Home Cloud Het beveiligingsvraagstuk van de hybrid cloud

Het beveiligingsvraagstuk van de hybrid cloud

75
cloud

Of het nu in de vorm is van PaaS, SaaS of IaaS, bedrijven migreren steeds vaker naar de cloud. Die heeft immers drie erg aantrekkelijke kenmerken: wendbaarheid, efficiëntie en winstgevendheid. Maar er is ook nog een vierde voordeel aan verbonden, waar de meeste bedrijven zich nog niet van bewust zijn: beveiliging.

Dit laatste krijgt in het migratieproces nog niet de erkenning die het verdient, en de bijhorende voordelen ervan worden nog vaak over het hoofd gezien. Allereerst zien veel bedrijven hun cloudprovider als enige veiligheidsbeheerder. Wanneer bedrijven hun on-premise processen naar de cloud brengen, worden hun eigen, kwalitatief goede beveiligingspraktijken daardoor niet in de cloud gerepliceerd. Ten slotte komt het ook voor dat de IT-afdeling simpelweg niet wordt geconsulteerd wanneer er clouddiensten worden opgezet.

Al deze elementen, afzonderlijk of gecombineerd, zorgen voor verwarring op het vlak van cloudbeveiliging. Wie is er verantwoordelijk, en van welke afdeling? Welk veiligheidsniveau is er al? Hoe kwetsbaar is het bedrijf? Stuk voor stuk moeilijk te beantwoorden vragen.

De hybrid cloud: een complexere omgeving

Als we het hebben over de hybrid cloud, dan is dit beveiligingsvraagstuk nog problematischer. Sinds enkele jaren beveiligen bedrijven wel hun datacenters en maken ze allemaal gebruik van verschillende oplossingen en best practices, maar in de meeste gevallen is de beveiliging van de cloud hier niet in geïntegreerd.

In een datacenter bevinden alle oplossingen, zoals firewalls, fileservers en databeveiliging, zich binnen direct handbereik. Als een bedrijf een deel van zijn infrastructuur wil overbrengen naar de cloud, moeten daar dus dezelfde beveiligingsregels kunnen worden toegepast. Maar de oplossingen voor securitymanagement in cloudomgevingen zijn niet altijd dezelfde als die in datacenteromgevingen. Van zodra ondernemingen hun beveiliging op twee manieren dienen te beheren – deels in de cloud en deels in het datacenter –, komen ze op een kritiek punt. Ze moeten voor de cloud een beveiligingsniveau garanderen, dat minimaal gelijk is aan dat van de on-premise infrastructuur.

Deze beveiliging op twee verschillende platforms kan ervoor zorgen dat de cloud kwetsbaarder wordt en de ideale toegangspoort vormt voor cybercriminelen. Hackers geraken namelijk makkelijk aan alle informatie die in de cloud is opgeslagen, waarmee ze vervolgens moeiteloos het datacenter kunnen binnendringen. Daarom is het noodzakelijk om de beveiliging binnen de cloud minstens op hetzelfde niveau te krijgen, en het liefst nog op een niveau hoger, gezien de toegenomen zichtbaarheid van clouddiensten.

De multicloud? Ja, maar dan omkaderd

Hoewel veel ondernemingen, en daarbinnen diverse afdelingen, momenteel al gebruikmaken van meerdere clouddienstenleveranciers, maken ze de keuze daarvoor zelden in overleg met de IT-afdeling. Daardoor zitten ze met verschillende cloudoplossingen en dus ook met verschillende beheertools en controlemechanismen.

Hierdoor valt de opkomst van ‘Shadow IT’ op te merken. Door de toename van het aantal oplossingen (en daarmee ook de toegangskanalen) zonder dat het bedrijf hierover wordt geïnformeerd, wordt de beveiliging moeilijker te beheren. En hoe kan er dan worden gegarandeerd dat deze verschillende omgevingen op de veiligste manier met elkaar communiceren?

Om deze uitdaging het hoofd te bieden, moet er een vorm van cloud-governance worden geïmplementeerd. Een die de geschiktheid van de ene leverancier tegenover de andere kan valideren. Onder de in te stellen processen en regels moet ook een evaluatiebeleid voor cloudproviders vallen. Dit, zodat zij gegarandeerd instaan voor de nodige authenticatiesystemen, toegangscontroles en het securitymanagement voor de communicatie met de datacenters.

Automatisering van beveiliging is essentieel

Om zowel in de cloud als on-premise hetzelfde beveiligingsniveau te garanderen, is automatisering de sleutel tot succes. Met beveiligingsautomatisering wordt niet alleen tijd gewonnen, maar verloopt het proces ook efficiënter. Het zorgt ervoor dat de verwachte doelstellingen worden behaald en voegt ook beveiliging toe. Maar als wendbaarheid en snelheid al zijn geautomatiseerd, komt de beveiligingsautomatisering jammer genoeg te vaak pas aan het einde van de keten. En dat terwijl net de hele productieketen en alle diensten die we naar de cloud migreren, moeten geautomatiseerd worden. Als we beveiliging van meet af aan opnemen in de strategieontwikkeling, dan vormt het geen beperking en is het een klassieke parameter die in het globale proces is geïntegreerd.

Beveiliging organiseren en best practices definiëren

Om dit te bereiken, is het nodig dat bedrijven zich structureel organiseren en werkgroepen installeren, waarin de IT-kennis samenkomt. Op die manier heeft iedereen een concreet beeld van elkaars behoeften en obstakels, en kunnen het interne proces en de instelling van de teams evolueren. Draagvlak daarvoor kan worden gevonden op managementniveau, zodat het project alle lagen van het bedrijf ondersteunt. En soms dient er beroep te worden gedaan op externe dienstverleners om het hoofd boven water te houden, zodat projecten aan productiviteit en competitiviteit kunnen winnen.

Op het vlak van best practices bestaan er enkele essentiële beveiligingsregels, ongeacht wat er in de cloud is opgeslagen. Denk hierbij aan toegangscontroles als oplossingen voor netwerkfiltering, maar ook toegangscontroles voor gebruikers. Verder zal een bedrijf, afhankelijk van de omgeving waarin het actief is, verschillende beveiligingsconcepten moeten installeren op basis van wat er in de cloud wordt opgeslagen. Worden er bijvoorbeeld klantgegevens opgeslagen, dan moet het bedrijf extra waakzaam zijn en dataencryptieoplossingen implementeren.

Beveiliging mag dus geen barrière zijn als het aankomt op migratie naar de cloud, en het is gewoon zaak om de best practices te implementeren. Bedrijven moeten eerst bepalen waarvoor ze de cloud precies willen inzetten om daarna de technische en financiële criteria voor deze verandering te bepalen. Daarnaast is het belangrijk om een strategie op de middellange termijn te ontwikkelen, waarin alle bedrijfsstrategieën verwerkt zijn: van IT tot management. Het is absoluut noodzakelijk dat iedereen binnen de organisatie op één lijn zit. Als iedereen voor zichzelf denkt, is het onmogelijk om te weten of de gebruikte clouddiensten in overeenstemming zijn met de algemene strategie, met de andere diensten die in de rest van het bedrijf worden ingezet, en met de technische beperkingen van het bedrijf.

Charles Bovy , Director MSS PreSales EMEA & Regional Lead Benelux

 

 

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here