Wat betekent veilig in de cloud werken?

Cloudsecurity omvat alle policy’s, tools, processen en medewerkers die nodig zijn om cloudomgevingen te beschermen. Deze vorm van beveiliging is van toepassing op alle systemen in de cloud, van netwerken en opslag (cloudinfrastructuur) tot en met data en applicaties.

Cloudsecurity deelt enkele basisconcepten met traditionele on-premise cybersecurity, maar kent ook een aantal unieke technologieën en best practices. Deze laatste helpen beschermen tegen bepaalde geavanceerde bedreigingen in de cloud, om de opschuivende buitengrenzen van het netwerk te beschermen en om de verantwoordelijkheid te delen tussen de aanbieders van cloudservices en hun klanten.

Bekijk aanvullende onderwerpen over cloudsecurity:

Waarom is cloudsecurity belangrijk?

Wanneer organisaties meer workloads verschuiven naar cloudomgevingen, is het van het allergrootste belang dat die applicaties en de bijbehorende klantgegevens goed worden beveiligd. Globaal genomen dient cloudsecurity voor het volgende:

  • Ervoor zorgen dat data in de cloud, gebruikers en onderliggende systemen afdoende beschermd zijn tegen bedreigingen zoals DDoS-aanvallen met bots, API-exploitatie en datacorruptie.
  • Het naleven van wet- en regelgeving vereenvoudigen, bijvoorbeeld waar bestanden veilig opslaan in cloud plaatsvinden en in welke mate cloudproviders moeten waken over de privacy van gebruikers.
  • De cloudomgeving maximaal inzichtelijk maken, zodat securityteams weten welke aanvragen verlopen via API’s en gebruikersinterfaces, in combinatie met analytics.
  • Toegangsbeheer en authenticatie afdwingen voor cloudgebruikers en hun devices, ongeacht locatie. Dit gebeurt vaak via een zero-trust securitymodel.
  • De verantwoordelijkheid verdelen tussen de cloudserviceprovider en de gebruiker, waar nodig voor de desbetreffende cloudservice en implementatiemodellen.

Veilig werken in de cloud is een gedeelde verantwoordelijkheid. Hoe de securityarchitectuur er precies uitziet voor provider en klant, hangt af van de specifieke delen die elk van hen beheert.

Wat is een cloudsecurity-architectuur?

Een cloudsecurity-architectuur is de structuur die bepaalt hoe de verantwoordelijkheid wordt gedeeld tussen cloudprovider en klant, of, anders gezegd, wie beveiligt wat en op welke manier.

Binnen zijn verantwoordelijkheid zorgt de provider of klant voor de specifieke technische componenten die de cloudapps zelf beveiligen of die de toegang tot deze apps beveiligen.

Voorbeelden van securitymaatregelen voor apps zijn:

  • Data-encryptie-algoritmen en protocollen voor het beveiligen van clouddata in transit en in rust.
  • Web application firewalls (WAF) en oplossingen voor bot management om het risico van cyberaanvallen en onjuiste blootstelling van gegevens te verminderen.
  • Detectie en verwijdering van malware en ransomware, samen met bredere preventie van gegevensverlies via tools die ervoor zorgen dat gevoelige gegevens niet zomaar kunnen worden benaderd en gestolen.
  • Monitoring en registratie van verzoeken, cybersecurity events en alle andere activiteiten en endpoints in de cloudomgeving.

Voorbeelden van securitymaatregelen voor de toegang tot apps zijn:

Omdat cloudsecurity zo complex is, is een coherente en goed ondersteunde cloudsecurity-architectuur belangrijk. Data kan worden benaderd door onbeheerde devices, er is geen traditionele netwerkperimeter die kan worden beschermd en er zijn gecompliceerde securityrisico’s zoals ‘advanced persistent threats’.

De belangrijkste servicemodellen zijn Infrastructure as a Service (IaaS), Platform as a Service (PaaS), Software as a Service (SaaS) en Desktop as a Service (DaaS). Elk belangrijk cloudservicemodel heeft zijn eigen onderscheidende securityarchitectuur die wordt beheerd door de cloudprovider en de klant.

Cloudsecurity-architecturen verschillen ook afhankelijk van het feit of de cloud in kwestie wordt geïmplementeerd als public cloud, private cloud of hybride cloud. Veel organisaties kiezen een multicloud-strategie, wat inhoudt dat ze van elke categorie een of meer cloudomgevingen hebben.

WHITEPAPER

Waarom u uitgebreide bescherming nodig hebt voor uw multicloud-omgevingen

Ontdek waarom uitgebreide, in de cloud aangeboden bescherming essentieel is in de multicloud-omgevingen van nu.

Wie is verantwoordelijk voor de cloudsecurity?

Dit hangt af van het service- en implementatiemodel, hoewel de verantwoordelijkheid voor het veilig werken in de cloud altijd in zekere mate zal worden gedeeld. Met IaaS in een public cloud zal de provider daarvan instaan voor bijvoorbeeld de fysieke netwerkinterfaces, hypervisors en dataopslag. De klant staat in voor het beheer van de besturingssystemen, applicaties en data.

Deze architectuur wordt ook wel als volgt omschreven: de cloudprovider houdt toezicht op de beveiliging ‘van’ de cloud (op de essentiële hardware en software, zoals databases en rekencapaciteit in het datacenter) en de klant richt zich op de beveiliging ‘in’ de cloud, namelijk hoe die organisatie toegangsverzoeken verleent of weigert, zijn firewalls configureert en andere activiteiten uitvoert tijdens het gebruik van een cloudservice.

Bij PaaS, SaaS en DaaS in de public cloud is de cloudserviceprovider verantwoordelijk voor een groter deel van de security met betrekking tot IaaS. Bij SaaS hoeft de klant bijvoorbeeld de onderliggende servers, databases en gerelateerde beveiligingsmechanismen zoals encryptie niet te beheren. Deze setup betekent echter niet dat SaaS risicovrij is. Klanten moeten nog steeds de cloudprovider controleren en ervoor zorgen dat de toegang tot applicaties goed beveiligd is.

Private clouds en hybride clouds, waarbij een organisatie bepaalde systemen exclusief voor eigen gebruik onderhoudt, vereisen meestal meer security van de klant zelf. Het opslaan van data in een private of hybride cloud heeft wel zekere voordelen wat security betreft, aangezien er daarvoor geen gedeelde infrastructuur nodig is, wat bij data in een public cloud wel het geval is. Het goed beschermen hiervan kan wel meer werk van de klant vragen.

In welk opzicht is cloudsecurity anders?

Hoewel sommige traditionele vormen van cybersecurity, zoals het gebruik van SSO, goed passen in een cloudsecurity-architectuur, is het veilig in de cloud werken aan de zijde van de klant fundamenteel anders dan on-premise security. De belangrijkste verschillen zijn als volgt:

Bredere toegankelijkheid houdt een groter gevaar in. Cloudapplicaties zijn breder toegankelijk dan traditionele applicaties. Doordat ze vanaf vrijwel elke locatie bereikbaar zijn via IP-netwerken, trekken ze meer cyberaanvallen aan. SQL-injectie, DDoS-aanvallen en andere bedreigingen zijn constante aandachtspunten bij het werken met cloudapplicaties.

Multicloud-omgevingen trekken hackers aan en moeten daarom zorgvuldig worden bewaakt. Geautomatiseerde aanvallen door middel van bots kunnen bijvoorbeeld alleen worden gestopt met oplossingen voor botdetectie samen met securitytools zoals WAF’s en API-bescherming. Onjuist beveiligde API’s kunnen ongeautoriseerde toegang mogelijk maken die een datalek veroorzaakt.

Gedeelde verantwoordelijkheid tussen provider en klant. Cloudsecurity is ook anders dan traditionele beveiliging in de zin dat veilig werken in de cloud een gedeelde verantwoordelijkheid is. De klant heeft in de cloud geen volledige controle over de security, ook al heeft hij wel in zekere mate controle over de toegang.

Deze gedeelde verantwoordelijkheid is het duidelijkst zichtbaar in de public cloud, waar de serviceprovider instaat voor de versleuteling van gegevens en bescherming tegen malware, terwijl de klant de toegang beveiligt. Daarom zijn de SLA die de provider biedt en zijn reputatie qua security zo belangrijk.

Er bestaan verschillende vereisten voor het beveiligen van toegang. Het sterk gecentraliseerde, perimeter-gedefinieerde model van on-premise security kan niet worden geschaald naar moderne multicloud-omgevingen. De toegang tot cloudapps kan niet volledig worden beveiligd met bijvoorbeeld VPN’s of firewalls, want deze gaan ervan uit dat gebruikers binnen het netwerk van de organisatie altijd betrouwbaar zijn.

Een VPN bijvoorbeeld maakt het hele netwerk toegankelijk en vertrouwt gebruikers volledig zodra deze zijn geautoriseerd. Deze aanpak mag in bepaalde on-premise gevallen wel haalbaar zijn, maar niet in de wereld van brede toegang tot cloudapplicaties, waar een gebruiker in werkelijkheid een bot of securitygevaar kan zijn.

Wat zijn de belangrijkste uitdagingen op het gebied van cloudsecurity?

Als het om veilig werken in de cloud gaat, zijn er veel uitdagingen die uniek zijn voor de cloud of die in de cloud veel complexer zijn dan on-premise:

  • Filtering, monitoring en blokkering van verkeer: WAF’s zijn in de cloud belangrijker omdat ze nodig zijn voor het screenen van de enorme hoeveelheden verkeer die naar cloudapps bewegen. Als dit verkeer niet goed wordt gefilterd, gemonitord en geblokkeerd, kunnen er malware en aanvragen van schadelijke bots in het verkeer aanwezig zijn.
  • Bescherming van API’s: Zonder goede bescherming van de vele cloud-API’s die verschillende services aan elkaar koppelen, is een kostbaar datalek zo gebeurd, bijvoorbeeld doordat een onbedoelde gegevensoverdracht mogelijk wordt gemaakt.
  • Identificatie en beheer van bots: Botnets liggen aan de basis van veel cyberaanvallen en moeten dan ook op de juiste manier worden geïdentificeerd en beheerd om problemen zoals ‘brute force attacks’ te stoppen.
  • Malware, ‘advanced persistent threats’ en cyberaanvallen: Cloudsystemen zijn publiek toegankelijk en staan daardoor constant bloot aan de meest uiteenlopende cybergevaren die de toegang kunnen verstoren en gevoelige informatie in gevaar kunnen brengen.
  • Onjuiste of onvoldoende beveiligingsmechanismen voor cloudsecurity: Wanneer organisaties applicaties migreren naar de cloud, passen ze niet altijd hun security aan of houden ze geen rekening met de gedeelde verantwoordelijkheid die in een cloudsecurity-architectuur geldt.
  • Onjuiste configuraties: Cloudsystemen kunnen onjuist geconfigureerd zijn, wat kan leiden tot beveiligingsproblemen die gedurende langere tijd onder de radar blijven.
  • Netwerk-/WAN-security: Met de overstap van WAN’s op basis van MPLS naar SD-WAN voor de ondersteuning van cloudapplicaties is er behoefte ontstaan aan nieuwe securitymechanismen en architecturen, zoals SASE, om SaaS-breakouts mogelijk te maken en het gecentraliseerde securitymodel van een traditioneel WAN te vervangen.

Hoe moet u cloudsecurity benaderen?

Op het gebied van veilig werken in de cloud bestaan er tal van best practices. Vanwege de gedeelde verantwoordelijkheid binnen een cloudsecurity-architectuur behoort een groot deel van die best practices niet tot het takenpakket van de klant. Enkele van de belangrijkste onderdelen van een verstandige cloudsecurity-strategie zijn:

WAF’s

Organisaties kunnen bedreigingen vinden en stoppen met een WAF. Een WAF biedt complete security voor verkeer en webservices in cloudomgevingen door bescherming te bieden tegen SQL-injectie, cross-site scripting (XSS) en meer. Een WAF kan cloudapps en API’s beschermen door consistente securitypolicy’s toe te passen op alle appliances waarop ze zijn geïnstalleerd, wat resulteert in uniforme security.

Bescherming van API’s

Organisaties kunnen hun API’s beschermen met gelaagde oplossingen die de meest dringende soorten cyberaanvallen in de cloud kunnen tegenhouden. API-bescherming beschermt tegen bekende en zero-day aanvallen en beveiligt de API’s die anders een van de grootste beveiligingsproblemen zouden zijn in een cloudarchitectuur. Betere API-bescherming betekent minder datalekken.

Identificatie en beheer van bots

Met tools voor bot management en mitigation kunnen organisaties voorkomen dat botnets ‘brute force attacks’ uitvoeren of DDoS-aanvallen uitvoeren op kritieke cloudapps. Deze tools passen geavanceerde regels toe om na te gaan of een bot legitiem is (een nuttige chatbot bijvoorbeeld) of een risico dat moet worden geblokkeerd om geen cyberaanval te hebben.

Bescherming en versleuteling van gegevens

Organisaties kunnen data beschermen door middel van encryptie (versleuteling) en monitoring. Hoe de versleuteling er precies uitziet, is afhankelijk van de cloudservice: IaaS, PaaS, SaaS of DaaS. Databronnen moeten zorgvuldig worden gemonitord om te voorkomen dat een verkeerde databaseconfiguratie een lek kan veroorzaken.

Zero-trust security

Organisaties kunnen de toegang en autorisatie beheren met zero-trust security. Dit houdt in dat gebruikers, devices en verzoeken contextafhankelijk en continu moeten worden beoordeeld via bijvoorbeeld meervoudige authenticatie en evaluatie van relevante criteria zoals de updatestatus van devices en de geografische locatie van de gebruikers.

Uitgebreide zichtbaarheid

Oplossingen voor endpoint management en network monitoring zijn belangrijk om te weten wie wat doet en waar. Deze zichtbaarheid is vooral belangrijk in complexe hybride cloud- en multicloud-omgevingen waarin meerdere implementaties en services actief zijn.

Citrix oplossingen voor cloudsecurity

Citrix biedt diverse oplossingen voor cloudsecurity die een veiliger gebruik van en toegang tot allerlei soorten applicaties mogelijk maken, wat bijdraagt aan efficiëntere werkomgevingen op afstand en multicloud-implementaties:

Ontdek hoe u uw cloudsecurity aanscherpt met Citrix Secure Private Access