Misvattingen over cloudbeveiliging domineren de IT-sector sinds de cloud vijftien jaar geleden een praktische keuze werd voor het hosten van infrastructuur. Er bestaan veel mythes over cloudbeveiliging over de vraag of het haalbaar is om diensten in de cloud te hosten en tegelijkertijd de beveiliging en naleving van regelgeving te waarborgen.
Sinds die begintijd zijn de IT-sector en de cloud onherkenbaar veranderd en worden het nut en de kracht van het cloud computing-model nu algemeen aanvaard.
Ondanks het feit dat de cloud is veranderd, blijven er mythes over cloudbeveiliging de ronde doen, met name over cloudbeveiliging. Eerdere versies van mythes over cloudbeveiliging waren overdreven pessimistisch. Tegenwoordig zijn ze net zo geneigd tot overdreven optimistische visies op cloudcompliance en -beveiliging.
Wat is cloudbeveiliging?
Cloudbeveiliging is een verzameling procedures en tools om organisaties te beschermen tegen externe en interne bedreigingen. Nu bedrijven digitale transformatie omarmen en cloudgebaseerde tools en diensten in hun infrastructuur opnemen, is het cruciaal om over sterke cloudbeveiliging te beschikken. Om een veilige cloud computing-omgeving voor de bedrijfsvoering en het gegevensbeheer van de organisatie te garanderen, helpt dit om gevoelige gegevens, apps en bronnen te beschermen tegen mogelijke gevaren.
Beveiligingsrisico's zijn complexer geworden door de snelheid waarmee de digitale wereld verandert, met name voor cloud computing-bedrijven. Organisaties hebben vaak weinig controle over hoe hun gegevens in de cloud worden geraadpleegd en overgedragen. Zonder actief te streven naar een betere cloudbeveiliging lopen bedrijven veel risico's bij het omgaan met klantinformatie op het gebied van governance en compliance.
Wat zijn de mythes en feiten over cloudbeveiliging?
Hier volgen enkele mythes over cloudbeveiliging:
Mythe 1: meer beveiligingstools betekent betere beveiliging
Mensen hebben over het algemeen de neiging om te geloven in mythes over cloudbeveiliging dat meer tools de cloudbeveiliging verbeteren.
Integendeel, meer beveiligingstools leiden niet automatisch tot betere beveiliging. Het Oracle en KPMG Cloud Threat Report 2020 stelt dat er volgens 70% van de ondervraagden te veel technologieën nodig zijn om openbare cloudomgevingen te beveiligen. Elk van hen gebruikt gemiddeld meer dan 100 verschillende beveiligingsmaatregelen. Verschillende beveiligingsproviders, diverse oplossingen en het blokkeren van verschillende aanvalskanalen veroorzaken hiaten. En die hiaten bieden aanvallers toegangsmogelijkheden.
Te veel beveiligingsopties in combinatie met een complexe cloudinfrastructuur en niet-coöperatieve oplossingen leiden tot een gebrek aan gedeelde intelligentie en een risicovol ontwerp.
Het implementeren van tools en middelen om het beheer van cloudbeveiliging te vereenvoudigen en te helpen bij het nemen van beveiligingsmaatregelen is essentieel om deze hiaten te dichten.
Mythe 2: De CSP is als enige verantwoordelijk voor de beveiliging
Een van de grootste mythes over cloudbeveiliging is dat de cloudprovider volledig verantwoordelijk is voor de beveiliging.
Als cloudklant blijft de eindgebruikersorganisatie verantwoordelijk voor de bescherming van de gegevens die zij naar de dienst uploadt, volgens het bekende “gedeeld verantwoordelijkheidsmodel.” Aangezien uw taken verschillen naargelang de diensten die u gebruikt, is het cruciaal om precies te weten waar uw verplichtingen liggen als het gaat om het beveiligen van cloud-native infrastructuur.
Organisaties slagen er niet in om de meeste van de verschillende benaderingen voor het beschermen van gegevens in de cloud te implementeren.
Mythe 3: Succesvolle inbreuken zijn het resultaat van complexe aanvallen
De mythe over cloudbeveiliging dat inbreuken het gevolg zijn van complexe aanvallen, is niet waar. Hoewel er zeer geavanceerde aanvallers bestaan, zijn de meeste succesvolle aanvallen niet noodzakelijkerwijs het resultaat van hun toenemende verfijning. Fouten van eindgebruikers en onjuiste instellingen zijn de oorzaak van het overgrote deel van de aanvallen.
Mythe 4: Cloudzichtbaarheid is eenvoudig en gemakkelijk
Een andere mythe over cloudbeveiliging is dat zichtbaarheid in de cloud eenvoudig en gemakkelijk is. U moet volledig op de hoogte zijn van alle relevante details, aangezien u betaalt voor het gebruik van cloudresources, zoals hoeveel accounts u heeft, of uw ontwerpers nieuwe functies hebben uitgebracht, of deze correct zijn ingesteld, welke zwakke punten ze hebben, enz.
Helaas is het bijhouden van al deze informatie veel moeilijker dan de meeste mensen denken. U kunt geen afwijkingen in het gedrag van resources opmerken als u niet weet hoe ze zich zouden moeten gedragen. Zonder gecentraliseerde dashboards is het uiterst moeilijk om bedreigingen tijdig te herkennen en erop te reageren.
Mythe 5: Compliance is gegarandeerd wanneer u cloudbeveiligingsdiensten gebruikt
Een andere mythe over cloudbeveiliging die we vandaag zullen bespreken, is dat compliance gewaarborgd is wanneer u een cloudbeveiligingsdienst gebruikt. Veel cloudserviceproviders prijzen de compliance van hun aanbod met informatiebeveiligingswetten aan.
De S3-opslagdienst van Amazon heeft bijvoorbeeld certificering ontvangen voor compliance met SOC, PCI DSS, HIPAA en andere wettelijke vereisten. Maar wat betekent dat nu eigenlijk? Het betekent niet dat een op S3 gebaseerd gegevensopslagsysteem automatisch aan die criteria voldoet. S3 kan dankzij zijn PCI-compliance worden gebruikt als onderdeel van een PCI-compliant systeem, maar daarvoor is een juiste configuratie vereist. Elk systeem dat op S3 is gebouwd, kan door een eenvoudige configuratiefout niet-conform worden, en het is de verantwoordelijkheid van de gebruiker om ervoor te zorgen dat dit niet gebeurt.
Het goede nieuws is dat als u de cloudbeveiligingstool van SentinelOne gebruikt, deze u kan helpen om compliant te zijn.
Mythe 6: Een cloudbeveiligingsaudit is voor u niet nodig.
CSPM en kwetsbaarheidsbeheer of scanmogelijkheden zijn in de praktijk een soort cloudbeveiligingsaudit. Maar ze zijn niet voldoende en laten andere gebieden buiten beschouwing. Voor een bredere context moet u de beste cloudbeveiligingspraktijken implementeren. Toonaangevende cloudbeveiligingstools en -platforms bieden de mogelijkheid om effectief grondige audits uit te voeren. U moet beveiligingsaudits als een geheel bekijken en niet alleen kijken naar kwetsbaarheidsbeheer of compliance. Cloudbeveiligingstools en -technologieën richten zich op verschillende gebieden of elementen. Voor het beste resultaat is het dus belangrijk om de beste beveiligingsoplossingen te combineren met de beste beveiligingsmaatregelen en -praktijken.
Mythe 7: Serverloze functies en containers zijn inherent veiliger
Mythes over cloudbeveiliging dat serverloze functies en containers fundamenteel veiliger zijn, zijn onjuist. Het vluchtige karakter van containers, serverloze functies en hun neiging tot een korte levensduur verbeteren de beveiliging. Aanvallers vinden het moeilijk om een blijvende aanwezigheid in uw systeem te vestigen.
Hoewel deze bewering in wezen correct is, geeft het gebruik van op gebeurtenissen gebaseerde triggers uit vele bronnen aanvallers toegang tot meer doelen en aanvalsopties. Deze cloud-native technologieën kunnen de veiligheid verhogen wanneer ze op de juiste manier worden geconfigureerd, maar alleen als dat goed gebeurt.
Mythe 8: De cloud is over het algemeen veiliger
Deze specifieke mythe in Mythes over cloudbeveiliging is meer een feitje: een combinatie van een kern van waarheid en fictie.
Over het algemeen zijn cloudproviders betrouwbaarder in activiteiten zoals het patchen van servers. Het is logisch om dit aan hen over te laten, en cloudserviceproviders genieten terecht een hoog niveau van vertrouwen.
Het beveiligen van alles in talrijke clouds vereist echter een aantal stappen, waaronder identiteitsbeheer, toegangsbeveiliging en routinematige controles. Er is meer end-to-end-context voor risico's nodig vanwege de toenemende verspreiding van workloads over talrijke publieke en private clouds. De onvermijdelijke beveiligingsfouten met inconsistente oplossingen maken deze problemen alleen maar erger.
Mythe 9: Criminelen richten zich niet op de cloud
Cybercriminelen richten zich juist wel op de cloud, omdat:
- Het een nieuwe technologie is, waardoor er beveiligingslacunes bestaan. De cloud is niet veilig door het ontwerp of standaard.
- Cloudinfrastructuren steeds complexer kunnen worden. Organisaties schalen op en af. Ze kunnen nieuwe of bestaande clouddiensten huren of verwijderen. De onderlinge verbondenheid van de cloud in combinatie met de omvang van de organisatie maakt deze extra kwetsbaar.
- Aanvallers geven niet per se om oppervlakken. Ze geven om hun missie. Ze willen de middelen van een klant misbruiken, toegang krijgen tot gevoelige gegevens en hen indirect (of direct) manipuleren om vertrouwelijke informatie prijs te geven. En in het jaar 2025 zal dit waarschijnlijk steeds vaker voorkomen, zowel in publieke als in private clouds.
Mythe 10: Bedrijven verlaten de publieke cloud
De mythes over cloudbeveiliging dat workloads terugkeren uit de cloud worden voornamelijk verspreid door legacy-leveranciers die er financieel baat bij hebben als dit waar is. In werkelijkheid heeft het merendeel van de bedrijven hun cloudworkloads niet teruggeschakeld. De meeste mensen die zijn verhuisd, komen uit SaaS, colocatie en outsourcers in plaats van cloudinfrastructuur (IaaS).
Dit betekent niet dat alle cloudmigraties succesvol zijn. In plaats van hun cloudstrategie op te geven en apps terug te verhuizen naar hun oorspronkelijke locatie, zijn bedrijven eerder geneigd om problemen aan te pakken zodra ze zich voordoen.
Mythe 11: Om goed te zijn, moet je een cloud zijn.
Cloudwashing, oftewel het aanduiden van zaken die geen cloud zijn als cloud, kan onbedoeld zijn en het gevolg zijn van gerechtvaardigde verwarring. Maar om geld in te zamelen, de verkoop te verhogen en aan onduidelijke cloudverwachtingen en -doelstellingen te voldoen, verwijzen IT-bedrijven en leveranciers naar een breed scala aan producten als 'cloud'. Dit leidt tot cloudbeveiligingsmythes dat een IT-dienst of -product in de cloud moet staan om effectief te zijn.
Noem dingen bij hun naam in plaats van te vertrouwen op cloudwashing. Virtualisatie en automatisering zijn slechts twee voorbeelden van de vele andere mogelijkheden die op zichzelf kunnen staan.
Mythe 12: Alles moet in de cloud worden gedaan
De cloud is fantastisch geschikt voor bepaalde gebruikssituaties, waaronder zeer variabele of onvoorspelbare workloads of situaties waarin selfserviceprovisioning cruciaal is. Niet alle workloads en apps zijn echter geschikt voor de cloud. Het verplaatsen van een legacyprogramma is bijvoorbeeld doorgaans geen goede keuze, tenzij dit aantoonbare kostenvoordelen oplevert.
Niet alle workloads profiteren evenveel van de cloud. Wees niet bang om, indien van toepassing, alternatieven voor de cloud voor te stellen.
Mythe 13: Cloudinbreuken beginnen altijd met kwetsbaarheden in de cloud
Het is een veel voorkomende misvatting dat cloudinbreuken altijd beginnen met kwetsbaarheden in de cloud. In werkelijkheid beginnen de meeste grote inbreuken niet in de cloud zelf. In plaats daarvan beginnen aanvallen vaak met een gecompromitteerd eindpunt, een gestolen identiteit of een blootgesteld geheim, ongeacht waar de bronnen worden gehost. Opvallende incidenten blijven de krantenkoppen halen, niet vanwege inherente tekortkomingen in de cloudinfrastructuur, maar omdat aanvallers misbruik maken van hiaten in de digitale beveiliging van hybride omgevingen, eindpunten en identiteiten. Traditionele beveiligingstools kunnen deze bedreigingen over het hoofd zien, waardoor zelfs kleine zwakke plekken toegangspunten voor kwaadwillenden kunnen worden. Effectieve cloudbeveiliging moet niet alleen cloudworkloads beschermen, maar de hele omgeving. Ze stoppen aanvallen waar ze ook beginnen en bieden uniforme, geautomatiseerde verdedigingsmechanismen die zich aanpassen aan bedreigingen waar ze ook opduiken.
Mythe 14: In vergelijking met on-premises infrastructuur is de cloud minder veilig
Deze mythes over cloudbeveiliging zijn vooral een kwestie van perceptie, omdat er maar heel weinig beveiligingsinbreuken zijn geweest in de publieke cloud – de meeste inbreuken vinden nog steeds plaats in on-premises omgevingen.
Elk IT-systeem is slechts zo veilig als de beveiligingsmaatregelen die zijn getroffen om het veilig te houden. Omdat het hun primaire bedrijfsactiviteit betreft, kunnen cloudservicebedrijven gemakkelijker investeren in robuuste beveiliging en een betere infrastructuur opbouwen.
Mythe 15: Multi-tenant (openbare) clouds zijn minder veilig dan single-tenant (private) clouds
Deze mythe over cloudbeveiliging klinkt logisch: omgevingen die door één enkele toegewijde tenantorganisatie worden gebruikt, zijn veiliger dan omgevingen die door meerdere organisaties worden gebruikt.
Dit is echter niet altijd het geval. Multi-tenant systemen bieden een extra laag van inhoudsbescherming... Net als huurders in een flatgebouw die één sleutel gebruiken om het gebouw binnen te komen en een andere om hun eigen appartement binnen te komen, vereisen multi-tenant systemen zowel perimeterbeveiliging als "appartementbeveiliging", zoals vermeld in een CIO-artikel over mythes over cloudbeveiliging. Dit maakt het voor externe hackers moeilijker om toegang te krijgen tot uw systeem.
Waarom SentinelOne voor cloudbeveiliging?
Het huidige cloudlandschap vraagt om een uniforme, AI-gestuurde benadering van beveiliging, en SentinelOne's Singularity™ Cloud Security gaat deze uitdaging aan met zijn AI-aangedreven, agentloze CNAPP. Het is een enkel platform dat diepgaand inzicht biedt in uw hele omgeving – containers, Kubernetes, VM's en serverloze workloads – waardoor beveiligingsteams bedreigingen in realtime kunnen detecteren en neutraliseren. Met agentloze CSPM kunt u binnen enkele minuten implementeren, verkeerde configuraties elimineren en multi-cloud compliance garanderen, terwijl AI-SPM u in staat stelt AI-pijplijnen en -modellen te ontdekken en AI-services te beoordelen met geavanceerde configuratiecontroles en Verified Exploit Paths™. Maar dat is nog maar het begin.
- CWPP biedt actieve, door AI aangestuurde verdediging in elke cloud- of on-premises-omgeving, terwijl CDR gedetailleerde forensische telemetrie en aanpasbare detectie biedt voor snelle beheersing en deskundige incidentrespons. Met CIEM kunt u rechten aanscherpen en het lekken van geheimen voorkomen, EASM brengt onbekende assets aan het licht en automatiseert het beheer van externe aanvalsoppervlakken, en Graph Explorer brengt waarschuwingen in uw cloud, eindpunten en identiteitsassets om de impact van bedreigingen in één oogopslag te beoordelen. Door naadloze integratie met CI/CD-pijplijnen dwingt SentinelOne vroegtijdig shift-left-beveiliging af. Het monitort en detecteert continu bedreigingen met meer dan 1000 kant-en-klare en aangepaste regels. KSPM zorgt voor continue bescherming en compliance voor gecontaineriseerde en Kubernetes-omgevingen.
- SentinelOne maakt gebruik van no-code hyperautomatisering, wordt geleverd met een AI-beveiligingsanalist en biedt bedreigingsinformatie van wereldklasse.
- Eén platform. Alle oppervlakken. Geen blinde vlekken. Geen valse positieven.
CNAPP Marktgids
Krijg belangrijke inzichten in de staat van de CNAPP-markt in deze Gartner Market Guide for Cloud-Native Application Protection Platforms.
LeesgidsConclusie
Leiders van organisaties die verantwoordelijk zijn voor cloud computing-beveiliging moeten de veelvoorkomende misvattingen over cloud computing-beveiliging begrijpen. Degenen die onderscheid kunnen maken tussen feiten en Mythes over cloudbeveiliging, zullen aanzienlijk meer profiteren van cloud computing en deze kunnen gebruiken om hun bedrijf vooruit te helpen en hun klanten veilig en duurzaam te ondersteunen.
Bedrijven die cloudtechnologieën implementeren, moeten de juiste beveiligingsoplossing ontwikkelen om zich te verdedigen tegen cloudgebaseerde risico's en om de algehele cloudomgeving, gegevens en activa te helpen beschermen.
"Veelgestelde vragen over mythes rond cloudbeveiliging
Nee. Cloudplatforms investeren fors in het beveiligen van infrastructuur: fysieke datacenters, hypervisors en netwerken. Hun teams werken de klok rond aan het patchen van systemen. Veel publieke clouds voldoen zelfs aan strenge veiligheidsnormen zoals ISO 27001 en SOC 2. Het belangrijkste is hoe u die diensten configureert en gebruikt; verkeerde configuraties, niet de cloud zelf, zijn de oorzaak van de meeste inbreuken.
Helemaal niet. In het model van gedeelde verantwoordelijkheid beveiligen providers de onderliggende infrastructuur, terwijl u de gegevens, identiteit en configuratie beheert. U kiest zelf de versleutelingssleutels, het toegangsbeleid en de netwerkcontroles. Als u dit goed instelt, behoudt u de volledige controle over wie uw gegevens kan zien of wijzigen, zelfs als deze zich buiten uw bedrijf bevinden.
Nee. Providers beveiligen de componenten 'van de cloud': hardware, host-besturingssysteem en virtualisatielagen. U bent verantwoordelijk voor 'in de cloud': uw workloads, gegevens, gebruikersrechten en netwerkinstellingen. Als u uw deel van het model negeert, ontstaan er hiaten die aanvallers kunnen misbruiken, dus u moet nog steeds best practices op het gebied van beveiliging toepassen en continu toezicht houden.
Wachtwoorden helpen, maar ze vormen slechts één laag. Meervoudige authenticatie is essentieel om diefstal van inloggegevens te voorkomen. U hebt ook op rollen gebaseerde toegangscontroles, just-in-time-machtigingen en sessiebewaking nodig om u te beschermen tegen gecompromitteerde inloggegevens. Continu inzicht in inlogpatronen en waarschuwingen bij afwijkingen maken een sterke verdediging compleet.
Nee. Compliance-kaders bevatten een lijst met vereiste controles en audits, maar het doorstaan van een compliance-controle garandeert niet dat u veilig bent voor nieuwe bedreigingen. U hebt nog steeds realtime monitoring, kwetsbaarheidsherstel en incidentrespons nodig. Compliance is een basisvereiste; beveiliging is een voortdurend proces dat zich aanpast aan de veranderende tactieken van aanvallers.
Logs en waarschuwingen zijn cruciaal, maar ze zijn reactief van aard. U hebt proactieve maatregelen nodig – configuratieversterking, geautomatiseerde scans op verkeerde configuraties en continu posture management – om incidenten in de eerste plaats te voorkomen. Waarschuwingen moeten worden gekoppeld aan XDR- of SOAR-playbooks die bedreigingen bevatten en isoleren voordat ze escaleren.
Cloud-native beveiligingstools werken vaak met pay-as-you-go-prijzen, waardoor ze betaalbaar zijn voor kleine en middelgrote bedrijven. U vermijdt hoge initiële kosten voor hardware of software. Veel providers bieden zonder extra kosten ingebouwde beveiligingsfuncties, zoals IAM, versleuteling en basisdetectie van bedreigingen. Door hiervan gebruik te maken en deze aan te vullen met gerichte add-ons, blijven de kosten binnen de perken.
Shift-left-beveiliging is net zo goed van toepassing in de cloud. Door beveiligingscontroles in te bouwen in Infrastructure-as-Code-sjablonen en CI/CD-pijplijnen, kunt u verkeerde configuraties opsporen voordat resources worden opgestart. Dat voorkomt dure hotfixes in live omgevingen en zorgt ervoor dat nieuwe services vanaf dag één met veilige instellingen worden gelanceerd.
