Tegenwoordig rekenen veel organisaties voor hun dagelijkse bedrijfsvoering op de cloud. Ze staan er niet bij stil dat ze daarmee gevoeliger zijn voor datalekken.
Ondernemers die voor hun dagelijkse activiteiten in de cloud werken, moeten ervan uit kunnen gaan dat hun gegevens altijd goed beveiligd zijn. Gezien de grote belangen die op het spel staan, is een meerlaagse cloudbeveiligingsaanpak niet langer een optie. Het is een vereiste.
Baseline infrastructuur
De basis voor een veilige cloudinfrastructuur wordt gevormd door een multi-instance architectuur waarin elke customer instance een eigen database heeft. Alle routers, switches, firewalls en serverloadbalancers moeten in de hele infrastructuur redundant zijn.
Daarnaast is op elke locatie aanvullende beveiliging nodig, zoals indringingsdetectiesystemen (IDS) en DDoS (Distributed Denial-of-Service)-bescherming, zodat verdachte activiteiten snel kunnen worden opgespoord, gemeld en tegengegaan. In feite moet de cloudinfrastructuur vergelijkbaar zijn met die van een traditioneel bedrijfsdatacenter, met alle aandacht voor high availability, performance en beveiliging.
Fysieke beveiliging
Zonder fysieke beveiliging op elke datacenterlocatie kunnen cloudserviceproviders klanten geen garantie geven dat hun gegevens goed zijn beveiligd. Op elke locatie moet sprake zijn van meerdere beveiligingsmaatregelen, zoals 24/7 surveillance, beveiligingspersoneel en biometrische scanners (palm- en vingerafdruk). Het gebouw waarin het datacenter is gehuisvest, kan speciaal voor dit doel zijn ontworpen.
Het moet uiterst lastig zijn om een datacenter van een cloudserviceprovider binnen te komen, zelfs voor wie daarvoor bevoegd is. Toegang tot het datacenter moet zijn voorbehouden aan volledig gescreend en fulltime personeel. Passende beveiligingsmaatregelen moeten ervoor zorgen dat alleen deze personen naar binnen kunnen.
Toegang en controle
Naast fysieke toegang moet de cloudserviceprovider zorgen voor streng toezicht op de personen die toegang hebben tot het netwerk en de serverinfrastructuur. Hiervoor is minimaal een beveiligde VPN (Virtual Private Network)-verbinding vereist met multi-factor authenticatie en eenmalige wachtwoorden.
Slechts een zeer beperkt aantal personen moet lees-/schrijfrechten tot infrastructuurapparaten krijgen, met strikte inachtneming van wijzigingsbeheerprocessen, inclusief goedkeuringsrichtlijnen van het SRE (Site Reliability Engineering)-team.
Incident response
Zelfs de best beveiligde cloud krijgt te maken met bedreigingen. Procedures die worden uitgevoerd bij een beveiligingsincident, moeten deel uitmaken van elk cloud security-ontwerp. Hierin moet worden vastgelegd wie de leiding heeft en hoe het probleem, inclusief alle communicatie, moet worden aangepakt.
Idealiter werkt elke cloudserviceprovider met een procedure voor de afhandeling van beveiligingsincidenten, en is er een goed opgeleid responsteam met heldere rollen en verantwoordelijkheden en workflows voor het detecteren, onderzoeken, communiceren en oplossen van incidenten. Zodra de procedures zijn ingevoerd, moet worden bekeken of dit responsplan afdoende is. Wacht hiermee niet tot zich een calamiteit voordoet. Het plan moet regelmatig worden getest op momenten waarop de missie van het bedrijf niet in gevaar komt.
Voor een succesvol gebruik van de enterprise cloud zijn meerdere beschermlagen een vereiste. Met fysieke beveiliging, strenge operationele controles en een goed beveiligde cloudinfrastructuur kunnen klanten met vertrouwen succesvol en veilig opereren in een cloudomgeving.
Kom meer te weten over ServiceNow