(Blog) Nu organisaties hun data steeds meer naar de cloud migreren en de opmars van cloudapplicaties niet te stuiten is, zullen zij de risico’s en uitdagingen omtrent security opnieuw tegen het licht moeten houden. Het lijkt aantrekkelijk ook security-oplossingen van de cloud service provider af te nemen. Wie verder kijkt, ziet dat er dan nieuwe kwetsbaarheden ontstaan. Organisaties doen er dan ook goed aan om verschillende use cases bij het securitybeleid te betrekken en te grote afhankelijkheid van cloud providers te voorkomen.
Duidelijker had het advies van de Cyber Security Raad niet duidelijker kunnen zijn. Nederland is een van de meest gedigitaliseerde landen, stelt de raad vast. Er ontstaan daardoor steeds meer nieuwe afhankelijkheden en kwetsbaarheden. "Onze digitale afhankelijkheden zijn inmiddels zo groot dat de digitale soevereiniteit van Nederland onder druk staat. Dit kan grote gevolgen hebben voor onze nationale en economische veiligheid. Digitale autonomie moet daarom op het hoogste politieke en ambtelijke niveau worden belegd, vanuit een integrale visie op cyberweerbaarheid. Er moet gericht geïnnoveerd worden en cyberweerbaarheid moet door de overheid en het bedrijfsleven vanuit het soevereiniteitsperspectief worden aangepakt.”
Datalekken voorkomen
De kwetsbaarheid komt op twee manieren tot uiting. In de eerste plaats gaat het om digitale weerbaarheid en de risico’s die er zijn in relatie tot cybersecurity. In hoeverre ben je in staat cybercriminelen buiten de deur te houden en datalekken te voorkomen? In de tweede plaats zien we dat de economie te afhankelijk wordt van Amerikaanse en Chinese (cloud)technologie. De pandemie met de enorme toename in het aantal thuiswerkers heeft de vraag naar cloudapplicaties tot ongekende hoogte gestuwd. Deze grote bedrijven, hyperscalers, hebben hun omzet de laatste kwartalen fors zien toenemen. Tools voor online samenwerking maar ook andere business applicaties komen steeds meer uit de public clouds van Amazon, Google of Microsoft. Dit is een logische ontwikkeling omdat je als organisatie nu eenmaal snel moet kunnen opschalen. De toegang tot meer capaciteit en het aansluiten van meer gebruikers is zo eenvoudig als het zetten van vinkjes. En zo sluipt die afhankelijkheid waar de Cyber Security Raad op doelt erin.
Hybride en multi-cloud
Deze afhankelijkheid heeft indirect ook grote impact op het cybersecuritybeleid. Veel organisaties kiezen er namelijk voor de security-oplossingen van de cloud service providers af te nemen. Het is op het eerste gezicht aantrekkelijk om native cloudsecurity af te nemen, want dit is inderdaad net zo eenvoudig als het zetten van een vinkje. Maar als we verder kijken, kleven er nogal wat nadelen aan. In de eerste plaats zijn de security-oplossingen van de cloud service providers gericht op hun eigen platform. Organisaties die werken in een hybride of multi-cloud omgeving komen dan ook al snel in de problemen en krijgen te maken met integratie-issues. Dit betekent dat niet alle applicaties beschermd kunnen worden, waardoor er gaten in de beveiliging ontstaan. Dit is een groot probleem omdat beveiliging juist zo sterk is als de zwakste schakel.
Vendor lock-in
In de tweede plaats ligt vendor lock-in op de loer. Je kiest juist voor de cloud vanwege de schaalbaarheid en flexibiliteit. Je kiest ook voor de mogelijkheid om bij alle cloud service providers het beste resultaat te behalen, de beste prestaties. Dat wordt lastig wanneer je kiest voor security-oplossingen van een specifieke provider. Tevens zie je dat wanneer je eenmaal aan een bepaalde leverancier vastzit, je geconfronteerd wordt met prijsverhogingen. En daar kom je niet eenvoudig meer onderuit.
Aantrekkelijk voor cybercriminelen
In de derde plaats is het onverstandig om in je cybersecuritybeleid slechts in te zetten op één paard. Het is beter om data en security van elkaar te scheiden en bij verschillende partijen te beleggen. Wanneer deze twee componenten bij één partij zijn ondergebracht en er gaat iets mis, dan heb je geen robuuste beschermingslaag. Dat is des te meer van belang omdat de drie grote cloud providers, Azure, Google Cloud en AWS, erg aantrekkelijk zijn voor cybercriminelen. Hoewel zij er alles aan doen om kwetsbaarheden uit de weg te ruimen, weten kwaadwillenden altijd wel een gaatje te vinden. En juist doordat zoveel organisaties van deze cloud services gebruik maken, is er in potentie een groot risico. Dat wil je voorkomen en dus is het raadzaam om security niet louter en alleen van een cloud service provider af te nemen.
Shared responsibility model
Organisaties kunnen deze tekortkomingen in hun securitybeleid vermijden en een beter alternatief ontwikkelen voor de native cloud security oplossingen die hen kwetsbaar maken. Het concept van shared responsibility van cloudbeveiliging is een hulpmiddel dat organisaties kunnen gebruiken om andere, alternatieve, onafhankelijke oplossingen te onderzoeken om hen te helpen de risico's van een native cloudbeveiligingsoplossing te verkleinen. Op basis van het shared responsibility model kunnen organisaties hun beveiligingstaken scheiden van die van cloudserviceproviders en hun eigen security tools inzetten om cyberdreigingen te voorkomen. Zo ben je als organisatie hoe dan ook in staat een sterk access management in te richten en jezelf te beschermen tegen criminelen die zich richten op netwerken en data. Aan de hand van dit model kun je op zoek naar een partij die meerdere use cases kan ondersteunen. Dat betekent: zowel de beste bescherming in de cloud, zoals Microsoft Azure, als de beste oplossingen voor de on-premise omgeving.
Ga voor de beste security-oplossing
Het shared responsibility principe betekent dat de hyperscalers hun verantwoordelijkheid moeten nemen en dat gebeurt ook. Zij besteden steeds meer aandacht aan integratie met de on-premise omgeving van hun klanten. Dat is een goede ontwikkeling omdat dit ook een impuls is voor de cybersecurity. Het is belangrijk dat afnemers van cloudoplossingen in dit opzicht hun leveranciers kritisch blijven benaderen. Wees je ervan bewust dat security-oplossingen van cloud service providers op zichzelf ook weer voor kwetsbaarheden zorgen. Ga dan ook voor de beste security-oplossing en niet kies alleen de meest voor de hand liggende. Doe dat, voordat je te veel afhankelijk wordt van één enkele cloud provider.
Guido Gerrits,
Regional Sales Director Identity & Access Management,
Benelux & Nordics bij Thales
