De soorten bedreigingen in multi-cloud omgevingen verschillen niet van die in een enkele cloudomgeving, zegt Crystal Morin, cybersecurity strateeg bij beveiligingsbedrijf Sysdig. Het Threat Research Team van Sysdig ziet echter dat hackers zich tijdens aanvallen tussen omgevingen verplaatsen, waardoor dit een bron van zorg is voor gebruikers van multi-cloudomgevingen.
“De grootste fout die een bedrijf met een multi-cloudomgeving kan maken, naast de normale beveiligingspraktijken voor de cloud, is het niet beveiligen en observeren van de beweging tussen de cloudomgevingen”, zegt ze. “Het behouden van een gezond zicht op je omgeving is de sleutel tot het veilig houden ervan.”
Naarmate multi-cloudomgevingen populairder worden, zal er waarschijnlijk een toename zijn van aanvallers die zich zijdelings door omgevingen bewegen op zoek naar extra privileges en gevoelige data die mogelijk over de omgevingen zijn opgeslagen, voegt Morin toe.
Omdat de cloudomgeving zo divers is, met multi-cloud- en hybride opstellingen, ontstaat er een gefragmenteerd netwerk dat het aanvalsoppervlak vergroot en het monitoren en beschermen bemoeilijkt, zegt Phani Dasari, chief information security officer van HGS, een digitaal klantenservicebedrijf.
Het overwinnen van deze fragmentatie door betere zichtbaarheid over de hele cloudomgeving is essentieel om cyberrisico’s te verminderen en een topprioriteit voor beveiligingsteams, voegt hij eraan toe.
Magische kabouters zijn niet de oplossing
Bedrijven moeten ervoor zorgen dat alleen de mensen die specifieke bedrijfsgegevens nodig hebben voor hun werk, toegang tot die gegevens hebben, zegt Wayne Anderson, directeur van cloud, beveiliging en infrastructuur bij BDO Digital, een aanbieder van technologie- en bedrijfsadviesdiensten.
“De huidige multi-cloudwereld bestaat echter niet uit een leger van magische kabouters die in real-time intelligente en goed doordachte beslissingen nemen,” zegt hij. “In plaats daarvan moeten systemen worden ontworpen of geconfigureerd om te weten welke permissies nodig zijn, wie die permissies moet hebben en hoe de permissies worden toegepast op data of applicatiefuncties. Machines volgen deze regels exact op. De regels moeten dus kloppen.”
Om dit te bereiken is een organisatie nodig waarbij de bedrijfseenheden regelmatig communiceren met het beveiligingsteam. Ze moeten bereid zijn net zoveel tijd te besteden aan het planningsproces, zoals het opzetten van workflows, als aan het aanschaffen van de tools, aldus Anderson.
“De beste beveiligingsteams handelen als adviseurs en hebben het vertrouwen van het bedrijf opgebouwd om de consultants te zijn die een balans vinden tussen snelle implementatie en het beschermen van het bedrijf,” voegt hij eraan toe.
Een van de meest effectieve manieren om het niveau van machtigingen te beheren die aan entiteiten binnen een organisatie worden toegekend, is via role-based access control (RBAC), zegt Brandon Leiker, hoofdoplossingsarchitect, beveiliging bij 11:11 Systems, een leverancier van beheerde netwerkinfrastructuur oplossingen. Met RBAC worden verschillende rollen aangemaakt op basis van de soorten gebruikers of toegangsniveaus die gebruikers nodig hebben tot een omgeving of gegevens, waarna gebruikersaccounts aan die rollen worden toegewezen.
“Het beheer van toegang en machtigingen in meerdere cloudomgevingen via de oplossing voor identiteits- en toegangscontrole van elke omgeving kan echter administratief belastend zijn”, zegt hij. “Om nog maar te zwijgen van het feit dat gebruikers worden uitgedaagd om meerdere gebruikersnamen, wachtwoorden en MFA tokens (multi-factor authenticatie) te beheren, waardoor ze in de verleiding komen om wachtwoorden te hergebruiken in die omgevingen.”
Om deze pijn te verlichten, zouden organisaties moeten proberen single sign-on oplossingen te implementeren, zegt Leiker. Dit stelt beheerders in staat om toegang en machtigingen voor de verschillende cloudomgevingen die de organisaties gebruiken te beheren via een gecentraliseerd platform. Gebruikers hebben één centraal portaal om toegang te krijgen tot die omgevingen met behulp van één gebruikersnaam, wachtwoord en MFA.
Aanvallers richten zich op back-ups
In een multi-cloudomgeving is de beveiliging van gegevens van het grootste belang, zegt Evan Pease, technologieleider Launch Consulting Group. Een manier voor bedrijven om dat te doen is om back-ups op meerdere locaties te bewaren en robuuste herstelplannen te hebben.
“Multi-cloud setups bieden de flexibiliteit om verschillende cloudproviders te gebruiken voor back-ups,” zegt hij. “Hoewel het duurder kan zijn om gegevens op meerdere clouds op te slaan, kunnen de afwegingen het waard zijn voor sommige gegevens.”
Steve Costigan, Field CTO, EMEA bij cloud computing-bedrijf Zadara, is het hiermee eens en zegt dat organisaties ervoor moeten zorgen dat back-ups in verschillende omgevingen en op verschillende locaties kunnen worden gemaakt.
“Je wilt jezelf niet binden aan een locked-in oplossing met beperkte herstelopties”, zegt hij. “Zorg ervoor dat je echte isolatie hebt tussen systemen, dit zal de oost-west zijwaartse beweging beperken als er een sprake is van een compromis.”
En bedrijven zouden immutable of air-gapped offsite back-ups kunnen overwegen, aangezien de meeste aanvallen op omgevingen nu specifiek gericht zijn op back-ups, volgens Costigan.
“Dit is je laatste verdedigingslinie voor herstel,” zegt hij. “Als je back-ups worden verwijderd of gecompromitteerd, dan staar je in de afgrond voor je data integriteit.”
Multi-cloudomgevingen vereisen ook versiebeheermechanismen en robuuste noodherstelplannen, zegt Dasari.
“Het hebben van historische versies die gemakkelijk toegankelijk zijn, zorgt voor snel herstel in geval van gegevensverlies of corruptie,” legt hij uit. “Het grondig testen van het rampherstelplan is cruciaal om downtime te minimaliseren en de beschikbaarheid van gegevens te garanderen.”
Het gaat niet alleen om de technische hulpmiddelen
Het beschermen van gegevens in een multi-cloudomgeving gaat verder dan alleen het inzetten van de juiste technische hulpmiddelen; het gaat om het aannemen van een holistische benadering die zowel administratieve als technische aspecten omvat, zegt Nick Harrahill, directeur klantondersteuning bij Spin.AI, een software-as-a-service (SaaS) beveiligingsbedrijf.
“Op technisch vlak zijn maatregelen zoals data-encryptie voor zowel data in rust als data die onderweg is, regelmatige controle van data-integriteit met behulp van digitale handtekeningen of hashes en sterke identiteits- en toegangsbeheercontroles van het grootste belang”, zegt hij. “Daarnaast zijn uitgebreide audits, tijdig beheer van kwetsbaarheden, het gebruik van datamanagementplatformen, versterkte netwerkbeveiliging en geautomatiseerde oplossingen voor noodherstel essentieel.”
Vanuit administratief oogpunt zijn strenge evaluaties van leveranciers en contracten die zorgen voor naleving van service-level agreements en de hoogste beveiligingsstandaarden van cruciaal belang, voegt Harrahill toe. Regelmatige audits door derden, een robuust gegevensbeveiligingsbeleid, een goed gedefinieerde strategie voor het reageren op incidenten en strenge richtlijnen voor het beheer van de levenscyclus van gegevens zijn net zo belangrijk.
“De hele inspanning om gegevens te beveiligen in een multi-cloudconfiguratie komt neer op het bevorderen van partnerschappen tussen klanten en leveranciers, waarbij elk zijn expertise en controles inbrengt”, merkt hij op. “Ik benadruk altijd het motto ‘vertrouw maar verifieer’. Deze filosofie is fundamenteel voor het opbouwen en onderhouden van sterke, veilige relaties in de multi-cloudomgeving, waarbij de integriteit en veiligheid van gegevens te allen tijde wordt gewaarborgd.”
Een hoeksteen van het beschermen van gegevens is het begrijpen van de beveiligingsmechanismen van elke cloudprovider en ervoor zorgen dat deze overeenkomen met interne protocollen, zegt Mike Fraser, VP DevSecOps bij Sophos, een leverancier van cyberbeveiligingsoplossingen.
“Gegevensversleuteling vereist het versleutelen van gegevens in rust en tijdens het transport. Hoewel veel cloudproviders versleutelingstools leveren, profiteren organisaties van een betere beveiliging als ze hun versleutelingscodes beheren”, zegt hij.
En cybersecurity posture management en data security posture management spelen hierbij een belangrijke rol door het handhaven van veilige en compliant configuraties van clouddiensten en data. Deze worden vaak naadloos geïntegreerd in moderne DevSecOps-pipelines om handhaving via automatisering te waarborgen, voegt Fraser toe.
Conclusie
Omdat cyberbedreigingen zich blijven ontwikkelen en de regelgeving strenger wordt, zullen organisaties wereldwijd hun cyberinvesteringen prioriteren op basis van de bescherming van “bedrijfsgegevens”, zegt Dasari.
“Dasari: “Dit houdt in dat we diepgaand inzicht moeten krijgen in dergelijke gegevens binnen de hele organisatie en dat we continu de introductie ervan in de omgeving moeten beoordelen, of dit nu via de cloud, SaaS-oplossingen, kernapplicaties of relaties met derden is. “Deze aanpak zal leiden tot meer veerkrachtige cyberbeveiligingsprogramma’s en geminimaliseerde risico’s voor organisaties.”