidelijk dat cloud security aspecten raakt van de IT-sector die zeer actueel zijn. Cyberdreigingen zijn er overal, met steeds meer gebruiksgemak voor de aanvallers om toe te slaan. Daarom zijn er nogal wat termen als CNAPP, CSPM, CWPP, DSPM en meer. We duiken in een later artikel met dezelfde experts in deze complexiteit en hoe daarmee om te gaan. Dat verschilt van laaghangend fruit tot het overtuigen van de business-kant van een organisatie, iets dat securityspecialisten dagelijks moeten doen.
Lees ook: Wachten met AI-agents is geen optie