Neem contact op

New Module

Add content here.

Data, security, IT, Cybercrime, multicloud, Cloud

Zo houdt u de multicloud veilig

19-juni-2017

Datalekken hebben in potentie desastreuze gevolgen voor de continuïteit van uw organisatie.
Het voorkomen daarvan is een steeds grotere uitdaging, want de complexiteit neemt toe. Zeker in IT-omgevingen met meerdere clouds. Met deze 8 best practices verkleint u de kans op een cyberincident in de multicloud.

  1. Ken de juiste clouds aan de juiste processen toe
    Niet alle bedrijfsprocessen en data zijn even security- en/of privacygevoelig. Het is verstandig de businessprocessen te verdelen in die risicocategorieën: hoog, middel en laag.

    Laag risico: dit zijn bijvoorbeeld nieuwsbrieven, socialmediaberichten, of niet-geclassificeerde onderzoeksrapporten. Dergelijke data voelen zich prima thuis in een publieke cloud of SaaS-applicatie.

    Middelmatig risico: denk hierbij aan development- of samenwerkingsomgevingen. Hiervoor zijn IaaS- of PaaS-omgevingen uit de publieke cloud geschikt, mits deze voldoen aan de geldende privacyregulering. Een certificering van de Cloud Security Alliance is hier een pre. Kiest u liever voor meer eigen controle, dan is een private cloud het overwegen waard.

    Hoog risico: dit profiel geldt voor zeer privacygevoelige transactionele- en/of persoonsgegevens. Vaak is on-premise opslag en verwerking hiervoor de beste optie.
  1. Security op dataniveau
    Data zijn in een multicloudomgeving volop in beweging. Clouds wisselen gegevens uit. Beveiliging moet zich daarom niet beperken tot de cloud zelf, maar ook op dataniveau plaatsvinden. Bijvoorbeeld door versleuteling. Mocht door onzorgvuldigheid of een aanval op een cloud data op straat belanden, dan is er in het geval van encryptie geen sprake van een datalek. 
  1. Ontwikkelen vanuit security-by-design
    In-house ontwikkelde applicaties zijn geen zeldzaamheid in de multicloud. De veiligheid van de data in zo’n maatwerkapplicatie is sterk afhankelijk van het securityniveau van die applicatie zelf. Maatwerk wordt niet vanzelfsprekend regelmatig gepatcht, zoals bij veel software van de grote vendoren wel het geval is. Dat vraagt om software die inherent veilig gebouwd is, ofwel volgens security-by-design-ontwikkelprincipes.

    Het inbouwen van security is overigens binnenkort geen vrijblijvende aanbeveling, maar een harde eis in de Algemene Verordening Gegevensbescherming. Deze pan-Europese privacywetgeving treedt in mei 2018 al in werking.multicloud-slot-700x300.png
  1. Bewaak de compliance
    In een multicloud kan het overzicht op zowel de interne als de externe compliance-vereisten al snel vertroebelen. Een risicoinventarisatie en het maken van de juiste platform per workload voorkomen een deel van de problemen. Voldoende controlemechanismen en het regelmatig doen van audits zijn echter allerminst overbodig. 
  1. Cloudorchestratiedienst: onmisbaar in de multicloud
    In de multicloud is een tussenlaag wenselijk die bijvoorbeeld updates van securitysoftware afdwingt voordat toegang tot bepaalde cloud mogelijk is. Een dergelijke cloudorchestratiedienst verkleint de kans op een cyberincident. Multicloud: zo leg je een veilige basis  >> LEES MEER
  1. Centraliseer identity access management
    In een multicloudomgeving is grip op het toegangsbeheer belangrijk. Op die manier voorkomt u een wirwar van verschillende accounts en rechten. Dat vergroot de kans op datalekken, bijvoorbeeld bij vertrekkend personeel. Een gecentraliseerd systeem voor identity access management voorkomt chaos en verkleint de kans op een datalek. Een systeem voor Single Sign-On (SSO) vergroot het gebruiksgemak: gebruikers kunnen met een enkel wachtwoord inloggen in meerdere accounts. 
  1. Veilige connectiviteit
    Connectiviteit in de multicloud moet natuurlijk veilig zijn. Data-uitwisseling tussen verschillende platformen en cloudomgevingen vraagt om voorzieningen zoals een VPN-verbinding. 
  1. Garandeer voldoende kennisniveau en bewustwording
    Security begint ook in de multicloud bij awareness en verantwoord gedrag. Het vormt de eerste verdedigingslinie tegen cyberdreigingen. Zeker in de multicloud is de menselijke factor belangrijk. Een gedegen awarenesstraining kan een belangrijk verschil maken.

Iedere organisatie met een multicloud zou moeten beschikken over een doordachte securitystrategie, vertaald naar effectieve maatregelen. Wie security en privacy serieus neemt, start vandaag nog met deze best practices.

 Dit blog is eerder geplaatst op Computable.nl

Patrick de Goede van Eijk

Geschreven door Patrick de Goede van Eijk

Patrick de Goede van Eijk is Expert Security / Cyber Security Architect en werkzaam bij T-Systems sinds 2011 en is ruim 25 jaar actief in de ICT branche in diverse vakgebieden. De business impact van security maatregelen en wetgeving heeft zijn focus en persoonlijke interesse.