Ewout Vermeulen Frank Peeters
Ewout Vermeulen & Frank Peeters
May 31, 2022

Op weg naar de cloud... en hoe u daar veilig aankomt

De meeste organisaties gebruiken inmiddels al cloudtechnologie of zijn goed op weg om de mogelijkheid van een cloud toe te voegen aan hun IT-systemen en -services. Dit geldt niet alleen voor toepassingen in termen van Software as a Service, maar ook voor het lifecyclemanagement van bestaande IT-services.

Scroll down

De voordelen van cloud-technologie zijn alom bekend. Deze biedt grote mogelijkheden voor het op- en afschalen en het inzetten van de nieuwste innovaties zoals containers en microservices om modulaire applicaties te bouwen of voor serverless computing. Gecombineerd met een ‘pay-as-you-go’-model zijn er geen grote investeringen vooraf, waardoor organisaties kunnen overstappen van CapEx- naar OpEx-modellen.
Al deze voordelen samen kunnen bedrijven helpen hun kosten te drukken, flexibeler te zijn en de tijd die nodig is om goederen en diensten aan hun klanten te leveren, te verkorten.

Het zakelijk perspectief


Hoewel cloudtechnologie veel voordelen biedt, zijn er aspecten van governance en veiligheid die niet over het hoofd mogen worden gezien. Vanuit het oogpunt van bedrijfsrisico’s moet er een goed proces zijn, dat van het begin af aan, in zijn ontwerp, is gebaseerd op veiligheid en privacy. Hiervoor is een georganiseerd team zoals een Cloud Center of Excellence (CCoE) een nuttig instrument om governance en veiligheid te ondersteunen op weg naar de cloud. Een CCoE kan ondersteuning verlenen bij het ontwerpen en creëren van een solide oplossing. Het team kan zich richten op zaken als goede begeleiding, gedeelde verantwoordelijkheden, kostenbeheer en initiatieven op het gebied van beveiligingsarchitectuur, zoals Zero Trust Network Architecture (ZTNA), Cloud Access Security Broker (CASB) en Secure Access Service Edge (SASE), stuk voor stuk belangrijke ingrediënten op weg naar de cloud.

Risicogebaseerde aanpak

Zodra er een CCoE-team is gevormd, is het belangrijk dat de risico- en veiligheidsvertegenwoordigers binnen het team een risicogebaseerde benadering gebruiken om de vereisten voor de cloudplatformomgeving te bepalen bij het bouwen en leveren van de landingszone. Een belangrijk onderwerp is het faciliteren van een veilige manier om toegang te krijgen tot de landingszone vanuit een control plane-perspectief. Deze beperkte, op rechten gebaseerde toegang staat bij sommige leveranciers bekend als Cloud Infrastructure Entitlement Management (CIEM).

Belang van automatisering

Op weg naar de cloud is er een uitgelezen kans om de toepassing zoveel mogelijk te automatiseren. De beschikbaarstelling van resources in de cloud kan bijvoorbeeld worden uitgevoerd als Infrastructure as Code (IaC), op basis van CI/CD Tooling en algemeen geïntegreerde beveiligingsverificatiecontroles en door de organisatie gedefinieerd deploymentbeleid. Dit maakt het beperken of limiteren van bepaalde resources en/of instellingen mogelijk zoals vereist door het bedrijfsbeveiligings- en compliancebeleid. Zodra de landingszone is voltooid en een hybride interconnectie met de bestaande omgeving ter plaatse tot stand is gebracht, is het tijd om de bedrijfsoplossingen aan te bieden. Door de verschuiving naar Agile/DevOps-werkwijzen in veel organisaties, zijn deze teams verantwoordelijk voor hun eigen oplossingen of workloads. Ze moeten worden gefaciliteerd en begeleid om de veilige implementatie van hun oplossingen en operationele taken te garanderen.

Continu toezicht

Deze operationele taken omvatten het beheer van de levenscyclus van toepassingen, patch- en kwetsbaarheidsbeheer. Deze vallen onder de verantwoordelijkheid van het Agile/DevOps-team, dat eigenaar is van de workload/oplossing. Het team dat verantwoordelijk is voor de landingszone van het cloudplatform is verantwoordelijk voor de gedeelde diensten en zal deze gedeelde diensten faciliteren voor de Agile/DevOps-teams. Een van de belangrijkste aspecten is het continu monitoren van alerts en incidenten en het inzichtelijk maken van de status van applicaties, workloads en andere resources. Omdat Infrastructure as a Service en Platform as a Service (PaaS) vaak vanuit publieke cloudomgevingen worden bediend, kan het risico groter zijn als ze onjuist worden geconfigureerd.

Verbetering van de beveiliging

Er moeten dus solide beleidslijnen, richtlijnen en processen worden vastgesteld en gevolgd om de risico’s zoals ransomware en andere malware op het spoor te komen. Door gebruik te maken van dreigingsmodellen, risk assessments en een aanpak met veiligheidscontroles op meerdere niveaus, kan de beveiliging zo veel als nodig worden verbeterd. Aangezien beveiliging geen project is, maar eerder een proces, is de levenscyclus van beveiligingsverbeteringen een blijvende verantwoordelijkheid van het CCoE-team en de Workload-teams.
Tot slot moeten de ogen van de organisatie, d.w.z. het Security Operation Center (SOC), een geïntegreerd onderdeel vormen van de multi-cloudaanpak om één enkel doorzicht te bieden vanuit het centrale Security Information and Event Management-systeem. Voorzieningen zoals een snelle of automatische respons zijn essentieel om verdere aanvallen, blootstelling of risico’s op gegevensverlies te voorkomen door Security Orchestration, Automation and Response (SOAR) te integreren en te implementeren.

Over de auteurs
  • Ewout Vermeulen

    Ewout Vermeulen is a Security consultant at Traxion, provider of Identity Centric Security Services in the Netherlands and Belgium with over 130 highly qualified professionals. Traxion is part of Swiss IT Security Group.

  • Frank Peeters

    Frank Peeters is senior security consultant at Traxion, provider of Identity Centric Security Services with over 150 highly qualified professionals. Traxion is part of the Swiss IT Security Group.

Want to kickstart your  career at Traxion?

Want to kickstart your career at Traxion?

Visit workattraxion.com
Confidental Infomation