4 basisbeginselen voor een veilige Hybride MultiCloud omgeving
door Wouter Borremans op do 31 mrt 2022
Security, ofwel cybersecurity, is vandaag de dag niet meer weg te denken uit welke omgeving dan ook. Het is voor organisaties een enorme en niet te ontkennen uitdaging. De complexiteit van cybersecurity neemt toe, wanneer omgevingen ontstaan die zowel fysiek als digitaal buiten de organisatiegrenzen gaan leven en data met elkaar uitwisselen: de zogenoemde Hybride MultiCloud omgevingen.
Tel daar nog eens bij op dat applicaties en infrastructuren fundamentele technologische ontwikkelingen doorgaan en het is duidelijk dat de applicatie- en informatieketen alleen maar groter en complexer wordt. Een complexe puzzel dus waar je als organisatie grip op moet houden. En dan hebben we het voor het gemak nog niet eens over de performance en betrouwbaarheid van deze keten. Is het dan nog wel mogelijk om een integraal veilige Cloud omgeving te maken?
Integraal veilig = totaal veilig?
Bij het woord integraal veilig denken mensen al snel dat dit “superveilig” of “totaal veilig” betekent. We helpen je graag uit deze illusie: integraal betekent de diensten afgestemd op elkaar. Die diensten kunnen vanuit verschillende oplossingen komen. We zien dan ook vaak dat het beveiligen van de cloudomgeving een combinatie is van investeren en afnemen als dienst. Integraal veilig gaat dus over het slim combineren van innovatieve oplossingen binnen de infrastructuur, zodat je zo goed als mogelijk beschermd bent tegen dreigingen.
Waar kijk je dan naar om je zo goed als mogelijk te beschermen? Er zijn 4 basisbeginselen die je daarbij helpen:
1: Overzicht, inzicht en samenhang
Het is een open deur, maar zo vaak komen we nog verrassingen tegen bij onze klanten. IT waarvan ze niet wisten dat het bestond, ondanks dat het in hun eigen datacenter stond of bij een cloud provider draait en “hidden” in de billing naar voren komt. Welke maatregel je ook neemt, het moet duidelijk zijn waarom je dit doet en wat je precies wil beschermen. Het begint dan ook met het creëren van overzicht.
Door het creëren van overzicht krijg je inzicht. Inzicht in je assets, services, API’s samenhang en configuraties is essentieel. Vergeet hierbij ook niet exact in kaart te brengen hoe je informatiestromen lopen tussen verschillende applicaties en vraag je af: zijn deze stromen afdoende beveiligd door ‘data-at-rest’ (data die is opgeslagen) en ‘data-in-transit’ (data welke wordt verstuurd)? Neem stelling over hoe je native-cloud diensten (zoals SaaS, Serverless PaaS, etc.) ziet vanuit je eigen assetregistratie, want ondanks dat je er geen volledige controle over hebt, leeft er informatie en wordt er informatie uitgewisseld.
Last but not least: verifieer of alles wat in je infrastructuur leeft ook voldoet aan de geldende architectuur standaarden, richtlijnen en principes. Dit is de belangrijkste basis om grip te krijgen en verdere maatregelen te nemen.
2: Governance, Risk & Compliance
Cloud compliancy is één van de grootste issues waar onze klanten mee worstelen (en tegelijkertijd ook het minst sexy onderwerp). De migratie naar de Cloud ansich is geen issue, maar hoe voldoe je aan de wet- en regelgeving als jouw Cloud provider ook technische of organisatorische entiteiten in het buitenland heeft? Het uitvoeren van de Data Protection Impact Assessment (DPIA) ben je al standaard verplicht om privacygevoelige gegevens juist op te slaan en te verwerken. Hoe complex dat ook in dit soort situaties kan zijn.
De basis voor een goede integrale security benadering ligt in een beleid die de maatregelen op het gebied van informatiebeveiliging en privacy borgt en periodiek controleert. Om rekening te houden met het internationale karakter van een Hybride MultiCloud omgeving moet je goed inzicht hebben in hoe data zich verplaatst door de keten, en specifiek ook hoe data zich binnen de grote Cloud aanbieders verplaatst. Dit heeft gevolgen voor de wijze waarop je omgaat met persoonsgegevens. Neem adequate maatregelen om de privacy van de te verwerken persoonsgegevens goed te borgen en laat regelmatig controles uitvoeren door een interne of externe audit partij.
3: Standaardisatie: Automate & Orchestrate
In de praktijk komt het vaak voor dat veel van de security incidenten wordt veroorzaakt door configuratiefouten. Vaak komt dit door het handmatig configureren van machines of services, of doordat de security van API’s over het hoofd wordt gezien. Hierdoor staat een complete informatieketen zonder medeweten van de eigenaar bloot aan security dreigingen.
Standaardisatie is één van de belangrijkste aspecten van een infrastructuur om een gezond basisniveau van security te bereiken. Het toepassen van best practices uit de industrie en het vertalen hiervan naar beleid op netwerken, systemen en services creëert een ‘first line of defense’. Een paar voorbeelden:
- Wij zetten alleen de services aan die wij daadwerkelijk nodig hebben
- Geen internet access voor interne systemen, tenzij…
- Default geen administrator account op het systeem
- Administratieve privileges alleen op basis van elevated accounts
Deze uitgangspunten configureer je in een template, die een infrastructureel bouwblok vormt. Uitgangspunt hierbij zou moeten zijn dat organisaties werken vanuit een producten- en dienstencatalogus en er zo min mogelijk handmatig werk wordt verricht bij het inrichten van systemen. Hierdoor wordt de kans op fouten zoveel mogelijk verkleind. Wanneer een keuze wordt gemaakt voor een standaard bouwblok zorgt een orchestratie en automation proces ervoor dat het bouwblok gereed wordt gemaakt en voldoet aan de geldende security baselines binnen de organisatie. Hierbij kan ook de omgeving rondom het bouwblok op de juiste wijze worden geconfigureerd.
4: Hybrid MultiCloud Security architectuur: Zero Trust
Security vanuit een Zero Trust benadering is vanuit onze optiek de beste wijze om met securitymodellen om te gaan. Zoals mijn collega Edward Verweij al eerder schreef: “assume breach”. Hierbij wordt het uitgangspunt “never trust, always verify” gehanteerd. Dit kan in de praktijk betekenen dat een initieel vertrouwd (geregistreerd) device als niet vertrouwd wordt behandeld, totdat dit device zich kenbaar heeft gemaakt als bekend door bijvoorbeeld een veiligheidscertificaat te presenteren. Dit kan je ook bewerkstelligen voor virtuele machines of services in de cloud. Denk bijvoorbeeld aan het extra beveiligen van API’s, virtuele netwerken of (cloud native) services.
De volgende stappen
Met de vier bovenstaande security basisbeginselen zet je een eerste stap naar een integraal veilige omgeving. Natuurlijk zijn er meer stappen in de wereld van de Hybride MultiCloud omgevingen, maar door de beginselen op orde te hebben kom je al een heel eind om veiligheid te waarborgen.
- Technologie (130)
- Nieuws (67)
- Continuïteit (65)
- 5G (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Webinar (18)
- Klantcase (17)
- Blog (15)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- november 2024 (5)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (5)
- augustus 2018 (6)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)