Degenen die de juiste cloudbeveiliging krijgen, waarderen productiviteit, snelheid en risicovermindering om hun organisaties te helpen slagen.
Cloud use-cases veranderen snel
De introductie van cloud computing betekent een radicale afwijking van het datacenter, dat veiligheid vereist teams om anders te werken om te houden cloudinfrastructuur veilig. Het gedeelde verantwoordelijkheidsmodel van de cloud, dat de beveiligingsverantwoordelijkheden van zowel cloudserviceproviders als cloudklanten schetst, heeft de beveiliging verlicht teams van de lasten van het beveiligen van fysieke infrastructuur. Maar wat op hun bord blijft liggen - de virtuele serverinstanties, virtuele netwerken en beveiligingsgroepen - vereisen allemaal verschillende tools en benaderingen om te beveiligen.
Tien jaar geleden leken cloudinfrastructuren veel meer op datacenterinfrastructuren (ook al zijn die twee fundamenteel verschillend). Bij het vergelijken van de cloudservices en -architecturen teams vandaag de dag worden toegepast, zagen die vroege cloudomgevingen er redelijk bekend uit, bijna als een 'extern datacenter'.
Deze use-cases komen nog steeds veel voor, maar er is een grotere verandering op komst - een die grote gevolgen heeft voor de beveiliging. Meer en meer, toepassing teams bouwen en draaien nieuwe applicaties in de cloud, in plaats van gewoon de cloud te gebruiken als een platform voor het hosten van gemigreerde applicaties of applicaties van derden. Deze teams maken gebruik van nieuwe soorten cloudresources en hun omgevingen lijken niet meer op alles wat u in een datacenter aantreft.
Veranderende cloud-architecturen hebben de beveiliging op zijn kop gezet
Cloudserviceproviders bieden nu honderden gespecialiseerde cloudservices aan teams profiteren van, en elke gespecialiseerde service heeft zijn eigen unieke beveiligingsoverwegingen. Wanneer deze nieuwere services worden gecombineerd in cloud-native architecturen, wordt security teams realiseren zich dat wat voorheen werkte, nu niet meer goed werkt of goed schaalt. Cloudaanvalpatronen zijn ook veranderd; ze maken nu gebruik van automatisering om verkeerde configuraties te detecteren en gebruiken API-sleutels om te werken tegen het cloudcontrolevlak voor ontdekking, beweging en gegevensextractie. Slachtoffers van inbreuken zijn zich vaak niet bewust van deze aanvallen totdat hun gegevens op internet verschijnen.
Positief is dat er organisaties zijn die cloudbeveiliging op orde hebben. Het is nuttig om te onderzoeken wat ze anders doen om te begrijpen waarom ze slagen terwijl zoveel anderen tekort schieten. Ontwikkeling en veiligheid teams bij deze succesvolle organisaties verminderen hun aantal kwetsbaarheden voor verkeerde configuratie, zelfs als hun gebruik van de cloud schaalt in omvang en complexiteit. Ze helpen ook teams in de rest van hun organisaties bewegen sneller en worden productiever.
De vijf basisprincipes van cloudbeveiliging
Alle organisaties die cloudbeveiliging op orde hebben, richten zich op het volgende vijf basisprincipes.
- Ze kennen hun omgeving.
Deze teams zijn op de hoogte van elke resource die in hun cloud draait, hoe de resources zijn geconfigureerd en hoe ze zich tot elkaar verhouden (het is niet ongewoon voor enterprise Cloud Security teams om niet op de hoogte te zijn van 20% of meer van wat er in hun omgeving draait). Ze weten welke applicaties op welke cloudinfrastructuur draaien en welke data daarbij horen. En ze behouden zicht over de software ontwikkelingslevenscyclus (SDLC) voor hun cloudinfrastructuur, inclusief infrastructuur als code in ontwikkeling en gebruikte CI/CD-pijplijnen.
- Ze richten zich op preventie en veilig ontwerp.
De manier om moderne cloudinbreuken te stoppen, is door de omstandigheden te voorkomen die ze mogelijk maken, niet door te focussen op het detecteren en stoppen van lopende aanvallen. Deze teams gaan verder dan alleen het voorkomen van verkeerde configuraties van individuele bronnen en richten zich op het ontwerpen van cloudomgevingen die inherent beveiligd zijn tegen aanvallen op het controlevlak. De rol van cloud security architect wordt een sleutelrol bij deze organisaties.
- Ze stellen ontwikkelaars in staat om veilig te bouwen en te werken.
De cloudbeveiliging van vandaag teamZe weten dat ze niet alles kunnen, en ze richten zich op het versterken van anderen teams om de beveiliging goed te krijgen. Door tools te bieden waarmee technici infrastructuur veilig als code kunnen ontwikkelen, positioneren ze deze technici om problemen vroegtijdig op te sporen en te corrigeren, tijdrovend herstel en herbewerking later te voorkomen en sneller een veilige infrastructuur te leveren. Deze beveiliging teams helpen ingenieurs ook bij het inbouwen van beveiligingsrails in CI/CD-pijplijnen, om ervoor te zorgen dat kwetsbaarheden niet in draaiende omgevingen terechtkomen.
- Ze stemmen af โโen automatiseren met behulp van beleid als code (PaC).
Wanneer beveiligingsbeleid uitsluitend in menselijke taal wordt uitgedrukt en in PDF-documenten bestaat, kan het net zo goed helemaal niet bestaan. PaC maakt het mogelijk regels uit te drukken in een taal die andere tools en applicaties kunnen gebruiken om de juistheid van code en configuraties te valideren. PaC elimineert verschillen in interpretatie, implementatie en handhaving en maakt cloudbeveiliging mogelijk teams hun inspanningen opschalen zonder het personeelsbestand op te schalen.
- Ze meten wat ertoe doet.
Cloudbeveiliging gaat over operationele discipline en het opzetten van de juiste processen. Succesvolle beveiliging teams identificeren wat het belangrijkst is, of het nu gaat om het verminderen van het aantal verkeerde configuraties, het versnellen van goedkeuringsprocessen of het opnieuw toewijzen van middelen aan werk met een hogere waarde. Ze stellen hun basislijnen vast, stellen doelen en werken vervolgens ijverig om deze te bereiken. En ze kunnen op elk moment de beveiligingsstatus van hun omgeving - en hun voortgang - demonstreren.
Degenen die cloudbeveiliging goed begrijpen, zien het als een innovatie-enabler, niet als een blokkerende functie. Ze operationaliseren cloudbeveiliging in de hele organisatie, zodat iedereen sneller en veiliger kan bewegen.