Cloud vraagt een nieuwe security benadering
Angst voor de cloud is bij de meeste organisaties inmiddels verdwenen. Het inzicht dat moderne datacenters werkelijk goed beveiligd zijn, en dat cloudcomputing onmisbaar is voor een digitale bedrijfsstrategie, maakt dat de cloud inmiddels door steeds meer organisaties wordt omarmd. Daarbij worden specifieke security-uitdagingen van de cloud helaas nog te vaak over het hoofd gezien.
Innovatie en transformatie maken IT steeds complexer. Het managen van die complexiteit is tegenwoordig zelfs een van de belangrijkste taken van de IT-afdeling. Die zit daar niet bepaald op te wachten: van IT wordt verwacht dat ze een digitale strategie ontvouwen en de business naar een nieuwe digitale toekomst leiden. Daarom probeert IT zo veel mogelijk onderhouds- en beheerstaken af te stoten, door een beroep te doen op de specialistische kennis van derden, zoals de zeer specifieke expertise van cloudproviders voor het hosten van data en applicaties.
Die cloudproviders doen er uiteraard alles aan om hun datacentra te beschermen tegen hackers, aanslagen, spionnen en andere bedreigingen van buiten. Hun hele businessmodel draait om het aanbieden van een ideale omgeving waar klanten altijd snel en veilig bij hun data kunnen. Dankzij hun specialisatie excelleren ze in uptime, high availability en maximale connectiviteit, en dan ook nog eens zo groen en goedkoop mogelijk. Vanuit die optiek is de overstap naar de cloud voor veel organisaties een enorme stap vooruit.
Veel afnemers lijken er echter vanuit te gaan dat ze niet alleen een stuk complexiteit, maar ook verantwoordelijkheid hebben uitbesteed – maar zo gemakkelijk gaat dat niet. Cloudproviders leveren een stuk infrastructuur, maar wat binnen die infrastructuur met (privacy)gevoelige gegevens gebeurt, blijft de verantwoordelijkheid van de afnemer. Helaas vergeten veel afnemers vooraf na te gaan hoe ze die verantwoordelijkheid onder die nieuwe omstandigheden het beste kunnen invullen.
Detectie in een complexe omgeving
Het businessmodel van cloudproviders draait om efficiency. Door de kosten voor bijvoorbeeld netwerkverbindingen, hardware, energie en koeling te spreiden over een groot aantal klanten kunnen, ondanks de kleine marges, standaard services van hoge kwaliteit tegen relatief lage prijzen worden aangeboden. Daar hoort een degelijke beveiliging bij, maar die security is vooral bedoeld om de verantwoordelijkheid van de providers af te dekken. De verantwoordelijkheid die afnemers zelf hebben voor de data in hun organisatie, vraagt om andere, op maat gesneden maatregelen.
De meeste cloudproviders zijn bijvoorbeeld niet berekend op cybercrime van binnenuit. Een medewerker die op legitieme wijze inlogt, of een inbreker die gebruikmaakt van legitieme inloggegevens, doet over het algemeen bij cloudproviders geen alarmbel rinkelen. Als iemand toegang zoekt tot vertrouwelijke gegevens, of plots grote hoeveelheden data wegsluist naar het buitenland, is dat voor cloudproviders niet zonder meer reden om alarm te slaan. De detectie van activiteiten die kunnen duiden op cybercrime hoort bij de meeste cloudproviders niet tot het standaard arsenaal, en moet dus worden opgepakt door het eigen security-team of externe security specialisten, die bijvoorbeeld vanuit een Security Operations Center (SOC) het dataverkeer controleren.
Voor de detectie van dit soort onregelmatigheden hebben de security-teams toegang nodig tot bijvoorbeeld loggegevens. Maar lang niet alle cloudproviders zijn bereid of in staat dergelijke loggegevens zomaar te verstrekken. In sommige gevallen van shared hosting is het zelfs technisch ondoenlijk unieke loggegevens van één enkele klant uit de shared servers te halen. In ieder geval zal daar dan een prijskaartje aan hangen – en er zijn maar weinig nieuwe cloudgebruikers die dáár bij hun keuze voor de cloud rekening mee hebben gehouden.
Cybersecurity in de multicloud
Daar komt nog bij dat organisaties steeds vaker gebruik maken van ‘multicloud’, waarbij de data van organisaties verspreid wordt over soms tientallen verschillende cloudproviders. Denk aan de vele verschillende SaaS-leveranciers waar bedrijven tegenwoordig zaken mee doen (en de diverse andere “as-a-Services” die inmiddels beschikbaar zijn), maar ook aan de wens om op elk gewenst moment flexibel te kunnen overstappen naar een andere cloudprovider.
Innovatie en digitale transformatie zijn tegenwoordig vrijwel ondenkbaar zonder cloud computing.
Dat heeft allemaal duidelijk voordelen vanuit business-perspectief, maar elk van die providers gaat anders om met loggegevens en als die data niet zorgvuldig worden gekoppeld, valt de bodem uit het securitymodel. Ook over de organisatie van cybersecurity over al deze omgevingen heen wordt nog onvoldoende nagedacht. Het kàn vaak wel, maar als vooraf geen duidelijke afspraken zijn gemaakt met iedere cloudprovider over hoe met dit soort securityvoorwaarden wordt omgegaan, kan het heel ingewikkeld worden om dat achteraf alsnog te regelen. Zo kan een voordeel omslaan in een serieus nadeel, als blijkt dat de beveiliging van bedrijfsgevoelige gegevens op al die verschillende locaties alleen effectief is op te pakken tegen een forse meerprijs.
Innovatie en digitale transformatie zijn tegenwoordig vrijwel ondenkbaar zonder cloud computing. Maar wie bij de stap naar de cloud onvoldoende rekening houdt met de security-implicaties, kan voor nare verrassingen komen te staan. Daarom is het belangrijk dat cybersecurity zo vroeg mogelijk wordt meegenomen in de cloudstrategie, zodat de oplossingen (en de partners) die gekozen worden klaar zijn voor een effectieve én efficiënte beveiliging van de bedrijfsgegevens.