Het beheren van beveiliging voor cloudgebaseerde SaaS-applicaties (Software-as-a-Service) of voor uw eigen applicaties in de cloud stelt andere, complexere eisen aan cyberbeveiligingsteams. Hoewel cyberbeveiligingsvaardigheden schaars blijven, is de beschikbaarheid van mensen met zowel cloud- als on-premises beveiligingsvaardigheden nog beperkter, met name voor kleine tot middelgrote organisaties.
Met de opkomst van populaire SaaS-applicaties zoals Microsoft 365, Google Workspace, Salesforce, Slack, Box en Zoom, moet uw IT-team begrijpen voor welke beveiligingscomponenten u verantwoordelijk bent bij elke SaaS-provider die u gebruikt. Hetzelfde geldt voor enterprise resource planning, HR en andere applicaties wanneer u deze verplaatst naar de cloudinfrastructuur van Amazon Web Services, Microsoft Azure en Google Cloud Platform.
Waarom is dit belangrijk? Omdat elke cloudomgeving, SaaS of anderszins, onderdeel wordt van uw totale aanvalsoppervlak, en een verkeerde configuratie van cloudresources een belangrijke oorzaak van datalekken blijft.
Introductie van gedeelde verantwoordelijkheid
Cloudproviders, zowel SaaS- als infrastructuurproviders, hebben heel duidelijk gemaakt waar ze verantwoordelijk voor zijn op het gebied van beveiliging. Volgens de Centrum voor internetbeveiliging, is een SaaS-provider als enige verantwoordelijk voor fysieke beveiliging, hostinfrastructuurbeveiliging en netwerkcontroles. Voor controles op applicatieniveau, identiteits- en toegangsbeheer en eindpuntbescherming delen de provider en de klant echter de beveiligingsverantwoordelijkheid. Dat is waar de verwarring - en de behoefte aan cloudbeveiligingsexpertise - in het spel komt.
Denk bijvoorbeeld aan het beveiligen van Microsoft 365 SaaS-applicaties, die mission critical zijn. Microsoft
heeft gepubliceerd waar haar verantwoordelijkheden liggen. Het is aan u, de klant, om de gebruikers- en apparaattoegang te configureren; gebruikers-, applicatie- en datagedrag monitoren; en reageren op incidenten. Dit omvat de acties van partners die toegang hebben tot uw gegevens of apps in de openbare cloud.
Bovendien blijven uw e-mailgebruikers, of ze nu in de cloud of op locatie zijn, een belangrijke bron van risico door menselijke fouten. Vanaf hun pc's, laptops en mobiele apparaten kunnen ze nog steeds op een schadelijke link klikken of een bijlage openen en malware op dat eindpunt introduceren.
Dit is waar we een verschuiving zien in wat er daarna gebeurt. Zodra hackers het eindpunt binnendringen, zijn ze er niet langer tevreden mee om zijwaarts op het netwerk te draaien om on-premises bronnen binnen te dringen. In plaats daarvan gaan ze via het eindpunt naar de cloud om toegang te krijgen tot uw gegevens, wat vaak laaghangend fruit is.
Workloads beveiligen in de cloud
COVID-19 heeft de migratie van traditioneel on-premises applicaties en workloads naar cloud infrastructure-as-a-service (IaaS) versneld, waar de configuratie van cloudresources zoals opslag en databases nog complexer kan zijn.
Een van onze klanten in de gezondheidszorg was bijvoorbeeld voornamelijk on-premises actief in zijn eigen HIPAA-compatibele datacenter. Vanwege COVID-19 moest het bedrijf zijn werkplekomgeving voor behandelaars snel migreren van pc's en laptops naar tablets die konden worden gebruikt voor thuiszorg. Dit betekende ook dat gegevens naar de cloud moesten worden verplaatst om ze overal toegankelijk te maken. Het ontdekte al snel dat het configureren van cloudinfrastructuur en -opslag vaardigheden vereiste die het niet in huis had, waardoor een potentieel hiaat op het gebied van cyberbeveiliging en compliance ontstond.
Wat is er anders in het gedeelde verantwoordelijkheidsmodel in dit voorbeeld? Voor bedrijven die IaaS gebruiken om applicaties op cloudservers uit te voeren en gegevens in cloudopslag te plaatsen, is de cloudprovider alleen volledig verantwoordelijk voor de fysieke host-, netwerk- en datacenterbeveiliging. Al het andere is uw verantwoordelijkheid. Dat omvat controles op applicatieniveau, identiteits- en toegangsbeheer, client- en eindpuntbescherming, en gegevensclassificatie en aansprakelijkheid. Verantwoordelijkheden voor platform-as-a-service (PaaS)-aanbiedingen zoals Windows Azure vallen tussen IaaS en SaaS.
Opties voor het verwerven van cloudbeveiligingsvaardigheden
Het belangrijkste is dat u verantwoordelijk bent voor de beveiliging van uw gegevens, of u nu Microsoft 365 gebruikt, uw Windows-applicaties uitvoert op Windows Azure, bedrijfsgegevens repliceert naar een clouddatameer of aangepaste bedrijfstoepassingen uitvoert op bare-metalservers. Bovendien kunnen beveiligingsinbreuken in de cloud uw resterende on-premises resources in gevaar brengen.
Hoewel cloudaanbiedingen niet nieuw zijn, is expertise op het gebied van cloudcomputing - en met name cloudbeveiliging - moeilijk te vinden. Uit brancherapporten blijkt dat de vraag naar vaardigheden op het gebied van cloudbeveiliging op de tweede plaats komt na de vraag naar expertise op het gebied van applicatiebeveiliging. Bedrijven van elke omvang, inclusief kleine en middelgrote organisaties, kunnen het zich niet veroorloven om cloudbeveiliging te verwaarlozen bij het verplaatsen van workloads en gegevens van on-premises bronnen.
Hoewel cloudbeveiligingsvaardigheden schaars zijn, kunnen bedrijven hun eigen vaardigheden ontwikkelen door bestaande interne medewerkers op te leiden. Als alternatief worden ze geconfronteerd met het inhuren van cloudexperts in de zeer competitieve salaris- en wervingsomgeving van vandaag. Door regelingen voor werken op afstand aan te bieden, kunnen bedrijven hun bereik vergroten en overal in dienst nemen, waardoor het gemakkelijker wordt om de geschoolde werknemers te werven die ze nodig hebben.
Wat uw aanpak ook is, evalueer uw cloudbeveiligingshouding en het gebrek aan vaardigheden op het gebied van cyberbeveiliging in de cloud. Uw gegevensbeveiliging hangt ervan af.
Bron: https://www.darkreading.com/cloud/cloud-adoption-widens-the-cybersecurity-skills-gap
