Of het nu in de vorm is van PaaS, SaaS of IaaS – bedrijven migreren steeds vaker naar de cloud. Die heeft immers drie erg aantrekkelijke kenmerken: wendbaarheid, efficiëntie en winstgevendheid. Maar er is ook nog een vierde voordeel aan verbonden, waar de meeste bedrijven zich nog niet van bewust zijn: uitstekende beveiliging.
Dit laatste krijgt in het migratieproces nog niet de erkenning die het verdient. Sterker nog: de bijhorende voordelen worden nog al te vaak over het hoofd gezien. Allereerst zien veel bedrijven hun cloud provider als enige veiligheidsbeheerder. Wanneer bedrijven hun on-premise processen naar de cloud brengen, worden hun eigen, kwalitatief goede beveiligingspraktijken daardoor niet in de cloud gerepliceerd. Bovendien komt het ook voor dat de IT-afdeling simpelweg niet wordt geconsulteerd wanneer er clouddiensten worden opgezet.
Al deze elementen – afzonderlijk of gecombineerd – zorgen voor verwarring op het vlak van cloud-beveiliging. Wie is ervoor verantwoordelijk? En van welke afdeling? Welk veiligheidsniveau is er nu al? Hoe kwetsbaar is het bedrijf? Stuk voor stuk moeilijk te beantwoorden vragen.
Complexere omgeving
Als we het hebben over de hybrid cloud, dan is dit beveiligingsvraagstuk nog problematischer. Sinds enkele jaren beveiligen bedrijven wel hun datacenters en maken ze veelvuldig gebruik van verschillende oplossingen en best practices, maar in de meeste gevallen is de beveiliging van de cloud hier niet in geïntegreerd.
In een datacenter bevinden alle oplossingen, zoals firewalls, fileservers en databeveiliging, zich binnen direct handbereik. Als een bedrijf een deel van zijn infrastructuur wil overbrengen naar de cloud, moeten daar dus dezelfde beveiligingsregels kunnen worden toegepast. Maar de oplossingen voor security management in cloud-omgevingen zijn niet altijd dezelfde als die in eigen datacenter-omgevingen. Zodra ondernemingen hun beveiliging op twee manieren dienen te beheren – deels in de cloud en deels in het eigen datacenter – komen ze op een kritiek punt: ze moeten namelijk voor de cloud een beveiligingsniveau garanderen dat minimaal gelijk is aan dat van de on-premise infrastructuur.
Deze beveiliging op twee verschillende platforms kan ervoor zorgen dat de cloud kwetsbaarder wordt en daarmee de ideale toegangspoort wordt voor cybercriminelen. Hackers geraken namelijk makkelijk aan alle informatie die in de cloud is opgeslagen, waarmee ze vervolgens moeiteloos het datacenter kunnen binnendringen. Daarom is het noodzakelijk om de beveiliging binnen de cloud minstens op hetzelfde niveau te krijgen als on-premise. En gezien de toegenomen zichtbaarheid van clouddiensten liefst nog op een niveau hoger.
Multicloud ‘omkaderd’
Hoewel veel ondernemingen – en daar binnen weer tal van afdelingen – momenteel al gebruik maken van meerdere leveranciers van cloud-diensten, maken zij de keuze daarvoor zelden in overleg met de IT-afdeling. Daardoor zitten ze met verschillende cloud-oplossingen en dus ook met verschillende beheertools en controlemechanismen.
Hierdoor valt de opkomst van ‘Shadow IT’ op te merken. Door de toename van het aantal oplossingen – en daarmee ook de toegangskanalen – zonder dat de IT-afdeling hierover is geïnformeerd, wordt de beveiliging moeilijker te beheren. En hoe kan er dan worden gegarandeerd dat deze verschillende omgevingen op een veilige manier met elkaar communiceren?
Cloud governance
Om deze uitdaging het hoofd te bieden moet er een vorm van cloud governance worden geïmplementeerd, die de geschiktheid van de ene leverancier tegenover de andere kan valideren. Onder de in te stellen processen en regels moet ook een evaluatiebeleid voor cloud providers vallen, zodat zij gegarandeerd instaan voor de nodige authenticatiesystemen, toegangscontroles en het securitymanagement voor de communicatie met de datacenters.
Om zowel in de cloud als on-premise hetzelfde beveiligingsniveau te garanderen, is automatisering de sleutel tot succes. Met beveiligingsautomatisering wordt niet alleen tijd gewonnen, maar verloopt het proces ook efficiënter. Het zorgt ervoor dat de verwachte doelstellingen worden behaald en voegt ook beveiliging toe. Maar als wendbaarheid en snelheid al zijn geautomatiseerd, komt de beveiligingsautomatisering jammer genoeg te vaak pas aan het einde van de keten. En dat terwijl net de hele productieketen en alle diensten die we naar de cloud migreren, geautomatiseerd moeten worden. Als we beveiliging van meet af aan opnemen in de strategieontwikkeling, dan vormt het geen beperking en is het een klassieke parameter die in het globale proces is geïntegreerd.
Best practices definiëren
Om dit te bereiken, is het nodig dat bedrijven zich structureel organiseren en werkgroepen installeren waarin de IT-kennis samenkomt. Op die manier heeft iedereen een concreet beeld van elkaars behoeften en obstakels, en kunnen het interne proces en de instelling van de teams evolueren. Draagvlak daarvoor kan worden gevonden op managementniveau, zodat het project alle lagen van het bedrijf ondersteunt. Soms zal er bovendien beroep moeten worden gedaan op externe dienstverleners om het hoofd boven water te houden, zodat projecten aan productiviteit en competitiviteit kunnen winnen.
Op het vlak van best practices bestaan er enkele essentiële beveiligingsregels, ongeacht wat er in de cloud is opgeslagen. Denk hierbij aan toegangscontroles als oplossingen voor netwerkfiltering, maar ook toegangscontroles voor gebruikers. Verder zal een bedrijf – afhankelijk van de omgeving waarin het actief is – verschillende beveiligingsconcepten moeten installeren op basis van wat er in de cloud wordt opgeslagen. Worden er bijvoorbeeld klantgegevens opgeslagen, dan moet het bedrijf extra waakzaam zijn en oplossingen voor encryptie implementeren.
Geen barrière
Beveiliging mag dus geen barrière zijn als het aankomt op migratie naar de cloud, en het is gewoon zaak om de best practices te implementeren. Bedrijven moeten eerst bepalen waarvoor ze de cloud precies willen inzetten om daarna de technische en financiële criteria voor deze verandering te bepalen. Daarnaast is het belangrijk om een cloud-strategie op de middellange termijn te ontwikkelen, waarin alle bedrijfsstrategieën verwerkt zijn: van IT tot management. Het is absoluut noodzakelijk dat iedereen binnen de organisatie op één lijn zit. Als iedereen voor zichzelf denkt, is het onmogelijk om te weten of de gebruikte cloud-diensten in overeenstemming zijn met de algemene strategie, met de andere diensten die in de rest van het bedrijf worden ingezet, en met de technische beperkingen van het bedrijf.
Charles Bovy, Director MSS PreSales EMEA & Regional Lead Benelux bij NTT