4 basisbeginselen voor een veilige Hybride MultiCloud omgeving

Security, ofwel cybersecurity, is vandaag de dag niet meer weg te denken uit welke omgeving dan ook. Het is voor organisaties een enorme en niet te ontkennen uitdaging. De complexiteit van cybersecurity neemt toe, wanneer omgevingen ontstaan die zowel fysiek als digitaal buiten de organisatiegrenzen gaan leven en data met elkaar uitwisselen: de zogenoemde Hybride MultiCloud omgevingen.

Tel daar nog eens bij op dat applicaties en infrastructuren fundamentele technologische ontwikkelingen doorgaan en het is duidelijk dat de applicatie- en informatieketen alleen maar groter en complexer wordt. Een complexe puzzel dus waar je als organisatie grip op moet houden. En dan hebben we het voor het gemak nog niet eens over de performance en betrouwbaarheid van deze keten. Is het dan nog wel mogelijk om een integraal veilige Cloud omgeving te maken?

Integraal veilig = totaal veilig?

Bij het woord integraal veilig denken mensen al snel dat dit “superveilig” of “totaal veilig” betekent. We helpen je graag uit deze illusie: integraal betekent de diensten afgestemd op elkaar. Die diensten kunnen vanuit verschillende oplossingen komen. We zien dan ook vaak dat het beveiligen van de cloudomgeving een combinatie is van investeren en afnemen als dienst. Integraal veilig gaat dus over het slim combineren van innovatieve oplossingen binnen de infrastructuur, zodat je zo goed als mogelijk beschermd bent tegen dreigingen.

Waar kijk je dan naar om je zo goed als mogelijk te beschermen? Er zijn 4 basisbeginselen die je daarbij helpen:

1: Overzicht, inzicht en samenhang

Het is een open deur, maar zo vaak komen we nog verrassingen tegen bij onze klanten. IT waarvan ze niet wisten dat het bestond, ondanks dat het in hun eigen datacenter stond of bij een cloud provider draait en “hidden” in de billing naar voren komt. Welke maatregel je ook neemt, het moet duidelijk zijn waarom je dit doet en wat je precies wil beschermen. Het begint dan ook met het creëren van overzicht.

Door het creëren van overzicht krijg je inzicht. Inzicht in je assets, services, API’s samenhang en configuraties is essentieel. Vergeet hierbij ook niet exact in kaart te brengen hoe je informatiestromen lopen tussen verschillende applicaties en vraag je af: zijn deze stromen afdoende beveiligd door ‘data-at-rest’ (data die is opgeslagen) en ‘data-in-transit’ (data welke wordt verstuurd)? Neem stelling over hoe je native-cloud diensten (zoals SaaS, Serverless PaaS, etc.) ziet vanuit je eigen assetregistratie, want ondanks dat je er geen volledige controle over hebt, leeft er informatie en wordt er informatie uitgewisseld.

Last but not least: verifieer of alles wat in je infrastructuur leeft ook voldoet aan de geldende architectuur standaarden, richtlijnen en principes. Dit is de belangrijkste basis om grip te krijgen en verdere maatregelen te nemen.

2: Governance, Risk & Compliance

Cloud compliancy is één van de grootste issues waar onze klanten mee worstelen (en tegelijkertijd ook het minst sexy onderwerp). De migratie naar de Cloud ansich is geen issue, maar hoe voldoe je aan de wet- en regelgeving als jouw Cloud provider ook technische of organisatorische entiteiten in het buitenland heeft? Het uitvoeren van de Data Protection Impact Assessment (DPIA) ben je al standaard verplicht om privacygevoelige gegevens juist op te slaan en te verwerken. Hoe complex dat ook in dit soort situaties kan zijn.

De basis voor een goede integrale security benadering ligt in een beleid die de maatregelen op het gebied van informatiebeveiliging en privacy borgt en periodiek controleert. Om rekening te houden met het internationale karakter van een Hybride MultiCloud omgeving moet je goed inzicht hebben in hoe data zich verplaatst door de keten, en specifiek ook hoe data zich binnen de grote Cloud aanbieders verplaatst. Dit heeft gevolgen voor de wijze waarop je omgaat met persoonsgegevens. Neem adequate maatregelen om de privacy van de te verwerken persoonsgegevens goed te borgen en laat regelmatig controles uitvoeren door een interne of externe audit partij. 

3: Standaardisatie: Automate & Orchestrate

In de praktijk komt het vaak voor dat veel van de security incidenten wordt veroorzaakt door configuratiefouten. Vaak komt dit door het handmatig configureren van machines of services, of doordat de security van API’s over het hoofd wordt gezien. Hierdoor staat een complete informatieketen zonder medeweten van de eigenaar bloot aan security dreigingen.

Standaardisatie is één van de belangrijkste aspecten van een infrastructuur om een gezond basisniveau van security te bereiken. Het toepassen van best practices uit de industrie en het vertalen hiervan naar beleid op netwerken, systemen en services creëert een ‘first line of defense’. Een paar voorbeelden:

• Wij zetten alleen de services aan die wij daadwerkelijk nodig hebben
• Geen internet access voor interne systemen, tenzij…
• Default geen administrator account op het systeem
• Administratieve privileges alleen op basis van elevated accounts

Deze uitgangspunten configureer je in een template, die een infrastructureel bouwblok vormt. Uitgangspunt hierbij zou moeten zijn dat organisaties werken vanuit een producten- en dienstencatalogus en er zo min mogelijk handmatig werk wordt verricht bij het inrichten van systemen. Hierdoor wordt de kans op fouten zoveel mogelijk verkleind. Wanneer een keuze wordt gemaakt voor een standaard bouwblok zorgt een orchestratie en automation proces ervoor dat het bouwblok gereed wordt gemaakt en voldoet aan de geldende security baselines binnen de organisatie. Hierbij kan ook de omgeving rondom het bouwblok op de juiste wijze worden geconfigureerd.

4: Hybrid MultiCloud Security architectuur: Zero Trust

Security vanuit een Zero Trust benadering is vanuit onze optiek de beste wijze om met securitymodellen om te gaan. Zoals mijn collega Edward Verweij al eerder schreef: “assume breach”. Hierbij wordt het uitgangspunt “never trust, always verify” gehanteerd. Dit kan in de praktijk betekenen dat een initieel vertrouwd (geregistreerd) device als niet vertrouwd wordt behandeld, totdat dit device zich kenbaar heeft gemaakt als bekend door bijvoorbeeld een veiligheidscertificaat te presenteren. Dit kan je ook bewerkstelligen voor virtuele machines of services in de cloud. Denk bijvoorbeeld aan het extra beveiligen van API’s, virtuele netwerken of (cloud native) services.

De volgende stappen

Met de vier bovenstaande security basisbeginselen zet je een eerste stap naar een integraal veilige omgeving. Natuurlijk zijn er meer stappen in de wereld van de Hybride MultiCloud omgevingen, maar door de beginselen op orde te hebben kom je al een heel eind om veiligheid te waarborgen.