The 5 Big Cloud beveiligingsstrategie

This post is also available in: English (Engels) 简体中文 (Vereenvoudigd Chinees) 繁體中文 (Traditioneel Chinees) Français (Frans) Deutsch (Duits) 日本語 (Japans) 한국어 (Koreaans) Español (Spaans) Italiano (Italiaans)

Op basis van het werk dat wij hebben verricht voor onze honderden klanten, hebben we The 5 Big Cloud ontwikkeld. Dit is natuurlijk lang niet het enige dat u moet doen, maar met deze vijf aanbevelingen bent u al een heel eind op weg naar een holistische strategie voor cloudbeveiliging.

Afbeelding 1: The 5 Big Cloud

Het gebrek aan omgevingsbewustzijn wordt gezien als een van de belangrijkste factoren voor ongelukken die te wijten zijn aan menselijke fouten. – Nullmeyer, Stella, Montijo & Harden, 2005

1. Zorg voor inzicht en uitstekende zichtbaarheid van de cloud.

De eerste stap op weg naar een goede cloudbeveiliging en compliance is begrijpen hoe uw ontwikkelaars en interne gebruikers de cloud nu gebruiken. Daarbij is het gebruik van de cloud via schaduw-IT belangrijk, maar u hebt nog veel meer informatie nodig. Aan de hand van de 80/20-regel kunt u bepalen op welk cloudplatform u zich eerst moet richten. Uw beveiligingsmensen moeten echter niet alleen weten welke cloudplatforms er worden gebruikt, maar ook wat daarop draait. En daarbij zijn de API's van de cloudprovider heel belangrijk.

API's zijn de essentiële technologieën die de cloud anders maken dan de meeste on-premises omgevingen. Het gaat erom dat u zich goed bewust bent van wat er op dit moment in uw cloudomgevingen gebeurt. Probeer niet alleen inzicht te krijgen in welke cloudapps er binnen uw organisatie worden gebruikt, maar benut de API's van de cloudprovider om doorlopend op de hoogte te zijn van wijzigingen in de metadata-laag.

2. Breng barrières aan voor het automatisch voorkomen van de ernstigste cloudconfiguratiefouten.

Bedenk welke configuraties (misconfiguraties en antipatronen) nooit mogen bestaan in uw omgeving; zoals een database die rechtstreeks gegevensverkeer van internet ontvangt. Want ondanks dat dit wordt gezien als een zogeheten 'worst practice', blijkt uit onderzoek van Unit 42 dat deze situatie in 28% van de cloudomgevingen voorkomt. Stel een initiële lijst op en breid die uit naarmate uw cloudbeveiliging volwassener wordt. Houd rekening met twee belangrijke zaken: wanneer u beschermingsmiddelen automatiseert, is het verstandig om klein te beginnen en ze goed te testen, zodat er geen onbedoelde neveneffecten optreden (zoals een door u zelf veroorzaakte denial of service). Werk nauw samen met uw ontwikkelaars. Implementeer geen geautomatiseerde beveiligingsmiddelen zonder de betrokkenheid van uw ontwikkelteams. Werk vanaf het begin met ze samen, begin klein en schaal snel op.

3. Beleid is de voorloper van automatisering.

Vaak wordt er al gesproken over automatisering zonder dat er een beveiligingsbeleid van kracht is. Een goede doelstelling is om in de loop der tijd 80% van de beleidsregels te automatiseren. Wanneer uw beveiligingsinspanningen al zijn gebaseerd op beleidsregels, wordt het automatiseren ervan een stuk eenvoudiger. Maar verwacht niet dat u binnen 90 dagen van geen automatisering naar volledige automatisering kunt gaan, tenzij u een start-up bent. Bij een bedrijf van enige omvang kost het al snel ten minste negen maanden voordat dit proces op orde is.

4. Train en werf beveiligingsengineers die code kunnen schrijven.

In tegenstelling tot de meeste traditionele datacenters draaien publieke-cloudomgevingen op API's. Voor een goed risicobeheer in de cloud moeten uw beveiligingsmensen dan ook gebruikmaken van die API's.

Afhankelijk van de omvang van uw organisatie begint u met het evalueren van de aanwezige vaardigheden. Zijn er misschien al teamleden die Python of Ruby beheersen? Zo ja, investeer dan flink in die mensen en stem hun werkzaamheden af op uw automatiseringsplanning. Als er niemand is die dergelijke code kan schrijven, hebt u diverse opties. Bepaal of er mensen zijn die het willen leren, en identificeer degenen in het ontwikkelteam die geïnteresseerd zijn in beveiliging. Beide vaardigheden zijn te leren; ontwikkelaars kunnen worden opgeleid op het gebied van beveiliging en beveiligingsengineers kunnen code leren schrijven. Let er wel op dat de opleidingsdoelstellingen goed op elkaar zijn afgestemd en er voldoende middelen en mogelijkheden worden geboden.

Als de vaardigheden op het gebied van code schrijven beperkt zijn binnen uw organisatie, kan dit een mooi project zijn voor een tijdelijke consultant die vergelijkbare werkzaamheden al heeft verricht bij andere organisaties. U wilt niet blijven zitten met scripts die uw mensen niet kunnen gebruiken of aanpassen. Zodra dit proces in gang is gezet, bent u klaar om beveiliging een kernonderdeel te maken van uw complete ontwikkelingspijplijn.

5. Maak beveiliging een kernonderdeel van de ontwikkelingspijplijn.

Hierbij gaat het erom dat u tot in detail weet hoe uw organisatie code naar de cloud overbrengt. Zodra dat bekend is, zoekt u naar de plaats waar beveiligingsprocessen en -hulpmiddelen zo onmerkbaar mogelijk kunnen worden geïmplementeerd. Ook hierbij is vroege betrokkenheid van de ontwikkelteams cruciaal.

Conclusie

Met een cloudstrategie die is gefocust op The 5 Big Cloud kunnen zowel grote als kleine beveiligingsafdelingen profiteren van de voordelen van publieke clouds, waardoor die niet langer zijn voorbehouden aan ontwikkelaars. Klein beginnen, snel opschalen.