Tegen 2020 voorspelt IDC dat 9 op 10 bedrijven verschillende clouddiensten- en platformen combineren. De trend van multi-cloud lijkt onstopbaar, en met goede reden, maar brengt ook een aantal security-uitdagingen met zich mee.
Een multi-cloudstrategie vertrekt vanuit het idee om de beste technologieën van meerdere cloudproviders te combineren, om zo ook de best mogelijke businessresultaten te bekomen. Prestaties wegen daarbij het zwaarste door, zo blijkt uit onderzoek van Forrester Consulting in opdracht van Virtustream, bij 727 bedrijven met meer dan 1.000 werknemers wereldwijd.
In dat onderzoek duidt 42 procent van de respondenten operationele efficiëntie aan als de belangrijkste prioriteit om een bepaalde workload in een bepaalde cloud te parkeren. Security staat pas op een vierde plaats in het prioriteitenlijstje (30%), na verbeterd infrastructur- en kostenbeheer (33%) en meer flexibiliteit (33%).
Verantwoordelijkheid
Bedrijven gaan er bovendien te vaak van uit de bescherming van hun gegevens aan de cloudprovider kan worden overgelaten, weet Gary Marsden, cloud services director voor cloud protection en licensing activity bij Thales. Marsden maakte mee de overstap van Gemalto, dat sinds begin april onderdeel is van Thales. “Vertrouw niet op je leverancier voor security, het is je eigen verantwoordelijkheid”, vertelt de expert ons tijdens een ontmoeting op de afgelopen Infosecurity-beurs in Brussel.
“Vertrouw niet op je leverancier voor security, het is je eigen verantwoordelijkheid”
Eenzelfde verhaal hoorden we vorig jaar ook al tijdens een interview met Stephan Hadinger, senior manager Solutions Architecture bij Amazon Web Services. Hij noemde cloudsecurity een gedeelde verantwoordelijkheid. AWS is als cloudleverancier verantwoordelijk voor de beveiliging van de onderliggende infrastructuur, maar de klant bewaart zelf de controle over (de beveiliging van) zijn data.
Overzicht en controle
In een realiteit waar meerdere clouddiensten naast elkaar worden gebruikt en data her en der verspreid staan, is het belangrijk dat een organisatie het overzicht kan bewaren en overal hetzelfde niveau van bescherming voorziet. Daar knelt volgens Marsden vandaag nog vaak het schoentje.
“De gemiddelde organisatie gebruikt 27 verschillende clouds en heeft duizenden cloudaccounts in beheer. Veel verschillende leveranciers zijn vandaag de bewaarders van je data, maar al je data moeten veilig blijven. Het is daarbij niet relevant waar de informatie wordt bewaard “, legt Marsden uit.
Daarnaast is er een toegenomen risico op shadow IT. Eender wie binnen de organisatie kan inschrijven op een clouddienst. Je hoeft niet langs het IT-departement te passeren, waardoor een centraal overzicht vaak ontbreekt.
“De gemiddelde organisatie gebruikt 27 verschillende clouds.”
Tot slot is er ook nog de uitdaging van data-migratie. Hoe kan je zeker zijn dat al je data worden verwijderd of vernietigd, nadat je ze bij een bepaalde cloudleverancier hebt weggehaald?
Drie stappen
Marsden onderscheidt drie stappen die elke organisatie zou moeten doorlopen om tot een degelijke databescherming te komen. Die zijn platformoverschrijdend en liggen grotendeels in lijn met best practices die vandaag sowieso van bedrijven worden verwacht om in overeenstemming te zijn met de nieuwe Europese databeschermingsregels (GDPR).
Eerst en vooral moet je goed weten waar al je data precies staan, op welke platformen en wie er toegang toe heeft. Vervolgens kan je de gegevens gaan classificeren volgens belang, om er het correcte securitybeleid aan vast te hangen. Stap drie spreekt tot slot voor zich: zorg dat alle data correct wordt beveiligd.
Daarbij draait het volgens Marsden in grote mate rond centraal beheer van al je cloudomgevingen, goed access management en encryptie van je data. Die zaken moeten bovendien worden geautomatiseerd. “Encryptie en security mogen niet meer zijn dan een druk op de knop. Dat is het doel waar we naartoe moeten werken.”
Gerelateerd: Waarom een multi-cloudstrategie onmisbaar is