Veel bedrijven ondervinden nogal wat moeilijkheden met het beveiligen en configureren van cloudgebaseerde diensten. Dit blijkt uit een onderzoek van securitybedrijf Tripwire onder 150 security professionals.
De enquête werd afgenomen op de jaarlijkse Black Hat-conferentie in Las Vegas. Uit het onderzoek blijkt dat 84 procent van de ondervraagden securityconfiguraties “moeilijk te onderhouden” vindt. Een vijfde van die 84 procent vindt het zelfs “erg moeilijk”. 75 procent denkt verder dat het relatief makkelijk is om per ongeluk data in de cloud bloot te stellen aan dreigingen van buitenaf.
Iets meer dan de helft (54 procent) van de ondervraagden gebruikt configuration management voor cloud security. Iets minder dan de helft, 49 procent, gebruikt file integrity monitoring-processen. Cloud security is dus een substantieel onderdeel van de werkzaamheden bij veel IT-werknemers. Bij ongeveer evenveel van de ondervraagden is dit echter niet het geval.
Zo’n driekwart stelt dat meer dan 10 procent van de workloads van hun bedrijf in de cloud draaien. 49 procent gaf zelfs aan dat meer dan de helft zich in de cloud bevindt en 13 procent zegt dat dit met meer dan driekwart van de workloads het geval is.
Gedeelde verantwoordelijkheid
Ook al is cloud security belangrijk voor de ondervraagden, bestaat er wel nog verwarring. Het “shared responsibility”-model, waar bij clouddiensten vaak sprake van is, stelt dat gebruikers én providers verantwoordelijk zijn voor beveiliging. Dit is echter niet voor iedereen duidelijk, toont het onderzoek aan. Slechts 27 procent van de ondervraagden vindt het “zeer duidelijk” wat shared responsibility betekent.
“Hoewel cloudaanbieders de verantwoordelijkheid nemen voor de beveiliging van hun infrastructuur, neemt de overstap naar de cloud niet de verantwoordelijkheid weg om je eigen gegevens te beschermen. De cloud beschermt de gegevens en systemen die je er in stopt niet op magische wijze,” zegt Tim Erlin, vice president of product management & -strategy bij Tripwire. Bedrijven moeten dus zelf actiever bekijken wat er nodig is aan cloud security in hun situatie.
Het rapport stelde verder dat organisaties er goed aan doen om het aanvalsoppervlak van hun cloudgebaseerde diensten in de gaten te blijven houden. Dit aanvalsoppervlak moet zo klein mogelijk zijn door precieze configuratie. Tegelijkertijd moeten bedrijven continu in de gaten houden of er veranderingen in dit aanvalsoppervlak plaatsvinden.