Uitdagingen in de cloud: vertrouw nooit zomaar blindelings de beveiliging van je cloud service provider

Trend Micro cloud-beveiligingIk word in mijn werk vrijwel dagelijks geconfronteerd met organisaties die werken in of overstappen naar de cloud. En hoewel we zeker zien dat het bewustzijn rondom het security- aspect van cloud toeneemt, blijven er toch ook een aantal zaken waar niemand bij stil lijkt te staan. Het eerste belangrijke aspect is namelijk de misvatting dat een cloud service provider alle beveiligingsmaatregelen neemt om jou optimaal te beveiligen. Hier ligt wel degelijk een gedeelde verantwoordelijkheid.

Shared responsibility
Uiteraard nemen de Amazon’s en Microsoft’s van deze wereld inderdaad de nodige maatregelen om jouw gegevens in de cloud altijd te beschermen. Er zijn echter genoeg voorbeelden te noemen, waarbij men daar niet in is geslaagd. Ze nemen dus wel deels de verantwoordelijkheid wat betreft beveiliging, maar wel tot een bepaald niveau. Zo proberen zij ervoor te zorgen dat er niemand bij de servers kan en dat de onderliggende hardware en het platform beschermd wordt en beschikbaar is. De Cloud Service Providers beveiligen de fysieke- en netwerkinfrastructuur en de virtualisatie laag. Die verantwoordelijkheid loopt tot het niveau van de hypervisor. Dus ook patches en controles worden uitgevoerd. Maar alles bovenop de hypervisor-laag blijft de verantwoordelijkheid van de cloud-gebruiker. Zij nemen aan dat de gebruiker zelf maatregelen neemt voor de beveiliging van het operating system, de applicaties en de data en moet erop toezien dat de compliance-regels worden nageleefd. Denk daarbij aan operating-systemen, de applicaties en database die je wilt laten draaien.

Uitdagingen voor bedrijven
Dit is niet alleen onduidelijk voor veel consumenten, getuige de iCloud hack. Maar we zien ook dat veel bedrijven hiermee worstelen. Dit is ook niet gek, want over het algemeen is de verantwoordelijkheid zo verdeeld als hier boven beschreven, maar er zijn nogal wat nuances afhankelijk van het type cloud dat je gebruikt. Recentelijk schreef mijn collega Mark Nunnikhoven hier ook een interessante blogpost over.

Maar wat kan je als organisatie wel doen om de waardevolle bedrijfsdata in de cloud optimaal te beschermen? Ten eerste is het belangrijk dat je alle updates en patches die de cloud provider je aanbiedt ook daadwerkelijk uitvoert en je zorgt voor optimale beveiliging van de gevoelige data. Er zijn vandaag goede oplossingen voorhanden die voorzien in automatische provisionering van de security met lichtgewicht agenten, zodanig dat de gebruiker geen enkele hinder ondervindt van optimale beveiliging. Daarnaast is het essentieel dat gebruikers in jouw organisatie volledig op te hoogte zijn van de gevaren onvoorzichtig om te gaan met bedrijfskritische data en weten wat de aandachtspunten zijn.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.