Sinds de komst van de Publieke wolk Als haalbaar alternatief voor systemen op locatie noemen CIO's en CISO's beveiliging als een van de grootste zorgen als het gaat om het maken van de overstap.

Hoewel de meeste van hun zorgen in de loop der jaren zijn afgenomen, blijven sommige zorgen bestaan, aangewakkerd door het aantal incidenten met datalekken, voornamelijk als gevolg van verkeerde configuratie.

Johnnie Konstantas, senior directeur Beveiliging Go to Market bij Oracle, zegt dat de belangrijkste reden waarom we zoveel krantenkoppen zien over gevoelige datalekken en -verlies, is dat er bijna te veel beveiligingstools worden aangeboden door publieke cloudproviders.

Maakt cloudbeveiligingsbeheer minder persoonsintensief en foutgevoelig

“Publieke clouds zijn over het algemeen homogene infrastructuren met ingebedde monitoringmogelijkheden die alomtegenwoordig zijn en waarop gecentraliseerd beveiligingsbeheer en tools voor het oplossen van bedreigingen zijn gebouwd”, vertelde Konstantas aan Help Net Security.

Maar cloudklanten moeten opnieuw trainen in het gebruik van deze tools en over voldoende personeel beschikken om ze te benutten en de verschillende beveiligingsdisciplines te coördineren – en dit is moeilijk te doen omdat de expertise op het gebied van cyberbeveiliging een historisch tekort heeft.

“Klanten willen niet meer toolswillen ze profiteren van de innovatie en expertise van cloudserviceproviders om de uitdaging aan te gaan. Op dit punt hebben we betrouwbaar, accuraat beveiligingsconfiguratiebeheer en geautomatiseerde reactie op bedreigingen nodig”, meende Konstantas.

Dit is de richting die zij verwacht dat cloud-native security de komende vijf jaar zal gaan. Ze gelooft dat we waarschijnlijk een verschuiving zullen zien in de richting van de discussies over de model met gedeelde verantwoordelijkheid en meer om van klanten cloudbeveiligingshelden te maken door middel van automatisering.

"Automatisering is echt cruciaal voor effectieve cloudbeveiliging. Neem het voorbeeld van data en denk eens aan de hoeveelheid data die naar in de cloud gehoste databases en datawarehouses stroomt. Het classificeren van de gegevens, het identificeren van PII, PHI, creditcards enz., het markeren van toegang met overdreven toestemming en het vereisen van aanvullende autorisatie voor het verwijderen van gegevens – al deze dingen moeten worden geautomatiseerd. Zelfs het herstel of het voorkomen van toegang moet worden geautomatiseerd”, merkte ze op.

Cloudproviders zullen de angst van klanten moeten doorbreken dat geautomatiseerde beveiliging betekent dat ze zaken kapot maken door overdreven te reageren op valse positieven, maar degenen die een manier vinden om uit te blinken in het gebruik van machine learning, modeltuning en kunstmatige intelligentie voor effectieve en nauwkeurige geautomatiseerde bedreigingspreventie zullen verdient terecht het vertrouwen van de klant – en geen moment te vroeg.

Is het veilig om kritieke bedrijfsworkloads in de publieke cloud te plaatsen?

Zonder enige twijfel is de publieke cloud een waardig alternatief gebleken voor private datacenters door een hoge veerkracht tegen bedreigingen te bieden en snel herstel van beveiligingsincidenten te bieden. Maar niet alle publieke cloudaanbieders zijn hetzelfde als het gaat om expertise of ingebouwde beveiliging.

Organisaties met gevoelige gegevens en werklasten moeten die vinden die adequate beveiliging bieden, en kunnen dit doen door veel vragen te stellen en de antwoorden te evalueren.

Konstantas stelt het volgende voor (hoewel de lijst niet uitputtend is):

• Wat zijn uw gegevensbeschermings-, detectie-, respons- en herstelmogelijkheden voor zowel gestructureerde (database) als ongestructureerde (objectopslag) gegevens?
• Hoe beschermt u tegen hypervisorgebaseerde aanvallen, cross-tenantinfecties, hardware-gebaseerd aanvallen?
• Welke klantgestuurde beveiligingsfuncties zijn in uw cloud ingebouwd en worden hiervoor kosten in rekening gebracht?
• Welke delen van de beveiligingsconfiguratie, detectie en herstel van bedreigingen zijn geautomatiseerd op uw platform en op welke diensten zijn deze van toepassing (dwz IaaS, PaaS, SaaS)?

Voor de CISO die samen met de CIO een grootschalige migratie van de data van de organisatie naar de cloud moet leiden, adviseert ze om zoveel mogelijk inzicht in het project te krijgen.

“CISO’s moeten antwoorden voorbereiden op de manier waarop de organisatie aan haar wettelijke en complianceverplichtingen voor de data zal voldoen tijdens de migratie en zodra deze volledig operationeel is in de cloud”, legt ze uit.

Opnieuw zijn er veel vragen die beantwoord moeten worden. Onder hen zijn:

• Hoe zal de beveiligingsdekking voor de migratie zorgen in vergelijking met wat er ter plaatse wordt gedaan?
• Hoe zullen de zichtbaarheid en effectiviteit van de beveiligingspositie toenemen?
• Welke kostenbesparingen kunnen worden gerealiseerd op de beveiligingsuitgaven door ingebouwde cloudbeveiliging in te voeren?
• Hoe zal de holistische aanpak van cloudbeveiliging worden gecommuniceerd naar de CIO en de raad van bestuur?

“Als de CISO samenwerkt met een cloudbeveiligingsprovider die de kritieke zakelijke werklasten begrijpt, zullen ze voldoende ondersteuning en begeleiding krijgen bij het voorbereiden en documenteren van deze antwoorden, omdat ondernemingsgerichte CSP’s diepgaande ervaring hebben met de specifieke vereisten van mondiale bedrijven, complexe bedrijfsapplicaties en eisen inzake gegevensresidentie en soevereiniteit. Er staan ​​bedrijfsgerichte CSP-teams klaar om deze inzichten te delen en de bewijspunten te leveren die klanten nodig hebben”, besluit ze.

Bron: https://www.helpnetsecurity.com/2020/03/25/cloud-native-security-considerations/