Cloudbeveiliging is een discipline van cyberbeveiliging die zich richt op het beveiligen van systemen voor cloud computing. Dit houdt in dat de gegevens privé en veilig worden bewaard in de online infrastructuur, applicaties en platformen. Voor de beveiliging van deze systemen zijn er inspanningen nodig van de cloudproviders en de klanten die er gebruik van maken, of het nu gaat om een individu, een klein tot middelgroot bedrijf of een onderneming.
Cloud providers hosten services op hun servers via permanente internetverbindingen. Omdat hun bedrijf afhankelijk is van het vertrouwen van de klant, worden er beveiligingsmethoden gebruikt om de gegevens van de klant in de cloud privé en veilig op te slaan. Maar cloudbeveiliging ligt ook voor een deel in handen van de klant. Inzicht in beide facetten is cruciaal voor een gezonde cloudbeveiligingsoplossing.
De kern van cloudbeveiliging bestaat uit de volgende categorieën:
Cloudbeveiliging mag dan wel lijken op legacy IT-beveiliging, maar dit kader vraagt eigenlijk om een andere aanpak. Laten we, voordat we dieper gaan duiken, eerst eens kijken wat cloudbeveiliging is.
Cloudbeveiliging is de volledige bundel van technologie, protocollen en beste praktijken die cloud computing-omgevingen, applicaties die in de cloud draaien en gegevens die in de cloud worden bewaard, beschermen. Het beveiligen van cloudservices begint met het begrijpen van wat er precies beveiligd wordt, evenals de systeemaspecten die moeten worden beheerd.
Als overzicht, de ontwikkeling van de backend tegen beveiligingslekken is grotendeels in handen van providers van cloudservices. Naast het kiezen van een provider die zich echt bewust is van veiligheid, moeten klanten zich vooral richten op de juiste configuratie van de service en veilige gebruiksgewoonten. Bovendien moeten klanten er zeker van zijn dat alle hardware van de eindgebruiker en netwerken goed beveiligd zijn.
De volledige omvang van de cloudbeveiliging is bedoeld om het volgende te beschermen, ongeacht je verantwoordelijkheden:
Door cloud computing kan het eigendom van al deze componenten sterk verschillen. Dit kan de scope van de verantwoordelijkheden op het gebied van de beveiliging voor de klant onduidelijk maken. Aangezien het beveiligen van de cloud er anders kan uitzien op basis van wie de machtiging heeft over elke component, is het belangrijk om te begrijpen hoe deze zijn gegroepeerd.
Om het eenvoudiger te maken, zijn cloud computing-componenten beveiligd vanuit twee gezichtspunten:
1. Types van cloudservices die door derde partijen worden aangeboden als modules die worden gebruikt om de cloudomgeving te creëren. Afhankelijk van het type service, kun je een verschillend aantal componenten binnen de service beheren:
2. Cloudomgevingen zijn implementatiemodellen waarbij één of meerdere cloudservices een systeem creëren voor de eindgebruikers en organisaties. Dit segmenteert de beheersverantwoordelijkheden - inclusief beveiliging - tussen klanten en providers.
De huidige cloudomgevingen die worden gebruikt, zijn:
Door het vanuit dit perspectief te bekijken, kunnen we begrijpen dat cloudgebaseerde beveiliging een beetje anders kan zijn op basis van het type cloud waarin gewerkt wordt door de gebruikers. Maar de effecten zijn zowel voor de individuele klanten als voor de organisaties voelbaar.
Elke beveiligingsmaatregel in de cloud functioneert om één of meerdere van de volgende zaken te bereiken:
Gegevensbeveiliging is een aspect van cloudbeveiliging dat het technische einde van dreigingspreventie betekent. Met behulp van hulpmiddelen en technologieën kunnen providers en klanten barrières opwerpen tussen de toegang en de zichtbaarheid van gevoelige gegevens. Encryptie is een van de krachtigste beschikbare hulpmiddelen. Encryptie versleutelt je gegevens zodat deze alleen leesbaar zijn voor iemand die over de encryptiesleutel beschikt. Als je gegevens worden verloren of gestolen, zullen ze effectief onleesbaar en betekenisloos zijn. Ook in cloudnetwerken wordt de nadruk gelegd op beveiliging van datatransport, zoals bij virtuele private netwerken (VPN's).
Identiteits- en toegangsbeheer (IAM - Identity and Access Management) heeft betrekking op de toegangsrechten die aan gebruikersaccounts worden toegekend. Het beheer van de authenticatie en autorisatie van gebruikersaccounts is hier ook van toepassing. Toegangscontroles zijn cruciaal om gebruikers - zowel legitieme als kwaadaardige - te beperken om toegang te krijgen tot en het compromitteren van gevoelige gegevens en systemen. Wachtwoordbeheer, multi-factor authenticatie en andere methoden vallen onder de scope van IAM.
Governance richt zich op beleid voor het voorkomen, detecteren en beperken van bedreigingen. Bij KMO’s en ondernemingen kunnen aspecten als bedreigingsinformatie helpen bij het opsporen en prioriteren van bedreigingen om essentiële systemen zorgvuldig te bewaken. Echter, zelfs individuele cloudklanten zouden kunnen profiteren van de waardering van veilig gedrag van gebruikers en training. Deze zijn meestal van toepassing in een organisatie, maar regels voor veilig gebruik en het reageren op bedreigingen kunnen nuttig zijn voor elke gebruiker.
Planning van het bewaren van gegevens (DR - Data retention) en de bedrijfscontinuïteitsplanning (BC - Business Continuity) omvatten technische maatregelen voor herstel van gegevens in geval van rampen. Centraal in elk DR- en BC-plan staan methoden voor gegevensredundantie zoals back-ups. Daarnaast kan het beschikken over technische systemen voor het waarborgen van een ononderbroken werking ook helpen. Kaders voor het testen van de geldigheid van back-ups en gedetailleerde instructies voor het herstel voor de medewerkers zijn net zo waardevol voor een gedegen BC-plan.
Bij de naleving van de wetgeving gaat het om de bescherming van de privacy van de gebruiker, zoals die door de wetgevende instanties is vastgelegd. Regeringen hebben het belang ingezien van de bescherming van informatie van particuliere gebruikers tegen uitbuiting met het oog op winstoogmerk. Als zodanig moeten organisaties de regels volgen om zich aan dit beleid te houden. Een benadering is het gebruik van datamaskering, die de identiteit van de gegevens vertroebelt door middel van encryptiemethoden.
De traditionele IT-beveiliging heeft een immense evolutie doorgemaakt bij de verschuiving naar cloudgebaseerde computing. Terwijl de cloudmodellen zorgen voor meer gemak, zijn er voor een permanente verbinding nieuwe overwegingen nodig om ze veilig te houden. Cloudbeveiliging, als een gemoderniseerde cyberbeveiligingsoplossing, onderscheidt zich op een aantal punten van oude IT-modellen.
Gegevensopslag: Het grootste verschil is dat oudere modellen van IT sterk afhankelijk waren van lokale gegevensopslag. Organisaties hebben al lang ondervonden dat het zelf bouwen van alle in-house IT-omkadering voor gedetailleerde, op maat gemaakte beveiligingscontroles, kostbaar en log is. Cloudgebaseerde omkadering heeft geholpen om de kosten van systeemontwikkeling en -onderhoud te verlagen, maar ook om enige controle weg te halen bij de gebruikers.
Snelheid om op te schalen: Op een vergelijkbare manier vraagt de cloudbeveiliging om unieke aandacht bij het opschalen van de IT-systemen van de organisatie. Cloudcentrische infrastructuur en apps zijn zeer modulair en snel te mobiliseren. Hoewel deze mogelijkheid ervoor zorgt dat systemen uniform worden aangepast aan de veranderingen in de organisatie, is het wel een probleem wanneer de behoefte van een organisatie aan upgrades en gebruiksgemak groter is dan het vermogen om de beveiliging bij te houden.
Systeeminterface voor eindgebruikers: Voor organisaties en individuele gebruikers zijn cloudsystemen ook verbonden met vele andere systemen en services die beveiligd moeten worden. Toegangsrechten moeten worden gehandhaafd vanaf het niveau van het apparaat van de eindgebruiker tot aan het software- en zelfs het netwerkniveau. Daarnaast moeten providers en gebruikers alert zijn op de kwetsbaarheden die zij kunnen veroorzaken door onveilig gedrag bij installaties en systeemtoegang.
Nabijheid van andere netwerkgegevens en -systemen: Omdat cloudsystemen een continue verbinding zijn tussen cloudproviders en al hun gebruikers, kan dit substantiële netwerk de provider zelfs in gevaar brengen. In netwerklandschappen kan één enkel zwak apparaat of zwakke component worden misbruikt om de rest te besmetten. Cloudproviders stellen zich bloot aan bedreigingen van de vele eindgebruikers waarmee ze in contact komen, of ze nu gegevensopslag of andere services aanbieden. Extra netwerkbeveiligingsverantwoordelijkheden liggen bij de providers die anders producten leveren die uitsluitend op de systemen van de eindgebruikers actief zijn in plaats van op hun eigen systemen.
Het oplossen van de meeste problemen met cloudbeveiliging betekent dat gebruikers en cloudproviders - zowel in de persoonlijke als in de zakelijke omgeving - beide proactief moeten blijven in hun eigen rol in de cyberbeveiliging. Deze tweeledige aanpak houdt in dat gebruikers en providers samen voor het volgende moeten zorgen:
Uiteindelijk moeten cloudproviders en gebruikers transparant en verantwoordelijk zijn om ervoor te zorgen dat beide partijen veilig blijven.
Wat zijn de beveiligingsproblemen bij cloud computing? Want als je ze niet kent, hoe moet je dan de juiste maatregelen treffen? Immers, een zwakke beveiliging van de cloud kan gebruikers en providers aan allerlei soorten bedreigingen van hun cyberbeveiliging blootstellen. Enkele veel voorkomende bedreigingen voor cloudbeveiliging zijn:
Het grootste risico van de cloud is dat er geen perimeter is. Traditionele cyberbeveiliging is gericht op het beschermen van de perimeter, maar cloudomgevingen zijn sterk verbonden, wat betekent dat onveilige API's (Application Programming Interfaces) en accountkapers tot echte problemen kunnen leiden. Geconfronteerd met de beveiligingsrisico's van cloud computing moeten professionals op het vlak van cyberbeveiliging overstappen op een datacentrische aanpak.
Het onderling verbonden zijn levert ook problemen op voor netwerken. Kwaadwillige actoren breken vaak in op netwerken via gecompromitteerde of zwakke toegangsgegevens. Zodra een hacker erin slaagt om binnen te raken, kunnen ze gemakkelijk uitbreiden en gebruikmaken van slecht beveiligde interfaces in de cloud om gegevens op verschillende databases of knooppunten te lokaliseren. Ze kunnen zelfs hun eigen cloudservers gebruiken als bestemming waar ze gestolen data naar kunnen exporteren en opslaan. Beveiliging moet zich ook in de cloud bevinden - niet alleen in de toegang tot je cloudgegevens.
De opslag van jouw gegevens door derden en de toegang via het internet hebben ook elk hun eigen bedreigingen. Als deze services om een of andere reden worden onderbroken, kan je toegang tot de gegevens verloren gaan. Zo kan een storing in het telefoonnetwerk betekenen dat je op een essentieel moment geen toegang hebt tot de cloud. Ook kan een stroomstoring invloed hebben op het datacenter waar je gegevens zijn opgeslagen, mogelijk met permanent gegevensverlies.
Dergelijke onderbrekingen kunnen op lange termijn gevolgen hebben. Een recente stroomstoring bij een cloudgegevensfaciliteit van Amazon resulteerde voor sommige klanten in gegevensverlies toen servers hardwareschade opliepen. Dit is een goed voorbeeld van de reden waarom je lokale back-ups van ten minste een aantal van je gegevens en applicaties moet hebben.
In de jaren negentig van de vorige eeuw werden zakelijke en persoonlijke gegevens lokaal bewaard - en ook de beveiliging was lokaal. De gegevens bevonden zich op de interne opslag van een pc thuis en op bedrijfsservers, als je voor een bedrijf werkte.
De introductie van cloudtechnologie heeft iedereen gedwongen om de cyberbeveiliging opnieuw te evalueren. Jouw gegevens en applicaties kunnen zweven tussen lokale en externe systemen - en altijd toegankelijk zijn via het internet. Als je Google Docs op je smartphone gebruikt of Salesforce-software gebruikt om voor je klanten te zorgen, kunnen die gegevens overal worden bewaard. Daarom wordt het beschermen ervan moeilijker dan wanneer het slechts een kwestie was van het tegenhouden van ongewenste gebruikers om toegang te krijgen tot jouw netwerk. Cloudbeveiliging vereist een aanpassing van enkele eerdere IT-praktijken, maar het is om twee belangrijke redenen belangrijker geworden:
Helaas beseffen kwaadwillige actoren de waarde van cloudgebaseerde doelwitten en tasten ze deze steeds meer af op zwakke punten. Ondanks het feit dat cloudproviders vele beveiligingsrollen van klanten op zich nemen, beheren ze niet alles. Daarmee houden zelfs niet-technische gebruikers de plicht om zich te bekwamen in de beveiliging van de cloud.
Dat gezegd hebbende, zijn gebruikers niet alleen verantwoordelijk voor de beveiliging van de cloud. Als je je bewust bent van de omvang van je veiligheidstaken, zal het volledige systeem veel veiliger blijven.
Er is wetgeving ingevoerd om de eindgebruikers te helpen beschermen tegen de verkoop en het delen van hun gevoelige gegevens. De algemene verordening inzake gegevensbescherming (AVG of GDPR - General Data Protection Regulation) en de wet inzake de overdraagbaarheid en verantwoordingsplicht van ziektekostenverzekeringen (HIPAA - Health Insurance Portability and Accountability Act) doen elk hun eigen ding om de privacy te beschermen en de manier te beperken waarop gegevens kunnen worden opgeslagen en geraadpleegd.
Identiteitsbeheermethoden zoals het afschermen van gegevens worden gebruikt om identificeerbare kenmerken te scheiden van gebruikersgegevens voor de naleving van de GDPR. Voor naleving van HIPAA moeten organisaties zoals zorginstellingen ervoor zorgen dat hun provider ook zijn steentje bijdraagt aan het beperken van de toegang tot gegevens.
De CLOUD-wet geeft cloudaanbieders hun eigen wettelijke beperkingen waar ze zich aan moeten houden, mogelijk ten koste van de privacy van de gebruikers. De federale wetgeving van de VS staat nu toe dat de wetshandhaving op federaal niveau de gevraagde gegevens van de servers van de cloudprovider mag opeisen. Hoewel dit het onderzoek doeltreffend kan laten verlopen, kan dit het recht op privacy omzeilen en mogelijk machtsmisbruik veroorzaken.
Gelukkig is er veel dat je kunt doen om je eigen gegevens in de cloud te beschermen. Laten we een aantal van de populaire methodes onderzoeken.
Encryptie is een van de beste manieren om je cloud computing-systemen te beveiligen. Er zijn verschillende manieren om encryptie te gebruiken en deze kunnen worden aangeboden door een cloudprovider of door een afzonderlijke provider van cloudbeveiligingsoplossingen:
Binnen de cloud bestaat er een groter risico op onderschepping van gegevens als deze onderweg zijn. Wanneer gegevens van de ene naar de andere opslaglocatie worden verplaatst, of worden verzonden naar je lokale applicatie, zijn gegevens kwetsbaar. Daarom is end-to-end encryptie de beste cloudbeveiligingsoplossing voor kritische gegevens. Met end-to-end encryptie wordt je communicatie op geen enkel moment beschikbaar gesteld voor buitenstaanders die niet over je encryptiesleutel beschikken.
Je kunt je gegevens zelf versleutelen voordat je ze in de cloud opslaat, of je kunt gebruik maken van een cloudprovider die je gegevens als onderdeel van de service versleutelt. Als je echter alleen gebruik maakt van de cloud om niet-gevoelige gegevens op te slaan, zoals bedrijfsafbeeldingen of video's, kan end-to-end encryptie overkill zijn. Aan de andere kant is het voor financiële, vertrouwelijke of commercieel gevoelige informatie van vitaal belang.
Als je encryptie gebruikt, vergeet dan niet dat het veilige beheer van je encryptiesleutels ook van cruciaal belang is. Houd steeds een back-up bij en liefst niet in de cloud. Het is verstandig je encryptiesleutels ook regelmatig te wijzigen, zodat als iemand er toegang toe krijgt, deze door de wijziging uit het systeem wordt geweerd.
Configuratie is een andere krachtige praktijk bij cloudbeveiliging. Vele inbreuken op cloudgegevens zijn het gevolg van basiskwetsbaarheden zoals fouten in de configuratie. Door ze te voorkomen, verminder je de risico’s bij het beveiligen van je cloud enorm. Als je dit niet graag alleen doet, kun je overwegen om een aparte provider voor beveiligingsoplossingen in de cloud hiervoor aan te spreken.
Hier zijn een paar principes die je kunt volgen:
Enkele basiscyberbeveiligingstips moeten ook worden ingebouwd bij elke cloudimplementatie. Zelfs als je gebruik maakt van de cloud, mogen de standaard cyberbeveiligingspraktijken niet worden genegeerd. Het is dus de moeite waard om het volgende te overwegen als je zo veilig mogelijk online wilt zijn:
De veiligheidsrisico's van cloud computing kunnen iedereen treffen, van bedrijven tot individuele consumenten. Zo kunnen consumenten de publieke cloud bijvoorbeeld gebruiken voor het opslaan en back-uppen van bestanden (met behulp van SaaS-services zoals Dropbox), voor services zoals e-mail en office-applicaties, of voor het invullen van belastingformulieren en het opvolgen van rekeningen.
Als je gebruikmaakt van cloudgebaseerde services dan kan het zijn dat je moet overwegen hoe je cloudgegevens deelt met anderen, vooral als je werkt als consultant of freelancer. Hoewel het delen van bestanden op Google Drive of een andere service een eenvoudige manier kan zijn om je werk met klanten te delen, moet je misschien controleren of je de rechten goed beheert. Je wilt er immers voor zorgen dat verschillende klanten elkaars namen of mappen niet kunnen zien of elkaars bestanden niet kunnen wijzigen.
Vergeet niet dat veel van deze algemeen beschikbare cloudopslagservices geen gegevens versleutelen. Als je je gegevens veilig wilt houden door middel van encryptie, moet je encryptiesoftware gebruiken om dit zelf te doen voordat je de gegevens uploadt. Je zult je klanten dan een sleutel moeten geven, anders kunnen ze de bestanden niet lezen.
Beveiliging moet een van de belangrijkste punten zijn om te overwegen als het gaat om het kiezen van een provider voor cloudbeveiliging. Dat komt omdat je cyberbeveiliging niet langer alleen jouw verantwoordelijkheid is: bedrijven voor cloudbeveiliging moeten hun steentje bijdragen aan het creëren van een veilige cloudomgeving - en de verantwoordelijkheid voor de beveiliging van gegevens delen.
Jammer genoeg zullen de cloudbedrijven je geen blauwdrukken van hun netwerkbeveiliging geven. Dit zou gelijk staan aan een bank die je de gegevens van hun kluis verstrekt - compleet met de combinatie om de kluis open te krijgen.
Echter, het krijgen van de juiste antwoorden op een aantal basisvragen geeft je meer vertrouwen dat je activa in de cloud veilig zullen zijn. Daarnaast zul je je meer bewust zijn van de vraag of je provider de voor de hand liggende beveiligingsrisico's van de cloud goed heeft aangepakt. Wij raden je aan je cloudprovider enkele vragen te stellen uit de volgende reeks:
Je wilt er ook zeker van zijn dat je de servicevoorwaarden (TOS - terms of service) van jouw provider hebt gelezen. Het lezen van de TOS is essentieel om te begrijpen of je precies krijgt wat je wilt en nodig hebt.
Controleer ook of je alle services die je bij je provider gebruikt kent. Als je bestanden op Dropbox staan of een back-up maken op iCloud (de opslagcloud van Apple), kan dat betekenen dat ze daadwerkelijk op de servers van Amazon staan. Je moet dus zowel AWS bekijken als de service die je rechtstreeks gebruikt.
Hybride cloudbeveiligingsservices kunnen een zeer slimme keuze zijn voor klanten in het KMO/MKB-segment en voor ondernemingen. Ze zijn het meest levensvatbaar voor KMO/MKB's en bedrijfsapplicaties, omdat ze over het algemeen te complex zijn voor persoonlijk gebruik. Maar het zijn deze organisaties die gebruik zouden kunnen maken van de mix van schaalgrootte en toegankelijkheid van de cloud met lokale controle van specifieke gegevens.
Hier zijn een paar voordelen op vlak van beveiliging van hybride cloudbeveiligingssystemen:
Segmentatie van services kan een organisatie helpen om te controleren hoe hun gegevens worden benaderd en opgeslagen. Zo kan het plaatsen van meer gevoelige gegevens op locatie, terwijl andere gegevens, applicaties en processen in de cloud worden gedownload, je helpen om je beveiliging op de juiste manier gelaagd te houden. Daarnaast kan het scheiden van gegevens het vermogen van je organisatie verbeteren om wettelijk te blijven voldoen aan de regelgeving omtrent gegevens.
Redundantie kan ook worden verkregen via hybride cloudomgevingen. Door gebruik te maken van de dagelijkse activiteiten van publieke cloudservers en door back-ups te maken van systemen op lokale dataservers, kunnen organisaties hun activiteiten operationeel houden in het geval dat één datacenter offline wordt gehaald of wordt geïnfecteerd met ransomware.
Terwijl ondernemingen kunnen aandringen op een private cloud - het internet equivalent van het bezitten van een eigen kantoorgebouw of campus - moeten particulieren en kleinere bedrijven zich redden met publieke cloudservices. Dit is net als het delen van een kantoor of het wonen in een appartementencomplex met honderden andere huurders. Daarom moet je veiligheid voorop staan.
In kleine tot middelgrote zakelijke applicaties, vind je dat cloudbeveiliging grotendeels afhankelijk is van de publieke providers die je gebruikt.
Er zijn echter maatregelen die je kunt nemen om jezelf veilig te houden:
Aangezien cloud computing nu door meer dan 90% van de grotere ondernemingen wordt gebruikt, is cloudbeveiliging een essentieel onderdeel van zakelijke cyberbeveiliging. Private cloudservices en andere duurdere infrastructuur kunnen levensvatbaar zijn voor de grotere ondernemingen. Je moet er echter wel voor zorgen dat je interne IT het volledige netwerkbereik goed onder controle heeft.
Voor grootschalig bedrijfsgebruik kan cloudbeveiliging veel flexibeler zijn als je wat investeert in je infrastructuur.
Er zijn een paar belangrijke punten om in gedachten te houden:
Dus of je nu een individuele gebruiker bent, een MKB/KMO-gebruiker of zelfs een cloudgebruiker op ondernemingsniveau - het is belangrijk om ervoor te zorgen dat je netwerk en je apparaten zo veilig mogelijk zijn. Dit begint met een goed begrip van de basis van cyberbeveiliging op individueel gebruikersniveau, maar ook met de garantie dat je netwerk en alle apparaten worden beschermd met behulp van een robuuste beveiligingsoplossing die is gebouwd voor de cloud.
Verwante producten:
Verwante artikels: