De headlines rondom cloudsecurity doen met enige regelmaat vermoeden dat de beveiliging te wensen over laat. Toch ontbreekt dan het ware verhaal. Volgens Tim Jefferson, Senior Vice President Data Protection, Network and Application Security bij Barracuda Networks, zijn veel onderdelen van de cloud namelijk bullet proof. Het gaat echter fout bij bijvoorbeeld de configuratie die niet op orde is. Daar moet iets aan gedaan worden, vindt men bij Barracuda Networks. Daarom introduceert het bedrijf binnenkort een oplossing die dit adresseert. We spraken Jefferson over de aankomende oplossing Cloud Security Guardian.
Om de omvang van de problematiek wat duidelijker in beeld te brengen, haalt de bestuurder van Barracuda Networks een statistiek van Gartner aan. De marktonderzoeker stelt dat tot 2020 vier op de vijf cloud-incidenten voortkomen uit misconfiguratie, verkeerd beheerde inloggegevens of diefstal binnen de organisatie. Daarmee komen de incidenten vaak niet door kwetsbaarheden van de cloudproviders. Op zich een opmerkelijke statistiek, die die noodzaak voor een oplossing verduidelijkt.
Gedeelde verantwoordelijkheid
Volgens Jefferson komt dit cijfer onder andere door de gebruikers van de clouddiensten, waarvan het merendeel het zogeheten shared responsibility-model niet zou snappen. Hierbij worden de verantwoordelijkheden duidelijk verdeeld tussen de cloudprovider en eindgebruiker. Partijen als AWS, Microsoft Azure en Google Cloud Platform leveren een platform voor het opslaan van data, om die data vervolgens te verwerken met de gewenste hoeveelheid computerkracht. De afnemer van de clouddienst is volgens het model degene die de data bezit, niet de cloudprovider. Door de rolverdelingen weten de cloudproviders niets over de applicaties en data van de klant.
Op de schouders van de afnemers van de clouddiensten rust vervolgens een bepaald aantal verantwoordelijkheden, aangezien zij de data bezitten. Zij dienen onder andere zelf de beveiliging van hun eigen data te regelen. Momenteel lijkt die boodschap echter nog niet bij iedereen aangekomen. Vaak wordt er gedacht dat cloudproviders de data bezitten.
Verkeerd imago
Uiteraard hebben de cloudproviders wel het één en ander ingebouwd. Een behoorlijk stevig hek zelfs, stelt Jefferson. Hij noemt bijvoorbeeld de S3-buckets van AWS bullet proof. Maar het publieke imago van de beveiliging van cloud is echter anders, gezien de lekken die zo nu en dan aan het licht komen. Zo zagen we eind oktober vorig jaar nog een lek voorbij komen, toen de Amerikaanse internetprovider Pocket iNet 73 GB gevoelige data via een S3-bucket lekte. In het kort kwam het erop neer dat een bepaald mapje van Pocket iNet was te downloaden door een verkeerde configuratie.
Dat soort lekken is zonde voor het imago van de cloud, gezien het veilige karakter dat het wel degelijk heeft. Onbevoegden hebben immers standaard geen toegang tot de opgeslagen data. Als we het op S3-buckets betrekken, dan zit het probleem hem vaak in per ongeluk aanbrengen van veranderingen in de access control list (ACL). Deze lijst met regels omschrijft de toegang van bepaalde gebruikers tot bepaalde objecten. Door een aanpassing, waarvan een gebruiker soms het negatieve gevolg niet kent, kan de S3-bucket openbaar worden. Met alle gevolgen van dien.
Groot aantal security-functionaliteiten
Dergelijke fouten zijn natuurlijk een gevaar voor je bedrijf, die bij ontdekking imagoschade en een boete op kan lopen. Zoiets voorkom je liever en dat kan ook grotendeels met het hek van de cloudproviders. Microsofts cloudopslag bijvoorbeeld, Azure Storage, komt standaard met best wat security features. Naast automatische dataencryptie, is er onder meer de mogelijkheid tot beveiliging van accounts met Role-Based Access Control. Dit laatste voor het regelen van de toegang. Ook andere diensten van Azure, alsmede AWS en Google Cloud Platform, bevatten soortgelijke ingebouwde security-functionaliteiten.
Jefferson laat desgevraagd weten dat het lastig is om de configuratie zelf te gaan regelen. Daar zijn verschillende redenen voor. Enerzijds zijn bedrijven on-premise installaties gewend, waar een aantal zaken gaat zoals ze gewend zijn. Dit proberen ze mee te nemen naar de cloud, met als gevolg dat ze de best practices van de cloud negeren. Zeker op het gebied van security een vervelend obstakel. Toch is het volgen van die best practices makkelijker gezegd dan gedaan. Het aantal diensten dat providers aanbiedt is behoorlijk. Zeker binnen een grote organisatie zullen verschillende teams het aantal gebruikte diensten laten oplopen. Ga dan maar eens in het begin alles netjes volgens de regeltjes volgen, om vervolgens ook de configuraties op orde te houden bij veranderingen.
Het wordt alleen maar een lastiger karwei indien er een multicloud-strategie gehanteerd wordt. Wij kunnen ons goed voorstellen dat enterprises dat ook gaan merken, gezien de groeiende populariteit van multicloud. Dit kaartten we ook aan bij Jefferson, die de populariteit van multicloud erkent. Logischerwijs is er bij de ontwikkeling van de nieuwe tool rekening gehouden met die trend, zodat security policies voor meerdere omgevingen met één tool geregeld wordt. De monitoring is straks vanuit een single pane of glass-interface.
Benchmarks naast de omgeving(en)
Voor het beveiligen van die omgevingen gaat Barracuda Networks de CIS-benchmarks gebruiken. Deze bevatten de veelvoorkomende configuratiefouten en kwetsbaarheden die bij de public cloud komen kijken. De tool van Barracuda scant de omgevingen op die veelvoorkomende fouten. Denk bijvoorbeeld aan het op orde hebben van de toegangssleutels. Zo’n scan zal bij de ingebruikname plaatsvinden, om vervolgens voortdurend de omgeving(en) te bewaken. Want zoals gezegd kunnen veranderingen in de configuraties bepaalde clouddiensten blootstellen aan kwaadwillenden.
Voorlopig moet Barracuda Networks het echter wel hebben van de CIS-benchmarks voor AWS en Azure, aangezien ze alleen opgesteld zijn voor deze twee cloudproviders. Google Cloud Platform zit er wel aan te komen, die benchmarks worden momenteel opgesteld. Daar zal het product van Barracuda Networks nog op moeten wachten. Daarnaast blijft de organisatie achter deze benchmarks met nieuwe versies komen, zodat nieuwe configuratiefouten ook zichtbaar worden. Wat ons betreft een nodige ontwikkeling, omdat cloudproviders regelmatig nieuwe services introduceren.
Barracuda Networks combineert deze benchmarks uiteindelijk met de specialisme die het in huis heeft. Het bedrijf weet welke technieken er gebruikt worden om accounts te bemachtigen en hoe je je daar tegen beschermt. Ook hier scant Cloud Security Guardian op, om duidelijk te maken wat het bedrijf mist in de beveiliging. De kwetsbaarheid wordt inzichtelijk gemaakt, het product komt met een aanbeveling voor het oplossen van de kwetsbaarheid en biedt ook aan om het zelf op te lossen. Dit laatste kan in de praktijk weleens het meest interessante aan het product zijn. Bij bedrijven zal er immers niet altijd de tijd, kennis en kunde zijn voor de oplossing.
Cloud Security Guardian
Daarmee klinkt de Cloud Security Guardian van Barracuda Networks in ieder geval als een welkome aanvulling op de bestaande security-oplossingen die bedrijven momenteel inzetten. Het is nog wachten op de definitieve release, die binnenkort wordt verwacht, en het prijskaartje dat er aan hangt. Maar er is ongetwijfeld vraag naar de nieuwe tool.