Cloud security: what's up?
Q&A met Frank Kim, SANS Institute Fellow, Cloud Curriculum lead, en CISO-in-Residence bij YL Ventures
· Wat zijn de belangrijkste cloud-beveiligingstrends?
Elke organisatie is tegenwoordig multi-cloud, uit eigen vrije keuze of per toeval. Uit vrije keuze doordat ze verschillende cloudaanbieders kiezen voor verschillende afdelingen of workloads op basis van zakelijke behoeften of financiële overwegingen, of per toeval doordat ze verschillende cloudproviders erven door fusies en overnames, of gewoon omdat verschillende teams in de loop der tijd verschillende keuzes hebben gemaakt. Dit creëert een gefragmenteerde beveiligingsomgeving die moeilijk te beheren en te monitoren is, wat betekent dat organisaties geen overzicht en controle hebben over al hun clouds en de gegevens die in deze omgevingen zijn opgeslagen.
· Wat zijn de belangrijkste cloud-aanvalsvectoren?
Cloudomgevingen zijn complexer en onderling meer verbonden. Hoewel de onderliggende infrastructuur veiliger is, zullen aanvallers zich daardoor niet laten afschrikken en zich richten op de ‘zachte onderbuik’, namelijk de applicaties die in de cloud worden ingezet. Gegevens worden opgeslagen bij een groot aantal cloudproviders (IaaS, PaaS, SaaS) en moderne architecturen zijn API-gestuurd. Deze applicaties en API's hebben de juiste toegang, machtigingen en configuraties nodig. Het zijn deze fouten waar aanvallers zich op blijven richten om hun doelen te bereiken.
· Wie is verantwoordelijk voor de cloudbeveiliging?
Uiteindelijk is het de verantwoordelijkheid van de organisatie die clouddiensten gebruikt om ervoor te zorgen dat hun klantgegevens veilig zijn: zij dragen de eindverantwoordelijkheid.
· Is de cloud inherent veiliger dan on-premise?
Wanneer cloudservices op de juiste manier gebruikt en geconfigureerd worden, kunnen ze net zo veilig, zo niet veiliger zijn dan traditionele on-premise omgevingen. Aanbieders van clouddiensten worden verondersteld meer in beveiliging te investeren dan welk ander bedrijf dan ook. En, hoewel er altijd nieuwe beveiligingsproblemen zullen opduiken, is het de taak van beveiligingsteams om de ins en outs van de verschillende cloudproviders te begrijpen, om ervoor te zorgen dat beveiliging is ingebed in de architectuur, engineering en dagelijkse operaties.
Over het SANS Institute
Het SANS Institute werd in 1989 opgericht als een coöperatieve organisatie voor onderzoek en opleiding. Vandaag is SANS de meest vertrouwde en veruit grootste aanbieder van cybersecuritytrainingen en -certificeringen voor professionals in publieke en private instellingen wereldwijd. Gerenommeerde SANS-instructeurs geven meer dan 60 cursussen op fysieke en virtuele cybersecurity-events en op aanvraag.
GIAC, een dochteronderneming van het SANS Institute, valideert de vaardigheden van professionals door middel van meer dan 35 praktijkgerichte, technische certificeringen in cyberbeveiliging en biedt wereldwijd de hoogste en meest rigoureuze garantie inzake kennis en vaardigheden op vlak van cyberbeveiliging. Het SANS Technology Institute, een regionaal geaccrediteerde onafhankelijke dochteronderneming, biedt master- en bachelordiploma's, graduaten en een ondergraduaat in cyberbeveiliging aan. SANS Security Awareness, een divisie van SANS, biedt organisaties een complete en uitgebreide oplossing voor bewustwording rond beveiliging zodat zij hun ‘menselijke’ risico's op het gebied van cyberdreiging eenvoudig en effectief kunnen beheren. SANS levert ook een grote verscheidenheid aan gratis middelen aan de InfoSec-gemeenschap, waaronder consensusprojecten, onderzoeksrapporten, webcasts, podcasts en nieuwsbrieven. Verder beheert SANS ook het vroegtijdige internet-waarschuwingssysteem, het Internet Storm Center.
De kern van SANS wordt gevormd door de vele beveiligingsprofessionals die uiteenlopende organisaties van over de hele wereld vertegenwoordigen - van bedrijven tot universiteiten - die samenwerken om de wereldwijde cybersecuritygemeenschap te ondersteunen en informeren.
Paul Geens