Cloud computing heeft de afgelopen 20 jaar voor een grotere verschuiving in de IT-industrie gezorgd dan enige andere factor. Met cloudtechnologie kunnen bedrijven hun applicaties sneller dan ooit bouwen, implementeren en schalen. Maar naarmate cloudcomputing wijdverspreider wordt, zijn er nieuwe beveiligingsuitdagingen ontstaan. Tussen de complexiteit van de cloudinfrastructuur en de uitbreiding van cloudgebaseerde services hebben aanvallers toegang tot een groter aanvalsoppervlak dan zelfs een paar jaar geleden.
Snyk onlangs onderzoek gedaan om de impact van cloudbeveiliging op organisaties en de uitdagingen nader te bekijken teams gezicht terwijl ze proberen de cloudinfrastructuur te beveiligen terwijl ze toch op schaal worden geïmplementeerd. De bevindingen uit dit onderzoek zijn summarised in de 2022 Snyk State of Cloud-beveiligingsrapport.
Het rapport is gebaseerd op een onderzoek van Propeller Insights, waarbij om input werd gevraagd van meer dan 400 cloud engineering- en beveiligingsprofessionals en -leiders in verschillende soorten organisaties en sectoren. In het resulterende rapport combineerden de cloudbeveiligingsonderzoekers van Snyk hun analyse van de enquêtegegevens met observaties uit hun eigen ervaring.
Wat zijn de uitdagingen van cloudbeveiliging?
Het rapport bespreekt de complexe beveiligingsrisico's die voortvloeien uit de snelle acceptatie van cloudtechnologie. Het onderzoekt ook hoe beveiligingsprofessionals en cloudbeveiligingsingenieurs de uitdaging aangaan het beveiligen van cloud-applicaties en infrastructuur terwijl ze nog steeds snel kunnen worden geïmplementeerd.
Cloudbeveiligingsgebeurtenissen zijn wijdverbreid
Enkele van de meest interessante statistieken uit het rapport zijn de volgende:
- 80% van de organisaties heeft het afgelopen jaar minstens één ernstig cloudbeveiligingsincident meegemaakt (zoals datalekken, datalekken en indringers in hun omgeving).
- 41% van de respondenten zegt dat cloud-native services de complexiteit verhogen, waardoor hun beveiligingsinspanningen nog ingewikkelder worden.
- Bijna de helft (49%) van de organisaties vindt de implementatie sneller als gevolg van verbeterde cloudbeveiliging.
Organisaties van verschillende groottes en sectoren hebben gemeld dat ze de afgelopen 12 maanden zijn getroffen door grote cloudbeveiligingsgebeurtenissen startups (89%) en organisaties in de publieke sector (88%) het meest getroffen. Enterprise bedrijven deden het beter (waarschijnlijk als gevolg van grotere investeringen in cloudinfrastructuur), terwijl kleine en middelgrote bedrijven rapporteerden het beste te presteren (waarschijnlijk als gevolg van een kleinere cloudvoetafdruk en minder infrastructuurcomplexiteit).
TeamWe hebben duidelijke beveiligingsdoelen nodig
Een andere belangrijke observatie uit het onderzoek is dat veel teams hebben geen duidelijkheid over wie verantwoordelijk is voor cloudbeveiliging in hun organisatie. Van de respondenten zegt 42% van de cloud-engineers dat hun team is verantwoordelijk voor cloudbeveiliging, maar slechts 19% van de beveiligingsprofessionals is van mening dat dit het geval is.
Het beveiligen van cloudresources vereist gecoördineerde inspanning en bewustzijn over de hele linie teams - een praktijk die veel organisaties nog niet hebben overgenomen. Cloudbeveiliging benadrukt het belang van goed begrepen, maar ook goed gedefinieerde verantwoordelijkheden. Dit helpt bedrijven duidelijkheid te behouden wanneer ze werken aan het gemeenschappelijke doel om hun cloudomgevingen te beschermen tegen aanvallen.
Trainingen teams over beveiliging, leerinfrastructuur als code
77% van de ondervraagde organisaties vindt dat veel van de hedendaagse storingen in de cloudbeveiliging het gevolg zijn van een gebrek aan effectieve cross-team samenwerking en opleiding. Wanneer anders teams gebruiken verschillende tools of beleidskaders, waarbij ze hun werk op elkaar afstemmen teams en zorgen voor consistente handhaving kan een uitdaging zijn. Bovendien kan onvoldoende tooling die valse positieven oplevert, leiden tot waarschuwingsmoeheid bij de beveiliging teams, die bijdragen aan menselijke fouten wanneer kritieke problemen moeten worden geïdentificeerd en aangepakt.
Enquêtegegevens tonen ook aan dat 55% van de organisaties gebruikmaakt van infrastructuur als code (IaC) om de juiste beveiliging vóór de implementatie te krijgen. Het gebruik van IaC zorgt voor een software ontwikkelingslevenscyclus voor cloudinfrastructuur - en de mogelijkheid om naar links te verschuiven op het gebied van cloudbeveiliging.
Infrastructuur als code helpt niet alleen teams efficiënter en consistenter op schaal werken; het biedt een geweldige kans om naar links over cloudbeveiliging te gaan voordat applicaties worden geïmplementeerd. De mediane vermindering van verkeerde configuratie van de cloud als gevolg van IaC is 70%.
Door IaC te beveiligen met geautomatiseerde controles die beleid gebruiken als code, cloud engineering teams kunnen ontwikkel- en testomgevingen creëren die de productie en al zijn beveiligingscontroles weerspiegelen.
Kijkend naar de toekomst
Elke dag maken meer organisaties gebruik van de cloud om hun applicaties te ontwikkelen en uit te voeren. Daarbij maken ze gebruik van meer cloud-native architecturen, zoals op containers gebaseerde en serverloze omgevingen. Ontwikkelaars en technici die met cloudinfrastructuur werken, zijn voortdurend bezig met bouwen, itereren en implementeren. Ze herschrijven code en brengen vaak configuratiewijzigingen aan.
Maar veel veranderingen die plaatsvinden tijdens de software ontwikkelingslevenscyclus kan een project blootstellen aan het risico van een aanval. De risico's kennen die inherent zijn aan cloudinfrastructuur, en empowerment teams met tools en beleid om hen tegen die risico's te beschermen, levert meetbare resultaten op.
Naarmate cloud computing steeds populairder wordt, zal cloudbeveiliging in de loop van de tijd alleen maar belangrijker worden voor elke organisatie in het digitale landschap. Een developer-first benadering van cloudbeveiliging helpt organisaties sneller en veiliger te innoveren, met voordelen die veel verder gaan dan alleen het oplossen van kwetsbaarheden.