Veiligheid en kwetsbaarheden in de cloud – deel 2

Wij vroegen onze collega en cloudexpert Tommy Menheere ons meer te vertellen over veiligheid en de belangrijkste kwetsbaarheden in de cloud. In het eerste deel van deze blogserie vertelde hij ons welke aspecten je in de gaten moet houden om veilig in de cloud te werken. Nu deelt hij zijn praktische tips met ons.

Herkennen van risico’s

Zoals we in het vorige deel al vertelden, is de menselijke factor de grootste valkuil. Om te beginnen is het daarom belangrijk dat je medewerkers op een goede en veilige manier leren werken met applicaties en data in de cloud. Duidelijke uitleg van de mogelijkheden of training kan daarbij helpen: op die manier weten zij wat er mogelijk is en hoe ze veilig met de gegevens van je klanten of personeelsleden om kunnen gaan.

Maar het is ook belangrijk om bewustheid te creëren van wat er mis kan gaan. Wat gebeurt er bijvoorbeeld als zij niet op de juiste manier gegevens delen met collega’s? Of als zij op een onveilige link klikken of een geïnfecteerd bestand downloaden? Een eenvoudige manier om dit te doen, is door regelmatig voorbeelden te laten zien van mogelijke gevaren, zodat zij deze sneller herkennen.

Beveiliging op gebruikersniveau

Beveiliging begint bij je gebruikers. Daarom is het belangrijk een goed wachtwoordbeleid op te stellen. Hierin kun je vastleggen aan welke eisen wachtwoorden moeten voldoen: denk aan de lengte, het aantal vreemde tekens, enzovoorts.

Wanneer je in de cloud werkt, maakt het niet uit vanaf welke plaats je medewerkers inloggen. Natuurlijk zorg je ervoor dat je bedrijfsnetwerk goed beveiligd is, zodat niemand mee kan kijken of gegevens kan stelen. Op de netwerken die je medewerkers gebruiken wanneer ze niet op kantoor zijn, heb je echter minder invloed. Een extra beveiligingslaag op gebruikersniveau, zoals tweefactor authenticatie, kan ervoor zorgen dat accounts veilig blijven en kwaadwillenden niet bij jouw gegevens kunnen. Voor zeer sensitieve data is een hardware token (zoals een Yubikey) zeer aan te raden.

OCS_adelaar-in-de-lucht

Staat je data veilig?

Security gaat echter verder dan de mens. De manier waarop je data opgeslagen wordt, is minstens zo belangrijk als medewerkers die zorgvuldig met je gegevens omgaan. Wanneer het een cybercrimineel lukt om bij jouw data te komen, wil je voorkomen dat die er echt iets mee kán. Daarom is het belangrijk ervoor te zorgen dat de harde schijven waarop jouw gegevens staan, goed versleuteld zijn. Welke mate van encryptie voldoende is voor jouw organisatie kun je vaak zelf bepalen, maar wij kunnen je daar ook bij helpen.
Een ander aspect is de fysieke veiligheid. Wat gebeurt er als er bijvoorbeeld brand uitbreekt in het datacenter of wanneer er daar een waterleiding breekt? Wanneer jouw cloudprovider ISO 27001 gecertificeerd is, kun je er vanuit gaan dat zij hun processen zodanig geborgd hebben dat jouw gegevens niet alleen veilig, maar ook te allen tijde benaderbaar zijn. Voor organisaties zoals zorginstellingen, die extreem gevoelige persoonsgegevens verwerken, is een ISO 27001 certificering niet altijd voldoende: een hostingprovider moet dan voldoen aan de NEN 7510-norm, de norm voor Informatiebeveiliging binnen de Zorgsector in Nederland.

Welke wetten gelden?

De locatie waarop je cloudprovider gevestigd is of waar het datacenter staat dat jouw organisatie gebruikt, is van groot belang bij het beschermen van je gegevens. In Europa geldt namelijk de GDPR en in Nederland de AVG waarin eisen gesteld worden aan het type persoonsgegevens dat je mag verzamelen en met welk doel.

In de VS gelden er echter andere wetten en regels. Er bestaan weliswaar privacy-overeenkomsten tussen Nederland en de VS, maar deze houden in een rechtbank lang niet altijd stand. Daarom adviseren wij onze klanten altijd te kiezen voor dataopslag in Europa en in sommige gevallen, zoals bij klanten in de zorg, zelfs specifiek in Nederland. Gelukkig hebben zowel Amazon, Microsoft als Google inmiddels datacentra in Nederland, zodat je nog iets te kiezen hebt.

Maak je gebruik van een cloudprovider uit bijvoorbeeld China of Rusland, dan heb je weinig houvast bij het bepalen van de geldende wet- en regelgeving. Zo zijn er gevallen bekend van Russische providers die e-mailadressen verkopen aan Nederlandse bedrijven, terwijl dit volgens de Russische wetgeving niet toegestaan is.

OCS_adelaar-in-de-lucht

Monitoring

Het is niet genoeg om blindelings te vertrouwen op een technische oplossing. Blijf je data altijd scherp in de gaten houden. Hier bestaan allerlei geavanceerde tools voor. Door je cloudomgeving voortdurend op kwetsbaarheden te scannen, kun je deze veilig houden. Maar je ziet ook wanneer er iets niet in de haak is, zodat je kunt ingrijpen. Microsoft, Amazon en Google hebben elk hun eigen tools waarmee je eenvoudige ’sanity checks’ op je cloudomgeving kunt doen. Deze software kijkt dan bijvoorbeeld of je server vanaf internet benaderbaar is, of alle accounts wachtwoorden hebben en of die wachtwoorden sterk genoeg zijn. Maar ook of je harde schijven versleuteld zijn. Verder hebben zij tools die scannen op softwarematige kwetsbaarheden in je systemen.

Je kunt natuurlijk ook kiezen voor een cloud-agnostische tool om je cloudomgeving te scannen. Een mooi voorbeeld daarvan is WIZ. Hierbij kun je na aanschaf eenvoudig aangeven over welke cloudomgevingen je beschikt. Een nadeel van dergelijke tools is, dat zij niet eenvoudig te implementeren zijn en je te maken krijgt met relatief veel false positives tijdens het scannen. Dit betekent, zeker bij aanvang, dat er veel configuratie en set-up nodig is.

Back-ups

Back-ups zijn nogal eens het ondergeschoven kindje als het gaat om veiligheid. Veel bedrijven gaan er ten onrechte vanuit dat de cloudprovider back-ups regelt, maar vaak ben je hier zelf verantwoordelijk voor. Doet je cloudprovider dit toch? Maak dan duidelijke afspraken over wat er geback-upt wordt, hoe vaak en hoe lang de back-ups beschikbaar blijven.

Updates en patchmanagement

Veel kwetsbaarheden in de beveiliging van je cloudomgeving ontstaan door verouderde software. Door je omgeving regelmatig te updaten of te patchen, hou je hem veilig. Net als bij het maken van back-ups is het belangrijk hier goede afspraken met je aanbieder over te maken. Regelen zij dat de updates of patches automatisch over jouw systemen uitgerold worden? Of moet je hier zelf het voortouw in nemen?
Als je ervoor kiest zelf de regie in handen te houden, betekent dat ook dat je zelf in je processen vast moet leggen wanneer je updates en patches uitvoert, maar ook wie er binnen jouw organisatie verantwoordelijk voor is. Een tool als Terraform kan je helpen om dit eenvoudig in je processen op te nemen, maar ook bij het automatiseren van deze handelingen.

Met een tool als Terraform is het mogelijk om je infrastructuur al te checken op beveiliging en compliancy voordat de wijzigingen worden doorgevoerd. In een CICD-pipeline is een stap op te nemen die deze checks uitvoert. Zie ook ons blog over CI/CD.

 

Wil jij een veilige cloudomgeving?

Sta je op het punt om jouw IT-omgeving naar de cloud te brengen? Of heb je dit al gedaan? En wil je zeker weten dat jouw resources en data helemaal veilig zijn?  Neem dan contact met ons op of bel naar +31 40 30 41 330 om eens te sparren. Wij zijn eerlijk in ons advies en nemen daarbij de gevolgen voor zowel de korte als de lange termijn mee. Zo maak je een gedegen toekomstbestendige beslissing.

Het zal je verrassen wat er mogelijk is. Wij zijn een no-nonsense bedrijf: als het simpel kan, houden we het simpel. En als het lastig wordt, doen we er gewoon een schepje bovenop.

Meer artikelen

OCS Familiedag: op naar Phantasialand

OCS Familiedag: op naar Phantasialand

Je bent zo goed in je werk als je je voelt. Dat je goed voor je mensen moet zorgen, ook buiten het werk om, is één van de pijlers onder onze organisatie. En dat is bij Open Circle Solutions niets nieuws. Daarom is er veel ruimte voor ontspanning en sociale interactie....

Khanh Long Tang, junior consultant

Khanh Long Tang, junior consultant

Khanh Long Tang is sinds begin maart in dienst als junior consultant bij OCS. Hij werkt daar aan het golfmanagementsysteem van Bernardus. Als golfbaan die zijn klanten een unieke en bijzondere ervaring wil meegeven, zijn ze elk jaar op zoek naar manieren waarop het...

Mark Donker, junior consultant en full stack developer

Mark Donker, junior consultant en full stack developer

Mark is, op het moment dat we hem spreken, splinternieuw: net twee weken in functie als junior consultant/full stack developer. Mark heeft, zoals zoveel jonge mensen tegenwoordig, een wat slingerend pad bewandeld voordat hij bij OCS terechtkwam. Opleiding in meerdere...

Nieuwsbrief

Meld je nu aan voor Open Circle Stories en krijg een verzameling artikelen, tips, nieuws en verdiepingen in je mailbox.

Pin It on Pinterest

Share This