Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Internetbeveiliging

    Wat zijn cloudbeveiligingscontroles en hun voordelen?

    Cloudbeveiliging is een gedeelde verantwoordelijkheid tussen verkopers en hun klanten. Bedrijven moeten de nodige cloudbeveiligingscontroles invoeren met het oog op het groeiende cyberrisico.

    by Daniel Argintaru
    888846278.jpg

    Hoofdpunten

    • Cloudbeveiliging verschilt van traditionele IT-beveiliging, waarbij de verantwoordelijkheid wordt gedeeld tussen cloudleveranciers en hun klanten.
    • Beveiligingscontroles in de cloud omvatten processen en technologieën die bedrijven beschermen tegen bedreigingen en menselijke fouten.
    • De controles die een bedrijf uitvoert, zijn afhankelijk van de gekozen cloudimplementatie en servicemodellen.

    De migratie naar cloud-gebaseerde IT heeft een hoogtepunt bereikt, versneld door de pandemie-gedreven toename van werken op afstand. Voor het eerst hebben bedrijven het afgelopen jaar meer uitgegeven aan cloud-diensten dan aan datacenters, wat een keerpunt betekent in de relatie tussen IT-leveranciers en klanten. [i]

    Maar de cloud is niet vrij van risico's, vooral in een omgeving waar gegevensbeveiliging een gedeelde verantwoordelijkheid is van cloudbedrijven en gebruikers. Uit onderzoek van IDC blijkt dat 98% van de bedrijven sinds het begin van 2020 te maken heeft gehad met ten minste één inbreuk op cloudgegevens. [ii] Er zijn twee tekortkomingen die bijdragen aan deze sterke stijging van het aantal inbreuken op cloudgegevens: verkeerd geconfigureerde beveiligingscontroles in de cloud en menselijke fouten. Gartner heeft namelijk voorspeld dat 95% van de beveiligingsfouten in de cloud tegen 2022 te wijten zal zijn aan nalatigheden van klanten. [iii]

    Wat zijn beveiligingscontroles voor de cloud?

    Beveiligingsmaatregelen voor de cloud hebben betrekking op het scala aan maatregelen dat bedrijven nemen om hun cloudomgeving te beschermen, waaronder de processen en technologieën die zij gebruiken om zich tegen inbreuken te verdedigen. Samen helpen deze beveiligingsmaatregelen bedrijven de bedreigingen te onderkennen waarmee zij worden geconfronteerd, kwetsbaarheden in hun cloudomgeving aan te pakken en verdedigingsmaatregelen te implementeren als aanvulling op de cyberbeveiligingsmaatregelen die door hun cloudleveranciers worden aangeboden.

    Volgens de Cloud Security Alliance (CSA), een brancheorganisatie die beste praktijken voor het beheer van cloudsystemen en -gegevens stimuleert, kunnen beveiligingscontroles in de cloud in drie categorieën worden ingedeeld:

    • Preventief: om kwetsbaarheden in cloudsystemen aan te pakken.
    • Detective: om een aanval te detecteren voordat deze zich manifesteert als een regelrechte inbreuk.
    • Corrective: om de gevolgen van een aanval te minimaliseren nadat deze heeft plaatsgevonden.

    Hoe kan cloud computing de veiligheid verbeteren?

    Cloud computing is niet per definitie riskant. Sterker nog, grote cloudleveranciers bouwen een robuuste gegevensbeveiliging in hun oplossingen in, gesteund door hun uitgebreide middelen en tientallen jaren ervaring. Er zijn maar weinig bedrijven die de IT-capaciteiten of mankracht hebben om dezelfde standaard van gegevensbeveiliging op schaal te leveren, en daarom is het een voordeel om met een cloudleverancier in zee te gaan.

    Gegevensbeveiliging in de cloud is echter een gedeelde verantwoordelijkheid. Cloudleveranciers zijn verantwoordelijk voor de bescherming van hun datacenters en cloudinfrastructuur, maar het is aan hun klanten om de gegevens te beschermen die van en naar deze systemen en binnen hun organisatie stromen. Hier komen beveiligingscontroles voor de cloud om de hoek kijken, waarmee bedrijven de gegevens en systemen kunnen beschermen die zij in de cloud gebruiken, ongeacht of de gegevens statisch zijn of door hun werknemers worden verwerkt.

    De inzet is hoger dan ooit. Een geslaagde inbreuk resulteert niet alleen in het verlies van gevoelige informatie of een verstoring van de bedrijfsvoering. Het kan ook de reputatie van een bedrijf schaden en het vertrouwen dat het bij klanten heeft opgebouwd, verbreken, wat jaren kan duren voor het weer is hersteld. En het kan leiden tot boetes wegens niet-naleving van de regelgeving of civiele rechtszaken wegens schending van de privacy, als blijkt dat de controle ontoereikend is.

    Matrix van cloudcontroles

    De industriestandaard voor het definiëren van beveiligingscontroles voor de cloud is de Cloud Controls Matrix (CCM) van de CSA. [iv] Met bijna 200 controledoelstellingen die 17 verschillende domeinen beslaan, is de CCM ontwikkeld om organisaties te helpen de beveiliging van hun cloudimplementatie op een granulair niveau te beoordelen.

    De uitgebreide spreadsheet specificeert ook welke actoren in de toeleveringsketen van de cloud verantwoordelijk moeten zijn voor individuele beveiligingscontroles. Door dit kader te volgen, kunnen bedrijven een systematische aanpak volgen om ervoor te zorgen dat hun cloudgegevens en -processen zowel veilig als compliant zijn.

    Beveiligingscontroles voor de cloud - Toepassingsmodellen

    Het cloudimplementatiemodel van een bedrijf is van invloed op de mate van verantwoordelijkheid die het neemt voor de bescherming van zijn cloudgegevens en -infrastructuur, tegenover de verantwoordelijkheid die bij de cloudleverancier ligt. In het algemeen kiezen bedrijven voor een publieke cloud, een private cloud of een hybride aanpak.

    • Publieke cloudimplementaties: Bij een publieke cloudimplementatie vertrouwen bedrijven op de infrastructuur en het fysieke IT-netwerk van een leverancier om hun cloudtoepassingen uit te voeren. Zij zijn echter nog steeds eigenaar van hun eigen besturingssysteem, toepassingen en gegevens, en de verantwoordelijkheid ligt bij hen om deze activa te beveiligen. Het is een veel voorkomende misvatting dat leveranciers van public cloud verantwoordelijk zijn voor de bescherming van de gegevens van hun klanten; dit is zelden het geval.
    • Private cloud-implementaties: Wanneer bedrijven kiezen voor een private cloud-implementatie, behouden ze de volledige controle over hun cloudhardware en -software. Hetzelfde geldt ongeacht of deze zich in hun eigen datacenter bevindt of wordt gehost door een externe leverancier. Hoewel dit bedrijven dwingt hun eigen gegevens te beveiligen, geeft het ook duidelijkheid over wie verantwoordelijk is voor de beveiliging ervan en welke controles moeten worden ingevoerd.
    • Hybride cloud-implementaties: Hybride cloud-implementaties worden steeds populairder omdat ze bedrijven helpen de overstap van on-premises naar cloud-gebaseerde IT in hun eigen tempo te maken. In een hybride omgeving gaan gegevens en toepassingen heen en weer tussen private en public clouds, waarbij bedrijven hun public cloud-gebruik vaak schalen om pieken in de vraag op te vangen. Deze aanpak zorgt voor meer flexibiliteit, maar maakt de cloudketen ook ingewikkelder en vereist dat bedrijven zeer zorgvuldig te werk gaan bij het instellen van hun beveiligingscontroles voor de cloud.

    Beveiligingscontroles in de cloud per dienstenmodel

    Beveiligingscontroles in de cloud verschillen niet alleen per implementatiemodel, maar zijn ook afhankelijk van het servicemodel dat een bedrijf kiest voor zijn cloudsystemen. Er is enige overlapping tussen implementatie- en servicemodellen, maar in het laatste geval is de bepalende factor of een bedrijf cloudsoftware, cloudgebaseerde infrastructuur of een cloudontwikkelingsplatform koopt.

    • Software-as-a-Services (SaaS): Wanneer bedrijven in een SaaS-cloudoplossing investeren, betalen zij een terugkerend bedrag om krachtige toepassingen te gebruiken zonder een eigen IT-infrastructuur op te bouwen om deze te ondersteunen. SaaS-leveranciers implementeren op hun beurt beveiligingscontroles voor de infrastructuur en de applicatie zelf. Dat betekent dat klanten hun eigen controles moeten invoeren voor alle gegevens die in en uit de SaaS-applicatie stromen, en voor de werknemers die de software gebruiken.
    • Infrastructure-as-a-Service (IaaS): In een IaaS-dienstenmodel betalen bedrijven om hun toepassingen of besturingssysteem op externe cloudservers te laten draaien. Dit type dienst wordt geleverd met schaalbare opslag, rekenkracht en netwerkinfrastructuur, zonder dat de cloudinfrastructuur intern hoeft te worden gebouwd of beheerd. IaaS-cloudleveranciers implementeren beveiligingscontroles in hun infrastructuur en netwerkbronnen, terwijl hun klanten de rest voor hun rekening nemen, van de toepassingen die zij gebruiken, tot de gegevens die zij beheren, tot de mensen die deze cloudsystemen gebruiken.
    • Platform-as-a-Service (PaaS): In een PaaS-dienstenmodel krijgen klanten een door de cloud gehost platform waarop zij nieuwe toepassingen kunnen bouwen, uitvoeren en beheren zonder te investeren in de onderliggende infrastructuur of deze te beheren. PaaS-leveranciers hosten zowel de hardware als de software achter dit platform, evenals de ontwikkelaarstools die nodig zijn om nieuwe toepassingen te creëren en te testen. Deze variëren van middleware en datamanagementtechnologieën tot power analytics en DevOps-diensten. De verkopers zijn ook verantwoordelijk voor het implementeren van beveiligingscontroles voor de cloud op elk van deze lagen.

    Risico's van beveiligingscontroles in de cloud

    Zoals gezegd, is de eerste uitdaging bij het beveiligen van cloudgebaseerde systemen te bepalen wie verantwoordelijk is voor elk element van de cloud-toeleveringsketen. Zelfs als leveranciers alle nodige voorzorgsmaatregelen nemen om hun infrastructuur en software te beveiligen, blijven menselijke fouten en slechte configuraties hun klanten teisteren en leiden tot inbreuken.

    Met name de public cloud is een aantrekkelijk doelwit voor hackers. Met een vrijwel onbeperkt aanvalsoppervlak en zoveel partijen die gegevens delen via publieke cloud-toepassingen, zijn er talloze mogelijkheden om binnen te dringen. Ransomware, phishing en andere malware-aanvallen komen steeds vaker voor in de public cloud. Veel bedrijven hebben hierop gereageerd door te kiezen voor een Cloud Access Security Broker (CASB), als een intermediair niveau van software of hardware dat helpt risico's te identificeren en beveiligingscontroles te verbeteren.

    Automatisering is ook een cruciaal onderdeel geworden van cloudbeveiliging. Er zijn maar weinig bedrijven die de middelen hebben om de verscheidenheid en de omvang van de bedreigingen waarmee zij dagelijks worden geconfronteerd, te monitoren, zodat geautomatiseerde oplossingen die op kunstmatige intelligentie berusten, hen helpen gelijke tred te houden.

    Kenmerken en voordelen van cloudbeveiligingscontroles

    Indien correct geconfigureerd en toegepast, bieden beveiligingscontroles voor de cloud bedrijven end-to-end bescherming voor hun cloudtoepassingen, -infrastructuur en -gegevens, of deze nu worden beschermd tegen externe bedreigingen of menselijke fouten. Dit begint met inzicht in de cloudsystemen, gebruikers en beveiligingsbeleidslijnen van het bedrijf, die vervolgens kunnen worden beoordeeld en verbeterd om lacunes of kwetsbaarheden te verhelpen.

    Deze combinatie van zichtbaarheid en controle levert een reeks voordelen op, waaronder:

    • Het vermogen om cloudconfiguraties te bewaken en te evalueren.
    • Geïntegreerde beveiligingsmaatregelen die elk onderdeel van de cloud-toeleveringsketen bestrijken.
    • Beste praktijken en verantwoordingsplicht voor elke speler in de keten, van de IT-afdeling tot de eindgebruikers.
    • Meer vertrouwen in praktijken op het gebied van privacy en compliance.
    • Een duidelijke verdeling van beveiligingsverantwoordelijkheden tussen cloud-leveranciers en klanten.
    • Een volledig overzicht van cloudgegevens, waarmee risicovolle informatie en processen kunnen worden opgespoord.
    • Een mechanisme voor de continue beoordeling en verbetering van cloudbeveiliging.

    Beveiligingscontroles voor de cloud - waarom zijn ze belangrijk?

    Inbreuken en menselijke fouten zullen alleen maar vaker voorkomen, tenzij bedrijven de nodige maatregelen treffen, die zich uitstrekken over datacenters, apparaten en diensten van derden. Door de juiste beveiligingsmaatregelen voor de cloud te kiezen, kunnen bedrijfsrisico's tot een minimum worden beperkt.

    De kern van de zaak

    De overgang naar cloud-gebaseerde IT is niet alleen een technologische verandering. Het is een transformatie die nieuwe processen, nieuwe manieren van werken en nieuwe beveiligingscontroles vereist. Zelfs als bedrijven samenwerken met toonaangevende cloudleveranciers die de nieuwste beveiligingen bieden in hun producten en diensten, moeten zij nog steeds de gegevens, toepassingen en infrastructuur beveiligen die onder hun hoede blijven. Om de voordelen van de cloud te benutten zonder de risico's te verhogen, moeten bedrijven hun cloudbeveiliging onder controle krijgen

    [i] " The Great Cloud Computing Surge ," InfoWorld

    [ii] " Vrijwel elk bedrijf heeft wel eens te lijden gehad van een inbraak in de cloudgegevens ," TechRadar

    [iii] " Is de cloud veilig? ", Gartner

    [iv] " Cloud Controls Matrix ," Cloud Security Alliance

    gettyimages-862201574.png
    Up Next
    Internetbeveiliging |
    Beveiliging van publieke, private en hybride clouds: Wat is het verschil?

    Verwante Artikelen

    Internetbeveiliging
    Wat zijn kwaadaardige websites?
    Internetbeveiliging
    Veiligheidstekort in e-mail en web = risico op Ransomware
    Internetbeveiliging
    Verdediging tegen veelvoorkomende aanvallen op webtoepassingen

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven