De markt voor beveiligingsdiensten voor de publieke cloud groeit explosief, met een verwachte stijging van de uitgaven met 20,4% tot ongeveer 675,4 miljard dollar in 2024. Deze groei is grotendeels toe te schrijven aan de versnelde ontwikkeling van generatieve AI en het hoge tempo van applicatiemodernisering.
Volgens Sid Nag, VP-analist bij Gartner, Sid Nag:
“De aanhoudende groei die we verwachten te zien in de uitgaven voor publieke clouddiensten kan grotendeels worden toegeschreven aan GenAI, vanwege de voortdurende ontwikkeling van algemene basismodellen en de toename van het aanbod van GenAI-toepassingen op grote schaal…Vanwege deze aanhoudende groei verwachten we dat de uitgaven van eindgebruikers aan publieke clouddiensten voor het einde van dit decennium de grens van één biljoen dollar zullen overschrijden."”
Nu bedrijven steeds vaker overstappen op de cloud, een trend die tijdens de pandemie in een stroomversnelling is geraakt, is cloudadoptie essentieel geworden voor bedrijven van elke omvang.Een solide cloudmigratiekader ondersteunt cruciale technologieën zoals big data, AI, machine learning en IoT. Precedence Research suggereert dat de wereldwijde cloudcomputingmarkt naar verwachting zal stijgen tot 2.297,37 miljard dollar in 2032, met een gestage groei van 17%.
Deze prognose onderstreept het belang van cloudbeveiliging. In deze gids behandelen we de belangrijkste elementen van zowel private als publieke cloudbeveiliging, leggen we uit waarom ze zo belangrijk zijn en delen we best practices om u te helpen er het maximale uit te halen. Laten we aan de slag gaan!
Wat is beveiliging van de publieke cloud?
Beveiliging van de publieke cloud wordt gedefinieerd als een combinatie van beleid, controles, procedures en cyberbeveiligingsmaatregelen, allemaal met als doel gegevens en apps te beschermen in publieke cloudomgevingen die toegankelijk zijn voor meerdere gebruikers of organisaties.
In publieke cloudopstellingen wordt de beveiliging verdeeld tussen de provider en de klant. De serviceproviders zorgen voor de beveiliging van de infrastructuur: het netwerk, de opslag en de fysieke datacenters. Klanten zijn verantwoordelijk voor het beveiligen van hun eigen persoonlijke gegevens, workloads en apps in de cloud.
De verdeling van verantwoordelijkheden verschilt nu per type servicemodel, of het nu gaat om Infrastructure as a Service (IaaS), Platform as a Service (PaaS) of Software as a Service (SaaS).
Om uw gegevens en cloudinfrastructuur te beschermen tegen mogelijke bedreigingen, is de beveiliging van de publieke cloud gebaseerd op een reeks regels, protocollen en tools.
Stel dat uw ontwikkelteam een mobiele app maakt die met gevoelige gegevens op AWS werkt. AWS beveiligt de fysieke infrastructuur, maar het team is verantwoordelijk voor het beschermen van hun code, het veilig configureren van de app en het beveiligen van klantgegevens.
Gegeven dit opstelscenario:
- EC2 draait de backend-API
- RDS beheert de database
- S3 slaat de bestanden op
- CloudFront levert de content
AWS beveiligt de onderliggende infrastructuur, maar het is aan het team om toegangscontroles te configureren, encryptie te beheren en ervoor te zorgen dat gegevens worden beschermd. In een gedeelde cloudomgeving ligt het beveiligen van de gegevens van de app volledig in hun handen.
Bovendien biedt deze opzet schaalbaarheid en flexibiliteit, maar brengt hij ook een aantal uitdagingen met zich mee, zoals:
- Gebruikersgegevens veilig houden tijdens verplaatsing en transport
- Het blokkeren van ongeoorloofde toegang tot API-eindpunten
- Het naleven van regels en voorschriften voor gegevensbescherming (bijv. AVG)
- Het voorkomen van verkeerde configuraties die gegevens kunnen blootstellen
De beveiliging van de openbare cloud pakt deze problemen aan door middel van verschillende stappen:
- Versleuteling gebruiken voor gegevens tijdens verzending (HTTPS) en opslag (S3-versleuteling aan de serverzijde)
- AWS Identity and Access Management (IAM) gebruiken om de toegang tot bronnen te beheren
- Gebruik van AWS Config en CloudTrail om naleving te controleren en te waarborgen
- Gebruik van beveiligingsgroepen en netwerktoegangscontrolelinks (ACL's) om verkeer te controleren
Het belang van beveiliging in de publieke cloud
De cloud is al een fundamenteel onderdeel geworden van veel bedrijfsactiviteiten waarbij gevoelige gegevens worden gehost en software als een service wordt geleverd.
Nu de wereldbevolking smartphones bezit, is de mogelijkheid om op afstand toegang te krijgen tot bedrijfsapplicaties van onschatbare waarde
Toch is de kwetsbaarheid nog steeds groot, aangezien ongeveer 81% van de organisaties over publieke activa beschikt die worden verwaarloosd en vatbaar zijn voor infiltratie en misbruik door bedreigingen.
Cloud computing biedt verschillende voordelen, zoals ondersteuning van nieuwe innovaties zonder hardwarebeperkingen, eenvoudige schaalbaarheid voor hogere belastingniveaus zonder dat u zich zorgen hoeft te maken over de aanschaf van fysieke infrastructuur, en snellere samenwerking 24/7 op elke externe locatie.
Met al deze voordelen is het zeker dat bedrijven een groot deel van hun operationele vastgoed in de cloud bouwen.
Het beveiligen van deze cloudomgevingen is niet onderhandelbaar, vooral voor kmo's die gevoelige klantgegevens verwerken.
Dit bedrijfsmodel vereist strenge beveiligingsprotocollen en kleine en middelgrote ondernemingen moeten hybride cloudoplossingen gebruiken om deze gegevens in een privéomgeving te bewaren en tegelijkertijd gebruik te maken van de schaalbaarheid van publieke clouds voor minder kritieke toepassingen.
Door prioriteit te geven aan de beveiliging van de publieke cloud kan uw organisatie beter presteren op het gebied van:
#1. Gegevensbescherming
De beveiliging van publieke clouds helpt gevoelige gegevens veilig te houden, waardoor alleen bevoegde personen toegang hebben tot kritieke informatie en lekken of inbreuken worden voorkomen. Een softwarebedrijf dat broncode in de cloud opslaat, gebruikt bijvoorbeeld versleuteling en toegangscontroles om zijn intellectuele eigendom te beschermen tegen concurrenten en hackers.
#2. Naleving van regelgeving
Het behouden van vertrouwen en het beschermen van de reputatie van een organisatie hangt sterk af van het waarborgen van naleving van regelgeving, vooral voor sectoren die met gevoelige gegevens werken.
Public cloudproviders zoals AWS, Google Cloud en Microsoft Azure bieden ingebouwde tools om bedrijven te helpen voldoen aan vereisten zoals GDPR en HIPAA. Zo moeten zorginstellingen bijvoorbeeld patiëntendossiers zowel in rust als tijdens het transport versleutelen om te voldoen aan HIPAA.
#3. Bedrijfscontinuïteit
Het vermogen om snel te herstellen van een storing kan het verschil betekenen tussen een kleine tegenslag en een volledige operationele ineenstorting. Openbare cloudinfrastructuur biedt bedrijven robuuste oplossingen voor noodherstel en back-ups, waardoor ze worden beschermd tegen cyberaanvallen, hardwarestoringen of natuurrampen.
Door back-ups over meerdere regio's te verspreiden, verminderen bedrijven het risico op downtime en zorgen ze voor een hoge beschikbaarheid. Deze strategie waarborgt niet alleen de integriteit van de gegevens, maar houdt ook de bedrijfsvoering stabiel, waardoor de impact van onverwachte storingen tot een minimum wordt beperkt.
#4. Kostenefficiëntie
Door te migreren naar de publieke cloud hoeven bedrijven niet langer te investeren in dure beveiligingsinfrastructuur op locatie. In plaats van dure hardware aan te schaffen en interne beveiligingssystemen te beheren, kunnen bedrijven profiteren van schaalbare cloudbeveiligingsdiensten waarbij ze alleen betalen voor wat ze gebruiken.
In plaats van te investeren in dure inbraakdetectiesystemen, kunnen bedrijven bijvoorbeeld gebruikmaken van een cloudgebaseerde beveiligingsdienst zoals AWS GuardDuty, die realtime dreigingsdetectie biedt en moeiteloos kan worden geschaald naarmate het bedrijf groeit. Deze kostenefficiënte aanpak biedt niet alleen beveiliging van het hoogste niveau, maar maximaliseert ook de economische voordelen door middelen vrij te maken voor groei en innovatie. Door gebruik te maken van de economische voordelen van de cloud kunnen bedrijven hun operationele kosten optimaliseren, hun focus verleggen naar kerninitiatieven en zich sneller aanpassen aan veranderingen in de markt.
#5. Risicobeperking
Cloudbeveiligingsoplossingen identificeren en pakken risico's zoals verkeerde configuraties en bedreigingen van binnenuit aan voordat ze escaleren.
Vaak leidt verkeerd geconfigureerde opslag, zoals te toegankelijke S3-buckets, tot datalekken. Naast deze uitdaging vormen beperkte zichtbaarheid en onveilige API's ook een risico, omdat organisaties zonder volledig overzicht cruciale kwetsbaarheden kunnen missen.
Met tools zoals Infrastructure-as-Code (IaC) en ingebouwde beveiligingscontroles kunnen bedrijven het proces van het opsporen en verhelpen van deze kwetsbaarheden automatiseren.
Door risico's vroegtijdig op te sporen, kunnen bedrijven hun blootstelling aan bedreigingen aanzienlijk verminderen en kostbare inbreuken voorkomen die zowel hun financiële stabiliteit als hun reputatie kunnen schaden.
#6. Reputatiemanagement
Datalekken kunnen de reputatie van een bedrijf ernstig schaden, het vertrouwen van klanten ondermijnen en mogelijk leiden tot financiële verliezen op de lange termijn.
Als een interne bedreiging of een gecompromitteerd account onopgemerkt blijft, kunnen gevoelige klantgegevens worden blootgesteld of gestolen, wat kan leiden tot een inbreuk.
Dit verlies van vertrouwen zou de reputatie van het bedrijf ernstig schaden, omdat klanten zich niet langer veilig zouden voelen, wat mogelijk zou leiden tot klantverlies, negatieve publiciteit en financiële verliezen op lange termijn.
Public cloudproviders implementeren strenge beveiligingsmaatregelen, zoals versleuteling, multi-factor authenticatie (MFA), en continue monitoring om dergelijke inbreuken te helpen voorkomen, waardoor klanten erop kunnen vertrouwen dat hun gegevens veilig zijn. Door te investeren in robuuste cloudbeveiliging beschermen bedrijven hun activa en bouwen ze vertrouwen op bij klanten, partners en belanghebbenden, wat essentieel is voor het behoud van een solide marktpositie.
#7. Operationele flexibiliteit
Bij gebruik van een openbare cloudinfrastructuur kunnen organisaties hun operationele flexibiliteit eenvoudig vergroten door teams vanaf elke locatie veilige toegang te bieden tot essentiële bronnen. Zo werkt het:
- Cloudomgevingen stellen organisaties in staat om medewerkers op afstand te ondersteunen, waardoor naadloze samenwerking tussen verspreide teams wordt vergemakkelijkt.
- Dit wordt bereikt door middel van beveiligingsmaatregelen zoals gegevensversleuteling, VPN's en toegangsprotocollen, waardoor bedrijfsactiviteiten kunnen worden voortgezet zonder dat dit ten koste gaat van de veiligheid.
- Bovendien stelt de cloud teams in staat om sneller te innoveren en zich snel aan te passen aan veranderende eisen, terwijl een krachtig beveiligingskader wordt gehandhaafd dat kritieke databases beschermt.
Flexibiliteit stelt organisaties in staat om hun activiteiten op te schalen, zich snel aan te passen aan veranderingen in de vraag en innovatie te versnellen, terwijl de vastgestelde normen worden gehandhaafd.
Door beveiliging in te bedden in flexibele toegangsstructuren, zorgen bedrijven voor continue en consistente flexibiliteit zonder in te boeten aan gegevensbescherming, waardoor veerkracht en productiviteit worden gehandhaafd.
Beveiliging van de publieke cloud versus beveiliging van de private cloud
Organisaties die hun strategieën voor gegevensbescherming willen optimaliseren, moeten het verschil kennen tussen beveiliging van de publieke cloud en beveiliging van private clouds. Hier volgt een vergelijkende analyse ter referentie.
| Kenmerken | Beveiliging van de publieke cloud | Beveiliging van private cloud |
|---|---|---|
| Kosten |
|
|
| Schaalbaarheid | Zeer schaalbaar; middelen kunnen snel worden aangepast op basis van de vraag | Beperkte schaalbaarheid; schaalbaarheid vereist extra investeringen |
| Geavanceerde beveiligingstechnologieën |
|
|
| Controle | Beperkte controle over de infrastructuur, beheerd door de CSP. | Volledige controle over de infrastructuur, waardoor beveiliging op maat mogelijk is. |
| Gegevensprivacy | Een gedeelde omgeving met sterke isolatiemaatregelen voor privacy. | Hogere privacy met een speciale omgeving |
| Naleving | CSP's bieden compliance-tools en certificeringen om te voldoen aan algemene wettelijke vereisten. | Compliance kan specifiek worden afgestemd op de behoeften van de organisatie om aan te sluiten bij specifiek organisatiebeleid en industrienormen. |
| Betrouwbaarheid | Hoge betrouwbaarheid met ingebouwde redundantie en automatische back-ups. | Betrouwbaarheid is afhankelijk van de eigen infrastructuur van de organisatie. |
Hoe werkt de beveiliging van de publieke cloud?
Organisaties kunnen externe CSP's inschakelen om applicaties en gegevens binnen hun datacenter te beheren. De werking van de beveiliging van de publieke cloud kan in zes delen worden onderverdeeld:
1. Model voor gedeelde verantwoordelijkheid
In publieke cloudomgevingen worden beveiligingstaken verdeeld tussen de CSP en de klant volgens het model voor gedeelde verantwoordelijkheid. De CSP is verantwoordelijk voor het beveiligen van de cloudinfrastructuur, inclusief de fysieke beveiliging van datacenters, terwijl de klant verantwoordelijk is voor toegangscontrole, applicatiebeveiliging, gegevensversleuteling en de opslag, overdracht en back-up van gegevens. Deze verantwoordelijkheden variëren afhankelijk van het servicemodel – of het nu gaat om IaaS, Platform as a Service (PaaS) of Software as a Service (SaaS) – waardoor beide partijen moeten samenwerken voor een uitgebreide beveiliging.
2. Gegevensversleuteling
CSP's maken gebruik van krachtige versleutelingsmethoden om gegevens zowel tijdens opslag als overdracht te beveiligen. AES-256-versleuteling wordt bijvoorbeeld veel gebruikt om gegevens te beschermen, zodat deze onleesbaar blijven zonder de juiste autorisatie, zelfs als ze worden onderschept terwijl ze in rust zijn of worden overgedragen.
Deze versleutelingsstandaard beschermt gevoelige informatie in cloudnetwerken en biedt robuuste bescherming tegen ongeoorloofde toegang, datalekken en cyberdreigingen. Bovendien bieden CSP's vaak tools voor het beheer van versleutelingssleutels, wat een extra beveiligingslaag aan het proces toevoegt.
3. Toegangscontrole
De meeste organisaties vertrouwen op IAM-systemen om op regels gebaseerde toegangscontrole voor cloudbronnen af te dwingen. Deze systemen passen het principe van minimale rechten toe, waardoor gebruikers alleen de minimale toegang krijgen die nodig is om hun taken uit te voeren. Door de rechten te beperken, wordt het risico op ongeoorloofde toegang en mogelijke inbreuken op de beveiliging aanzienlijk verminderd. Bovendien versterkt de integratie van MFA de beveiliging nog verder door meerdere vormen van verificatie te vereisen voordat toegang wordt verleend, waardoor een extra beveiligingslaag aan cloudomgevingen wordt toegevoegd.
4. Firewalls en netwerkbeveiliging
Firewalls fungeren als beschermende barrières tussen cloudresources en externe netwerken in openbare cloudomgevingen, waarbij ze het netwerkverkeer monitoren en filteren op basis van vooraf gedefinieerde beveiligingsregels. Veel openbare cloudproviders bieden ook Virtual Private Clouds (VPC's) aan, waarmee organisaties geïsoleerde netwerkomgevingen binnen de openbare cloud kunnen creëren. Dit geeft organisaties meer controle over de gegevensstroom en verhoogt de beveiliging doordat ze hun eigen netwerkconfiguraties kunnen beheren en strengere toegangscontroles kunnen afdwingen.
5. Beveiligingsmonitoring en incidentrespons
Constante monitoring van cloudomgevingen is cruciaal voor het detecteren en aanpakken van potentiële beveiligingsrisico's. Organisaties kunnen gebruikmaken van cloud-native beveiligingstools die realtime inzicht bieden in hun infrastructuur, waardoor ze afwijkend gedrag of ongeoorloofde toegangspogingen kunnen identificeren. Security Information and Event Management (SIEM)-systemen spelen een cruciale rol door beveiligingslogboeken van verschillende clouddiensten te verzamelen en te analyseren, waardoor gecentraliseerde inzichten worden verkregen in mogelijke kwetsbaarheden of inbreuken en een snelle reactie op beveiligingsincidenten wordt vergemakkelijkt.
6. Beveiligingspatches en updates
CSP's brengen regelmatig patches en updates uit om kwetsbaarheden aan te pakken en de beveiliging van hun infrastructuur te verbeteren. Klanten moeten echter ook hun verantwoordelijkheid nemen om hun applicaties en diensten up-to-date te houden om beveiligingsrisico's te beperken.
Als patches niet onmiddellijk worden toegepast, kunnen cloudgebaseerde applicaties blootgesteld blijven aan bekende kwetsbaarheden, waardoor ze het doelwit worden van misbruik. Als er bijvoorbeeld een beveiligingslek wordt vastgesteld in een cloudapplicatie, is het van cruciaal belang om deze tijdig te patchen om te voorkomen dat aanvallers er misbruik van maken.
CNAPP Marktgids
Krijg belangrijke inzichten in de staat van de CNAPP-markt in deze Gartner Market Guide for Cloud-Native Application Protection Platforms.
LeesgidsCloudbeveiliging: Hoe publieke, private en hybride modellen uw strategie bepalen
Bedrijven moeten het verschil kennen tussen publieke, private en hybride cloudcomputingmodellen om hun IT-plannen te verbeteren. Elk type heeft voordelen die aansluiten bij verschillende zakelijke behoeften, van groei en kostenbesparing tot veiligheid en aanpasbaarheid.
Publieke cloud: Een publieke cloud stelt veel gebruikers en bedrijven in staat om gebruik te maken van diensten en infrastructuur die door externe providers online worden aangeboden. Het is eenvoudig op te schalen en bespaart geld, maar gebruikers delen de middelen.
Voorbeeld: AWS, Google Cloud of Microsoft Azure
Private cloud: Een private cloud is een cloudopstelling die door één bedrijf wordt gebruikt. Het geeft het bedrijf meer controle, betere beveiliging en de mogelijkheid om indien nodig wijzigingen aan te brengen. , deze wordt opgezet in het eigen gebouw van het bedrijf of wordt door een ander bedrijf uitsluitend voor hen beheerd.
Voorbeeld: IBM of private clouds die bedrijven zoals VMware voor anderen beheren
Hybride cloud: Een hybride cloud combineert onderdelen van een publieke en een private cloud. Hierdoor kunnen gegevens en programma's tussen beide clouds worden verplaatst. Dankzij deze opzet kunnen bedrijven groeien en hun middelen optimaal benutten, op basis van hun behoeften.
Voorbeeld: Een bedrijf kan AWS gebruiken om schaalbare publieke clouddiensten te krijgen, terwijl gevoelige gegevens op een private cloud worden bewaard via een oplossing zoals Microsoft Azure Stack.
Hier volgt een vergelijkend overzicht van publieke, private en hybride cloudnetwerken
| Kenmerken | Publieke cloud | Private cloud | Hybride cloud |
|---|---|---|---|
| Toegang | Gedeeld door meerdere gebruikers | Exclusief voor één organisatie | Combineert elementen van publieke en private cloud |
| Schaalbaarheid | Hoog, met flexibele toewijzing van middelen | Beperkt tot de infrastructuur van de organisatie | Hoog, met flexibiliteit in resourcebeheer |
| Beveiliging | Standaardbeveiliging met gedeelde middelen | Verbeterde beveiliging met speciale middelen | Evenwichtige beveiliging tussen publieke en private clouds |
| Kosten | Over het algemeen lager vanwege gedeelde bronnen | Hoger vanwege speciale infrastructuur | Variabel, afhankelijk van gebruik en infrastructuur |
| Aanpassing | Beperkte aanpassingsmogelijkheden | Zeer aanpasbaar | Matige aanpassingsmogelijkheden, afhankelijk van de configuratie |
Beveiligingsnormen voor publieke cloud
Beveiligingsnormen voor publieke cloud zijn regels, best practices en richtlijnen die zijn opgesteld door overheidsinstanties, wereldwijde entiteiten en brancheorganisaties zijn opgesteld om bedrijven te helpen een basisniveau van beveiliging in cloudomgevingen te realiseren.
Deze regels veranderen op basis van de verschillende vereisten van verschillende sectoren en het soort gegevens dat ze gebruiken. Banken en financiële instellingen houden zich bijvoorbeeld aan de PCI DSS-normen om betaalkaartgegevens te beschermen. Op dezelfde manier moeten zorginstellingen voldoen aan de HIPAA-voorschriften om patiëntgegevens te beschermen.
Door de juiste regels voor hun sector te volgen, kunnen bedrijven de risico's in de publieke cloud verminderen. Hier volgen enkele belangrijke beveiligingsnormen voor de publieke cloud:
1. ISO-normen
- ISO/IEC 27001: ISO/IEC 27001 biedt een structuur voor het opzetten en onderhouden van een informatiebeveiligingsbeheersysteem (ISMS). Alle soorten organisaties kunnen deze norm gebruiken om informatiebeveiliging methodisch te beheren.
- ISO/IEC 27017: ISO/IEC 27017 biedt gedetailleerde instructies voor clouddiensten en specificeert de beveiligingsmaatregelen die zowel clouddienstverleners als klanten moeten nemen.
2. Payment Card Industry Data Security Standard (PCI DSS)
PCI DSS speelt een cruciale rol voor bedrijven die creditcardbetalingen verwerken. Het vereist strenge beveiligingsmaatregelen om de gegevens van kaarthouders te beschermen en ervoor te zorgen dat deze worden verwerkt, bewaard en verzonden in de cloudinfrastructuur.
3. De Health Insurance Portability and Accountability Act (HIPAA)
HIPAA stelt regels vast om gevoelige patiëntgegevens in de gezondheidszorg te beschermen. Bedrijven die gebruikmaken van openbare clouddiensten moeten controleren of hun providers de HIPAA-regels naleven om patiëntgegevens te beveiligen.
4. Richtlijnen van het National Institute of Standards and Technology (NIST)
NIST biedt uitgebreide instructies voor het beveiligen van cloudopstellingen. Het omvat documenten zoals NIST SP 800-144, dat zich bezighoudt met beveiligings- en privacykwesties in openbare cloudoplossingen.
5. Algemene verordening gegevensbescherming (AVG)
AVG beschermt gegevens en privacy voor mensen in de Europese Unie. Bedrijven die gebruikmaken van openbare clouddiensten moeten zich aan de AVG houden wanneer ze omgaan met de persoonsgegevens van EU-burgers.
6. Center for Internet Security (CIS) Controls
De CIS biedt een reeks best practices om IT-systemen en gegevens te beveiligen. Deze omvatten specifieke controles voor cloudomgevingen om de beveiligingsmaatregelen te versterken.
7. Cloud Security Alliance (CSA) Standards
De CSA biedt verschillende kaders en best practices voor cloudbeveiliging. Een daarvan is de cloud controls matrix (CCM), die helpt bij het evalueren van de beveiligingsstatus van cloudserviceproviders.
8. Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP is een programma van de Amerikaanse overheid om te standaardiseren hoe federale instanties cloudproducten en -diensten die ze gebruiken voor beveiliging beoordelen, autoriseren en in de gaten houden.
9. Service Organization Control (SOC) 2
SOC 2 is een auditnorm die ervoor zorgt dat dienstverleners op de juiste manier omgaan met klantgegevens. De norm richt zich op vijf belangrijke gebieden: beveiliging, beschikbaarheid, verwerkingsintegriteit, vertrouwelijkheid en privacy.
10. Federal Information Processing Standards (FIPS)
FIPS zijn normen die zijn vastgesteld door de Amerikaanse overheid. Deze normen beschrijven de beveiligingsvereisten voor cryptografische modules die door federale instanties worden gebruikt. Clouddiensten die gevoelige overheidsgegevens verwerken, moeten vaak voldoen aan FIPS.
Uitdagingen op het gebied van openbare cloudbeveiliging
Bedrijven die gebruikmaken van openbare clouddiensten zijn kwetsbaar voor bepaalde beveiligingsproblemen die moeten worden opgelost om hun gegevens en apps te beschermen. Hieronder volgen acht van de grootste problemen:
1. Verkeerde configuraties
Verkeerde configuraties zijn een belangrijke oorzaak van beveiligingskwetsbaarheden in publieke cloudomgevingen.
Voorbeelden hiervan zijn onjuiste instellingen voor identiteits- en toegangsbeheer (IAM), waarbij te ruime toegangsrechten gebruikers meer privileges geven dan nodig is, ongeoorloofde toegang als gevolg van onjuiste authenticatie-instellingen en afpersingsaanvallen waarbij misbruik wordt gemaakt van verkeerd geconfigureerde back-ups.
Deze doen zich voor wanneer clouddiensten niet correct zijn ingesteld, waardoor gevoelige gegevens kunnen worden blootgesteld. Een voorbeeld hiervan is de storing bij Microsoft een praktijkvoorbeeld van een verkeerde configuratie in de clouddiensten van het bedrijf, wat wereldwijd tot grote verstoringen leidde.
Dit incident laat zien hoe zelfs kleine fouten in cloudconfiguraties kunnen leiden tot aanzienlijke operationele en beveiligingsproblemen, wat het belang van een juiste configuratie en voortdurende monitoring van de cloudstructuur onderstreept.
2. Onveilige toegangspunten
Onveilige toegangspunten kunnen het gevolg zijn van zwakke authenticatiemethoden of slecht geconfigureerde toegangscontroles, waardoor cybercriminelen gemakkelijk toegang krijgen tot cloudomgevingen.
Bijvoorbeeld in de Norton LifeLock-inbreuk, hackers richtten zich op kwetsbaarheden in de toegangscontrole van gebruikers en maakten gebruik van zwak wachtwoordbeheer en minimale beperkingen om ongeoorloofde toegang te verkrijgen.
Bovendien kunnen onveilige API-configuraties cloudomgevingen blootstellen aan soortgelijke risico's door buitensporige machtigingen te verlenen, onvoldoende versleuteling te gebruiken of geen snelheidsbeperkingen in te voeren, waardoor robuuste meervoudige authenticatie en strikte toegangsprotocollen essentieel zijn om cloudsystemen te beschermen tegen ongeoorloofde toegang.
3. Accountkaping
Accountkaping vindt plaats wanneer een aanvaller het cloudaccount van een gebruiker overneemt, vaak door middel van phishing of gestolen inloggegevens. Dit kan leiden tot ongeoorloofde toegang tot gevoelige gegevens en applicaties. Een praktijkvoorbeeld hiervan deed zich voor in de Okta-zaak, waarbij aanvallers gestolen inloggegevens misbruikten om toegang te krijgen tot gebruikersaccounts. Door deze inbreuk konden ze applicaties manipuleren en toegang krijgen tot gevoelige informatie, wat aantoont hoe accountkaping een ernstige bedreiging kan vormen en mogelijk kan leiden tot verdere aanvallen binnen een organisatie als deze niet goed beveiligd.
4. Denial of Service (DoS)-aanvallen
DoS-aanvallen overspoelen clouddiensten met buitensporig veel verkeer, waardoor ze niet beschikbaar zijn voor legitieme gebruikers. Dit kan de bedrijfsvoering verstoren en aanzienlijke financiële verliezen veroorzaken.
In juni 2022 meldde Cloudflare, een grote aanbieder van content delivery networks en DDoS-mitigatie, de mitigatie van een van de grootste HTTPS DDoS-aanvallen ooit geregistreerd. De aanval bereikte een piek van 26 miljoen verzoeken per seconde en was gericht op een website van een klant die gebruikmaakte van het gratis abonnement van Cloudflare.
Een ander opmerkelijk geval deed zich voor in september 2024, toen Cloudflare een recordbrekende DDoS-aanval blokkeerde die een piek bereikte van 3,8 terabit per seconde (Tbps) en de netwerkinfrastructuur van verschillende sectoren, waaronder financiële dienstverlening en telecommunicatie, overweldigde.
5. Ontoereikende toegangscontroles
Ontoereikende toegangscontroles kunnen leiden tot ongeoorloofde toegang tot gevoelige gegevens, vooral wanneer gebruikers buitensporige machtigingen krijgen of toegangsrechten niet periodiek worden herzien. Een goed voorbeeld hiervan is de MGM Resorts-inbreuk, waarbij aanvallers misbruik maakten van kwetsbaarheden in de toegangscontrole om grote hoeveelheden klantgegevens te compromitteren. Dit incident onderstreept het belang van het implementeren van strikte toegangsbeleidsregels en het regelmatig controleren van gebruikersrechten om het risico van blootstelling of misbruik van gegevens te beperken.
6. Onveilige API's en cloudinterfaces
Als ze niet goed beveiligd zijn, kunnen onveilige API's en cloudbeheerinterfaces kwetsbaar zijn voor aanvallen, waardoor hackers ze kunnen misbruiken voor ongeoorloofde toegang of gegevensmanipulatie. Een bekend voorbeeld is de inbreuk op Twitter, waarbij aanvallers toegang kregen door misbruik te maken van zwakke plekken in de API en cloudinfrastructuur. Door deze inbreuk konden de aanvallers accounts manipuleren en toegang krijgen tot gevoelige informatie, wat het cruciale belang onderstreept van het beveiligen van API's en cloudinterfaces om dergelijke incidenten te voorkomen.
7. Gebrek aan zichtbaarheid en monitoring
Veel organisaties hebben moeite om zicht te houden op hun cloudomgevingen, waardoor het moeilijk is om beveiligingsincidenten snel op te sporen en erop te reageren. Een praktijkvoorbeeld hiervan is de Capital One-inbreuk, waarbij een gebrek aan goede monitoring en zichtbaarheid van cloudresources ervoor zorgde dat aanvallers toegang konden krijgen tot gevoelige klantgegevens zonder dat dit onmiddellijk werd gedetecteerd. Dit incident benadrukt het belang van het gebruik van uitgebreide monitoringtools om ongebruikelijke activiteiten snel te identificeren en aan te pakken, waardoor aanzienlijke schade, zoals gegevensdiefstal of ongeoorloofde toegang, kan worden voorkomen.
8. Bedreigingen van binnenuit
Interne bedreigingen doen zich voor wanneer werknemers, opzettelijk of per ongeluk, gevoelige gegevens openbaar maken. Deze risico's zijn bijzonder uitdagend omdat insiders doorgaans legitieme toegang hebben tot de systemen die ze compromitteren. Een voorbeeld uit 2023 is een werknemer van Tesla die gevoelige informatie, waaronder vertrouwelijke bedrijfsgegevens, heeft gelekt door deze te delen met onbevoegde partijen. Dit incident laat zien hoe insiders, zelfs met geldige toegang, een organisatie aanzienlijke schade kunnen toebrengen door opzettelijk of onopzettelijk kritieke informatie te lekken of verkeerd te behandelen.
Best practices voor openbare cloudbeveiliging
Wanneer organisaties de overstap naar de cloud maken, zijn er essentiële beveiligingsoverwegingen die moeten worden aangepakt. Bepaalde best practices staan daarbij voorop. Hier volgen enkele belangrijke best practices voor openbare cloudbeveiliging om rekening mee te houden:
1. Identiteits- en toegangsbeheer (IAM)
Er moeten sterke gebruikersauthenticatiemethoden worden geïmplementeerd, zoals meervoudige authenticatie (MFA) en biometrische controles. Gebruikers moeten de benodigde rechten krijgen en toegangscontroles moeten regelmatig worden gecontroleerd en bijgewerkt.
U kunt ook:
- Gelaagde authenticatie instellen door MFA (bijv. op basis van TOTP of biometrie) te combineren met single sign-on (SSO) om alle identiteitscontactpunten te beveiligen.
- Het risico van misbruik van privileges minimaliseren door rollen met zo min mogelijk privileges te creëren, tijdelijke verhogingen toe te kennen voor specifieke taken en sessie-opnames en toetsaanslagmonitoring af te dwingen op accounts met een hoog risico.
- Dwing complexe wachtwoordvereisten af (lengte, diversiteit aan tekens) en vervalcycli. Integreer wachtwoordloze oplossingen om het risico op phishing te verminderen en de naleving door gebruikers te verbeteren.
- Beperk root-toegang tot alleen gebruik in noodgevallen, zodat elke sessie grondig kan worden gecontroleerd. Integreer hardwarebeveiligingsmodules (HSM's) voor extra bescherming en stel beleid op voor het rouleren van root-sleutels.
- Integreer CIAM in IAM-frameworks van ondernemingen om de identiteitsbescherming van klanten en medewerkers te centraliseren.
- Implementeer Identity Threat Detection and Response (ITDR) om identiteitsgebaseerde bedreigingen in realtime te monitoren
2. Gegevensversleuteling
Om gevoelige informatie te beschermen, is het essentieel om zowel gegevens in rust als tijdens het transport te versleutelen. Dit zorgt ervoor dat de gegevens onleesbaar blijven, zelfs als er ongeoorloofde toegang plaatsvindt zonder de juiste decoderingssleutels.
Dit is wat u in elke fase van de gegevensmigratie moet doen:
- Versleuteling en gegevensclassificatie vóór de migratie: Beoordeel de gevoeligheid van gegevens om de benodigde versleutelingsnormen te bepalen (bijvoorbeeld AES-256 voor zeer gevoelige gegevens). Door voorafgaand aan de migratie versleutelingshulpmiddelen aan de kant van de klant te gebruiken, wordt een zero-trust-laag toegevoegd, waardoor gegevens versleuteld blijven, zelfs voordat ze de cloud binnenkomen.
- Cloud-native versleuteling voor gegevens in rust en tijdens het transport: De ingebouwde versleuteling van cloudproviders (AWS KMS, GCP Cloud Key Management) maakt vaak gebruik van AES-GCM voor een hoge efficiëntie. Voor gegevens in transit moet TLS 1.3 of hoger worden toegepast en moet forward secrecy worden afgedwongen, zodat sessiesleutels worden beschermd tegen toekomstige decodering als privésleutels worden gecompromitteerd.
- Controles en sleutelbeheer na migratie: Implementeer beleid voor sleutelrotatie met geautomatiseerde tools om de levensduur van sleutels te beperken. Dwing scheiding van taken (SoD) af in sleutelbeheer om ervoor te zorgen dat geen enkele gebruiker volledige toegang heeft tot zowel versleutelings- als ontsleutelingssleutels.
3. Veilige configuraties
Verkeerde configuraties vormen een veelvoorkomend beveiligingsrisico in cloudomgevingen en zijn vaak het gevolg van standaardinstellingen die niet aansluiten bij de beveiligingsvereisten van een organisatie. Om deze risico's te beperken, is het van cruciaal belang om de standaardconfiguraties grondig te beoordelen en aan te passen. Dit omvat:
- Het uitschakelen van onnodige services
- Het sluiten van ongebruikte netwerkpoorten, en
- Het implementeren van strikte maatregelen voor toegangscontrole.
Het regelmatig controleren van configuraties is essentieel om ervoor te zorgen dat ze voldoen aan de veranderende beveiligingsbehoeften en om kwetsbaarheden te voorkomen.
4. Firewalls en netwerkbeveiliging
Stel firewalls in om het netwerkverkeer te bewaken en te controleren op basis van beveiligingsregels. Overweeg het gebruik van webapplicatie-firewalls (WAF's) om nog beter beschermd te zijn tegen webgebaseerde bedreigingen.
5. Monitoring en logboekregistratie
Gebruik monitoringtools zoals AWS CloudTrail, Azure Monitor of Google Cloud’s Operations Suite om onmiddellijk waarschuwingen te ontvangen over mogelijke bedreigingen. Het bijhouden van gedetailleerde logboeken is even belangrijk, omdat deze een overzicht bieden van gebeurtenissen die kunnen worden gebruikt voor diepgaande analyse en probleemoplossing, waardoor de oorzaak van incidenten kan worden geïdentificeerd en de beveiligingsmaatregelen in de loop van de tijd kunnen worden verbeterd.
6. Kwetsbaarheidsbeheer
Effectief kwetsbaarheidsbeheer is essentieel voor het handhaven van cloudbeveiliging. Er moeten regelmatig kwetsbaarheidsbeoordelingen worden uitgevoerd om zwakke punten in de cloudinfrastructuur, applicaties en configuraties te identificeren. Deze beoordelingen omvatten:
- Scannen op bekende kwetsbaarheden
- Verkeerde configuraties of verouderde software die misbruikt kunnen worden.
- Zodra kwetsbaarheden zijn geïdentificeerd, worden er onmiddellijk patches en fixes toegepast om de blootstelling aan bedreigingen te verminderen.
Daarnaast is het voor een proactieve verdediging van cruciaal belang om op de hoogte te blijven van opkomende bedreigingen en zero-day kwetsbaarheden. Gebruik geautomatiseerde tools voor kwetsbaarheidsbeheer om continu te controleren op mazen in de beveiliging en het herstelproces te stroomlijnen, zodat beveiligingslekken worden aangepakt voordat ze kunnen worden misbruikt.
7. Nalevingsbeheer
Ervoor zorgen dat uw cloudinfrastructuur voldoet aan de wettelijke vereisten en industrienormen is van cruciaal belang om juridische en financiële gevolgen te voorkomen. Cloudopstellingen moeten voldoen aan belangrijke regelgeving en normen, waaronder GDPR, HIPAA, PCI DSS en ISO/IEC 27001.
Compliance omvat het beveiligen van gegevens, het bijhouden van gegevens, het waarborgen van controleerbaarheid en het implementeren van governancekaders. Aangezien compliance in cloudomgevingen vaak een gedeelde verantwoordelijkheid is, is het belangrijk om nauw samen te werken met cloudproviders om duidelijk te maken wie verantwoordelijk is voor specifieke compliance-taken.
Tools zoals AWS Artifact, Azure Compliance Manager en Google Cloud’s Compliance Reports kunnen helpen bij het beheren van complianceverplichtingen door inzichten, audits en documentatie met betrekking tot wettelijke vereisten te bieden.
Hoe kan SentinelOne helpen bij de beveiliging van de publieke cloud?
SentinelOne versterkt de beveiliging van de publieke cloud met zijn Singularity™ Cloud Security suite, met het Cloud Native Application Protection Platform (CNAPP) en het Cloud Workload Protection Platform (CWPP).
SentinelOne stelt organisaties in staat om hun openbare cloudbeveiliging effectief te beheren en te verbeteren door middel van geïntegreerde gegevens en bruikbare inzichten.
- Cloud Security Posture Management (CSPM): SentinelOne biedt agentloze CSPM, met snelle implementatie en meer dan 2000 ingebouwde configuratiecontroles. Het controleert continu op verkeerde configuraties en nalevingsschendingen in multi-cloudomgevingen, waardoor risico's proactief worden geëlimineerd.
- Cloud Workload Protection Platform (CWPP): Het beschermt elke workload — containers, VM's of serverless — met behulp van AI-gestuurde runtime-bescherming. Deze opstelling ondersteunt alle cloudtypes en zorgt voor realtime detectie van bedreigingen en verzameling van telemetrie, wat van vitaal belang is voor incidentrespons en naleving in complexe, hybride omgevingen.
- Cloud Detection and Response (CDR): CDR biedt forensische telemetrie, incidentrespons en aangepaste detectieregels, met tools zoals Graph Explorer om aanvalspaden te visualiseren en te beheren. Deze geavanceerde telemetrie ondersteunt snelle, door experts geleide respons, waardoor bedreigingen effectief worden ingeperkt en grondig worden geanalyseerd.
- Infrastructure-as-Code (IaC)-scanning: SentinelOne integreert in CI/CD-pijplijnen om naar links te verschuiven en sjablonen (Terraform, CloudFormation) te scannen op kwetsbaarheden vóór de implementatie, waardoor de beveiliging van de cloudinfrastructuur in de ontwikkelingsfase wordt gewaarborgd.
- AI Security Posture Management (AI-SPM): De AI-SPM van Singularityrsquo;s AI-SPM identificeert kwetsbaarheden binnen AI-pijplijnen en past Verified Exploit Paths™ toe voor bruikbare inzichten. Dit zorgt voor bescherming van AI-services met preventieve controles op exploitatiepaden, waardoor de integriteit en operationele veerkracht van de AI-modellen wordt versterkt.
- Secrets Scanning: Secrets scanning identificeert meer dan 750 soorten geheimen in codebases, configuraties en IaC-sjablonen, waardoor preventieve beveiliging mogelijk wordt en de kans op het lekken van inloggegevens of onbedoelde blootstelling in CI/CD-pijplijnen drastisch wordt verminderd.
- AI-aangedreven gegevensbeveiliging voor Amazon S3: SentinelOne’TD4S3 biedt scans op machinesnelheid en eliminatie van bedreigingen voor Amazon S3-buckets, waarbij gebruik wordt gemaakt van de Static AI Engine om malware in quarantaine te plaatsen en te voorkomen dat S3-buckets als aanvalsvectoren worden gebruikt.
Deze functies zorgen samen voor betere naleving, realtime preventie van bedreigingen en beveiliging van de werklast, van ontwikkeling tot productie.
SentinelOne in actie zien
Ontdek hoe AI-gestuurde cloudbeveiliging uw organisatie kan beschermen in een één-op-één demo met een SentinelOne productexpert.
Vraag een demo aanVersterk de beveiliging van uw publieke cloud
Nu steeds meer bedrijven overstappen op publieke cloudplatforms, is het essentieel om krachtige beveiligingsmaatregelen te nemen.
Belangrijke maatregelen zijn onder meer het gebruik van krachtige versleuteling om gegevens te beschermen, het instellen van strenge toegangscontroles met tools voor identiteits- en toegangsbeheer, en het naleven van industrienormen zoals PCI DSS of HIPAA.
Om bedreigingen voor te blijven, zorgen best practices zoals end-to-end IAM, versleuteling in alle fasen van gegevensmigratie en realtime actieve bedreigingsmonitoring voor de veerkracht van uw cloudomgeving.
Door gebruik te maken van beveiligingstools zoals firewalls, monitoring en compliancebeheer kunnen organisaties gevoelige informatie beter beveiligen en voldoen aan regelgevingsnormen, terwijl ze tegelijkertijd operationele flexibiliteit en schaalbaarheid ondersteunen.
Het gebruik van geavanceerde beveiligingstools, zoals AI, die bedreigingen opsporen en in realtime afweren (bijvoorbeeld het Singularity-platform van SentinelOne), kan uw vermogen om belangrijke gegevens en apps in de openbare cloud te beveiligen aanzienlijk vergroten.
"FAQs
Webhosting, ontwikkelomgevingen en gegevensopslag zijn veelvoorkomende voorbeelden van wanneer de publieke cloud wordt gebruikt. De publieke cloud is ideaal voor toepassingen die schaalbaarheid, flexibiliteit en kosteneffectiviteit vereisen.
Bij de beveiliging van de publieke cloud delen de provider en de klant de verantwoordelijkheid, terwijl de beveiliging van de private cloud de organisatie meer controle en aanpassingsmogelijkheden biedt, maar ook meer middelen vereist.
Amazon Web Services (AWS), Google Cloud en Microsoft Azure zijn voorbeelden van publieke clouds die verschillende diensten via internet aanbieden.
Private clouds kunnen verbeterde beveiliging bieden door middel van speciale infrastructuur en meer controle, maar publieke clouds bieden ook robuuste beveiligingsfuncties die vaak voldoende zijn voor de meeste organisaties.
video
Beveiliging in de publieke cloud is een gedeelde verantwoordelijkheid; de cloudserviceprovider beveiligt de infrastructuur, terwijl de klant zijn gegevens, applicaties en toegangscontroles beveiligt.
