Bedrijven van alle groottes omarmen publieke infrastructure-as-a-service (IaaS)-oplossingen om hun efficiëntie te verbeteren, innovatie te stimuleren en hun reactiesnelheid tegenover concurrenten en de markt te verhogen. Onderzoeksbureau Gartner voorspelt dat het gebruik van IaaS-diensten dit jaar met 38,6 procent zal groeien tot 29 miljard dollar.
Ondanks de populariteit en voordelen zijn er een aantal uitdagingen waarmee bedrijven geconfronteerd worden als ze overstappen naar de cloud.
Naarmate cloud steeds meer ingeburgerd raakt, komt meer en meer data buiten het bereik van traditionele it-beveiliging. Bijvoorbeeld in externe datacenters waar de bedrijven zelf geen eigenaar van zijn en geen controle over hebben. Daarbovenop zijn de assets en applicaties van bedrijven even kwetsbaar voor bedreigingen in de cloud als in de datacenters van de bedrijven zelf.
Een niet geüpdate Linux- of Microsoft-server die op het internet is aangesloten, is kwetsbaar, of die nu in het netwerk van de klant zit of in de publieke cloud. Bovendien kan malware, als die in de cloud zit, zich gemakkelijk verspreiden onder virtuele machines, virtuele segmenten aanvallen of zelfs via vpn-verbindingen naar bedrijfsnetwerken reizen.
Gedeelde verantwoordelijkheid
Om de cloud volledig te omarmen, moeten bedrijven begrijpen hoe de verantwoordelijkheid voor het beschermen van de cloud-infrastructuur (verantwoordelijkheid van de cloud-provider) en het beschermen van de data in de cloud (verantwoordelijkheid van de klant) gedeeld wordt. Dit is wat IaaS-aanbieders ‘het gedeelde verantwoordelijkheidsmodel’ noemen.
Bij publieke cloud-netwerken wordt de infrastructuur gebruikt door verschillende bedrijven, soms wel miljoenen tegelijkertijd wereldwijd. Voor publieke cloud-omgevingen is het levensbelangrijk dat er degelijke beveiliging, operationeel management en technieken om bedreigingen te elimineren zijn, zodat infrastructuur, cloud fabric, hypervisors en diensten en klanten beschermd worden.
Hoewel providers van publieke cloud zorgen voor sterke controles om de cloud fabric te beschermen, hebben ze geen kennis van het ‘normale’ klantenverkeer. Ze bieden enkel eenvoudige poortfilters of toegangscontrolelijsten (ACL’s), die klanten toelaten hun cloud-omgeving te segmenteren en zowel inkomend als uitgaand verkeer te controleren.
Dit zorgt voor een grote uitdaging voor cloud architecten en security administrators. Zij moeten er namelijk voor zorgen dat data in de cloud even consistent beveiligd wordt als on-premise. Verward door ‘het gedeelde verantwoordelijkheidsmodel’ kiezen veel bedrijven ervoor om door hun cloud provider ingebouwde toegangscontrole-methodes te gebruiken.
Terwijl die methodes klanten toestaan om specifieke internetpoorten te openen (meestal poort 80 en 443), is er geen mechanisme voorzien om ongewenst verkeer te blokkeren of om te voorkomen dat bekende of onbekende dreigingen assets van de klant aanvallen. De bad guys weten dit maar al te goed en werken al een hele poos aan geautomatiseerde tools die kwetsbare activa in de cloud kunnen identificeren en aanvallen.
Ongeautoriseerde scans
In het onlangs gepubliceerde Bad Bot Report schrijft de Amerikaanse botbestrijder Distil Networks dat op 88 procent van alle websites ongeautoriseerde kwetsbaarheidsscans ontdekt worden. Cybercriminelen vallen nietsvermoedende websites aan met geautomatiseerde tools, bestaande uit legers van bots. Ze scannen massa’s Iip-adressen van publieke cloud-providers om te ontdekken welke nieuwe servers en diensten online komen.
Het doel van die scans is niet alleen identificeren wie de host(s) zijn, maar ook ontdekken met wat die nog verbonden zijn, om zo een overzicht te krijgen van de algemene netwerkomgeving en eventuele meer waardevolle targets. De scans worden zo gemaakt dat ze eruit zien als legitieme gebruikersactiviteit en gaan via gangbare internetpoorten (onder andere 80 en 443), zodat standaard poortblokkering hen niet kan tegenhouden.
Erger nog, volgens datzelfde rapport vertegenwoordigde het verkeer van bad bots ongeveer 20 procent van alle websiteverkeer in 2016. Naast het scannen en verzamelen van informatie op klantenomgevingen zijn ‘slechte bots’ ook heel handig voor allerlei andere activiteiten, waaronder ‘informatie van concurrerende websites schrapen, brute force- en man-in-the-middle aanvallen uitvoeren, accounts proberen kapen, digitale advertentiefraude, spam, transactiefraude en meer’.
Nieuwe diensten zijn bijzonder aantrekkelijke doelen, omdat er vertraging is tussen de dienstverlening en het moment waarop patches worden geïnstalleerd, waardoor gemotiveerde hackers een mooie kans krijgen. Daarbij komt dat nieuwe online-diensten vaak door niet-beveiligingswerkers (DevOps, cloud architects, et cetera) worden gemaakt, en zij vereisen best practices zoals het gebruik van sterke wachtwoorden vaak niet. Dat maakt die sites kwetsbaar voor gestolen en misbruikte toegangsgegevens, samen met een reeks van andere aanvallen.
Een diepgaande verdedigingsstrategie voor de cloud moet het netwerk, alle workloads en data beschermen tegen misbruik, malware en andere geavanceerde aanvallen. Tegelijkertijd moet de manier waarop we kijken naar it-beveiliging en die implementeren veranderen.
Evolutie
It-beveiliging moet evolueren van statisch en manueel intensief naar flexibel en dynamisch. Het moet naadloos de nieuwe functies en functionaliteiten van cloud-based omgevingen ondersteunen. Automatisering en organisatie zijn cruciaal voor het afstemmen van de beveiliging op de steeds veranderende behoeften van bedrijven. En dat terwijl ze ervoor zorgen dat beveiliging ingebouwd kan worden bij het volledige proces van cloud services.
It-beveiliging kan niet monolithisch en stijf blijven, het moet worden aangepast en beter worden afgestemd op de snelle transformatie die bedrijven ondergaan terwijl ze overstappen naar cloud based networks. Tegelijkertijd moeten bedrijven zelf zoeken naar oplossingen die uitgebreide beveiliging, toegang, identiteit, sterke authenticatie, nalevingsrapportage en connectiviteit met meerdere clouds bieden, en die hen kunnen helpen om cloud met vertrouwen te omarmen.
