De cloud biedt tal van voordelen, zoals eenvoudige toegang op afstand tot belangrijke bestanden, gestroomlijnde samenwerking en mogelijkheden voor het verlichten van de takenlast van de ict-afdeling. In hun haast om over te stappen naar de publieke cloud kunnen bedrijven echter worden geconfronteerd met een kloof tussen de bestaande beveiliging op locatie en de nieuwe eisen die aan hun cloud-omgeving worden gesteld.
Er zijn al enige jaren virtuele security-appliances op de markt verkrijgbaar. Deze bieden tools als deep packet inspection in een formaat dat makkelijk kan worden geherprogrammeerd voor gebruik in private clouds en gevirtualiseerde datacenters. De ontwikkeling van publieke clouds zoals Microsoft Azure staat echter niet stil. De beveiliging van bedrijfskritische applicaties in deze omgevingen wordt daarmee een hele opgave voor ict-teams.
Hoewel Azure en andere clouds uitmuntende hardware voor netwerkbeveiliging inzetten voor het beschermen van het applicatieverkeer tegen exploits, het blokkeren van malware en het pareren van geavanceerde doelgerichte aanvallen, wil het cloud providers maar niet lukken om met een passende oplossing op de proppen te komen. Deze gebrekkige bescherming van de applicatielaag stelt gebruikers bloot aan de nodige risico’s wanneer zij hun applicaties onderbrengen binnen virtuele machines in de cloud.
Bezuinig niet op de beveiliging
Beveiligingshardware die op de bedrijfslocatie wordt ingezet, zoals firewalls, vpn’s en systemen voor indringerpreventie, biedt robuuste verdedigingsmechanismen tegen externe bedreigingen. Applicaties in cloud-omgevingen worden daarentegen slechts beschermd door de basisvoorzieningen waarin de gedeelde cloud-diensten voorzien, of hooguit de beveiligingsfuncties die deel uitmaken van het besturingssysteem van de server. Cloud providers hebben ook geen weet van de beveiligingsmaatregelen die hun klanten normaliter treffen om kwaadaardig verkeer af te slaan.
Om tegemoet te kunnen komen aan de eisen ten aanzien van beveiliging in de cloud moeten ict-teams nieuwe beschermingslagen aanbrengen in de vorm van een virtuele beveiligingsoplossing in de publieke cloud die zij leasen. Een next generation firewall (ngf) biedt inzicht in het applicatieverkeer en is gebruikersbewust. Dit zorgt voor een intelligent beheer van het dataverkeer en het bandbreedteverbruik, zodat ict-beheerders opnieuw grip op hun netwerk kunnen krijgen.
Kloof dichten
Door gebruik te maken van een virtuele firewall in de cloud kunnen bedrijven voor overeenstemming zorgen met een aantal eisen die aan de beveiliging van cloud-omgevingen worden gesteld, zoals:
- Een veilig datacenter: Een virtuele firewall kan het virtuele datacenter veilig houden door het filteren en beheren van het verkeer van en naar het internet, tussen virtuele netwerken en tussen cloud-omgevingen. De virtuele firewall kan daarnaast helpen met het uitbreiden van de beveiliging van het fysieke datacenter naar de cloud. Dit is met name relevant als je bedrijfsapplicaties in de cloud onderbrengt en behoefte hebt aan veilige verbindingen tussen de cloud-omgeving en de infrastructuur op de bedrijfslocatie.
- Veilige toegang op afstand: De standaardtunnels die worden gebruikt voor het inrichten van vpn-gateways zijn weliswaar veilig vanuit het oogpunt van encryptie en privacy, maar bieden niet de mate van controle die ict-afdelingen gewend zijn van hun op hardware gebaseerde firewalls. Een virtuele firewall kan zorgen voor geavanceerde beleidsregels, het filteren van het dataverkeer en de connectiviteit die nodig is om clients toegang tot de cloud te bieden. Wat versleutelde content betreft kan de virtuele firewall ervoor zorgen dat al het dataverkeer, ongeacht de bron of bestemming, wordt beschermd op basis van dezelfde beveiligingsmaatregelen waarin een hardwaregebaseerde firewall op locatie voorziet.
- Identiteitsbeheer: De meeste cloud-platforms zijn toegerust op het blokkeren van kwaadaardige activiteiten. Een virtuele firewall is daarom van cruciaal belang voor het waarborgen van de integriteit en geheimhouding van alle applicaties en data. De virtuele firewall zou ondersteuning moeten bieden aan veel gebruikte oplossingen voor toegangscontrole, evenals fijnmazige, op beleidsregels gebaseerde tools voor het filteren van het dataverkeer.
- Ict-beheer: Hoewel cloud providers doorgaans de omgevingen van hun klanten gescheiden houden en beveiligingsmaatregelen bieden, is er nog altijd een firewall in de cloud nodig voor een effectief beheer van die omgevingen. Deze firewall kan zorg dragen voor het beheer van de prestaties, het gebruik, de rapportage, configuratie en andere zaken waarin op locatie gebruikte beheertools voorzien.
Het beveiligen van applicaties en data in de cloud zal een stuk eenvoudiger verlopen met oplossingen die speciaal voor dat doel zijn ontwikkelen. Een virtuele firewall in de cloud beschermt applicaties en data in de cloud en dicht de kloof tussen de netwerkbeveiliging op locatie en de beveiliging van de cloud-omgeving.
