Het aantal organisaties dat een ‘cloud first’-IT-strategie overweegt of reeds heeft ingezet, stijgt in rap tempo. Het struikelblok dat men over het algemeen als eerste tegenkomt, is het goed neerzetten van security & compliance control in de publieke cloud.

Niet langer een complexe wirwar van meningen omtrent cloud security en monolithische toepassingen, maar door het toepassen van twee zienswijzen kan het onderwerp adequaat en transparant worden toegepast en organisaties naar een hoger niveau van informatiebeveiliging brengen dan gebruikelijk in de traditionele IT.

Het belang van cloud security en voldoen aan compliancy-eisen is evident. De uitdaging ligt in het zorgvuldig en kosteneffectief invullen ervan door organisaties. Hoe ga ik om met kwetsbaarheden binnen mijn applicaties? Hoe houd ik de compliancy status van mijn resources bij? Hoe zorg ik dat al mijn logs veilig zijn opgeslagen en dat ik actie kan ondernemen wanneer dat niet zo is? Hoe verkrijg ik mijn PCI-DSS-certificering binnen de publieke cloud?

Als organisaties net begonnen zijn met het ervaren van alle diensten en mogelijkheden van de publieke cloud kan dit nogal overweldigend overkomen. Hoe zien deze vraagstukken er voor de publieke cloud in zijn geheel uit? Of voor virtuele servers, microservices of zelfs functies? Elke situatie vraagt een andere aanpak en heeft andere eisen. Dus wat is wijsheid?

Security & compliance controls

Een effectieve aanpak is om het gebruik van de mogelijkheden van security & compliance binnen de publieke cloud globaal in twee oplossingsrichtingen te zien.

  • Implementatie en beleid voor het bepalen en inrichten van informatiebeveiligingsbeleid (vooraf)
  • Implementatie en beleid voor de controle en navolging van het toegepaste informatiebeveiligingsbeleid (achteraf)

De concrete implementaties hiervan worden wel ‘preventive’ en ‘detective controls’ genoemd. Preventive controls betreft (het liefst) creëren van geautomatiseerde checks en gestandaardiseerde events (bijvoorbeeld notificaties) om daarmee te voorkomen dat een kwetsbaarheid optreedt. Detective controls zijn eveneens checks en acties. Deze monitoren achteraf of de huidige situatie compliant is aan de eerdere ingerichte checks en acties. Wanneer dat niet het geval is, kan ook hier automatisering aan gekoppeld worden om een actie of event te starten om bijvoorbeeld het opgetreden risico te mitigeren. Een andere vorm van detective controls is het opvragen van compliancy-rapportages van een cloud serviceprovider.

Inrichting en configuratie van deze controls kan op vele manieren. Dus welke diensten en oplossingen zijn er binnen de publieke cloud om de eisen en wensen te realiseren?

De cloud biedt ook de oplossing

De huidige oplossingen rondom security & compliance zijn qua architectuur divers qua aanpak. Als we kijken naar externe oplossingen zijn sommige leveranciers, zoals Trend Micro Deep Security, voorbereid op de karakteristieken van cloud computing (‘pay per use, scalable’). Daarnaast zien we nog veel leveranciers die hun bestaande oplossing(en) in licentievorm en als appliance aanbieden bij cloud serviceproviders. Dezelfde oplossing wordt aangeboden zoals die ook werkzaam was binnen je eigen vertrouwde datacenter. Integratie vindt veelal plaats middels installatie van agents en beperkte toegang tot api’s.

“De Publieke cloud is een ‘niet vertrouwd’ geheel van services gekoppeld aan internet”

De grootste cloud serviceproviders (AWS, Microsoft Azure, Google cloud) bieden eveneens diensten die ondersteunen bij het gewenste niveau van informatiebeveiliging. AWS biedt daarbij een heel portfolio van oplossingen die kunnen helpen bij je doelstellingen. Een service als AWS Config (Rules) bijvoorbeeld checkt de status van je resources binnen AWS en het gebruik. Waar voorheen ‘eyes on screen’ de enige optie was, kan nu het grootste deel van de controles worden overgelaten aan automatisering. Een groot voordeel van het gebruik van cloud-nativediensten is daarbij de toegang tot api’s en documentatie, om integratie van een of meerdere oplossingen mogelijk te maken.

‘Automation, automation, automation’

‘Wat je kunt rationaliseren, kun je automatiseren’ is een adagium dat van toepassing is op de publieke cloud en zeker voor security & compliance. Een IT-landschap is niet een ‘beetje’ compliant of een ‘beetje’ veilig: het resultaat dient binair te worden geïnterpreteerd. Door gebruik te maken van automatisering creëer je een situatie waarbinnen informatiebeveiligingsrisico’s direct kunnen worden opgemerkt en mitigatie zonder tussenkomst van menselijk handelen in gang te zetten is.

Voorbeeld: een preventieve security-maatregel is een complexe password policy op de toegang tot de cloudomgeving. Daarbovenop kan een compliancy control worden ingericht (config rule), die controleert of de password policy conform beleid is. Zodra deze control ‘incompliant’ geeft, kan een geautomatiseerde respons worden gestart die de password policy terugzet naar de oorspronkelijke waarden.

Voordelen security & compliance-automation

Belangrijk is dat organisaties feiten van meningen binnen deze expertise weten te scheiden en als onderdeel opnemen binnen hun nieuwe IT-strategie. Kiezen voor automatisering van security & compliance binnen de publieke cloud kan vervolgens diverse voordelen bieden:

  • Handmatige compliancewerkzaamheden zijn niet langer noodzakelijk. Besparing van arbeidskosten.
  • Een hoger niveau van security & compliancy wordt bereikt, door verregaande automatisering en ‘infra as code’. Voorbeeld is het automatisch benchmarken van door Center of Information Security aangeleverde checks.
  • Het wordt makkelijker, sneller en dus goedkoper om audits te doorlopen en rapportages te verkrijgen over de status van je IT-landschap.
  • Mogelijkheid om versneld en toetsbaar change- en configuratiemanagement uit te voeren (infrastructure as code, versiebeheer).

Afsluitend

Organisaties dienen zich erop in te stellen dat de cloud een ‘niet vertrouwd’ geheel is van services gekoppeld aan internet. De publieke cloud kan anderzijds een stuk veiliger zijn dan je huidige situatie. Beoordeel welke risico’s je wil voorkomen en daarna hoe je zo goed mogelijk op een mogelijk risico kan (techniek) en wil (budget) acteren.

Wanneer het IT-landschap het toelaat, probeer qua inrichting zo dicht mogelijk tegen de cloud serviceprovider aan te zitten. Dit biedt voordelen op het gebied van identity & access management, gedocumenteerde toegang tot api’s en compliancy rapportages. Security & compliance komen zo binnen bereik.


Wat is security & compliance?

Als we kort stilstaan bij de definities van beide onderwerpen, zijn het verschillende gebieden binnen Informatiebeveiliging. Hoewel ze beide tot doel hebben risico’s te beheren en te minimaliseren verschillen ze in de manier waarop ze dat pogen te doen.

Security richt zich op de inzet en het beheer van technologie om daarmee veiligheidsrisico’s te voorkomen dan wel te mitigeren. Compliance richt zich daarnaast op de naleving van eisen en regelgeving die gelden voor een organisatie. Denk aan het compliant zijn met certificeringen zoals ISO27001, SOC2/3, NEN7510 (informatiebeveiliging in de zorg) of PCI-DSS voor betaalverkeer.

Stefan van den Brink is cloud consultant met security-expertise, Jeroen Jacobs is cloud business consultant en Edwin van Nuil is managing director bij Oblivion Cloud Control

The cloud holds endless space and endless opportunities. For those who see it, that is. Enter Oblivion Cloud Control. We’re cloud warriors. AWS wizards. Cloud Architects. Change agents. Infrastructure innovators and inspirators since 2006. We’re everything you need to get in the cloud. And beyond. The cloud is not our goal - your business success is. We turn the cloud into a launching pad to shoot for the stars. That’s why we’re the only Premier Partner for AWS in the Netherlands. How far do you want your business to go?

REAGEREN

Plaats je reactie
Je naam