Public Cloud of bedrijven: wie is er verantwoordelijk voor de veiligheid?

83% van de zakelijke gegevens bevindt zich in 2020 in de cloud, volgens een onderzoek van LogicMonitor[2]. Van deze 83% is:

• 41% is opgeslagen op publieke platforms;
• 20% in een private infrastructuur;
• 22% in een hybride cloud.

Verschillende factoren kunnen de populariteit van de public cloud verklaren. Cloud Services Providers (CSP's) zijn gebaseerd op pay-per-use consumptie en facturering. CSP's bieden toegang tot verschillende computerdiensten en -toepassingen (zoals bijvoorbeeld Office 365). In ruil daarvoor wordt de klant alleen gefactureerd op basis van hun werkelijke verbruik van de middelen die nodig zijn voor hun werking.

Deze modellen bieden een grote flexibiliteit, schaalbaarheid, hoge beschikbaarheid en drastische kostenreducties: echte voordelen voor elk bedrijf. Ze profiteren van een reken- en ontwikkelingskracht die wereldwijd moeilijk te evenaren is: hun applicaties en gegevens zijn overal ter wereld toegankelijk. Ter illustratie: Microsoft Azure is aanwezig in 142 landen.

Maar omdat geen enkel systeem onfeilbaar is, is de cloud (of het nu publiek, privé of hybride is) een bron van risico's en kunnen er datalekken ontstaan. De veiligheid van infrastructuren, gegevens en toegang blijft daarom van het grootste belang. Maar wie in de onderneming, of haar CSP, moet hiervoor de verantwoordelijkheid nemen?

De beveiligingsondersteuning door de Cloud Services Providers (CSP) is niet hetzelfde, afhankelijk van het gekozen serviceniveau. Of het nu gaat om een IaaS, PaaS of SaaS (Infrastructure/Platform/Software as a Service) dienst, het is essentieel om te weten dat de verantwoordelijkheid voor de beveiliging altijd gedeeld wordt tussen de CSP en zijn klant.

Bovendien, en dat is het belangrijkste, blijft de klant verantwoordelijk voor het beveiligen van zijn gegevens, het inrichten van zijn cloudomgeving en moet hij de controle houden over de toegang en de controle over de middelen.

In het kader van de algemene verordening inzake gegevensbescherming wordt algemeen aanvaard dat CSP's wettelijk gekwalificeerd zijn als onderaannemers en dat zij, net als elk ander toeleveringsbedrijf, profiteren van de verplichtingen en verantwoordelijkheden voor de bescherming van persoonsgegevens die uit deze rol voortvloeien.

De juridische kwalificatie moet echter per geval worden bestudeerd, afhankelijk van de betrokken actor, ongeacht of het om een CSP gaat of om een andere. Zoals in de vorige paragraaf vermeld, is het altijd de klant die verantwoordelijk blijft voor de gegevens die hij in een public cloud host.

De meest voorkomende aanvalsvectoren

Identiteitsdiefstal: hackers kunnen via bijvoorbeeld phishingcampagnes toegang krijgen tot cloudgebruikers. Van daaruit wordt het voor hen eenvoudig om resources in de cloud-infrastructuur te controleren en gegevens te stelen.

Malware: ze zijn in staat een informatiesysteem te beschadigen en te vernietigen, maar ook om gegevens te stelen, te wijzigen of te verwijderen.

SQL-injecties: ze bieden aanvallers de mogelijkheid om geselecteerde databases direct te benaderen en de bestanden en informatie die erin zijn opgeslagen te stelen.

Distributed Denial of Service aanvallen: deze aanvallen hebben een voor de hand liggend doel: de dienst volledig onbeschikbaar maken. Wanneer een clouddienst wordt aangetast door een DDoS-aanval, kan de infrastructuur dit compenseren door meer resources nodig te hebben en zo overfacturatie voor de klant te genereren. Er zijn anti-DDoS-mechanismen opgezet door CSP's, die het type aanval beperken, maar het beheer van de middelen moet worden verfijnd om overconsumptie te voorkomen.

Kwetsbaarheden van het systeem: Om systeem- en resource-overnames te voorkomen, is het noodzakelijk om te vertrouwen op de oplossingen voor intrusion detection en vulnerability management.

Advanced Persistent Threats (APT): Deze zeer gerichte, langdurige cyberaanvallen stellen een aanvaller in staat om ongemerkt in een netwerk te infiltreren, waardoor de gegevens en de infrastructuur waarop zij zich richten, worden beschadigd.

Opgemerkt moet worden dat CSP's diensten aanbieden - meestal optioneel - om zich tegen dit soort aanvallen te beschermen, maar het moet bekend zijn dat ze moeten worden aangevuld met mechanismen van derden om zich hiertegen zo goed mogelijk te beschermen.

De meest voorkomende fouten

Onvoldoende risicoanalyses: Wanneer bedrijven nieuwe strategieën of nieuwe diensten definiëren, is het essentieel om de in de cloud gebruikte technologieën te evalueren, de betrokken risico's te analyseren en een passende routekaart en checklist te hebben om ervoor te zorgen dat deze diensten niet worden aangevallen.

Onbeveiligde API's: Een van de kritische aspecten van de beveiliging van diensten in de cloud is vaak te vinden in de programmeerinterfaces (API's) van de diensten die worden aangeboden om toepassingen te creëren. Deze API's behoren tot de meest onderscheidende elementen die door leveranciers worden aangeboden, maar ze moeten zo worden ontworpen dat ze niet proberen de beveiligingsregels te overschrijden.

Misbruik en schadelijke cloud-diensten: Slechte controle over het gebruik van de cloud en het gebruik van hulpbronnen kan de rekening snel overspoelen. Kostenbeheersing, regelmatige controle en het opstellen van een financieel beleid voor het gebruik van de cloud zijn noodzakelijk.

Onvoldoende bescherming van het netwerk: Een onderneming die voor de publieke cloud kiest, moet er rekening mee houden dat zij verantwoordelijk blijft voor het beheer en de toewijzing van toegang. Hiervoor kan zij vertrouwen op beveiligingsmechanismen zoals firewalls, netwerksegmentatie en WAF, die verderop in dit artikel worden beschreven.

Beveilig uw volledige virtuele netwerkinfrastructuur, de bijbehorende routing, en maak de juiste keuze van storage services.

Een onderneming die besluit naar de publieke cloud te verhuizen, moet (afhankelijk van het gekozen serviceniveau) haar volledige netwerk- en applicatie-infrastructuur, systeem en opslag in een cloud opnieuw opbouwen. Zelfs een zorgvuldig uitgevoerde ontwikkeling biedt geen volledige bescherming tegen de risico's van cyberaanvallen. Naast de beveiliging die de CSP biedt, bestaan er ook oplossingen.

Als firewalls nog steeds essentieel zijn voor de beveiliging van de infrastructuur, dan worden ze versterkt door het gebruik van NextGen Firewall oplossingen van derden en WAF. Zoals hun naam al aangeeft, zijn Web Application Firewalls firewalls voor webapplicaties. Ze zorgen ervoor dat webservers niet worden beïnvloed door een aanval door het analyseren van verzoeken van gebruikers en reacties van applicaties. WAF's beschermen dus webapplicaties en -diensten die in clouds worden gepubliceerd.

Beheer toegang en identiteiten

"71,5% van de overtredingen die gericht zijn tegen Amazon Web Services (...) betreffen gebreken in identiteit en toegangsbeheer", schreef Silicon.fr in 2018[2]. Als het idee niet is om precies naar Amazon te wijzen - alle CSP's kunnen met dezelfde problemen te maken krijgen - dan benadrukt het de problematische toegangscontrole in de cloud.

De bewustwording van de werknemers blijft de sleutel tot een veilig toegangsbeleid in de cloud. Bovendien moet toegangsbeheer, meestal na het vertrek van de werknemers, een prioritaire zorg zijn voor bedrijven: volgens Intermedia profiteren voor 89% van de bedrijven de werknemers die hen hebben verlaten nog steeds van de toegang tot de IT om er verbinding mee te maken[3].

CSP's bieden native toegangsbeheermechanismen aan via de Active Directory [4] en integreren encryptie. Deze oplossingen maken authenticatie, autorisaties, SSO (single sign-on), MFA (multi-factor authenticatie) mogelijk om de toegang tot bronnen en gegevens te beveiligen. De ervaring leert echter dat het beter is om ze aan te vullen met software van derden.

Bescherm uw gegevens

DLP: Data Leakage Prevention (DLP) maakt het mogelijk om bestanden te markeren en biedt een vertrouwelijkheidsniveau. Hoe gevoeliger de gegevens zijn, des te beperkter zal de toegang zijn, volgens een door elk bedrijf vastgestelde schaal.

CASB's: Cloud Access Security Brokers (CASB's) analyseren gegevensstromen en scannen documenten binnen een cloud. Ze maken het mogelijk om het beveiligingsbeleid in de cloud uit te breiden door de activiteiten en de toegang te controleren.

CWP's: Cloud Workload Protection (CWP) tools controleren op verkeerde configuraties van cloudinfrastructuren, inclusief gegevensopslagruimten. Ze geven een overzicht van de acties die door elke beheerder worden ondernomen.

Merk op dat CASB's en CWP's malware kunnen detecteren.

Alle in dit artikel genoemde risico's worden in een multi-cloud omgeving vermenigvuldigd. Het beheer van instellingen, toegang, middelen, beveiliging, naleving van de regelgeving en budgetten maakt alles veel ingewikkelder.

Aangezien elke cloudomgeving zijn eigen technische en configuratiekenmerken heeft, brengt de diversificatie van CSP's (Amazon Web Services, Microsoft Azure, Google Cloud Storage...) een complexiteit van de organisatie, het beheer, de controle en de zichtbaarheid van de diensten met zich mee. Begeleid worden door een derde partij kan van het grootste belang blijken te zijn.

Ondanks alle verdiensten van de cloud blijft beveiliging essentieel. Aangezien klanten altijd verantwoordelijk zijn voor hun gegevens, is de implementatie van het beheer- en beveiligingsbeleid noodzakelijk om te blijven voldoen aan de beveiligingsdoelstellingen van elk bedrijf (en aan de geldende regelgeving). Ongeacht de mate van volwassenheid van cybersecurity, moet een entiteit niet aarzelen om ondersteuning te zoeken.