Steeds meer data en processen worden naar de cloud verhuisd, maar bedrijven verliezen daarbij nog te vaak het security-aspect uit het oog. Je cloudprovider neemt weliswaar een deel van de beveiliging op zich, maar het blijft een gedeelde verantwoordelijkheid. Dat wordt nog ingewikkelder wanneer je data in meer verschillende cloudomgevingen blijken te staan dan aanvankelijk gedacht.
De overstap van on-premises naar de cloud gebeurt zelden van de ene op de andere dag, laat staan dat er op voorhand een duidelijke strategie is bepaald. Bedrijven beginnen bijna nooit vanaf nul wanneer ze de beslissing nemen om cloud-first te gaan.
Meestal groeit het organisch vanuit de organisatie, uit een behoefte aan meer flexibiliteit. “Wanneer ik met klanten praat, merk ik dat cloud vaak start als shadow IT”, vertelt Jeroen Bismans. Hij is Principal Systems Engineer voor Public Cloud bij securityleverancier Fortinet.
Shadow IT
Bismans ziet bij zijn klanten vaak dat de applicatieteams reeds op eigen houtje een cloudomgeving hebben opgezet, zonder dat de CIO of CISO daarvan op de hoogte is. Dat gaat heel eenvoudig, omdat er geen hardware moet worden aangekocht. Je hebt alleen een creditcard nodig en je bent vertrokken. Over security wordt vaak pas achteraf nagedacht.
“Een tijdje geleden kwam ik bij een klant en vroeg ik of ze iets met cloud doen. Ja, we hebben Office 365, klonk het. Oké, en doen jullie ook iets met Azure? De IT-manager zei nee, maar de engineer antwoordde ja”, illustreert de cloudspecialist. “Dat komen we veel tegen. Bedrijven hebben vaak geen goed overzicht van hoe hun cloudomgeving eruitziet en welke beveiliging er is.”
Bedrijven hebben vaak geen goed overzicht van hoe hun cloudomgeving eruitziet en welke beveiliging er is.
Die situatie wordt helemaal complex wanneer meerdere cloudomgevingen naast elkaar worden gebruikt. Dat is voor veel organisaties vandaag al een realiteit. Volgens IDC zal 90 procent van de bedrijven tegen 2020 verschillende clouddiensten en -platformen combineren. Zo’n multi-cloudstrategie heeft duidelijke voordelen, maar het brengt ook uitdagingen met zich mee. Zeker op vlak van security.
“Niet elke cloudprovider biedt dezelfde tools voor security”, legt Bismans uit. Je kan standaardiseren op Azure en gebruik maken van de beveiligingsfuncties die Microsoft ter beschikking stelt, maar wat als je dan voor een bepaald project toch beter af bent bij Amazon Web Services of Google Cloud? Of misschien wil je de Aziatische markt betreden en word je genoodzaakt om beroep te doen op de cloud van Alibaba. “Je hebt geen enkele garantie dat je security-tools voor Azure hetzelfde werken bij die andere providers. Die omgevingen moet je dan op een andere manier gaan beveiligen, waardoor de complexiteit verhoogt.”
Gedeelde verantwoordelijkheid
Bovendien mogen bedrijven niet uit het oog verliezen dat cloudleveranciers eigenlijk geen volwaardige securityproviders zijn. Dat wil niet zeggen dat ze security niet serieus nemen, integendeel. Zo organiseerde Amazon eerder dit jaar zijn eerste securityconferentie, waar onder andere nieuwe beveiligingsproducten werden voorgesteld, en ontwikkelt het al enige tijd zijn eigen chips met een focus op veiligheid. Het betekent wel dat cloudleveranciers uitgaan van een securitymodel met gedeelde verantwoordelijkheid. Daarbij zorgt de provider voor een degelijke beveiliging van zijn infrastructuur, maar draag jij als gebruiker de verantwoordelijkheid om je data te beschermen.
Hoe meer je opschuift van Infrastructure-as-a-Service (IaaS) naar Software-as-a-Service (SaaS), hoe minder verantwoordelijkheden je draagt, maar je bent er nooit helemaal van verlost. Als je een Office 365-account slecht beveiligt en geen tweefactorauthenticatie gebruikt, hoewel Microsoft die tools wel aanbeveelt, dan is het jouw verantwoordelijkheid wanneer je wachtwoord wordt gestolen.
Wij gaan ervan uit dat de cloudproviders hun gedeelte goed beveiligen. Van zodra je naar de lagen daarboven gaat, verschijnen wij op het toneel.
In de omgekeerde richting neemt de mate waarin je de security-oplossingen van een externe leverancier kan inzetten toe, naarmate je van SaaS richting IaaS beweegt. “De uitdaging voor ons in de cloud, is waar we onze oplossingen kunnen gaan plaatsen”, vertelt Bismans. “Wij gaan ervan uit dat de cloudproviders hun gedeelte goed beveiligen. Van zodra je naar de lagen daarboven gaat, waar de klant de verantwoordelijkheid draagt, verschijnen wij op het toneel met onze beveiligingsoplossingen.”
Van on-premises naar de cloud
Fortinet maakt zich sterk dat het zijn oplossingen kan aanbieden voor alle grote cloudplatformen. “Als een bedrijf multi-cloud gaat, kan onze security volgen”, klopt Bismans zich op de borst. Producten zoals onze Fortigate-firewall passen zich aan op de omgeving, maar gedragen zich verder identiek, alsof ze on-premises zouden draaien. Zo kunnen verschillende omgevingen, on-premises en in de cloud, centraal worden beheerd en gemonitord, wat de complexiteit weer naar beneden haalt.
In Bismans’ ogen is dat de evidentie zelve, want security in de cloud is volgens hem niet zo anders dan on-premises. “Wanneer je naar IaaS kijkt, kan je al onze oplossingen als VM’s uitrollen. Eigenlijk leunt dat heel dicht aan bij on-premises, alleen gebeurt de virtualisatie niet meer op je eigen hardware. Toch zien we dat bedrijven hun on-premises datacenters wel goed beveiligen, maar wanneer die VM’s naar de cloud worden overgeheveld, volgt de security niet.”
Als je virtual machines onderling met elkaar spreken, of iemand spreekt vanuit je on-premises omgeving een VM in de cloud aan, dan moet die communicatie worden gevalideerd en beschermd. Het principe van intent-based segmentatie en zero-trust geldt ook in de cloud. Bismans: “Het beschermen van de perimeter is al lang niet meer voldoende. Je moet alles wantrouwen en alle verkeer binnen het netwerk authenticeren, scannen en valideren. Dat principe moet je ook enigszins gaan toepassen in de cloud.”
Het probleem is dat weinig mensen goed weten hoe je security in de cloud doet. Ze kennen het ene of het andere.
Bismans ziet nog regelmatig situaties waarin bedrijven actieve cloudomgevingen in gebruik hebben, die rechtstreeks verbonden zijn met het bedrijfsnetwerk, zonder dat daar enige security op gebeurt. Als één ontwikkelaar in zo’n geval een fout maakt rond de beveiliging van een VM, kan via laterale beweging vanuit de cloud in het bedrijfsnetwerk worden binnengedrongen. “Het probleem is dat weinig mensen goed weten hoe je security in de cloud doet. Ze kennen het ene of het andere, maar weinigen kennen beide. Die skill gap is vandaag heel groot.”
Eén verkeerde instelling kan fataal zijn
Het risico van de cloud is dat misconfiguraties een enorme impact kunnen hebben, net omdat de vangnetten die bedrijven on-premises wél inbouwen vaak niet naar de cloudomgeving worden doorgetrokken. “On-premises heb je in principe altijd een gelaagd securitymodel”, vertelt Bismans. “Als een bepaalde beveiliging niet juist is geconfigureerd, heb je nog lagen ervoor of erna, waardoor de impact niet zo groot is. In de cloud kan je met één verkeerde instelling plots iets toegankelijk maken voor het hele internet.”
Dat is niet uit de lucht gegrepen. Zo lekte deze zomer nog minstens 1 terabyte aan data van verschillende Fortune 100-bedrijven via drie verkeerd geconfigureerde AWS S3-buckets van bigdatabedrijf Attunity en konden cybercriminelen tienduizenden fout geconfigureerde S3-buckets infecteren met malware om betaalgegevens te stelen. Dit terwijl Amazon eigenlijk eind 2018 reeds beveiligingsfuncties heeft uitgerold om dergelijke S3-misconfiguraties te voorkomen.
De cloud is een complexe omgeving, met veel instellingen die je kan aanpassen. Het is begrijpelijk dat je niet altijd weet wat elke instelling doet. Als je dan multi-cloud gaat werken, wordt het helemaal ingewikkeld om het overzicht te bewaren. Om daar een antwoord op te bieden, biedt Fortinet Cloud Security Posture Management (CSPM) aan in de vorm van FortiCWP, een nieuw product naast de bestaande CASB-oplossing.
Met FortiCWP gaan we voor Azure, AWS of Google monitoren dat alle configuraties bepaalde security best practices volgen.
Een CASB, of Cloud Access Security Broker, wordt tussen het bedrijfsnetwerk en de cloud gepositioneerd om inzicht te krijgen in het gebruik van en de toegang tot SaaS-toepassingen zoals Office 365, Dropbox of Saleforce. CSPM richt zich daarentegen op IaaS-omgevingen, zoals die van Microsoft, Amazon of Google.
“Met FortiCWP gaan we voor Azure, AWS of Google monitoren dat alle configuraties bepaalde security best practices volgen”, legt Bismans uit. “Is een S3-bucket met gevoelige bestanden of het management van een VM via het internet beschikbaar, dan geeft de oplossing aan dat dat vanuit security-oogpunt geen goed idee is. Afhankelijk van het vooropgestelde beleid, wordt zo’n onveilige configuratie zelfs automatisch voorkomen.”
Uiteindelijk moeten bedrijven onthouden dat ze nog altijd een verantwoordelijkheid hebben om hun data veilig te houden wanneer ze naar de cloud verhuizen. Daarbij uitsluitend vertrouwen op de tools die de cloudproviders beschikbaar stellen, is doorgaans geen goed idee. “Het is slim om nu al te anticiperen en een security-architectuur te bouwen die multi-cloud ready is”, besluit Bismans. Zelfs als je op één cloud standaardiseert, kan je niet garanderen dat dat binnen enkele jaren nog steeds het geval is, of teams binnen je organisatie niet op eigen houtje met een andere cloud beginnen te experimenteren.