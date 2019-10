Zijn de succesvolle aanvallen op cloud-omgevingen van de afgelopen jaren het gevolg van domme misconfiguraties, lelijke fouten of onderontwikkelde architecturen? Zijn de meeste datalekken te voorkomen als mensen wat beter zouden opletten? Dit zijn toch dezelfde mensen die we rekenen tot de meest ervaren security-mensen, technisch begaafde ontwikkelaars en toonaangevende architecten? Waar gaat het fout? Er is blijkbaar meer aan de hand met cloud-security dan alle media-aandacht en marketing, positief en negatief, doet vermoeden.

In het F5 Application Protection Report gaf zo'n 43 procent van de deelnemende CISO's en andere security-leidinggevenden aan dat cloud-migratie een van de belangrijkste drempels is voor applicatiebeveiliging. De marketingafdelingen en early adopters melden echter dat cloud zo veilig is dat alle eerdere security-middelen overbodig zijn geworden. Deze uitersten geven aan dat de industrie tot op heden de rollen van solution provider en security provider nooit goed heeft kunnen duiden. De mogelijkheden van cloud vereisen een nieuwe blik op vertrouwen, impact en onderlinge afhankelijkheid; zaken die ten grondslag liggen aan het ontwerp en beheer van deze omgevingen.

De vraag of cloud goed of slecht is voor security is irrelevant, want bedrijven maken de stap toch wel. Sommige security-processen worden eenvoudiger en andere juist complexer. In alle gevallen vereist het een kritische heroverweging van niet alleen controlepunten, maar van het doel van de controlepunten en welke rol security speelt in de bedrijfsactiviteiten. We moeten ons niet afvragen wat we hebben gebouwd in het verleden, maar waarom we dat gedaan hebben.

De mindere kanten van security en cloud

We kennen de best practices, maar passen ze in de praktijk lang niet altijd toe vanwege te weinig middelen of omdat het gewoon niet praktisch is. Patches worden niet (direct) doorgevoerd, gebruikersaccounts niet afgeschermd en firewalls losjes afgesteld. Zolang de zaken goed gaan, loopt het wel los. Wanneer bedrijven hun traditionele architecturen verplaatsen naar een publieke cloud-omgeving vergroten ze deze zwakkere punten en komen ze op een locatie waar iedereen erbij kan. Bovendien heb je te maken met een monocultuur. Wat voorheen een constructie was van afgescheiden en uiteenlopende infrastructuren, lijkt nu een op elkaar lijkend geheel met eenzelfde werkwijze. Er zijn echter duidelijke verschillen tussen de beveiliging van een gebruikersaccount van een computer en een intra-cloud rol.

Het vertrouwen op API's vergroot ook de aanvalsmogelijkheden. Hoewel er meer bewegende onderdelen zijn, wordt het geheel als veel simpeler en abstracter voorgesteld. Beheerders en security-mensen krijgen een vals gevoel van veiligheid. Cloud-systemen worden ontwikkeld om elastisch te zijn, zodat ze op basis van triggers en workloads kunnen opschalen zonder menselijke tussenkomst. Hybride architecturen met verschillende cloud-providers hebben de kans de gaten te vergroten doordat verschillende 'cloudified' apps ook diverse security-profielen kunnen hebben, afhankelijk van waar ze resideren. Dit alles is redelijk onopvallend totdat er problemen ontstaan.

De menselijke reactie op deze cloud-ontwikkelingen is niet te onderschatten. DevOps en cloud worden als 'disruptors' gezien, waardoor de traditionele manier van IT-beheer overhoop is gehaald, maar de regel 'If you break it, you buy it' kan ook hier opgaan. Wanneer mensen traditionele beveiliging omzeilen in hun race naar de cloud, vergeten ze dat het kan leiden tot amateuristische of nalatige security-errors op grote schaal.

De veranderingen hebben ervoor gezorgd dat veel van onze traditionele manieren van beveiliging niet langer effectief zijn. De perimeter is verdwenen, toegangscontrole is lastiger geworden, de zichtbaarheid is verder verslechterd en simpele tools als intrusion detection, scanning op kwetsbaarheden en malware-detectie werken lang niet overal even goed. Hierdoor blokkeren veel security-professionals de migratie naar de cloud, wat kan leiden tot shadow-IT en onveilige deployments.

De mooiere kanten van security en cloud

Met de juiste skills, tools en ontwerpen kan de overstap naar cloud ook een vooruitgang in security, beschikbaarheid en efficiency zijn. Het betekent wel dat we bepaalde dingen die vroeger werkten niet meer moeten doen en meer gericht moeten zijn op hogere security-doelen.

Ten eerste moet er focus zijn op controle-doeleinden, niet op de controle-middelen. Dit houdt in dat alleen geautoriseerde gebruikers en processen acties kunnen uitvoeren zonder terugkerende vragen over gebruikersaccounts, wachtwoorden en toegangsrechten. Cloudsystemen hangen aan elkaar via API's en services. Een 90-dagen wachtwoordbeleid is niet zo sterk als een goed beheer van privileges en rechten. Least privilege reviews zijn belangrijker dan ooit, en beter dan iemand uitsluiten vanwege een verkeerd wachtwoord.

Cloud-omgevingen schuiven de verantwoordelijkheid ook hogerop in de stack, zodat applicatiebewuste security-tools als WAF en service event monitoring noodzakelijk worden, terwijl versterking van de infrastructuur en netwerkmonitoring aan de cloud provider worden overgelaten. Het mooie van virtuele machines is dat ze volledig inzicht geven. Procedures voor change control tonen verschillen tussen huidige instances en de bijbehorende build-procedures. Ofwel: ziet deze machine er opeens anders uit dan hoe hij is gebouwd? Zo ja, dan kan hij gehacked zijn, en is het mogelijk om hem offline te halen en een nieuwe live te gooien. Dit kan volledig automatisch gebeuren, waardoor de tijd om toe te slaan aanzienlijk krimpt. Cruciale systemen zijn ook te isoleren, apart te bedienen met microservices en te updaten vanaf geteste modellen, inclusief patches. Je repareert geen gehackte of gebroken systemen; je bouwt ze opnieuw op basis van betere, nieuwere, geteste ontwerpen.

Obstakel en zegen

Om deze nieuwe mogelijkheden te benutten moeten organisaties de juiste expertise in huis hebben om in de cloud te ontwerpen en te werken. Dit betekent scholing van interne mensen en het in huis halen van externe expertise, maar vooral een heroverweging van hoe applicaties worden geleverd. Een belangrijk deel hiervan is stilstaan bij wat security betekent en waarom bedrijven überhaupt naar de cloud willen gaan. Aan de ene kant is het van belang dat de betrouwbaarheid niet ten koste gaat van het leveren van applicaties. Aan de andere kant, op langere termijn, moeten security en betrouwbaarheid worden gezien als twee kanten van hetzelfde doel. Een security-incident zal al snel een uptime van 99,999 procent negatief beïnvloeden. Cloud security kan dus een obstakel en een zegen zijn. Het is aan u om de stappen goed door te denken, en ze in de juiste volgorde te zetten.