4min

Organisaties kiezen steeds vaker voor de cloud om hun complexe IT-infrastructuur te vereenvoudigen. Zij gaan ervan uit dat de security automatisch goed geregeld is, maar dat is lang niet altijd het geval.   

In het cybersecurity-landschap hebben we te maken met snelle veranderingen waardoor iets wat vandaag als veilig wordt beschouwd, morgen ernstige kwetsbaarheden kan bevatten. Een recent voorbeeld is de wereldwijd gebruikte Apache Log4j-software. Het werd jarenlang als volkomen onschuldig beschouwd totdat er ernstige kwetsbaarheden in werden ontdekt. Dit bewijst dat het veilig maken én veilig houden van je cloudactiviteiten veel tijd en aandacht vereist.

Organisaties gaan ervan uit dat ze de security overdragen zodra ze een public cloudleverancier inschakelen. “Het staat bij Microsoft, Google of in de Amazon-cloud, dus het moet het wel veilig zijn.” Deze aanname komt doordat public cloud leveranciers allerlei gestandaardiseerde diensten aanbieden die de beveiliging eenvoudiger maken. Echter, lang niet alles valt binnen zo’n standaardoplossing.

Specifieke omgeving

In de praktijk blijkt dat veel klanten een IT-landschap hebben dat net iets afwijkt van een one-size-fits-all opzet. Er zijn altijd wel onderdelen in de infrastructuur die maatwerk bevatten, en juist dit maatwerk is bedrijfskritisch. De standaarddiensten van public cloudleveranciers sluiten slecht aan op maatwerksoftware, waardoor de veiligheid van de software en de bijbehorende data gevaar loopt. Om dit probleem op te lossen is expertise nodig op het gebied van security, (infra)architectuur én softwareontwikkeling. Rond juist de beveiliging van software af tijdens de migratie naar de cloud, in plaats van dat je wacht op de leverancier. Denk hierbij aan encryptie, key- /secret management, behavioural analytics, auditlogging, monitoring en segmentatie. Hoe langer je wacht met security-overwegingen, hoe complexer, tijdrovender en prijziger het wordt om een aansluiting te vinden met de benodigde technieken.

Omgeving én applicatie

Bij security zijn twee aspecten cruciaal: beschermen en monitoren. Heb je een dienst afgenomen in de cloud, dan moet na het afschermen ook worden gemonitord op eventuele security issues. Daarbij is het belangrijk om een threat analysis uit te voeren, waarbij je kijkt naar gedrag binnen de omgeving en binnen de applicatie: waar zit de data, hoe kan de applicatie misbruikt worden, hoe detecteer je potentieel misbruik? Hiernaast is het belangrijk om custom monitoring in te richten, voor het beter monitoren en beschermen van de omgeving. Hierbij worden processen als risicomanagement en technieken als threat modeling en behavioural analysis vaak gecombineerd met geavanceerde securitydiensten zoals Security Information & Event Management (SIEM) en Vulnerability Management.

DigiD, ISO en NEN

Een veilige cloudomgeving is niet alleen noodzakelijk om cyberaanvallen af te wenden, het is vaak een vereiste om andere belangrijke diensten te mogen gebruiken. Zo hebben veel bedrijven een DigiD-certificering nodig voor hun dienstverlening. Voor het verkrijgen van deze certificering wordt getoetst of je de juiste beveiligingsmaatregelen en de juiste manier van monitoring hebt geregeld. Ook een ISAE 3402-verklaring en ISO 27001, 9000 en NEN-certificeringen worden steeds meer vereist voor de cloudomgeving en applicaties van bedrijven in de zorg.

Volledig Nederlandse cloud

Bovendien is databescherming, onder meer volgens de AVG, een uitdaging wanneer data naar de cloud gaat. Al hebben bedrijven een datacenter binnen Europa, vaak doen zij alsnog zaken in de Verenigde Staten, of vallen ze onder die wet- en regelgeving. Mag dat volgens de AVG, en hoe ga je daarmee om? Een private cloudoplossing die zich geheel op Nederlands grondgebied bevindt, onder regie van een volledig Nederlands bedrijf, is een mogelijke oplossing. Toch zijn er op het gebied van security bijna altijd aanvullende diensten nodig zoals firewalls of zelfs een volledig Security Operations Center.

Gebruikmaken van de cloud brengt veel voordelen met zich mee, maar bedrijven kunnen hier enkel met een gerust hart van profiteren als er vóór de migratie een goede cloudstrategie is ontwikkeld waarbij de veiligheid van data en applicaties vanaf het begin wordt betrokken.

Dit is een ingezonden bijdrage van Info Support. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.