Veilig en compliant naar de cloud

Gastblog door Solvinity (Knowledge Partner op het thema Cloud Security)

De voordelen van public cloud zoals veilig, schaalbaar, flexibel en betalen naar gebruik, zijn algemeen bekend. Organisaties die over willen stappen op een ‘Public Cloud First’ strategie ervaren het opzetten en borgen van die veiligheid (de zogenaamde security en compliance) vaak als een complex en moeizaam onderdeel. Regelmatig kijken organisaties eerst óf een omgeving of applicatie kan draaien in public cloud (werkt het?) en naderhand pas naar het informatiebeveiligingsaspect.

Bij Solvinity vinden we juist dat security en compliance de basis moet zijn van waaruit applicaties worden opgebouwd en data wordt beheerd. Het is namelijk een stuk moeilijker (en kostbaarder!) om achteraf met behulp van ‘reversed engineering’ veiligheid in je applicatiestack en cloud basisinfrastructuur in te brengen. In deze blog leggen we uit waar je aan moet denken om de security en compliance van jouw cloud landschap naar een hoger niveau te brengen.

Beveiligingsrichtlijnen

Public cloud providers bieden een groot aantal beveiligingsdiensten aan, die je ontlasten op het gebied van informatiebeveiliging. De ontwikkelingen volgen elkaar daarbij in razend tempo op waarbij de zogenaamde ‘best-practices’ regelmatig worden bijgewerkt. De kennis over deze materie is schaars en moet continu bijgehouden worden. Dit alles maakt informatiebeveiliging voor veel organisaties een complexe aangelegenheid. Een ervaren Secure Managed IT Services Provider kan een groot deel van deze zorgen uit handen nemen.

Verantwoordelijkheid/demarcatie

De diensten die cloud service providers bieden, zijn de facto veilig en worden regelmatig getoetst door externe partijen. De audit rapporten zijn toegankelijk voor iedereen en bieden je veiligheid tot het niveau waarvoor de Cloud Service Provider (CSP) verantwoordelijk is. Dit betekent dat de resources en data die organisaties zelf inbrengen níet automatisch veilig en geaudit zijn. Hier ben je zelf verantwoordelijk voor.

Dit wordt ook wel het ‘shared responsibility model’ genoemd. Het is belangrijk deze demarcatie goed te begrijpen en per dienst inzichtelijk te hebben wat de CSP doet en wat jij als organisatie nog onder andere aan encryptie en configuratie dient te doen. Voor IaaS-omgevingen betekent dit, dat de verantwoordelijkheid meer aan de zijde van de eigen organisatie ligt, terwijl in het geval van SaaS-diensten de CSP bijna alle verantwoordelijkheid draagt op het gebied van veiligheid. De encryptie van je data is altijd je eigen verantwoordelijkheid.

Verdeel en heers

De afgelopen jaren is een duidelijke trend gaande waarbij monolithische applicaties worden opgebroken in zogenaamde microservices. Dit vergemakkelijkt het tussentijds verbeteren van een service en verlaagt de impact bij (tijdelijke) onbeschikbaarheid van de applicatie. Waar voorheen bij monolithische applicaties de hele applicatie niet beschikbaar werd, in geval van een verstoring, is bij een applicatie opgebouwd uit microservices alleen één (of enkele) functie(s) binnen de applicatie onbeschikbaar.

Dit architectuurconcept en de implementatie ervan kun je ook goed toepassen op security binnen public cloud. Zet ik al mijn data op een plek met een toegangspolicy voor iedereen of ga ik granulair te werk? Pas je op elk bestand of map een minimale toegangspolicy (‘least priviliged principle’) toe voor medewerkers of systemen om te kunnen werken?

Cloud Service Providers  bieden tientallen diensten waarmee je de juiste beveiliging van je data op voorhand in kunt stellen. Het risico dat al snel opduikt echter is, dat je door de bomen het bos niet meer ziet. Bedenk daarbij goed dat elke security architectuurkeuze ook een kostenafweging is. Het vergt de benodigde technische kennis en ervaring om die keuze te maken die het beste bij de doelstellingen van jouw organisatie past.

Compliance

‘Compliant zijn’ heeft voor elke organisatie een andere invulling, afhankelijk van bijvoorbeeld type applicatie of de branche waarin je opereert. Inventariseer daarom welke compliance-eisen voor jouw organisatie gelden, bekijk welke services van de CSP je wilt gebruiken om je doelstellingen te behalen en leg die naast elkaar.

Managed Service Providers kunnen je hierin begeleiden, zodat je gericht kunt werken naar bijvoorbeeld SOC 2 compliance van een omgeving. Solvinity heeft onlangs, als eerste Managed Service Provider in Nederland, zelf deze exercitie uitgevoerd voor het managementplatform van Solvinity binnen Microsoft Azure. Daarmee bieden we organisaties de garantie dat het beheer van hun Azure-omgevingen in capabele handen is en op een veilige en compliant manier wordt gedaan.

Automation, automation, automation

Belangrijk is dat organisaties bewust kiezen voor volledige automatisering van security & compliance en als onderdeel opnemen binnen een ‘Public Cloud First’ strategie. Dit biedt significante voordelen:

• Kostenbesparingen en verminderde foutgevoeligheid door reductie van handmatige werkzaamheden en geautomatiseerde checks op valide code. Denk aan het programmeren van een resource type die binnen een provider helemaal niet bestaat.
• Hoger niveau van security & compliance door verregaande automatisering en “Infra as Code”. Een voorbeeld hiervan is het automatisch benchmarken en corrigeren van de door het Center of Information Security (CIS) aangeleverde checks.
• Makkelijker, sneller en dus goedkoper doorlopen van audits en verkrijgen van rapportages over de status van je IT-landschap.
• Mogelijkheid om versneld en toetsbaar change- en configuratiemanagement uit te voeren (‘Infrastructure as Code’, versiebeheer).

De keerzijde van deze richtlijn is dat het kennis en ervaring vereist van de mensen die deze aspecten moeten implementeren en beheren waarmee we komen op de volgende richtlijn: training.

Training

Kennis up-to-date houden is van essentieel belang, vanuit security of compliance overwegingen maar ook vanuit kostenoogpunt: elke innovatie kan betekenen dat je geld kunt besparen of dat je ineens significant duurder uit bent met de eerder gekozen aanpak en tools.

Security en compliance zijn specialismen die, mits onvoldoende beheerst, een negatieve impact kunnen hebben op kwaliteit van de informatiebeveiliging. De business case kan uitwijzen dat het uitbesteden aan een betrouwbare en ervaren partner, met schaalvoordeel, interessanter is dan het in eigen beheer opzetten en innoveren. Solvinity heeft decennia ervaring op het gebied van security en compliance voor uiteenlopende klanten en blijft daarin continu doorleren en vernieuwen. Dit is voor ons geen bijzaak maar een kerntaak.

Security Awareness

Met technische oplossingen en kundige architecten en engineers alleen ben je er niet. Security & compliance binnen public cloud is een tak van sport die continu in beweging is. Naast dat de meer technische kennis en ervaring noodzakelijk zijn om tot een goed ontwerp en soepele implementatie te komen, zijn er de medewerkers of klanten die er gebruik van moeten maken. Zij moeten weten hoe zij veilig werken in de public cloud. Elke organisatie is gebaat bij medewerkers die zich bewust zijn van de risico’s en weten hoe te acteren wanneer er onverhoopt toch iets misgaat. Wij zien dat educatie van medewerkers en het uitvoeren van zogenaamde phishing-tests werkt en nodig is. Om dit te faciliteren zijn er effectieve en toegankelijke trainingsmodules beschikbaar die je aan kunt passen aan de behoeften van jouw organisatie. Maak kennis met de Security Awareness training van Solvinity en volg de gratis thuiswerkmodule.

Meer weten?

Met deze richtlijnen hebben we een eerste schets gegeven van wat er bij security & compliance in public cloud komt kijken. Meer weten? Neem contact met ons op! We gaan graag verder met je in gesprek over dit onderwerp.

Bekijk ook dit webinar over Security & Compliance in de public cloud of beluister onze
podcast over SOC compliance in Azure.