databeheer en encryptie

Geautomatiseerd databeheer en encryptie

In deel twee in de driedelige reeks blogs over multi-cloud beveiliging gaan we in op geautomatiseerd databeheer en encryptie. In deel 1 van deze reeks, dat eerder op dit blog is verschenen, kunt u lezen over het vaststellen van verantwoordelijkheden, host-based beveiliging en geautomatiseerd configuratiebeheer.

Zodra u een cloud-account bij een Cloud Service Provider (CSP) aanmaakt is de eerste account een administrator-account. Hiermee kunt u andere gebruikers, groepen en functies aanmaken binnen de service Identity & Access Management (IAM) van de CSP. Zo beheert u wie toegang heeft tot welke data. We raden aan om Multi Factor Authentication in te stellen voor alle – en sowieso voor de allereerste – administrator accounts.

Voor een multi-cloud-strategie kunt u het best een centrale IAM-service implementeren voor alle cloud-platforms. IAM is er overigens niet alleen voor gebruikersbeheer, maar ook voor Application Programming Interface (API)-sleutelbeheer.

API-first strategie
CSP’s volgen een API-first strategie. Dit betekent dat alle diensten en functies in het cloud-platform primair via API’s beschikbaar worden gemaakt. Hierdoor worden alle interacties met het cloudplatform in feite geverifieerde interacties met API’s, die kunnen worden vastgelegd en geanalyseerd. Er kan cloud-native tooling worden gebruikt voor het vastleggen, verzamelen en opslaan van logs in combinatie met externe monitoring- en analyse-tooling om waardevolle inzichten te krijgen. Traceerbaarheid en zichtbaarheid zijn de sleutelwoorden in een multi-cloud-omgeving en zonder centraal overzicht neemt de complexiteit toe.

Encryptie is een laatste redmiddel
Ondanks allerlei beveilingstoepassingen kan er mogelijk toch een inbraak plaatsvinden. Bijvoorbeeld als een overheidsinstantie een verzoek indient bij de CSP om klantgegevens te overleggen of als er een datalek bij de CSP plaatsvindt. Een manier om in dergelijke situaties alsnog te voorkomen dat uw data uitlekt is encryptie. Deze gegevensversleuteling kan op drie lagen worden georganiseerd: tijdens de transitie tussen gebruiker en applicatie (in transit), in ruste in de cloud (at rest) en tijdens het gebruik van de data door een applicatie (in run).

Een klant is echter altijd zelf verantwoordelijk voor databeveiliging. De CSP biedt wel tools om uw gegevens te beveiligen met bijvoorbeeld encryptie en auditing, maar is niet verantwoordelijk voor uw data. U moet zelf maatregelen nemen om te voorkomen dat onbevoegden uw data openen of gebruiken. Daarnaast moet u er zelf voor zorgen dat uw gegevens correct en betrouwbaar zijn voor bevoegde gebruikers en systemen. Data die niet meer nodig is moeten worden gearchiveerd of verwijderd.

Dataprivacy is uw eigen verantwoordelijkheid
U bent niet alleen verantwoordelijk voor databeveiliging, maar ook voor dataprivacy oftewel het correcte gebruik van gegevens. Denk hierbij bijvoorbeeld aan vertrouwelijke, persoonlijk identificeerbare informatie, die volgens de wet of EU-beleid opgeslagen moet worden, maar per ongeluk op uw CSP is beland in een regio buiten de EU en hier komt de door sommigen gevreesde GDPR in beeld. Hiervoor kunt u tools inzetten die automatisch uw data scannen, indexeren hoe gevoelig de data is, welke risico’s u mogelijk loopt door deze in uw cloud-omgeving te hebben en welke actie u daarvoor kunt ondernemen.

Beveiligen van de applicatielaag
Een beveiligingsoplossing die nogal eens over het hoofd wordt gezien is het beveiligen van de applicatielaag. De Application Control-module van Trend Micro detecteert veranderingen in de originele software van een systeem. Zodra er een melding binnenkomt kunt u de software toestaan ​​of blokkeren en optioneel de computer of server vergrendelen. Applicaties kunnen ook op netwerkniveau worden beveiligd met Intrusion Prevention dat inkomend en uitgaand verkeer detecteert en blokkeert indien nodig en ook andere kwetsbaarheden in de webapplicaties detecteert. Dit voorkomt misbruik van bekende en zero-day kwetsbaarheden.

In de derde en laatste blog in deze reeks gaan we verder in op het ontwikkelen van de ultieme multi-cloud-strategie en bespreken we onder andere het zero trust-beleid.

Meer tips voor uw eigen multi-cloud beveiligingsstrategie
Wilt u meer weten over hoe u een effectieve multi-cloud beveiligingsstrategie ontwikkelt? In onze whitepaper 10 mustknows for architecting your multi-cloud security strategy geven we uitgebreid tips en concrete handvatten voor het ontwikkelen van uw eigen multi-cloud-strategie.

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.