Cloud security

19 best practices voor cloudbeveiliging voor 2019

12 min. leestijd
Placeholder for Glass architectureGlass architecture
McAfee

Share

Cloud computing bijna alomtegenwoordig geworden, waarbij ruwweg 95 procent van de bedrijven meldt dat ze een cloud strategie hebben. Hoewel cloud providers veiliger zijn dan ooit tevoren, zijn er nog steeds risico's verbonden aan het gebruik van elke cloud dienst. Gelukkig kunnen die grotendeels beperkt worden door deze best practices voor cloud beveiliging te volgen:

Bescherm je cloud-gegevens

1. Bepaal welke gegevens het meest gevoelig zijn

Hoewel het toepassen van het hoogste niveau van bescherming over de hele linie natuurlijk overkill zou zijn, zou het niet beschermen van gevoelige gegevens het risico met zich meebrengen van verlies van intellectueel eigendom of wettelijke sancties voor je onderneming. Daarom moet de eerste prioriteit zijn om inzicht te krijgen in wat er moet worden beschermd door middel van het opsporen en classificeren van gegevens, wat doorgaans wordt uitgevoerd door een dataclassificatie-engine. Streef naar een uitgebreide oplossing die gevoelige inhoud op je netwerk, endpoints, databases en in de cloud lokaliseert en beschermt, terwijl je tegelijkertijd de juiste mate van flexibiliteit voor jouw organisatie krijgt.

2. Hoe worden deze gegevens geraadpleegd en opgeslagen?

Het is waar dat gevoelige gegevens veilig in de cloud kunnen worden opgeslagen, maar het is zeker geen uitgemaakte zaak. Volgens het McAfee 2019 Cloud Adoption and Risk Report bevat 21 procent van alle bestanden in de cloud gevoelige gegevens - een sterke stijging ten opzichte van het jaar ervoor. Hoewel veel van deze gegevens leven in gevestigde bedrijfsmatige cloudservices zoals Box, Salesforce en Office365, is het belangrijk om te beseffen dat geen van deze diensten 100 procent veiligheid garandeert. Daarom is het belangrijk om de machtigingen en toegangscontext van gegevens in je cloudomgeving te onderzoeken en de juiste aanpassingen te maken. In sommige gevallen moet je mogelijk gevoelige gegevens die al in de cloud zijn opgeslagen, verwijderen of in quarantaine plaatsen.

3. Wie zou het moeten kunnen delen en hoe?

Het delen van gevoelige gegevens in de cloud is jaarlijks met meer dan 50% toegenomen. Hoe krachtig je strategie ter beperking van bedreigingen ook is, de risico's zijn veel te groot om een reactieve aanpak te hanteren: er moet een beleid voor toegangscontrole worden opgesteld en gehandhaafd voordat gegevens ooit in de cloud worden ingevoerd. Net zoals het aantal medewerkers dat de mogelijkheid nodig heeft om een document te bewerken veel kleiner is dan het aantal medewerkers dat het moet kunnen bekijken, is het zeer waarschijnlijk dat niet iedereen die toegang tot bepaalde gegevens nodig heeft, de mogelijkheid moet hebben om bepaalde groepen te delen Definiëren van groepen en het instellen van privileges, zodat het delen van gegevens alleen mogelijk is voor degenen die het nodig hebben, kan de hoeveelheid gegevens die extern worden gedeeld drastisch beperken.

4. Vertrouw niet op cloud service encryptie

Uitgebreide versleuteling op bestandsniveau moet de basis vormen van al je inspanningen op het gebied van cloudbeveiliging. Hoewel de versleuteling die binnen cloudservices wordt aangeboden, jouw gegevens kan beschermen tegen externe partijen, geeft het de cloud-serviceprovider noodzakelijkerwijs toegang tot je versleutelingscodes. Om de toegang volledig onder controle te houden, wil je strikte versleutelingsoplossingen implementeren, waarbij je jouw eigen sleutels gebruikt, voordat je gegevens naar de cloud uploadt.

Minimaliseren van interne cloud-veiligheidsbedreigingen

5. Haal het gebruik van de cloud door werknemers uit de schaduw

Het feit dat je een beveiligingsstrategie voor de bedrijfscloud hebt, betekent niet dat medewerkers de cloud niet op hun eigen voorwaarden gebruiken. Van cloudopslagaccounts zoals Dropbox tot online bestandsconversieservices, de meeste mensen overleggen niet met de IT voordat ze toegang krijgen tot de cloud. Om het potentiële risico van het gebruik van de cloud door werknemers te meten, moet je eerst je web proxy, firewall en SIEM-logboeken controleren om een volledig beeld te krijgen van welke cloud-diensten worden gebruikt, en vervolgens een beoordeling van hun waarde voor de werknemer/organisatie versus hun risico's wanneer ze geheel of gedeeltelijk in de cloud worden ingezet. Houd er ook rekening mee dat schaduwgebruik niet alleen verwijst naar bekende eindpunten die toegang hebben tot onbekende of ongeautoriseerde diensten, maar dat je ook een strategie nodig hebt om te voorkomen dat gegevens van vertrouwde cloudservices naar onbeheerde apparaten die je niet kent, worden verplaatst. Omdat cloudservices toegang kunnen bieden vanaf elk apparaat dat met het internet is verbonden, vormen onbeheerde eindpunten zoals persoonlijke mobiele apparaten een gat in de beveiligingsstrategie. Je kunt downloads beperken tot ongeautoriseerde apparaten door de veiligheidsverificatie van apparaten een voorwaarde te maken voor het downloaden van bestanden.

6. Maak een "veilige" lijst aan

Hoewel de meeste van de medewerkers gebruik maken van clouddiensten voor boven-het-boord doeleinden, zullen sommige van hen per ongeluk dubieuze cloudservices vinden en gebruiken. Van de 1.935 clouddiensten die bij de gemiddelde organisatie in gebruik zijn, worden er 173 als hoogrisicodiensten beschouwd. Door te weten welke diensten binnen jouw bedrijf worden gebruikt, kun je beleidslijnen vaststellen 1.) waarin wordt aangegeven welke soorten gegevens in de cloud zijn toegestaan, 2.) Het opstellen van een "veilige" lijst van cloudapplicaties die werknemers kunnen gebruiken, en 3.) Uitleg over de best practices, voorzorgsmaatregelen en tools voor cloudbeveiliging die nodig zijn voor een veilig gebruik van deze applicaties.

7. Endpoints spelen ook een rol

De meeste gebruikers hebben toegang tot de cloud via webbrowsers, dus het inzetten van krachtige beveiligingshulpmiddelen voor clients en ervoor zorgen dat browsers up-to-date zijn en beschermd tegen browserexploits is een cruciaal onderdeel van cloudbeveiliging. Om eindgebruikersapparaten volledig te beschermen, gebruik je geavanceerde endpointbeveiliging, zoals firewall-oplossingen, met name bij het gebruik van IaaS- of PaaS-modellen.

8. Kijk naar de toekomst

Nieuwe cloudapplicaties komen regelmatig online en het risico van clouddiensten evolueert snel, waardoor het moeilijk is om handmatig een cloudbeveiligingsbeleid te ontwikkelen en up-to-date te houden. Hoewel je niet elke clouddienst die zal worden benaderd kunt voorspellen, kun je het beleid voor webtoegang automatisch bijwerken met informatie over het risicoprofiel van een clouddienst om de toegang te blokkeren of een waarschuwingsbericht te tonen. Voltooi dit door integratie van closed-loop remediation (die beleidslijnen afdwingt op basis van een servicebrede risicoclassificatie of afzonderlijke kenmerken van de cloudservice) met een veilige webgateway of firewall. Het systeem zal het beleid automatisch bijwerken en handhaven zonder de bestaande omgeving te verstoren.

9. Beschermen tegen onzorgvuldige en kwaadwillende gebruikers

Met organisaties die gemiddeld 14,8 keer per maand te maken hebben met incidenten met insiders en 94,3 procent met een gemiddelde van minstens één keer per maand, is het niet de vraag of je dit soort bedreigingen tegenkomt, maar wanneer. Bedreigingen van deze aard omvatten zowel onbedoelde blootstelling - zoals het per ongeluk verspreiden van een document met gevoelige gegevens - als echt kwaadaardig gedrag, zoals het downloaden van de volledige contactlijst door een verkoper voordat hij naar een concurrent vertrekt. Onzorgvuldige medewerkers en externe aanvallers kunnen beide gedrag vertonen dat wijst op kwaadwillig gebruik van cloudgegevens. Oplossingen waarbij gebruik wordt gemaakt van zowel machine learning als gedragsanalyse kunnen worden gemonitord op anomalieën en kunnen zowel intern als extern gegevensverlies beperken.

10. Vertrouw

Maar controleer het. Extra verificatie is vereist voor iedereen die een nieuw apparaat gebruikt om toegang te krijgen tot gevoelige gegevens in de cloud. Eén suggestie is om automatisch authenticatie met twee factoren te vereisen voor alle scenario's voor toegang tot de cloud met een hoog risico. Gespecialiseerde cloudbeveiligingsoplossingen kunnen de eis introduceren dat gebruikers zich moeten authenticeren met een extra identiteitsfactor in realtime, waarbij gebruik wordt gemaakt van bestaande identiteitsaanbieders en identiteitsfactoren (zoals een harde token, een soft token voor mobiele telefoons of sms-berichten) die eindgebruikers al kennen.

Sterke partnerschappen met gerenommeerde cloudaanbieders ontwikkelen

11. Naleving van de regelgeving is nog steeds van cruciaal belang

Ongeacht het aantal essentiële bedrijfsfuncties dat naar de cloud wordt overgeheveld, kan een onderneming de verantwoordelijkheid voor compliance nooit uitbesteden. Of je nu moet voldoen aan de California Consumer Privacy Act, PCI DSS, GDPR, HIPAA of ander regelgevend beleid, je wil een cloudarchitectuurplatform kiezen dat je in staat stelt te voldoen aan alle regelgevende normen die van toepassing zijn op jouw branche. Van daaruit moet je begrijpen voor welke aspecten van naleving jouw provider zorgt en welke aspecten onder jouw bevoegdheid blijven vallen. Hoewel veel cloud-serviceproviders gecertificeerd zijn voor de ontelbare regels van de industrie en de overheid, is het nog steeds jouw verantwoordelijkheid om compliant applicaties en diensten op de cloud te bouwen en die compliance in de toekomst te handhaven. Het is belangrijk op te merken dat eerdere contractuele verplichtingen of wettelijke belemmeringen het gebruik van clouddiensten kunnen verbieden op grond van het feit dat dit betekent dat je de controle over die gegevens opgeeft.

12. Maar ook de naleving van het merk is belangrijk

Verhuizen naar de cloud hoeft niet te betekenen dat je jouw merkstrategie moet opofferen. Ontwikkel een uitgebreid plan om identiteiten en autorisaties te beheren met cloudservices. Softwarediensten die voldoen aan SAML-, OpenID- of andere federatienormen maken het voor jou mogelijk om jouw corporate identity management tools uit te breiden naar de cloud.

13. Zoek naar betrouwbare leveranciers

Cloud-dienstverleners die zich inzetten voor verantwoording, transparantie en het voldoen aan vastgestelde normen zullen over het algemeen certificeringen zoals SAS 70 Type II of ISO 27001 laten zien. Cloud-serviceproviders moeten gemakkelijk toegankelijke documentatie en rapporten, zoals auditresultaten en certificeringen, compleet met details die relevant zijn voor het beoordelingsproces, beschikbaar stellen. Audits moeten onafhankelijk worden uitgevoerd en gebaseerd zijn op bestaande standaarden. Het is de verantwoordelijkheid van de cloudaanbieder om continu certificeringen te onderhouden en klanten op de hoogte te stellen van eventuele wijzigingen in de status, maar het is de verantwoordelijkheid van de klant om de reikwijdte van de gebruikte standaarden te begrijpen - sommige veelgebruikte standaarden beoordelen de veiligheidscontroles niet, en sommige auditkantoren en auditors zijn betrouwbaarder dan andere.

14. Hoe beschermen ze je?

Geen enkele cloud-dienstverlener biedt 100 procent veiligheid. De afgelopen jaren zijn veel bekende CSP's het doelwit geweest van hackers, waaronder AWS, Azure, Google Drive, Apple iCloud, Dropbox en anderen. Het is belangrijk om de strategieën voor gegevensbescherming en de multitenant-architectuur van de provider te onderzoeken, als dat relevant is - als de eigen hardware of het besturingssysteem van de provider wordt gecompromitteerd, is alles wat binnen de provider wordt gehost automatisch in gevaar. Daarom is het belangrijk om beveiligingstools te gebruiken en eerdere audits te onderzoeken om mogelijke beveiligingslacunes op te sporen (en als de provider gebruik maakt van hun eigen externe leveranciers, raden wij aan om ook hun certificeringen en audits te onderzoeken, als de provider gebruik maakt van best practices op het gebied van cloudbeveiliging.) Van daaruit kun je bepalen welke beveiligingsproblemen aan jouw kant moeten worden aangepakt. Zo versleutelen bijvoorbeeld minder dan 1 op de 10 providers de gegevens die in rust zijn opgeslagen, en nog minder ondersteunen de mogelijkheid voor een klant om gegevens te versleutelen met hun eigen versleutelingscodes. Het vinden van providers die zowel uitgebreide bescherming bieden als de mogelijkheid voor gebruikers om eventuele gaten te overbruggen, is van cruciaal belang voor het behoud van een sterke cloud-beveiligingshouding.

15. Onderzoek de contracten van cloudaanbieders en SLA's zorgvuldig

Het cloud-dienstencontract is je enige garantie voor dienstverlening en je primaire verhaalsmogelijkheid mocht er iets misgaan. Het is daarom essentieel om alle voorwaarden van jouw overeenkomst, inclusief bijlagen, schema's en bijlagen, volledig te herzien en te begrijpen. Een contract kan bijvoorbeeld het verschil maken tussen een bedrijf dat de verantwoordelijkheid neemt voor jouw gegevens en een bedrijf dat eigenaar is van jouw gegevens. (Slechts 37,3 % van de aanbieders geeft aan dat de klant eigenaar is van de klantgegevens. De rest specificeert niet wettelijk wie de eigenaar van de gegevens is, waardoor een juridisch grijs gebied ontstaat, of, meer in het algemeen, claimt het eigendom van alle geüploade gegevens.) Biedt de service inzicht in beveiligingsgebeurtenissen en -reacties? Is de dienst bereid om monitoringtools of haken in jouw bedrijfsmonitoringtools aan te bieden? Biedt de service maandelijkse rapporten over beveiligingsgebeurtenissen en -reacties? En wat gebeurt er met jouw gegevens als je de service beëindigt? (Houd er rekening mee dat slechts 13,3 procent van de cloudaanbieders gebruikersgegevens onmiddellijk na beëindiging van de account verwijderen. De rest bewaart de gegevens tot een jaar, waarbij sommigen aangeven dat ze het recht hebben om ze voor onbepaalde tijd te bewaren). Als je delen van het contract verwerpelijk vindt, kun je proberen te onderhandelen - maar als je te horen krijgt dat over bepaalde voorwaarden niet te onderhandelen valt, is het aan jou om te bepalen of het risico dat het accepteren van de voorwaarden als zodanig voor jouw bedrijf aanvaardbaar is. Zo niet, dan moet je alternatieve manieren vinden om het risico te beheren, zoals encryptie of monitoring, of een andere provider vinden.

16. Wat gebeurt er als er iets misgaat?

Aangezien geen twee cloud-serviceproviders dezelfde set beveiligingsmaatregelen bieden - en ook hier levert geen enkele cloudaanbieder 100 procent beveiliging - is het ontwikkelen van een Incident Response (IR)-plan (Incident Response)-plan van cruciaal belang. Zorg ervoor dat de provider jou erbij betrekt en jou als partner beschouwt bij het maken van dergelijke plannen. Stel communicatiepaden, rollen en verantwoordelijkheden vast met betrekking tot een incident, en om de respons en de afhandeling van een incident op voorhand te doorlopen. SLA's moeten de details beschrijven van de gegevens die de cloudaanbieder zal verstrekken in het geval van een incident, hoe de gegevens zullen worden behandeld tijdens incidenten om de beschikbaarheid te behouden, en de ondersteuning garanderen die nodig is om het IR-plan van de onderneming effectief uit te voeren in elke fase. Terwijl continue monitoring de beste kans biedt op vroegtijdige detectie, moeten er op zijn minst op jaarbasis volledige tests worden uitgevoerd, waarbij extra tests samenvallen met grote veranderingen in de architectuur.

17. Bescherm jouw IaaS-omgevingen

Bij het gebruik van IaaS-omgevingen zoals AWS of Azure behoudt je de verantwoordelijkheid voor de beveiliging van besturingssystemen, applicaties en netwerkverkeer. Geavanceerde anti-malwaretechnologie moet worden toegepast op het besturingssysteem en het virtuele netwerk om jouw infrastructuur te beschermen. Implementeer applicatiewhitelisting en preventie van geheugenexploitaties voor eenmalige werklasten en op machine learning gebaseerde bescherming voor bestandsopslag en algemene werklasten.

18. Neutraliseer en verwijder malware uit de cloud

Malware kan de werklast in de cloud infecteren via gedeelde mappen die automatisch worden gesynchroniseerd met cloud-opslagservices, waardoor malware wordt verspreid van een geïnfecteerd apparaat van een geïnfecteerd gebruikersapparaat naar het apparaat van een andere gebruiker. Gebruik een programma voor een cloudbeveiligingsoplossing om de bestanden die je in de cloud hebt opgeslagen te scannen om malware, ransomware of aanvallen van gegevensdiefstal te voorkomen. Als malware wordt gedetecteerd op een workload host of in een cloudtoepassing, kan deze in quarantaine worden geplaatst of worden verwijderd, waardoor gevoelige gegevens worden beschermd tegen compromissen en corruptie van gegevens door ransomware wordt voorkomen.

19. Controleer je IaaS-configuraties regelmatig

De vele kritische instellingen in IaaS-omgevingen zoals AWS of Azure kunnen bij een verkeerde configuratie tot exploiteerbare zwakheden leiden. Organisaties hebben gemiddeld ten minste 14 verkeerd geconfigureerde IaaS-instanties die op een bepaald moment draaien, wat resulteert in een gemiddelde van bijna 2.300 misconfiguratie-incidenten per maand. Erger nog, meer dan 1 op de 20 AWS S3-emmers die in gebruik zijn, zijn verkeerd geconfigureerd om publiekelijk leesbaar te zijn. Om dit potentieel voor gegevensverlies te voorkomen, moet je jouw configuraties controleren op identiteits- en toegangsbeheer, netwerkconfiguratie en encryptie.

Neem contact met ons op

Wil je meer weten over dit onderwerp?

Onze experts en salesteams staan voor je klaar. Laat je contactgegevens achter en we nemen spoedig contact met je op.

Nu bellen
Placeholder for Portrait of french manPortrait of french man
Artikelen

Meer updates