Home Cloud De (schijn)veiligheid van de cloud

De (schijn)veiligheid van de cloud

158

De cloud inzetten als strategisch platform? Voor de meeste kmo’s  is het een uitgemaakte zaak. Geen hoogoplopende kosten voor ICT-personeel, geen zorgen om beheer, onderhoud en backup. En last but not least: geen zorgen om security, want dat doen de cloud providers voor u. Toch?

Dat laatste zou best eens kunnen tegenvallen. U moet immers beseffen dat cloud hosting providers zoals Microsoft, Amazon en Google een model van gedeelde verantwoordelijkheid hanteren. De cloud provider is verantwoordelijk voor de fysieke beveiliging van het datacenter, de koeling, de infrastructuur, het correct functioneren van de hardware tot het beveiligen van het Operating System van zijn PaaS services. U, als gebruiker van de cloud,  staat in voor een correcte configuratie van de PaaS-services in de cloud,  voor de encryptering van de data en voor het het niet publiek beschikbaar maken van wat enkel voor intern gebruik bedoeld is. U staat met andere woorden in voor de beveiliging van uw eigen toepassing en content, en de cloud providers staan in voor de beveiliging van hun platform.

Ook dan lijkt er nog niet zo veel aan de hand: de cloud providers ontfermen zich nog steeds om het leeuwendeel van de security. De cloudomgeving van de klant is bijgevolg in goede handen, want die cloud providers hebben meer ervaring en geschoold personeel om zichzelf én de klanten die gebruik maken van hun platform te beveiligen. Dat is ook vaak een belangrijke reden geweest voor die klant om voor een cloudomgeving te kiezen. En diezelfde klanten gaan er dan ook graag van uit dat ze zich over security geen zorgen meer om hoeven te maken.

Topdoelwit voor cybercriminelen

Helaas is het voorbije jaar net die beveiliging van het cloudplatform onder druk komen te staan. Dat begon met een aantal security-onderzoekers die in 2021, door de toenemende populariteit van de cloud, deze platforms wat grondiger bestudeerden omdat ze net voor al die klanten de belofte van absolute veiligheid voorspiegelden. Zo kwamen ‘vulnerabilities’ of kwetsbaarheden aan het licht die eigenlijk al lang aanwezig waren maar nooit eerder werden opgemerkt. Sindsdien werden deze vervolgens systematisch onderzocht, gerapporteerd en gelukkig ook opgelost door de cloud providers.

De populariteit van de cloudplatforms werd zo plots een bedreiging op zich omdat cybercriminelen met het exploiteren van slechts één kwetsbaarheid vele duizenden slachtoffers konden maken. Eens gepubliceerd blijven die kwetsbaarheden gelukkig nooit lang open, want de grote cloudproviders hebben de capaciteit om de kwetsbaarheden snel en op grote schaal te dichten. Maar het geeft wel aan dat cloudgebruikers op hun hoede moeten blijven en zelf maatregelen moeten nemen om hun omgeving te beveiligen. Want hoe beter u uw eigen omgeving beveiligt, hoe kleiner de impact van een kwetsbaarheid in het cloudplatform op die eigen omgeving.

De metafoor van de deur

Wat kunt u als cloud klant dan precies doen om het gevaar zoveel mogelijk in te dijken? Laten we de vergelijking maken met een deur.  Het beveiligen van uw bedrijfsdomein moet net zo vanzelfsprekend zijn als het op slot doen van de deur en het inschakelen van het alarm bij vertrek. Dat was vroeger toch de basis van beveiliging?

In de huidige digitale wereld volstaat deze materiële beveiliging niet meer. Fysieke toegang tot uw pand is niet uw grootste zorg. In plaats daarvan manifesteren bedreigingsvectoren zich online via onbeheerde en alomtegenwoordige internetverbindingen en breiden zij zich uit via de clouds die u gebruikt voor allerlei toepassingen, workloadbeheer en opslag. En elke cloud heeft meerdere in- en uitgangen of deuren. Als u als bedrijf naar de cloud gaat, heeft u dus aanzienlijk meer metaforische deuren waar een indringer doorheen kan, omdat elke cloudleverancier die u gebruikt meerdere in- en uitgangen heeft. En de uitdaging wordt steeds groter; in een recent rapport over cloudbeveiliging heeft 76% van de respondenten ingezet op 2 of meer clouds (tegenover 62% in 2021).

Hoe kan u zich dan optimaal beveiligen?  Verder bouwend op de analogie van een deur die bestaat uit een reeks onderdelen die in elkaar passen:  Elk onderdeel maakt het geheel. Denk aan de deur, de scharnieren, handgrepen, sloten, grendels, sleutels, enz. Zonder een van deze elementen is uw deur niet volledig bruikbaar – het geheel is groter dan de som der delen. Cloudbeveiliging is hetzelfde.

Uw beveiliginginstellingen op maat van uw omgeving

Vraag ook advies aan uw cloud provider en uw security partner. Zij kunnen u wijzen op welke specifieke beveiliging uw omgeving nodig heeft, en u helpen de security-instellingen hieraan aan te passen. Hou er ook rekening mee dat uw configuratie kan veranderen, en dat de oorspronkelijke security-instellingen ook af en toe moeten geactualiseerd worden. Dat wordt duidelijk aan de hand van het volgende voorbeeld.

In augustus 2021 kwamen, mede door een veranderde focus van security onderzoekers op cloud, kritieke kwetsbaarheden aan het licht in Azure Cosmos DB, de belangrijkste NoSQL database service van het Microsoft Azure platform. Door deze in 2019 reeds geïntroduceerde kwetsbaarheid – met de gevatte naam ChaosDB – konden Microsoft Azure klanten of aanvallers met een gecompromitteerd Azure account, twee jaar lang toegang krijgen tot de ‘beschermde’ omgeving van andere Azure-klanten, en dus tot alle klanteninformatie en andere vertrouwelijke gegevens. Een potentiële ramp voor alle Azure Cosmos DB gebruikers die de standaardbeveiliging van deze service onvoldoende opgekrikt hadden door bijvoorbeeld de netwerktoegang tot de database onvoldoende te beperken. Dat is dan ook het algemene advies van cloud en security providers: voorzie voor elke toepassing en elke achterliggende database enkel toegang voor wie het echt noodzakelijk is.

Continue opvolging nodig

Kmo’s moeten zich ook bewust zijn van de continue opvolging die nodig is. Microsoft installeert bijvoorbeeld onopgemerkt ‘secret agents’ (kleine beheerprogramma’s) op Azure Linux machines om deze te optimaliseren. Deze werken volledig op de achtergrond en de meeste klanten weten zelfs niet dat die er zijn. Wanneer op een van die agents een kwetsbaarheid wordt ontdekt, moeten alle agents worden geüpgraded. Maar die upgrade moeten de klanten zelf uitvoeren. U wordt dus gevraagd om een agent te upgraden waarvan u niet eens wist dat u die had. En daarvan wordt u op de hoogte gebracht met een notification zoals er dagelijks vele passeren. De kans is dus vrij groot dat dit onopgemerkt voorbijgaat en dat de kwetsbaarheid niet wordt weggewerkt.

Vergis u niet: het is niet alleen Microsoft Azure dat kwetsbaarheden vertoont, ook Amazon AWS en Google Cloud hebben al geregeld patches en upgrades nodig gehad. Wie een idee wil krijgen van alle kwetsbaarheden die men al heeft aangetroffen en voor welke cloud platforms, kan hier een kijkje nemen: https://www.cloudvulndb.org/.  De lijst is lang en het tempo lijkt alleen maar toe te nemen. Het toont zelfs voorbeelden hoe Microsoft zijn eigen documenten op de cloud onbeschermd had gelaten. Andere bronnen die u een goed overzicht van de stand van zaken bieden, zijn cloud provider ‘bulletins’ van Microsoft (https://msrc.microsoft.com/update-guide/vulnerability), AWS (https://aws.amazon.com/security/security-bulletins), of Google (https://cloud.google.com/support/bulletins).

Wie liever toch op beide oren slaapt en zijn aandeel in de securityverantwoordelijkheid uitbesteedt wegens te weinig tijd, kan steeds terecht bij een security partner met een specifieke oplossing die de detectie van kwetsbaarheden op uw cloudomgeving voor u beheert en tegelijk ook de juiste reactie voorstelt of uitvoert in geval van een probleem.

Geert De Ron, Cloud Security Architect, Check Point

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in