Neem contact op

New Module

Add content here.

security, IT, multicloud, Cloud

Zo regel je security by design in de multicloud

19-september-2018

Een multicloudomgeving zorgt ervoor dat de medewerkers van je organisatie met de beste cloudtools kunnen werken van allerlei aanbieders. Maar daarvoor het je wel een stevig fundament nodig. En security is daar een essentieel onderdeel van.

In een eerder verschenen blog schreven we dat de de IT-afdeling voor een multicloud een stevig fundament moet neerleggen. In dit blog gaan we in op waar je aan moet denken tijdens het opzetten van je cloudstrategie als het gaat om security.

multicloud-slot-700x300

1. Identity en access management

Vroeger kon je een on-premise omgeving zien als de centrale hub waar alle datastromen en gebruikers langskwamen. Daarmee was het meteen ook een security hub. Maar nu gebruikers dankzij de cloud niet meer gebonden zijn aan vaste werktijden en locaties om hun werk te doen, verschuift deze hub-functie steeds meer richting individuele gebruikers.

Ze maken nu rechtstreeks contact met allerlei cloudaanbieders via hun laptops, tablets en smartphones. Vandaar dat je steeds meer governance- en beveiligingsmaatregelen vanuit dit nieuwe beginpunt moet nemen en je je eigen datacenter niet langer als centrale hub moet blijven zien.

Op organisatorisch vlak betekent deze verandering dat je steeds vaker met de business in conclaaf gaat. Als security-organisatie bepaal je een aantal requirements waaraan cloudproviders moeten voldoen op bijvoorbeeld de gebieden identity en access management. Door de toegang tot deze cloudservices op een vastgestelde manier te regelen, borg je dat het gebeurt op een manier die past binnen de regelgeving en jouw policies.

2. Veilige dataontsluiting

In een multicloudomgeving werk je nauw samen met partners en is het een stuk makkelijker geworden om data met anderen te delen. Informatie wordt zodoende in toenemende mate gedeeld met partijen die zich buiten jouw bedrijf bevinden. Je moet daarom vooraf goed nadenken over zaken als dataclassificatie en versleuteling. Zodra je informatie anders gaat delen dan voorheen, zoals met partners, klanten en consumenten moet je goed nadenken over vragen als: "Hoe leg je de governance vast?", "Hoe zit het met de privacy?" en vooral ook: "Hoe regel je de toegang tot deze data en hoe kun je de datastromen monitoren?"

3. Netwerkbeveiliging

Door de inzet van SDN (Software Defined Networking) verdwijnt de noodzaak voor een centrale security hub. Bij de nieuwe generatie netwerken kun je net zo goed je internettoegang gebruiken als de centrale breakout. Zolang je er maar de juiste security parameters op zet. Door dit via een cloudbased service te regelen, kun je centraal je policies deployen en de gebruikerstoegang regelen. Er komen steeds meer cloudbased security-producten beschikbaar om dit te faciliteren. In plaats van lokaal in het eigen datacenter, regel je het daarmee vanuit een cloudomgeving.

Data mag nooit in verkeerde handen vallen. Zolang de systemen zich binnen de traditionele boundaries bevinden, kun je ze beveiligen met firewalls, IDS-en en IPS-en. Zodra je ze in de cloud plaatst, moet je eenzelfde constructie zien te bedenken. Oftewel, welke varianten van al mijn traditionele beveiligingsmaatregelen kan ik bedenken, zodat ik hetzelfde beveiligingsniveau bereik, maar dan in een cloudomgeving.

Cloudomgevingen bieden hier wel standaard mogelijkheden voor, maar het volstaat niet om simpelweg aan te vinken wat je wilt gebruiken. Want wie monitort en beheert dit en houdt het allemaal netjes up-to-date? De kans is groot dat er extra kennis en kunde van deze nieuwe technologieën nodig is van de specialisten in je organisatie.

4. Continuous vulnerability assessment

Zodra je een digitale transformatie doorgaat, ontstaat er vanzelf schaduw-IT. Dat houd je gewoon niet tegen, omdat elke business unit of afdeling eenvoudig zelf een SaaS- of PaaS-dienst kan inzetten. Wat je hier het beste aan kunt doen, is al je omgevingen in de gaten houden en ze continu scannen. Zitten er verborgen zaken of kwetsbaarheden in? Dan kun je die alsnog patchen, mitigeren, of andere maatregelen treffen om het risico weg te nemen.

Het is belangrijk om dat scannen niet eens per maand of per release, maar continu te doen. De mogelijkheden om nieuwe apps te bouwen en systemen te deployen zijn voor business units en afdelingen enorm groot geworden. Daarnaast werk je in een devops-omgeving met doorlopende processen. Dus kom je er alleen met 'continuous vulnerability assessments' op tijd achter of er iets nieuws is geïntroduceerd waarin zich een kwetsbaarheid bevindt."

Daarnaast verandert de wereld om jouw omgeving heen enorm snel. Dus zelfs al zijn al je producten statisch, dan nog kan erbuiten een nieuwe kwetsbaarheid ontdekt worden.

5. Secure coding

Voorkomen is altijd beter dan genezen. Dus zorg er meteen vanaf het begin voor dat alle code die je schrijft en oplevert veilig is en voldoet aan de standaarden. Met korte tweewekelijkse sprints waarin releases elkaar snel opvolgen, is er vaak veel druk om vooral veel nieuwe functionaliteit op te leveren. Men wil dus liever functional releases dan non-functional, en daardoor krijgen beveiliging en robuustheid misschien wat minder aandacht.

Begrijpelijk, maar het betekent wel dat je straks aan de achterkant veel herstelwerkzaamheden moet doen. Terwijl, als je secure coding meteen in het proces meeneemt en vanaf het begin borgt, het een functionele release helemaal niet in de weg staat. Je wint er juist tijd mee, zodat je nog meer functioneel werk kunt verzetten. Want je hoeft geen herstelwerkzaamheden uit te voeren of emergency releases te doen om problemen achteraf op te lossen.

6. Standaard beveiligingsmogelijkheden

De grote cloudproviders integreren steeds meer beveiligingsmogelijkheden in hun platformen. Denk aan zaken als intrusion detection, firewalling, security event monitoring en threat analysis. Een goede ontwikkeling, want zo wordt het nog makkelijker om je bestaande policies op een cloudomgeving toe te passen en de gewenste beveiligingsmaatregelen te implementeren.

Omdat er zo enorm veel mogelijkheden zijn, moet je wel heel goed kijken wat er voor jouw organisatie nodig is. Het zijn namelijk standaard mogelijkheden die voor alle klanten van het platform beschikbaar staan. Ze zijn niet afgestemd op de specifieke behoeftes van jouw organisatie.

Bovendien werkt het per cloudomgeving net even anders. Je kunt je afvragen of je, nu je toch met een aantal partners een multicloud hebt opgezet, dit niet beter aan een security specialist kunt overlaten voor wie dat core business is. Dan hoef jij alleen nog maar regie te voeren.

7. Van centrale hub naar ecosysteem

Zodra je voor een multicloudstrategie kiest, komen veel technisch-operationele werkzaamheden te vervallen. Die komen bij de providers van de cloudomgevingen te liggen, je hoeft ze niet meer zelf on-premise op te lossen. Belangrijk is hierbij wel dat je de verantwoordelijkheden goed vastlegt.

Als security-organisatie schuif je zodoende steeds meer op naar een regie-organisatie. Vooral als er veel SaaS-producten komen, heb je nog maar weinig invloed op hoe dat er allemaal uitziet. Je moet dan vooral met de business in gesprek. Hoe zien de security requirements eruit? En hoe kun je het inregelen en governen in een multicloudstrategie?

De interne security-organisatie schuift dus op richting een regie-organisatie en de rol van providers wordt alsmaar groter en belangrijker in een multicloudlandschap. Hierdoor veranderen ook investeringspatronen. Want de investeringen verschuiven steeds meer naar de service providers. Doordat er enorm veel as-a-service wordt aangeboden, krijg je in je eigen organisatie meer OPEX en minder CAPEX. Dat maakt het flexibeler en meer in lijn met de huidige wensen van de business.

Dit blog is eerder geplaatst op cio.nl

Dennis Pieterse

Geschreven door Dennis Pieterse

Dennis Pieterse is Senior Security Advisor voor T-Systems. Hij is verantwoordelijk voor het security portfolio van T-Systems in Nederland. Dennis heeft meer dan twintig jaar kennis en ervaring in het IT vakgebied in diverse (management-) rollen. De laatste zeven jaar heeft hij zich toegelegd op het adviseren, implementeren en uitvoeren van managed security services. Hij bewaakt daarbij altijd de juiste balans tussen het bedrijfsrisico en het verhogen van de weerbaarheid.