Gegevens beschermen in een Multi-Cloud omgeving

Betrouwbaarheid
In het kort

Naarmate het gebruik van de cloud toeneemt, staan bedrijven steeds meer onder druk om hun gegevens in multi-cloudomgevingen te beschermen. Het kan voor bedrijven echter een uitdaging zijn om de toegang tot die gegevens te beheren en veilig te houden.

De soorten bedreigingen in multi-cloud omgevingen verschillen niet van die in een enkele cloudomgeving, zegt Crystal Morin, cybersecurity strateeg bij beveiligingsbedrijf Sysdig. Het Threat Research Team van Sysdig ziet echter dat hackers zich tijdens aanvallen tussen omgevingen verplaatsen, waardoor dit een bron van zorg is voor gebruikers van multi-cloudomgevingen.

“De grootste fout die een bedrijf met een multi-cloudomgeving kan maken, naast de normale beveiligingspraktijken voor de cloud, is het niet beveiligen en observeren van de bewegingen tussen de cloudomgevingen”, zegt ze. “Het behouden van een gezond zicht op je omgeving is de sleutel tot het veilig houden ervan.”

Naarmate multi-cloudomgevingen populairder worden, zal er waarschijnlijk een toename zijn van aanvallers die zich zijdelings door omgevingen bewegen op zoek naar extra privileges en gevoelige data die mogelijk over de omgevingen zijn opgeslagen, voegt Morin toe.

Omdat het cloudlandschap zo divers is en multi-cloud en hybride omgevingen omvat, vormt het een gefragmenteerd netwerk dat het aanvalsoppervlak vergroot en monitoring en bescherming bemoeilijkt, zegt Phani Dasari, chief information security officer van HGS, een bedrijf voor digitale klantervaring.

Het overwinnen van deze fragmentatie door middel van verbeterde zichtbaarheid in de gehele cloudomgeving is van vitaal belang voor het verminderen van cyberrisico’s en een topprioriteit voor beveiligingsteams, voegt hij eraan toe.

De magische kabouters zijn niet het antwoord

Bedrijven moeten ervoor zorgen dat alleen die mensen toegang hebben tot specifieke bedrijfsgegevens die nodig zijn voor hun werk, zegt Wayne Anderson, directeur cloud, beveiliging en infrastructuur bij BDO Digital, een leverancier van technologie en bedrijfsadviesdiensten.

“De huidige multi-cloudwereld bestaat echter niet uit een leger van magische kabouters die in realtime intelligente en weloverwogen beslissingen nemen,” zegt hij. “In plaats daarvan moeten systemen worden ontworpen of geconfigureerd om te weten welke permissies nodig zijn, wie die permissies moet hebben en hoe de permissies worden toegepast op data of applicatiefuncties. Machines zullen deze regels precies volgen. De regels moeten kloppen.”

Om dit te bereiken is volgens Anderson een organisatie nodig waarvan de business units regelmatig communiceren met het beveiligingsteam en die bereid zijn om net zoveel tijd te besteden aan het planningsproces, het instellen van zaken als workflow, als aan de aanschaf van de tools zelf.

“De beste beveiligingsteams gedragen zich als adviseurs en hebben vertrouwen opgebouwd in de business om de consultant te zijn die een balans vindt tussen snelle implementatie en bescherming van de business”, voegt hij eraan toe.

Een van de meest effectieve manieren om het permissieniveau te beheren dat wordt toegewezen aan entiteiten binnen een organisatie is door middel van RBAC (role-based access control), zegt Brandon Leiker, principal solutions architect, security bij 11:11 Systems, een leverancier van beheerde netwerkinfrastructuur oplossingen. Met RBAC worden verschillende rollen aangemaakt op basis van de soorten gebruikers of toegangsniveaus die gebruikers nodig hebben tot een omgeving of gegevens, waarna gebruikersaccounts aan die rollen worden toegewezen.

“Het beheer van toegang en machtigingen in meerdere cloudomgevingen via de oplossing voor identiteits- en toegangscontrole van elke omgeving kan echter administratief belastend zijn”, zegt hij. “Om nog maar te zwijgen van het feit dat gebruikers worden uitgedaagd om meerdere gebruikersnamen, wachtwoorden en MFA tokens (multi-factor authenticatie) te beheren, waardoor ze in de verleiding komen om wachtwoorden te hergebruiken in die omgevingen.”

Om deze pijn te verlichten, zouden organisaties moeten proberen single sign-on oplossingen te implementeren, zegt Leiker. Dit stelt beheerders in staat om toegang en machtigingen voor de verschillende cloudomgevingen die de organisaties gebruiken te beheren via een gecentraliseerd platform. Gebruikers hebben één centraal portaal om toegang te krijgen tot die omgevingen met behulp van één gebruikersnaam, wachtwoord en MFA.

Aanvallers richten zich op back-ups

In een multi-cloudomgeving is de beveiliging van gegevens van het grootste belang, zegt Evan Pease, technologieleider Launch Consulting Group. Een manier voor bedrijven om dat te doen is om back-ups op meerdere locaties te bewaren en robuuste herstelplannen te hebben.

“Multi-cloud setups bieden de flexibiliteit om verschillende cloudproviders te gebruiken voor back-ups,” zegt hij. “Hoewel het duurder kan zijn om gegevens op meerdere clouds op te slaan, kunnen de afwegingen het waard zijn voor sommige gegevens.”

Steve Costigan, Field CTO, EMEA bij cloud computing-bedrijf Zadara, is het hiermee eens en zegt dat organisaties ervoor moeten zorgen dat back-ups in verschillende omgevingen en op verschillende locaties kunnen worden gemaakt.

“Je wilt jezelf niet binden aan een locked-in oplossing met beperkte herstelopties”, zegt hij. “Zorg ervoor dat je echte isolatie hebt tussen systemen, dit zal de oost-west zijwaartse beweging beperken als er een compromis optreedt.”

En bedrijven zouden immutable of air-gapped offsite back-ups kunnen overwegen, aangezien de meeste aanvallen op omgevingen nu specifiek gericht zijn op back-ups, volgens Costigan.

“Dit is je laatste verdedigingslinie voor herstel,” zegt hij. “Als je back-ups worden verwijderd of gecompromitteerd, dan staar je in de afgrond voor je data integriteit.”

Multi-cloudomgevingen vereisen ook versiebeheermechanismen en robuuste noodherstelplannen, zegt Dasari.

“Historische versies direct toegankelijk hebben zorgt voor snel herstel in geval van gegevensverlies of corruptie,” legt hij uit. “Het grondig testen van het rampherstelplan is cruciaal om downtime te minimaliseren en de beschikbaarheid van gegevens te garanderen.”

Het gaat niet alleen om de technische hulpmiddelen

Het beschermen van gegevens in een multi-cloudomgeving gaat verder dan alleen het inzetten van de juiste technische hulpmiddelen; het gaat om het aannemen van een holistische benadering die zowel administratieve als technische aspecten omvat, zegt Nick Harrahill, directeur klantondersteuning bij Spin.AI, een software-as-a-service (SaaS) beveiligingsbedrijf.

“Op technisch vlak zijn maatregelen zoals data-encryptie voor zowel data in rust als data in transit, regelmatige controle van data-integriteit met behulp van digitale handtekeningen of hashes en sterke identiteits- en toegangsbeheercontroles van het grootste belang”, zegt hij. “Daarnaast zijn uitgebreide audits, tijdig beheer van kwetsbaarheden, het gebruik van datamanagementplatformen, versterkte netwerkbeveiliging en geautomatiseerde oplossingen voor noodherstel essentieel.”

Vanuit administratief oogpunt zijn strenge evaluaties van leveranciers en contracten die zorgen voor naleving van service-level agreements en de hoogste beveiligingsstandaarden van cruciaal belang, voegt Harrahill toe. Regelmatige audits door derden, een robuust gegevensbeveiligingsbeleid, een goed gedefinieerde strategie voor het reageren op incidenten en strenge richtlijnen voor het beheer van de levenscyclus van gegevens zijn net zo belangrijk.

“De hele inspanning om gegevens te beveiligen in een multi-cloudconfiguratie komt neer op het bevorderen van partnerschappen tussen klanten en leveranciers, waarbij elk zijn expertise en controles inbrengt”, merkt hij op. “Ik benadruk altijd het mantra ‘vertrouw maar verifieer’. Deze filosofie is fundamenteel voor het opbouwen en onderhouden van sterke, veilige relaties in de multi-cloudomgeving, waarbij de integriteit en veiligheid van gegevens te allen tijde wordt gewaarborgd.”

Een hoeksteen van het beveiligen van gegevens is het begrijpen van de beveiligingsmechanismen van elke cloudprovider en ervoor zorgen dat deze overeenkomen met interne protocollen, zegt Mike Fraser, VP DevSecOps bij Sophos, een leverancier van cyberbeveiligingsoplossingen.

“Gegevensversleuteling vereist het versleutelen van gegevens in rust en tijdens het transport. Hoewel veel cloudproviders versleutelingstools leveren, profiteren organisaties van een betere beveiliging als ze hun versleutelingscodes beheren”, zegt hij.

En cybersecurity posture management en data security posture management spelen hierbij een belangrijke rol door het handhaven van veilige en compliant configuraties van clouddiensten en data, vaak naadloos geïntegreerd in moderne DevSecOps pipelines om handhaving door middel van automatisering te garanderen, voegt Fraser toe.

Conclusie

Omdat cyberbedreigingen zich blijven ontwikkelen en de regelgeving strenger wordt, zullen organisaties wereldwijd hun cyberinvesteringen prioriteren op basis van de bescherming van “bedrijfsgegevens”, zegt Dasari.

“Dasari: “Dit houdt in dat we diepgaand inzicht moeten krijgen in dergelijke gegevens binnen de hele organisatie en dat we continu de introductie ervan in de omgeving moeten beoordelen, of dit nu via de cloud, SaaS-oplossingen, kernapplicaties of relaties met derden is. “Deze aanpak zal leiden tot meer veerkrachtige cyberbeveiligingsprogramma’s en geminimaliseerde risico’s voor organisaties.”

Gerelateerde begrippen

Linda Rosencrance
Auteur

Linda Rosencrance is een freelance schrijver/redacteur/auteur in de omgeving van Boston. Rosencrance heeft meer dan 30 jaar ervaring als onderzoeksjournalist en schreef voor vele kranten in de omgeving van Boston. Haar artikelen zijn verschenen in publicaties als MSDynamicsworld.com, TechTarget, TechBeacon, IoT World Today, Computerworld en CIO magazine. Rosencrance was redacteur van een technologische nieuwssite en beheerde en redigeerde een blog gewijd aan data analytics. Ze schrijft ook white papers, case studies, ebooks, blog posts voor vele zakelijke klanten. Rosencrance is de auteur van vijf true crime boeken voor Kensington Publishing Corp: "Murder at Morses Pond', 'An Act of Murder', 'Ripper',…