Welkom in een nieuw tijdperk van complexiteit voor degenen die ooit dachten dat gegevensbeveiliging een uitdaging was toen handel voornamelijk lokaal plaatsvond. Tegenwoordig zijn bedrijven mobiel en wordt cloudopslag gebruikt om gegevens overal te bewaren. AWS, Azure Cloud en Google Cloud Platforms zijn drie van de meest voorkomende meest voorkomende infrastructuurproviders (IAAS). Eén ding is echter niet veranderd: mensen willen nog steeds dat bedrijven hun gegevens beschermen. Falen is geen optie, en het overtreden van de strenge normen van vandaag de dag leidt tot zware straffen en, misschien nog wel het belangrijkste, een verlies van vertrouwen bij de klant, wat geen enkel bedrijf zich kan veroorloven.
In dit artikel gaan we dieper in op het Cloud Compliance Framework, waarom het essentieel is, de componenten ervan en veelgebruikte frameworks.
Wat is cloudcompliance?
Cloudcompliance verwijst naar de regels en voorschriften die door bestuursorganen zijn vastgesteld om te garanderen dat gegevens die in de cloud worden bewaard, veilig en privé zijn en voldoen aan de vastgestelde richtlijnen voor cyberbeveiliging. Deze voorschriften zijn vaak van toepassing op sectoren die gevoelige gegevens beheren, zoals de gezondheidszorg (waar HIPAA-vereisten gelden) of e-commerce (waar PCI DSS-normen worden gevolgd).
Waarom is cloudcompliance belangrijk?
Tegen 2022 zal meer dan 60% van alle bedrijfsgegevens in de cloud staan. Dat is twee keer zoveel cloudopslag als in 2015.
Omdat er zoveel gegevens in de cloud worden opgeslagen, moet elke organisatie een rol spelen bij het waarborgen van de veiligheid van die gegevens.
Als de cloudvereisten niet worden nageleefd, kunnen er kostbare datalekken ontstaan. Cloudcompliance kan u helpen om te profiteren van de kosteneffectiviteit, gegevensback-up en -herstel en schaalbaarheid van cloud computing, terwijl u een solide beveiligingshouding handhaaft.
De HIPAA-wetgeving in de gezondheidszorg schrijft bijvoorbeeld strikte beveiligingsmethoden en richtlijnen voor bepaalde soorten patiëntgegevens voor. Een ander voorbeeld zijn de nieuwe wetten inzake financiële privacy die zijn ingegeven door veranderingen in de banksector in de afgelopen decennia.
In wezen moeten cloudklanten de beveiligingspraktijken van hun leveranciers op dezelfde manier beoordelen als hun interne beveiliging. De diensten die door de cloudleverancier worden aangeboden, moeten worden geëvalueerd om te zien of ze aan hun criteria voldoen. Er zijn veel manieren om dit te doen. Bedrijven kiezen soms uitsluitend op basis van het feit of een dienstverlener kan aantonen dat hij aan de voorschriften voldoet, en nemen verder geen andere beslissingen over die dienstverlener. Klanten moeten soms actief toegang krijgen tot de beveiliging van de cloudleverancier om te controleren of deze voldoet aan de wettelijke vereisten en industrienormen.
Wat is een cloudcompliancekader?
Een cloud compliance framework verzamelt normen en aanbevolen procedures voor het beveiligen van cloudresources. Sommige frameworks zijn sectorspecifiek (zoals die voor de defensie- of gezondheidszorgsector), terwijl andere breed zijn en bedoeld zijn voor algemeen gebruik.
Voorbeelden:
- Payment Card Industry Data Security Standard (PCI DSS): Het belangrijkste doel van dit cloudcompliancekader is het beschermen van creditcardtransacties. Het regelt hoe kaartgegevens worden geleverd en bewaard.
- Health Insurance Portability and Accountability Act (HIPAA): HIPAA is een wet die de gezondheidszorg in de Verenigde Staten regelt en die betrekking heeft op patiëntgegevens en de manier waarop bedrijven deze moeten bewaren en gebruiken. Dit Cloud Compliance Framework specificeert ook wat bedrijven moeten doen als PII van patiënten openbaar wordt gemaakt.
- SOC 2: Dit Cloud Compliance Framework beoordeelt de informatiesystemen van een organisatie met betrekking tot beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid of privacy.
- Met behulp van het ISO 27001 Cloud Compliance Framework kan een bedrijf beschikken over een betrouwbaar en veilig informatiebeveiligingsbeheer.
- Het National Institute of Standards and Technology (NIST) biedt normen en richtlijnen voor het ontwikkelen en beschermen van informatiesystemen voor overheidsinstanties. Het NIST Cybersecurity Framework, NIST 800-53 en NIST 800-171 zijn de drie Cloud Compliance Frameworks die kunnen worden gebruikt om de naleving van de NIST-norm te evalueren.
- De GDPR (Algemene Verordening Gegevensbescherming) is het bekendste en belangrijkste Europese cloudcompliancekader voor de bescherming van persoonsgegevens.
Onderdelen van het cloudcompliancekader
Dit zijn de belangrijkste componenten van het Cloud Compliance Framework:
Governance
Deze vooraf ingestelde filters beschermen uw persoonlijke gegevens tegen mogelijk schadelijke openbaarmaking. De cruciale componenten van cloudgovernance zijn onder meer:
Organisaties moeten alle clouddiensten en gegevens die als onderdeel van het activabeheer worden gehuisvest, inventariseren en vervolgens alle configuraties definiëren om kwetsbaarheid te voorkomen. Het karakteriseren van de cloudstructuur, eigendom en verantwoordelijkheden maakt deel uit van de cloudstrategie en het cloudontwerp en omvat cloudbeveiliging. Financiële controles omvatten een proces voor het goedkeuren van de aanschaf van clouddiensten en het afwegen van kosteneffectiviteit tegen cloudgebruik.
Veranderingsbeheer
Veranderingsbeheer wordt uitdagender door de twee grote voordelen van de cloud: snelheid en flexibiliteit. Problematische verkeerde configuraties in de cloud worden vaak veroorzaakt door ontoereikend veranderingsbeheer. Organisaties kunnen automatisering gebruiken om instellingen op problemen te controleren en continu soepele wijzigingsprocedures te garanderen.
In de cloud ondergaan identiteits- en toegangsbeheer (IAM) ondergaan regelmatig verschillende wijzigingen. Hieronder vindt u de best practices voor IAM voor uw cloudomgeving:
- Houd root-accounts altijd in de gaten, omdat deze gevaarlijke, ongecontroleerde toegang kunnen geven. Implementeer multi-factor authenticatie (MFA) voor toegang en houd deze op zijn minst in de gaten met filters en alarmen. Sluit ze indien mogelijk af.
- Gebruik op rollen gebaseerde toegang en privileges op groepsniveau om toegang te verlenen op basis van organisatorische behoeften en het principe van minimale privileges.
- Stel efficiënte regels voor het beheer van inloggegevens en sleutels op, schakel inactieve accounts uit en institutionaliseer ze.
Continue monitoring
Vanwege de complexiteit en verspreide aard van de cloud is het cruciaal om alle activiteiten te monitoren en vast te leggen. De basis van nalevingscontrole is het wie, wat, wanneer, waar en hoe van gebeurtenissen, waardoor bedrijven klaar zijn voor audits. Het volgende moet worden gedaan tijdens het volgen en registreren van gegevens in uw cloudomgeving:
- Vergeet niet om logboekregistratie in te schakelen voor alle cloudbronnen.
- Logboeken moeten worden versleuteld en mogen niet worden opgeslagen op een locatie die toegankelijk is voor het publiek.
- Stel uw statistieken, alarmen en activiteitenregistraties in.
- Kwetsbaarheidscontrole
Rapportage
Rapportage biedt recent en historisch bewijs van naleving. Beschouw deze rapporten als uw nalevingsvoetafdruk; ze zijn nuttig bij audits. Mocht uw naleving ooit in twijfel worden getrokken, dan kan een gedetailleerd tijdschema van alle activiteiten die aan een incident voorafgingen en erop volgden, essentieel bewijs leveren. Hoe lang u deze gegevens moet bewaren, hangt af van de specifieke regelgeving; sommige vragen slechts een maand of twee, terwijl andere veel meer tijd vragen. In het geval van een systeemstoring ter plaatse of een natuurramp moet uw team alle documenten op een veilige, aparte locatie bewaren.
Algemene cloudcompliancekaders
Deze cloudcompliancekaders zijn specifiek van toepassing op de vereisten voor cloudcompliance. Cloudleveranciers en klanten moeten de specifieke kenmerken van deze kaders begrijpen.
De Cloud Security Alliance Controls Matrix is een fundamentele verzameling van beveiligingsmaatregelen die als uitgangspunt dient voor beveiligingsleveranciers, de instellingen voor beveiligingsmaatregelen versterkt en audits vergemakkelijkt. Deze methodologie helpt ook potentiële klanten bij het evalueren van het risicoprofiel van mogelijke cloudleveranciers.
Organisaties die willen samenwerken met een federale instantie moeten voldoen aan de FedRAMP-reeks gegevensbeveiligingsvereisten met betrekking tot de cloud. Het doel van FedRAMP is om te garanderen dat alle cloudinstallaties die de federale overheid gebruikt, minimale gegevens- en applicatiebeveiliging hebben.
Sarbanes-Oxley (SOX) is een reeks voorschriften die bepalen hoe beursgenoteerde bedrijven financiële gegevens openbaar maken om consumenten te beschermen tegen fraude of rapportagefouten. Hoewel de SOX-normen niet specifiek betrekking hebben op beveiliging, hebben ze wel betrekking op verschillende IT-beveiligingsmaatregelen omdat ze de integriteit van gegevens ondersteunen.
Beveiligingsgerichte kaders
De volgende beveiligingsspecifieke wetgeving kan organisaties die met gevoelige gegevens omgaan helpen door normen voor gedrag vast te stellen. Deze kaders bieden het proces en het raamwerk om schadelijke beveiligingsincidenten te voorkomen.
De Internationale Organisatie voor Standaardisatie (ISO) 27001 is een reeks vereisten voor informatiebeveiligingsbeheersystemen die aantoont dat uw bedrijf de beste praktijken in de sector volgt en zich inzet voor de bescherming van klantgegevens.
NIST Cybersecurity Framework: Deze fundamentele beleids- en procedurebenchmark voor bedrijven evalueert hoe goed zij online bedreigingen kunnen beheren en tegengaan. Dit raamwerk helpt bij het identificeren en beheren van risico's en dient als een handleiding met best practices voor beveiligingsprofessionals.
Cloudraamwerken met een goede architectuur
Deze kaders, die vaak betrekking hebben op operationele effectiviteit, beveiliging en kosten-batenfactoren, kunnen worden beschouwd als best practice-normen voor cloudarchitecten.
Dit kader, ontwikkeld door Amazon Web Services, helpt architecten bij het ontwerpen van workloads en applicaties op de Amazon-cloud. Dankzij dit kader, dat is gebaseerd op een reeks vragen voor het analyseren van cloudomgevingen, hebben klanten toegang tot een betrouwbare bron voor architectuurevaluatie. De vijf leidende principes van Amazon-architecten zijn operationele uitmuntendheid, beveiliging, betrouwbaarheid, prestatie-effectiviteit en kostenoptimalisatie.
Het Google Cloud Architected Framework dient als basis voor het ontwikkelen en verbeteren van de cloudoplossingen van Google. Vier fundamentele principes – operationele uitmuntendheid, beveiliging en compliance, betrouwbaarheid en prestatiekostenoptimalisatie – vormen de kern van dit raamwerk, dat als routekaart voor architecten dient.
CNAPP Marktgids
Krijg belangrijke inzichten in de staat van de CNAPP-markt in deze Gartner Market Guide for Cloud-Native Application Protection Platforms.
LeesgidsConclusie
Ondanks hun verschillen zijn beveiliging en compliance met elkaar verbonden en hebben ze veel gemeen. Deze overlappingen kunnen leiden tot gevaarlijke hiaten in de verdediging. Het gebruik van Cloud Compliance Framework helpt u bij het verbeteren van de beveiliging. Organisaties kunnen overlappingen tussen strategieën voor het beperken van beveiligings- en compliance-risico's opsporen en beheren door gebruik te maken van innovatieve, continue compliance-oplossingen, zoals die van SentinelOne, om veiligere omgevingen te creëren.
Veelgestelde vragen over het Cloud Compliance Framework
Een cloud compliance framework is een reeks regels en best practices die organisaties helpen bij het beheren van de beveiliging en het voldoen aan wettelijke vereisten in cloudomgevingen. Het biedt richtlijnen voor het beschermen van gegevens, het beheren van toegang, het monitoren van activiteiten en het rapporteren over compliance.
Door een dergelijk framework te volgen, blijft u in overeenstemming met de wetgeving in uw branche en voorkomt u kostbare overtredingen, terwijl u tegelijkertijd uw cloudresources veilig houdt.
Organisaties hebben dit nodig om het risico op inbreuken en wettelijke sancties te verminderen. Het creëert een duidelijk proces voor het consistent toepassen van beveiligingsmaatregelen en het controleren van de naleving van wetten zoals de AVG of HIPAA. Een goed raamwerk bouwt ook vertrouwen op bij klanten en partners door te laten zien dat u verantwoord omgaat met hun gegevens. Zonder dit raamwerk kunnen cloudopstellingen een lappendeken worden met hiaten die aanvallers kunnen misbruiken.
Populaire frameworks zijn onder meer het NIST Cybersecurity Framework (CSF) voor algemeen risicobeheer, CIS Controls voor praktische beveiligingsmaatregelen, ISO/IEC 27001 voor managementsysteemstandaarden, CSA Cloud Controls Matrix voor cloudspecifieke controles en FedRAMP, dat wordt gebruikt door clouds van de Amerikaanse overheid.
Elk framework bevat nalevingsvereisten, maar uw keuze hangt af van de branche, locatie en cloudgebruik.
Een goede regel is om cloudomgevingen minstens elk kwartaal te controleren. Als u gereguleerde gegevens verwerkt of vaak nieuwe diensten lanceert, moet u die frequentie verhogen. Tools voor continue monitoring kunnen problemen tussen controles signaleren. Regelmatige controles helpen om verkeerde configuraties of afwijkingen vroegtijdig op te sporen, zodat u niet ongemerkt buiten de compliance valt.
De gezondheidszorg vertrouwt voornamelijk op HIPAA voor de bescherming van patiëntgegevens. De financiële sector volgt vaak PCI-DSS voor kaartgegevens en SOC 2 voor dienstverleners. Overheidsinstanties schrijven meestal FedRAMP voor voor cloudgebruik. Sommige sectoren passen ook de AVG toe voor gegevensprivacy als ze in Europa actief zijn. Kies kaders op basis van de regelgeving in uw sector en waar uw gegevens zich bevinden.
