De sleutels tot het bouwen van een succesvolle cloudbeveiligingsstrategie

Nieuws15 september 2022

Beveiliging van workloads in de cloud is niet hetzelfde als beveiliging van workloads op locatie

(Blog) Een van de meest voorkomende misvattingen onder organisaties die een cloudtransformatieproces ingaan, is de overtuiging dat het beveiligen van workloads in de cloud hetzelfde is als het beveiligen van workloads op locatie. In werkelijkheid is dat gewoon niet het geval.

Een van de eerste sleutels tot een succesvolle beveiligingsstrategie voor de cloud is het besef dat de cloud een fundamenteel andere benadering vereist dan on-premises beveiliging. Organisaties kunnen en mogen cloudworkloads niet op dezelfde manier beveiligen als on-premise workloads. On-premises beveiliging is typisch reactief en grotendeels gebaseerd op handmatige processen. Met de snelheid van DevOps en cloudgebaseerde ontwikkeling, is het geen optie om cloudbeveiliging  handmatig uit te voeren - of cloudbeveiliging als laatste stap achterwege te laten. Bovendien gaan sommige leidinggevenden ervan uit dat overstappen naar de cloud gelijk staat aan automatisch meer automatisering. Helaas is ook dat niet waar. Je moet zelf automatisering inbouwen, vooral vanuit een beveiligingsperspectief. Een belangrijk onderdeel van elke succesvolle strategie is het overwinnen van deze veel voorkomende mythen.

Identiteitsbeveiliging in de cloud

In het onlangs verschenen Cloud Threat Report, 2H 2020 van Unit 42 wordt een aantal verschillende risico's en veelvoorkomende beveiligingsproblemen voor cloudworkloads geschetst. Een van de belangrijkste bevindingen in het rapport is dat identiteitslekken in de cloud zowel moeilijk te detecteren als zeer schadelijk zijn. Identiteit heeft alles te maken met het verifiëren wie een bepaalde gebruiker is en het bieden van het juiste niveau van geautoriseerde toegang - maar wat gebeurt er als een aanvaller in staat is om een identiteit te misbruiken als gevolg van een verkeerde configuratie? Unit 42 voerde namens een klant een Red Team-oefening uit en slaagde er in minder dan een week in om de volledige cloudomgeving van de klant volledig te compromitteren. Het team deed dit door misbruik te maken van een verkeerd geconfigureerd vertrouwensbeleid voor Identity and Access Management (IAM). Met een verkeerd geconfigureerd IAM-beleid kon een aanvaller toegang krijgen tot de spreekwoordelijke sleutels tot het koninkrijk van de cloudactiva van een organisatie. De aanvaller kan dan van alles tegen de organisatie doen, zoals gevoelige gegevens stelen of zelfs de cloudinfrastructuur wegvagen.

De Big Cloud 5 holistische cloudbeveiligingsstrategie

Automatisering is zeker een belangrijk onderdeel van het opbouwen van een succesvolle cloudstrategie, net als de noodzaak om IAM-beleid te beheren. Als organisaties verder kijken dan alleen deze twee tactische elementen, moeten ze rekening houden met wat wij de Big Cloud 5 noemen, die de elementen schetsen die een holistische cloudstrategie mogelijk maken.

  1. Zichtbaarheid: het krijgen en behouden van diep inzicht in wat er daadwerkelijk draait, is een cruciale basisstap.
  2. Guardrails: door gebruik te maken van guardrails om best practices voor configuratie af te dwingen, is het mogelijk om veel soorten misconfiguraties te elimineren, zoals verkeerd geconfigureerde IAM-beleidslijnen die de organisatie aan risico's kunnen blootstellen.
  3. Standaardisatie: wanneer alle cloudbeveiligingsactiviteiten reactief worden uitgevoerd, is het niet mogelijk om deze activiteiten te automatiseren - en automatisering is juist de sleutel. Naleving van bekende standaarden en best practices is ook van cruciaal belang om compliance mogelijk te maken. Door een cloudimplementatie zo veel mogelijk te standaardiseren, wordt het eenvoudiger om herhaalbare en geautomatiseerde processen mogelijk te maken.
  4. Menselijke vaardigheden: het is van cruciaal belang om beveiligingsengineers aan te nemen en te trainen die weten hoe ze moeten coderen. Aangezien DevOps-pipelines cloudimplementaties steeds meer domineren, is het van het grootste belang dat je beschikt over personeel met de juiste vaardigheden.
  5. Shift left: beveiliging aan het eind van het proces toevoegen werkt niet. Wat nodig is, is een "verschuiving naar links" - dat wil zeggen, beveiliging eerder in het ontwikkelproces inbedden om het risico te beperken dat kwetsbaarheden in productieworkloads terechtkomen.

Een "Default: Agressive" houding bij cloudbeveiliging

Veilig zijn in de cloud betekent niet dat je een passieve houding aanneemt. De beveiliging van workloads is immers jouw verantwoordelijkheid, niet die van de cloudaanbieder.

Een principe dat bekend staat als Default: Aggressive is gedefinieerd door de voormalige US Navy SEAL-officieren Jocko Willink en Leif Babin. De Default: Aggressive-benadering draait om een zelfverzekerde, onafhankelijke en proactieve standaardbenadering van realtime uitdagingen.

Ik zie de Default: Agressive-mentaliteit als zeer vergelijkbaar met de mentaliteit van Assume Breach, waarbij beveiligingsprofessionals ervan uitgaan dat hun omgeving al is misbruikt. Neem niet het standpunt in dat alle cloud-workloads in orde zijn, alleen omdat jouw team een paar door de cloud-dienstverlener geleverde beveiligingsmogelijkheden heeft aangevinkt. Ga er liever van uit en neem een Default: Agressive-houding om mee te beginnen. Onderdeel van een Default: Agressive-houding is het hebben van een holistische strategie en ervoor zorgen dat je zo veel mogelijk van jouw beveiligingstooling en -respons hebt geautomatiseerd.

Succes meten met gedeelde meetgegevens

Het hebben van de juiste meetgegevens om de beveiliging van de inzet van cloud-workloads te helpen benchmarken en meten is een andere sleutel tot succes. Het is echter van cruciaal belang om DevOps- en beveiligingsteams samen te brengen om tot gedeelde meetmethoden voor cloud-workloads te komen. Doorgaans hebben DevOps-teams één set metrics die meer gericht kunnen zijn op beschikbaarheid en veerkracht, terwijl beveiligingsteams de neiging hebben te kijken naar kwetsbaarheidsgerelateerde kwesties.

Om een organisatie echt een DevSecOps-cultuur te laten ontwikkelen die een succesvolle cloudbeveiligingsstrategie mogelijk maakt, is het belangrijk om gedeelde meetmethoden te hebben die de belangrijkste prestatie-indicatoren voor ontwikkelaars, operations en beveiliging meten.

Een sterk fundament voor de toekomst bouwen

De realiteit van vandaag is dat de cloud belangrijker is dan ooit, en daarom is het van het grootste belang om de juiste basis te leggen voor succesvolle cloudbeveiliging. In het rapport Cloud Native Security 2022 van Palo Alto Networks werden wereldwijd zo'n 3.000 beveiligingsprofessionals ondervraagd. We ontdekten dat in 2022 69% van de organisaties die deelnamen aan het onderzoek meer dan de helft van hun workloads in de cloud hosten. In een krap bedrijfsklimaat biedt de cloud organisaties de mogelijkheid om wendbaar te zijn en om sneller te reageren op bedreigingen van de concurrentie.

Naarmate organisaties hun migratie naar de cloud versnellen, is het belangrijk dat ze niet vergeten dat het managen van cloudsystemen niet hetzelfde is als het managen van on-premise systemen en dat de omarming van automatisering noodzakelijk is bij de implementatie van een succesvolle, holistische cloudbeveiligingstrategie.

Mark van Leeuwen
Country Manager Nederland
Palo Alto Networks