Beveiliging, een groot probleem in het tijdperk van de cloud

In januari 2022 nam de Franse president Emmanuel Macron het voorzitterschap van de Europese Unie over. Daarom zal Frankrijk gedurende de ambtsperiode verschillende onderwerpen aan de orde stellen en ter hand nemen; Onder hen zijn IT-beveiliging en digitale soevereiniteit in het algemeen.

Onder de impact van de pandemie moesten bedrijven hun aanpassing aan digitale technologie versnellen, zich richten op toegang op afstand en steeds vaker op de cloud. Dit laatste maakt het mogelijk om onze applicaties en data op remote servers op te slaan, wat het werken op afstand makkelijker maakt, maar de omvang van kwetsbaarheden vergroot. Een rapport van Orange Cyberdefense geeft aan dat dit fenomeen cybercriminelen niet is ontgaan: volgens dit rapport is het aantal cyberaanvallen in 2021 met 13% gestegen. Het is nog niet voorbij. Het is daarom duidelijk dat cloudbeveiliging een groot probleem wordt in een context waarin digitale soevereiniteit steeds meer op de proef wordt gesteld door de kwetsbaarheden van onze informatiesystemen, maar ook door de keuze van oplossingen en hun leveranciers.

Hoe cloud- en cyberbeveiliging met elkaar te verzoenen?

Allereerst is het belangrijk om een ​​speciale beveiligingsaudit uit te voeren. We kunnen het gebruik van standaarden zoals de CIS-standaarden (Center for Internet Security) aanbevelen. Het omvat met name de CIS Critical Security Controls die bestaan ​​uit 18 kerncontroles die moeten worden geïmplementeerd of afhankelijk van de context; De Grondslagen van CIS-normen Dekt meer dan 25 productfamilies, waaronder cloudserviceproviders. Deze normen bieden een lijst met controles en best practices voor de implementatie ervan.

Optie cloudprovider

Aan het begin van de reflectie van het cloudproject komt de selectie van de resource. Maar om het goed te kiezen, met volledige kennis van de wetgeving waaronder het valt, is tegenwoordig niet eenvoudig. Het is belangrijk om rekening te houden met de locatie van gegevensopslag om de vertrouwelijkheid ervan te waarborgen, een van de pijlers van cyberbeveiliging.

Allereerst kan de wetgeving per land of continent verschillen. In Frankrijk en Europa zijn leveranciers onderworpen aan regelgeving zoals de General Data Protection Regulation (GDPR). Voor de VS is er een onbelangrijke federale wet, de Cloud Act genaamd, die de Amerikaanse regering toegang geeft tot alle gegevens die op Amerikaanse bodem worden gehost.

Bovendien hebben sommige leveranciers in Frankrijk, zoals OVH, de classificatie SecNumCloud (Anssi-certificering), wat de naleving van de vereisten garandeert, evenals een bepaald niveau van beveiliging en soevereiniteit. Op Europees niveau plant de EU ook een nieuwe certificering onder de NIS-richtlijn (Network and Information System Security), met als doel regelgeving vast te stellen over de cloud, zijn soevereiniteit en veiligheid.

Het bedrijf kan ook kiezen voor meerdere cloudserviceproviders; Dit wordt multicloud genoemd. Deze aanpak is om verschillende redenen interessant, met name op het gebied van beveiliging: het vermijden van een te grote afhankelijkheid van uw cloudprovider, het verhogen van de beveiliging van uw gegevens door deze op te slaan bij verschillende providers (vooral in het kader van crisismanagement met herstel en bedrijfscontinuïteit), risico’s van uitval van services verminderen en profiteren van de beste services van elke leverancier.

Kies het type wolk

Bij het kiezen van een strategie Ga naar de cloudJe moet je ook afvragen wat voor soort publicatie je wilt doen. Tegenwoordig zijn er verschillende cloudimplementatiemodellen die publiek, privaat, hybride kunnen zijn of, nogmaals, kunnen kiezen voor een multi-cloudbenadering.

Zo kan de keuze voor een hybride cloud, die een private en publieke cloud combineert, het mogelijk maken om een ​​deel van haar applicaties en data op te slaan in een gedeelde cloud met andere bedrijven (public cloud) en ook hun gevoelige applicaties en data op te slaan op een de dedicated cloud van het bedrijf (private cloud).

Het voordeel van een hybride cloud is dat u profiteert van de lagere kosten van de openbare cloud, terwijl u een hoog beveiligingsniveau behoudt voor de meest gevoelige gegevens in de privécloud.

Verzekeringshulpmiddelen

In de cloud zou de beveiliging en de verantwoordelijkheid ervan worden gedeeld tussen de leverancier en het klantbedrijf. De eerste is verantwoordelijk voor het beheer van de infrastructuur (opslag, computer- of netwerkservices), terwijl het klantbedrijf verantwoordelijk is voor het beheer van de beveiliging van alles vóór de beheerder (gast-exploitatiesystemen, gebruikers, applicaties en gegevens).

Daarom is het beheren van toegangsrechten tot apps en gegevens essentieel om hun veiligheid te garanderen. Hiervoor zijn er tools en procedures voor het beheren van identiteiten en toegang in de cloud (CIEM, Beheer van cloudinfrastructuurrechten).

Identiteits- en toegangsbeheertools voor traditionele architecturen (IAM, Identiteits- en toegangsbeheer) zijn over het algemeen niet goed geschikt voor het beschermen van een zeer dynamische cloudinfrastructuur.

in de CSPM-aanpak (Cloudbeveiligingsmodus beheren), kunnen we ook tools kiezen voor het bewaken van bronnen en kwetsbaarheden waarmee CISO’s en hun teams kunnen worden gewaarschuwd voor slechte configuraties en misbruikbare kwetsbaarheden.

Voor ontwikkelaars kun je steeds meer tools vinden: SAST-tools waarmee de broncode kan worden geanalyseerd om kwetsbaarheden te detecteren voordat ze worden geïmplementeerd. Andere oplossingen beheren wachtwoorden, tokens of coderingssleutels voor geheimen in de cloud.

Daarnaast moet ook de keuze van ontwikkelbibliotheken nauwkeurig worden bestudeerd. Daar zullen sommige bedrijven ervoor kiezen om oplossingen te gebruiken om controle te behouden over welke bibliotheken wel of niet beschikbaar zijn voor ontwikkelaars.

Ten slotte moet er bij het opzetten van hun monitoring- en beheertools ook op worden gelet dat ze worden beveiligd. Hackers zijn dol op zijn tools omdat ze directe toegang bieden tot infrastructuurconfiguraties.

Het belang van DevSecOps

Cloud stimuleert, binnen ontwikkelings- en technische operatieteams, een overgang naar een DevOps-aanpak. Zoals elke innovatie introduceert DevOps ook nieuwe risico’s; De casus SolarWinds is hier een goed voorbeeld van en laat zien hoe belangrijk het is om beveiligingsconcepten in deze aanpak op te nemen. Dan hebben we het over DevSecOps.

De DevSecOps Het is dus een aanpak die belangrijk is om te democratiseren; Streeft naar het integreren van beveiliging in de CI/CD-pijplijn (Continuous Integration and Deployment) door middel van tools en procesverbetering, Om de concepten van veiligheid en MenselijkEn Door contact te leggen met ontwikkelteams of door de rollen van ‘beveiligingskampioen’ te integreren.

Kortom, in een zeer gespannen internationale context, vooral met het Russisch-Oekraïense conflict, staat cybersecurity meer dan ooit centraal. Kwesties van digitale soevereiniteit en gegevensbeveiliging in de cloud zijn essentieel om te overwegen.

Om databeveiliging en beschikbaarheid in de cloud te garanderen, is het belangrijk om in de “Go To Cloud”-strategie rekening te houden met veel parameters zoals de locatie van datacenters, toepasselijke wetgeving, leveranciersselectie en cloudtype. Het gebruik van cloudbeveiligingstools en -frameworks en de implementatie van een DevSecOps-aanpak, afhankelijk van de context, zijn belangrijke factoren om in te integreren. Uitgebreide cloudbeveiligingsstrategie.

Leave a Comment