security-main
Welke applicaties draai je veilig in de cloud en welke niet?

Veel organisaties zijn huiverig om over te stappen naar de cloud en kiezen ervoor om bedrijfskritische applicaties lokaal te draaien. Je wilt natuurlijk dat gevoelige informatie in een beveiligde omgeving staat en controle houden over je veiligheidsrisico’s. Waar moet je op letten?

‘Is het wel veilig om alles zomaar in de cloud te zetten?’ en ‘Wat gebeurt er met onze data in de cloud?’ zijn vast vragen die je wel eens krijgt van collega’s of het management. Het is moeilijk uit te leggen dat de cloud niet per se onveilig is. Het begrip ‘cloud’ is voor veel mensen nog ongrijpbaar. Maar dat wil niet zeggen dat jouw applicaties in de cloud niet veilig zijn. Cloudpartijen investeren miljarden in goede security. Het draait onder andere om het gebrek aan kennis binnen organisaties. Wanneer je applicaties in de cloud laat draaien heb je andere beveiliging nodig dan bij je eigen traditionele omgeving.


Daarnaast is er sprake van shared responsibility wanneer je bepaalde applicaties in de cloud draait. Je moet als organisatie geen genoegen nemen met de security van de cloudaanbieder. Je bent ook zélf verantwoordelijk, over het in- en uitgaand verkeerd, patching, access management (2FA) en versleuteling van verkeer van en naar de clouddienst. Neem Microsoft Azure als voorbeeld:

  • Voor IaaS workloads die op Azure worden uitgevoerd, is Microsoft verantwoordelijk voor het beveiligen van de basisdiensten (rekenkracht, opslag, database- en netwerkservices).
  • SaaS applicaties (beheer ligt bij derde partijen) zouden veilig zijn, maar verantwoordelijkheid over 2FA en toegangspermissies liggen vaak bij de organisatie.

 

Social engineering

Met de nieuwe manier van werken ontstaat er ook een nieuwe manier van hacken: social engineering. Een vorm van social engineering is bijvoorbeeld wanneer aanvallers wachtwoorden van jouw gebruikers proberen te achterhalen. Zo kan een cloudapplicatie gebruikt worden om bepaalde permissies te krijgen. Hoe vaak klik je zelf niet blindelings op ‘voorwaarden accepteren’ als je op een website komt? Aanvallers kunnen ingenieus toegang krijgen tot bijvoorbeeld mailboxen in Office 365, zonder dat gebruikers in de gaten hebben dat ze toestemming hebben gegeven. Dit soort gevaren loeren vandaag de dag om de hoek. Het gaat vaak om nieuwe bedreigingen die we nog moeten ontdekken. Nieuwe vormen van bijvoorbeeld corona phishing duiken op. Zeker nu jouw medewerkers vaak mobiel en flexibel (thuis)werken is het belangrijk dat je je hier tegen wapent. Maar hoe?

 

Beveiliging in de cloud

Nu je medewerkers vaak een laptop, tablet én een mobieltje hebben draaien de applicaties die daar opstaan waarschijnlijk in de cloud. Mobile Device Management maakt de uitrol makkelijker. Het is echter wel belangrijk om ernaar te streven dat er geen blijvende schade is voor jouw organisatie als een medewerker zijn device ergens kwijtraakt of het wordt gestolen. De data op die devices wordt aangesproken via de cloud en staat dus op de server van de cloudaanbieder. Om die data te beschermen moet je er als het ware een virtuele muur omheen bouwen. De uitdaging die bij cloud komt kijken is dat een ‘klassieke’ bescherming niet voldoende is. Je moet niet meer je eigen organisatie beschermen maar jouw eigen data.

De risico’s (als je de overstap naar de cloud niet goed inricht) op een rijtje:

  • Je neemt een risico wanneer je bedrijfskritische data buiten de cloud opslaat;
  • Je blijft eindverantwoordelijk voor je eigen data;
  • Je kunt geen invloed uitoefenen op de exacte locatie;
  • Jouw data wordt opgeslagen in een gedeelde omgeving.

Wees bewust van de gevaren en wanneer een cloudaanbieder tekort schiet op het gebied van security en evalueer dit regelmatig. Daarbij dien je goed na te denken over welke privacygevoelige data niet thuishoort (of juist wél) in een cloudomgeving. Denk bijvoorbeeld aan een HR-applicatie waarin alle data van jouw medewerkers wordt opgeslagen.

 

Wil je aan de slag met goede security?

Bij Bechtle helpen wij jou aan de slag te gaan met goede security voor jouw netwerk. Download ons e-book met ‘5 tips voor optimale controle over je netwerk of neem vrijblijvend contact op met onze experts.

NEEM CONTACT OP