Wat is cloudbeveiliging?

• Kunstmatige intelligentie (AI) en machine learning (ML) inschakelen voor het automatisch aanpassen aan en oplossen van beveiligingsrisico's
• Autonome mogelijkheden gebruiken om beveiligingsreacties te schalen, risico's te voorkomen en fouten te elimineren
• Data proactief beschermen met toegangscontroles, beheren van gebruikersrisico's en zichtbaarheid en beschikbaar stellen van tools voor detectie en classificatie
• Het gedeelde verantwoordelijkheidsmodel voor cloudbeveiliging volgen om bewust de beveiligingsactiviteiten tussen de klant en de cloudserviceprovider af te dekken
• Beveiliging inbouwen in het ontwerp van de architectuur voor een 'beveiliging eerst'-aanpak

Cloudbeveiliging biedt organisaties een manier om beveiligingsvereisten aan te pakken en ervoor te zorgen dat zij zich aan de wettelijke compliancevereisten houden. Voor een effectieve cloudbeveiliging zijn meerdere verdedigingslagen in de hele cloudtechnologie-stack nodig die bestaan uit:

• Preventiecontroles die zijn bedoeld om geautoriseerde toegang tot gevoelige systemen en data te blokkeren
• Detectiecontroles die zijn bedoeld om ongeautoriseerde toegang tot systemen en data en wijzigingen door middel van controles, monitoring en rapportage aan het licht te brengen
• Geautomatiseerde controlesdie zijn bedoeld om zowel reguliere als kritieke beveiligingsupdates te voorkomen, te detecteren en erop te reageren
• Administratieve controles die zijn bedoeld om beleid, normen, praktijken en procedures met betrekking tot de beveiliging te bekijken

Machine learning en kunstmatige intelligentie breiden technologieën voor contextueel bewustzijn in een cloudbeveiligingsportfolio uit. Met cloudbeveiliging hebben bedrijven bescherming voor IaaS, PaaS en SaaS, waardoor de beveiliging wordt uitgebreid naar het netwerk, de hardware, de chips, het besturingssysteem, de opslag en de applicaties.

Cloudbeveiliging is een gedeelde beveiligingsverantwoordelijkheid tussen cloudprovider en klant. Het model voor een gedeelde verantwoordelijkheid voor beveiliging in de cloud is een fundamenteel concept voor cloudbeveiliging en risicobeheer voor het overbrengen van de taakverdeling tussen de cloudserviceprovider en de abonnee van de service. Een duidelijk inzicht in het gedeelde verantwoordelijkheidsmodel voor beveiliging voor alle typen cloudservices is van cruciaal belang voor programma's voor cloudbeveiliging. Helaas moet ook worden gezegd dat het model van gedeelde verantwoordelijkheid voor beveiliging een van de minst begrepen beveiligingsconcepten in de cloud is. In feite begrijpt slechts 8 procent van de CISO's volledig hun rol bij het beveiligen van SaaS versus cloudserviceprovider (CSP). Eenvoudig gezegd schetst het gedeelde verantwoordelijkheidsmodel voor beveiliging het verantwoordelijkheidsgebied van de cloudserviceprovider met betrekking tot het onderhouden van de veiligheid en beschikbaarheid van de service, en de verantwoordelijkheid van de klant om een veilig gebruik van de service te garanderen, waarbij de cloudserviceprovider en de klant een specifieke taak delen.

Het is noodzakelijk voor bedrijven om inzicht in hun verantwoordelijkheden te hebben. Het niet adequaat beschermen van data kan ernstige en kostbare consequenties tot gevolg hebben. Veel organisaties die de gevolgen van een datalek aan den lijve ondervinden, zijn mogelijk niet in staat om de kosten te dragen en zelfs grote bedrijven krijgen waarschijnlijk een financiële klap. Het punt van een gedeeld verantwoordelijkheidsmodel voor beveiliging is het bieden van flexibiliteit met ingebouwde beveiliging die snelle implementatie mogelijk maakt. Daarom moeten organisaties hun verantwoordelijkheden op het gebied van cloudbeveiliging begrijpen. Deze worden algemeen aangeduid als beveiliging 'van ' de cloud versus beveiliging 'in' de cloud.

Vandaag de dag krijgen bedrijven een breed scala aan tools voor cloudbeveiliging aangeboden om hun omgevingen te beveiligen bij het verplaatsen van workloads en data naar de cloud. Sommige van deze tools worden echter geleverd met op maat gemaakte instructies en worden aangeboden als individuele services. Van cloudgebruikers en -beheerders wordt verwacht dat zij weten hoe cloudbeveiligingsservices werken, hoe ze deze correct kunnen configureren en hoe ze hun cloudimplementaties kunnen onderhouden. Hoewel er geen gebrek aan beveiligingsopties is, kan het lastig zijn om die opties in te stellen en kan er gemakkelijk ergens een fout worden gemaakt. Bovendien halen de onophoudelijke cyclus van phishing, malware en toenemende cyberfraude en een reeks verkeerd geconfigureerde cloudservices meer en meer de rek uit de reeds onder druk staande programma's voor cyberbeveiliging. Dit heeft ertoe geleid dat organisaties te maken krijgen met datalekken en de daaruit voortvloeiende merkschade, herstelkosten en boetes. Hieronder staan een aantal belangrijke vereisten om clouddata veilig te houden:

• Gedeelde verantwoordelijkheid voor en vertrouwen op beveiliging vertrouwen is doorslaggevend bij het kiezen van een cloudpartner om het einde van het gedeelde beveiligingsmodel te eerbiedingen. Organisaties moeten een duidelijk begrip hebben van rollen en verantwoordelijkheden en toegang hebben tot onafhankelijke beveiligingsaudits en attesten van derden.
• Automatisering en machine learning: cloudbedreigingen verplaatsen zich razendsnel, terwijl het analyseren van de bedrijfsbeveiliging en het reageren op bedreigingen veel trager gaan. Een moderne beveiliging in cloudomgevingen moet de detectie van en reactie op bedreigingen automatiseren. Voor geavanceerde bedreigingen zijn beveiligingsoplossingen nodig voor een nieuw niveau van verfijning bij het met machine learning voorspellen, voorkomen en detecteren van en reageren op bedreigingen.
• Diepgaande beveiliging: meerdere beveiligingslagen door de hele technologie-stack moeten preventie-, detectie- en administratieve controles bevatten voor de juiste mensen, processen en technologie om de fysieke datacenters van de cloudproviders te helpen beveiligen.
• Identiteitsbeheer: naarmate het aantal mobiele apparaten, apps en gebruikers steeds groter wordt, is identiteit de nieuwe perimeter geworden. Het beheren van toegang en bevoegdheden in de cloud en on-premises op basis van veilige referenties is van cruciaal belang.
• Zichtbaarheid: een beveiligingsmakelaar voor cloudtoegang en een oplossing voor statusbeheer in de cloud vergroten de zichtbaarheid en controle binnen de volledige cloudomgeving van een organisatie.
• Continue compliance: regulatieve compliance is niet optioneel, en compliance en beveiliging zijn niet hetzelfde. Organisaties kunnen zonder een beveiligingslek toch worden geconfronteerd met schendingen van de compliance, bijvoorbeeld door niet-bijgewerkte configuraties en fouten. Het is voor bedrijven essentieel om een cloudbeheeroplossing te hebben die uitgebreide, tijdige en bruikbare compliancegerelateerde data in hun cloudomgevingen biedt.
• Beveiliging als standaardfunctie: beveiligingscontroles moeten standaard door de cloudprovider zijn ingeschakeld en het is niet aan het bedrijf om die controles in te schakelen. Niet iedereen heeft een grondige kennis van de verschillende beveiligingscontroles en hoe deze samenwerken om risico's te verkleinen en een compleet beveiligingspostuur te implementeren. Zo moet dataversleuteling standaard zijn ingeschakeld. Consistente controles en beleidsregels voor databescherming moeten overal in de cloud worden gehandhaafd.
• Monitoring en migratie: beveiligingsbeleid voor cloudtenancy's en -compartimenten moeten worden opgesteld en afgedwongen voor beheerders om workloads te helpen beveiligen. Een uniform beeld van de houding ten opzichte van cloudbeveiliging voor alle cloudtenants is ook essentieel om verkeerd geconfigureerde resources en onveilige activiteiten tussen tenants te detecteren en biedt beveiligingsbeheerders inzicht in de triage en het oplossen van problemen met de cloudbeveiliging.
• Scheiding van taken en toegang met de minste bevoegdheden: de principes van scheiding van taken en toegang met de minste bevoegdheden zijn best practices op het gebied van beveiliging die in cloudomgevingen moeten worden geïmplementeerd. Op die manier kan ervoor worden gezorgd dat individuen geen buitensporige administratieve rechten hebben en zonder de vereiste bevoegdheid geen toegang tot gevoelige data hebben.

Webcast: Cloud Guard en beveiligingszones (21:37)

Naarmate de acceptatie van de cloud blijft toenemen als gevolg van prioriteiten voor digitale transformatie, moeten bedrijven anticiperen op en navigeren door de complexiteit van het beveiligen van hun cloudomgevingen. Het is essentieel om een cloudprovider te kiezen die de beveiliging zo heeft ontworpen dat deze automatisch wordt ingebouwd in de hele cloudstack (IaaS, PaaS, SaaS). Extra overwegingen ten aanzien van de toekomst van cloudbeveiliging zijn onder meer:

• Beveiliging van Cloud Infrastructure: beschermen van workloads met een beveiligingsgerichte benadering voor alle computers, netwerken en opslag van de cloudinfrastructuur, te beginnen met de architectuur. Gebruik essentiële beveiligingsservices om de vereiste beveiligingsniveaus voor uw meest bedrijfskritische workloads te bieden.
• Cloudbeveiliging voor databases: beperken van het risico op een datalek en versnellen van compliance in de cloud. Pas beveiligingsoplossingen voor databases toe die versleuteling, sleutelbeheer, datamaskering, toegangscontrole voor gemachtigde gebruikers, activiteitenbewaking en controle omvatten.
• Beveiliging van cloudapplicaties: beveiligen van kritische applicaties tegen fraude en misbruik is essentieel voor het beschermen van de bedrijfskritische data van uw organisatie. Gedetailleerde toegangscontroles, inzicht en monitoring zijn cruciale componenten van de moderne gelaagde verdedigingssystemen.
• Bedrijfsbeveiliging en privacy: beschermen van de vertrouwelijkheid, integriteit en beschikbaarheid van data en systemen die in de cloud worden gehost, ongeacht welk cloudproduct wordt gekozen.
• Geavanceerde klantenservice: bij de overstap naar een cloudomgeving of meerdere cloudomgevingen worden beveiligingsteams op de proef gesteld door een groter aanvalsoppervlak, een overvloed aan meldingen en een tekort aan cyberbeveiligingsvaardigheden. Gebruik geavanceerde services van uw cloudserviceprovider om deze uitdagingen aan te pakken.
• Identity and Access Management (IAM): controleren met beveiligde referenties wie toegang tot uw data hebben, welk type toegang zij hebben en tot welke specifieke resources zij toegang hebben, ongeacht of die data lokaal of in de cloud worden gehost.

1. Cloudbedreigingsrapport van Oracle en KPMG (pdf)
2. Technische primer: beveiliging van Oracle Database (pdf)