Landing Zones, je vangrails voor cloud security
De cloud biedt iedere organisatie een blank canvas waar ze geweldige werken op kunnen creëren. Maar enigszins binnen de lijntjes kleuren is noodzaak om stabiliteit, prestaties, veiligheid en compliance te kunnen borgen. Kortom, een organisatie heeft vangrails nodig. Dat is specialistisch werk, en een fikse uitdaging in een wereld waarin arbeidskrapte in de IT aan de orde van de dag is.
Gastblog door Solvinity (Knowledge Partner op het thema Cloud Security)
Uit onze ervaring blijkt vaak dat na de cloudmigratie securityrisico’s de kop opsteken, juist vanwege het feit dat security in public cloud een andere mindset en kennis vereist dan bij de private cloud of on-premises. Neem het Zero Trust-model – een veelvoorkomend struikelblok. Zero Trust staat haaks op het traditionele securitymodel dat IT-beheerders van oudsher gebruiken. Zij richten zich daarbij vooral op de firewalls die het bedrijfsnetwerk omringen, terwijl Zero Trust vooral binnen het netwerk monitort op securityrisico’s.
Cloud security vereist dus een fundamenteel andere blik op de IT-omgeving. Dat begint met een grondige analyse van de bedrijfsbehoeften en een gedegen discussie over alle security-aspecten waar een cloudomgeving mee in aanraking komt. Denk aan vraagstukken als ID- en access management, logging, redundantie van systemen, governance, ga zo maar door. Deze discussie is breder dan IT: stakeholders zoals de compliance manager, CISO, CTO en zelfs de business manager zouden gezamenlijk tot een werkbare situatie moeten komen. Als de benodigde cloudkennis intern niet beschikbaar is, zullen ook outsourcingpartners moeten worden aangehaakt.
Kortom: de overstap naar de cloud raakt de hele organisatie, dus het is nodig om deze overstap als een strategisch vraagstuk te beschouwen waar draagvlak voor moet worden gecreëerd.
Cloud Landing Zone
Het resultaat van dit strategische initiatief is een Cloud Landing Zone. Dit is een framework van best practices en richtlijnen om cloudmigraties op efficiënte en veilige wijze te laten verlopen. Dit biedt een organisatie parameters, ook wel guardrails (vangrails) genoemd, die de bewegingsvrijheid van applicaties en data in de cloudomgeving bepalen. Deze guardrails zorgen er dus voor dat je op de juiste weg richting de cloud blijft en er met een veilig gevoel in kunt werken.
Er is helaas geen standaardsjabloon voor een Cloud Landing Zone. Want net zoals iedere organisatie anders is, ziet ook een Cloud Landing Zone er voor iedere organisatie anders uit. Zo zal een bank hele andere vereisten stellen aan logging dan een sportvereniging. Een gedegen Cloud Landing Zone vereist dus specialistische kennis op twee fronten: kennis van de cloud én organisatie. Dit is waar een goed samenspel tussen organisaties, leveranciers en adviseurs het verschil kan betekenen tussen een succesvolle cloudmigratie en een hoofdpijndossier.
“De overstap naar de cloud raakt de hele organisatie, dus het is nodig om deze overstap als een strategisch vraagstuk te beschouwen waar draagvlak voor moet worden gecreëerd.”
Snel en veilig ontwikkelen op de Landing Zone
Een veilige Cloud Landing Zone is slechts het begin. Een groot deel van veiligheidsrisico’s bevindt zich in de applicaties die óp de Landing Zone draaien. Doorgaans is dit een resultaat van de gewenste ontwikkelsnelheid: veranderingen op applicatieniveau gaan met de snelheid van de markt. En de realiteit is dat hierdoor security makkelijk het ondergeschoven kindje wordt binnen de development teams. Om dit te voorkomen, zijn ook op applicatieniveau vangrails nodig.
De halfjaarlijkse (pen)test is niet meer genoeg
Net als bij de onderliggende architectuur, begint dit ook in applicatieontwikkeling met een andere mentaliteit. Zo is de (half)jaarlijkse pentest onvoldoende, zeker als je meerdere keren per week updates uitrolt. Als je snel én veilig wilt handelen, dien je een continue feedbackloop aan te brengen. De pentest moet je dus in feite opknippen en uitsmeren over het gehele jaar.
Het beste is om bij iedere softwareupdate te testen. Om dat (kosten)efficiënt te doen, kun je alleen die delen van je omgeving testen waar veranderingen worden uitgebracht. Door consequent te blijven testen en developers doorlopend op security-risico’s te wijzen, blijft security bij hen top-of-mind, terwijl ze toch vaart kunnen blijven maken met hun releases. En belangrijk: omdat je niet constant grootschalige pentests hoeft uit te voeren, blijf je als organisatie wendbaar. We noemen deze testmethode niet voor niets Agile Security.
Automatiseren of toch handwerk?
Het liefste automatiseer je zo veel mogelijk, voor kostenefficiëntie en schaalvoordeel. Ook in Cloud Landing Zones en Agile Security kun je naar hartenlust automatiseren. Zo kun je er bijvoorbeeld voor zorgen dat Landing Zones niet alleen onderhouds- en kostenefficiënt blijven, maar ook dat deze blijven voldoen aan de behoeften van je organisatie. Wanneer je deze behoeften als code vastlegt, kunnen alle toekomstige wijzigingen daaraan worden getoetst. Ongewenste wijzigingen worden vervolgens automatisch geblokkeerd.
Hoewel bepaalde processen goed te automatiseren zijn, blijft een menselijke check nodig wanneer er bijvoorbeeld complexe logica nodig is. Organisaties moeten dus altijd nog de uitdaging aangaan om de experts te vinden die over de nodige kennis beschikken. Of ze dat nu doet door personeel te werven, te trainen of door een externe partner aan te haken.
Unieke beveiliging van je IT-infrastructuur tot aan je applicatie(s)
Cloud security is specialistisch werk. Zeker bij de opzet van een Cloud Landing Zone kunnen fouten een organisatie later duur komen te staan. Dit is waarom externe adviseurs bij uitstek in staat zijn deze Landing Zones te implementeren. Niet alleen omdat de technische kennis in huis is, maar ook omdat ze best practices definiëren op basis van werk voor velerlei organisaties. Hierdoor lopen zij minder snel tegen blinde vlekken aan dan interne partijen die zich alleen op één organisatie richten, en kunnen je dus bij kritieke keuzes een onpartijdige spiegel voorhouden.
Bij Solvinity zien we het belang van security als een rode draad die door je gehele organisatie, processen en IT-omgeving loopt. We bieden daarom, met name voor ISV’s en bedrijven die hun eigen applicaties ontwikkelen, samen met onze securitypartner Securify een uniek dienstenportfolio in Nederland, dat security van A tot Z verzorgt – van de opbouw van je Cloud Landing Zone en Security by Design tot veilig beheer van de omgeving en toetsing van de security met onder andere Agile Security. En hoewel je met techniek veel kunt oplossen, blijft bewustzijn essentieel voor de veiligheid. Daarom beschouwen we ook security awareness-trainingen als een cruciaal onderdeel van ons portfolio.
Met deze end-to-end dienstverlening gaan we de samenwerking met onze klanten in, waarin je in het geval van softwareontwikkeling kunt kiezen voor een ‘Stretched’ Dev(Sec)Ops constructie, waarbij onze Solvineers in-house meewerken met jouw team, als onderdeel van ons gestandaardiseerde en geautomatiseerde Integrated Delivery software release-model. Zo maken we samen het releaseproces voorspelbaar, snel én veilig.
Even voorstellen: Solvinity
Solvinity is als knowledge partner van iSourcing Hub direct betrokken bij het ter beschikking stellen van kennis en diensten als het gaat om Cloud Security.
Wil je meer weten over dit onderwerp? Neem contact op met Solvinity via (020) 364 36 00, info@solvinity.com of solvinity.nl.
Deze Knowledge Partner Blog is verzorgd door Solvinity.
Solvinity is Knowledge Partner van iSourcing Hub op het thema Cloud Security. Knowledge Partners zijn op iSourcing Hub aangesloten leveranciers en adviesbedrijven die vanuit hun expertise op een bepaald domein helpen met het opstellen en onderhouden van de Public Library vragen.