Veel bedrijven zijn in de veronderstelling dat een cloudleverancier beveiligingseisen overneemt en verantwoordelijk is voor security in de cloud, zo blijkt uit het recentste Threat Landscape report van securitybedrijf CyberArk. Cloudleveranciers gaan echter uit van een gedeelde verantwoordelijkheid voor security en compliancy in cloudomgevingen.
Eén van de belangrijkste reden voor bedrijven om applicaties, klantdata en software-ontwikkeling naar de public cloud te brengen, is het verkleinen van beveiligingsrisico’s. Uit het onderzoek blijkt dat 49 procent van de respondenten bedrijfskritische applicaties als ERP, CRM of financieel management migreert naar een publieke cloud. Zo’n 45 procent gebruikt de cloud voor het opslaan van klantgegevens en 39 procent zet deze in voor interne ontwikkelingsdoeleinden. Dat is inclusief DevOps.
Vertrouwen in cloudprovider
Van de ondervraagde respondenten geeft 75 procent aan te vertrouwen op de ingebouwde beveiliging van de cloudprovider. Tegelijkertijd ziet de helft hiervan wel in dat het niet voldoende bescherming biedt. Ruim 46 procent maakt zich zorgen over de medewerkers, partners en leveranciers met verhoogde toegangsrechten tot het netwerk. Bovendien speelt ongeautoriseerde toegang tot consoles voor cloudbeheer bij 46 procent een rol. Over gedeelde inloggegevens voor compute-, opslag- en applicatie-instances maakt maakt 44 procent zich zorgen.
Op het moment dat onbeveiligde en onbeheerde inloggegevens privileged access bieden, worden deze zorgen kritiek. Zeker gezien dit door aanvallers misbruikt kan worden om hogerop in de (cloud)infrastructuur te komen. Ruim 62 procent is niet op de hoogte van het bestaan van credentials, secrets en privileged accounts in IaaS- en PaaS-omgevingen. Minder dan de helft (49 procent) heeft dan ook een beveiligingsstrategie voor privileged access tot cloudinfrastructuren en -workloads.
Onduidelijkheid
“We zien met dit rapport twee problemen ontstaan. Enerzijds is dus niet duidelijk wie de verantwoordelijke is voor security in de cloud. Anderzijds wordt dat effect versterkt door de slechte bescherming van privileged accounts in deze omgevingen”, zegt Adam Bosnian, verantwoordelijk voor global business development bij CyberArk.
“Ondanks dat het gevoelige data is die men opslaat in de cloud, die ook nog eens onderhevig is aan allerlei regels, heeft nog niet eens de helft van de bedrijven een strategie om hier verandering in aan te brengen. Dit zagen we al in ons rapport van vorig jaar, en daar is dus nog weinig in veranderd.”
Gerelateerd: Sophos: ‘In de public cloud moet je zelf je data beveiligen’