Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

De weg naar een veiligere cloud

 

Computable Expert

Bart Bruijnesteijn
Presales Manager - UK & North Europe, CyberArk. Expert van Computable voor het topic Security.

Beveiliging was jarenlang het belangrijkste argument om gevoelige data en workloads niet naar de cloud te brengen. Dat het tij gekeerd is, is wel duidelijk: uit recent onderzoek blijkt dat 94 procent van de wereldwijd duizend ondervraagde bedrijven cloud-services gebruiken en bijna de helft gebruikt SaaS-gebaseerde applicaties die cruciaal zijn voor de bedrijfsprocessen. Toch is op security-gebied nog niet alles duidelijk.

Ongeveer de helft van de bedrijven gebruikt de publieke cloud voor de verwerking van klantgegevens. En vorige maand werd bekend dat zelfs data van landelijke overheden zoals die van Ecuador in de cloud zijn terug te vinden. Helaas ook toegankelijk voor mensen die geen toegang mogen hebben. Half september ontdekte een beveiligingsbedrijf bij een routine-check dat de persoonlijke gegevens van zo’n zeventien miljoen burgers van Ecuador, waaronder 6,7 miljoen kinderen, vrij toegankelijk waren via een onbeveiligde server in Miami. Niet alleen de hoeveelheid, maar ook het soort data viel op: ID-nummers, telefoonnummers, trouwdata, genoten opleidingen en werkervaring. Het probleem was een onbeveiligde AWS Elasticsearch server. Niet de overheid zelf, maar een data-analyse bedrijf bleek schuldig te zijn voor het online zetten van de data zonder een wachtwoordbeveiliging.

Even los van de vraag of zo’n bedrijf dit soort data moet ontvangen, is het vooral interessant de vraag te stellen wie waarvoor verantwoordelijk is. Wanneer een organisatie de cloud gebruikt, moet je in staat zijn de beveiligingsmaatregelen die de cloud-provider in acht neemt te snappen en op waarde te schatten. Passen ze binnen het eigen beleid en procedures of niet?

Gedeelde verantwoordelijkheid

" Aanvallers zijn altijd op zoek naar privileged accounts"

In het eerder genoemde onderzoek bleek ook dat organisaties te veel naar de cloud provider kijken als het gaat om de bescherming van data en andere assets in de cloud. Inloggegevens die toegang tot deze data geven, moeten in de cloud net zo worden beveiligd als in on-premise omgevingen. Sommige van deze credentials zullen van nature meerdere (toegangs)rechten hebben. Aanvallers zijn altijd op zoek naar deze privileged accounts, want het is de meest effectieve route naar hun uiteindelijke doel. Het is zorgwekkend dat slechts weinig organisaties een plan hebben om ze te beveiligen. Sterker nog, er is nog altijd veel onduidelijkheid rond privileged accounts, secrets en credentials: wat zijn het precies, waar zijn ze en wat kunnen ze, zijn alsmaar terugkerende vragen. Laat staan dat er een strategie is om ze te beschermen.

De meeste cloud providers werken op basis van gedeelde verantwoordelijkheid, waarbij de provider tot een bepaald punt de security-maatregelen neemt en ervan uitgaat dat de afnemer het vanaf dat punt overneemt. Het is belangrijk om te weten waar dat punt precies ligt. Nog belangrijker is het om de aanwijzingen van de cloud provider hierin op te volgen. Ze zijn meestal erg helder over hun verantwoordelijkheidsmodellen voor security en compliance, maar veel bedrijven slaan dit in de wind.

Typerend is dan ook de belangrijkste verwachting die bedrijven hebben bij de inzet van cloud: het afwenden van security-eisen naar de cloud-leverancier. Alsof je een fiets met een goed slot koopt en verwacht dat de winkel verantwoordelijk is wanneer hij gestolen wordt. Uiteraard nemen cloud-leveranciers hun verantwoordelijkheid als het gaat om het beveiligen van de systemen en de data die erop opgeslagen of verwerkt wordt, maar dat betekent niet dat alle aansprakelijkheid bij de gebruiker meteen weg is. Het beschermen van klantdata blijft de verantwoordelijkheid van het bedrijf zelf. Je moet je fiets wel goed op slot zetten (en liefst niet in een donker steegje).

In handen van de provider

Daarnaast wees het onderzoek uit dat driekwart van de ondervraagden de beveiliging volledig in handen legt van de provider, terwijl de helft hiervan aangeeft dat dit niet voldoende bescherming biedt. Het model van gedeelde verantwoordelijkheid wordt niet begrepen of simpelweg genegeerd.

Ecuador is niet het eerste land dat gegevens van burgers via een onbeveiligde cloud-server blootstelt aan allerlei risico’s, en zal niet de laatste zijn. Er werden ook al stem-gegevens van 14,3 miljoen Chilenen voor een landelijke verkiezing gevonden, via een vergelijkbare Elasticsearch server.

Overheden kijken naar de cloud om hun burgers beter van dienst te zijn. Hierbij moeten ze cloud security- strategieën ontwikkelen (en voortdurend evolueren) om burgers niet alleen van dienst te zijn maar ook hun vertrouwen te houden dat de services veilig te gebruiken zijn.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6826934). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.