Hadden bedrijven vroeger grote zorgen over cloud computing, uit recent onderzoek van Flexera blijkt dat er tegenwoordig sprake is van een groeiend vertrouwen. Voorheen vormden die zorgen over cyberbeveiliging, evenals dataverlies en -lekken, een belemmering voor het adopteren van door de cloud gehoste oplossingen. Dat nu meer workloads naar de cloud verhuizen, bewijst dat bedrijven hun angst voor cloudbeveiligingsbedreigingen overwinnen; genoeg om op z'n minst een deel van hun gegevens en applicaties in de cloud te laten staan.
Het neemt allemaal niet weg dat er nog steeds (beveiligings)risico’s rondom cloudcomputing bestaan. Bedrijven moeten stappen ondernemen om deze te vermijden, dan wel te verminderen. In deze blogpost bespreken we enkele van de meest voorkomende bedreigingen voor cloudbeveiliging en wat bedrijven kunnen doen om ze uit de weg te gaan.
Verantwoordelijkheden
Om het risico van de bedreigingen voor cloudbeveiliging te begrijpen, is het belangrijk om de verantwoordelijkheden af te bakenen voor het beveiligen van verschillende aspecten van cloud computing. De verdeling van verantwoordelijkheden tussen openbare cloudprovider en klant varieert sterk, afhankelijk van het computermodel: saas, paas of iaas.
Maar uiteindelijk moeten zowel de cloudprovider als de zakelijke klant samenwerken volgens een model van gedeelde verantwoordelijkheid. Het doel is immers om de data veilig en beveiligd te houden. Dat gezegd hebbende: het is tijd voor enkele van de belangrijkste bedreigingen voor cloudbeveiliging waarmee ondernemingen tegenwoordig worden geconfronteerd. En nog belangrijker: wat er kan worden gedaan om het risico van deze cloudbedreigingen te verkleinen.
Verkeerde configuratie
Configuratiebeheer kan uitdagend zijn bij het implementeren van services en infrastructuur in de cloud. De verkeerde configuratie van een kritieke component of functie kan ernstige kwetsbaarheden in de cloudbeveiliging veroorzaken. Het hoofd van de wereldwijde beveiligingsprogramma’s voor Amazon Web Services (AWS) zei ooit dat zijn grootste zorg is dat de applicaties van klanten niet goed zijn geconfigureerd voor beveiliging.
Volgens het gedeelde verantwoordelijkheidsmodel van AWS moeten klanten de gastbesturingssystemen die ze op AWS draaien beveiligen. Dit is tot en met de applicaties die ze zelf gebruiken. Tegelijkertijd laat dat veel ruimte over voor fouten in de cloudconfiguratie.
Identiteits- en toegangsbeheer
In de cloud vormen problemen met identiteits- en toegangsbeheer een hoog risico. Zo kan de ongeautoriseerde toegang, gestolen inloggegevens, misbruik van inloggegevens door insiders en meer omvatten.
Kwaadwillenden die zich voordoen als legitieme gebruikers kunnen data inzien, wijzigen en verwijderen. Hackers kunnen ook controlevlak- en beheerfuncties uitgeven, snuffelen in verstuurde gegevens en malware verspreiden die van een legitieme bron lijkt te komen. De meest gebruikelijke manieren om inloggegevens voor cloudtoegang te stelen, zijn via phishing-e-mails, brute-forcing, gemakkelijk te raden wachtwoorden of informatie-stelende malware.
Geïsoleerd
Zoals het eerdergenoemde rapport aangeeft, zijn beveiligingsincidenten niet langer geïsoleerd voor pc’s en applicaties op het netwerk. Dit is voornamelijk te wijten aan de omvang van bedrijfsdata die tegenwoordig in de cloud zijn opgeslagen, evenals het groot aantal incidenten dat in de cloud plaatsvindt. Veel organisaties hebben hun beveiligingsprogramma’s echter nog niet aangepast om cyberdreigingen in de cloud aan te pakken.
Traditionele hulpprogramma’s voor eindpuntbeveiliging, zoals platforms voor endpoint detection and response, evenals volgende-generatieantivirussoftware, zijn niet geoptimaliseerd voor detectie en reactie in de cloud. Voor veel van dit soort oplossingen zijn agents nodig om data te verzamelen, en dit is wellicht niet mogelijk met bestaande cloud-implementaties. Desalniettemin is het van cruciaal belang dat beveiligingsteams incidenten op AWS-workloads kunnen ontdekken, inventariseren, inspecteren, detecteren en erop kunnen reageren zonder agents te installeren, containers in te zetten of door de AWS-console te navigeren.
Hier komt het gedeelde verantwoordelijkheidsmodel om de hoek kijken. De cloudserviceprovider is verantwoordelijk voor het bewaken van de infrastructuur en services die aan een onderneming worden geleverd, maar is niet verantwoordelijk voor het bewaken van de systemen en applicaties die een onderneming maakt met behulp van de geleverde services, of de gegevens die je in de cloud plaatst. De cloudprovider kan jouw organisatie monitoringinformatie leveren met betrekking tot het gebruik van de cloudservices. Deze informatie moet worden ingezet om data uit jouw eigen monitoringtools aan te vullen.
Wanneer je jouw cloudapplicaties al een tijdje hebt en niet zeker bent van je cloudbeveiliging, is het van belang om hier een goed naar te kijken. Het is zaak dat je mogelijk onbekende bedreigingen, kwetsbaarheden en andere risico’s in uw cloud0omgevingen blootlegt. Want weten wat zich wel of niet in de cloud verbergt, is de eerste stap om risico’s te elimineren.
(Auteur Hans ten Hove is Northern Europe Director bij Datto.)