- Cloud Security is een Gedeelde Verantwoordelijkheid
- The Top 7 Advanced Cloud Security Challenges
- Verhoogd aanvalsoppervlak
- Lack of Visibility and Tracking
- Wisselende workloads
- DevOps, DevSecOps en automatisering
- Granulaire privilege- en sleutelbeheer
- Complexe omgevingen
- Cloud Compliance en Governance
- Zero Trust en waarom u het moet omarmen
- De 6 pijlers van robuuste cloudbeveiliging
- Granulaire, beleidsgebaseerde IAM- en authenticatiecontroles binnen complexe infrastructuren
- Zero-trust cloudnetwerkbeveiligingscontroles over logisch geïsoleerde netwerken en microsegmenten
- Handhaving van beleid en processen voor de bescherming van virtuele servers, zoals wijzigingsbeheer en software-updates:
- Bescherming van alle applicaties (en met name cloud-native gedistribueerde apps) met een next-generation web application firewall
- Geavanceerde gegevensbescherming
- Bedreigingsinformatie waarmee bekende en onbekende bedreigingen in realtime worden gedetecteerd en hersteld
- Lees meer over Check Point CloudGuard-oplossingen
- Check Point Unified Cloud Security-oplossingen
Cloud Security is een Gedeelde Verantwoordelijkheid
Cloud Security is een verantwoordelijkheid die wordt gedeeld tussen de cloudaanbieder en de klant. Er zijn in principe drie categorieën van verantwoordelijkheden in het Shared Responsibility Model: verantwoordelijkheden die altijd van de aanbieder zijn, verantwoordelijkheden die altijd van de afnemer zijn, en verantwoordelijkheden die variëren afhankelijk van het dienstenmodel: Infrastructure as a Service (IaaS), Platform as a Service (PaaS), of Software as a Service (SaaS), zoals cloud e-mail.
De beveiligingsverantwoordelijkheden die altijd bij de aanbieder liggen, hebben betrekking op de beveiliging van de infrastructuur zelf, evenals de toegang tot, patching en configuratie van de fysieke hosts en het fysieke netwerk waarop de compute instances draaien en de opslag en andere bronnen zich bevinden.
De beveiligingsverantwoordelijkheden die altijd bij de klant liggen, omvatten het beheer van gebruikers en hun toegangsrechten (identiteits- en toegangsbeheer), de beveiliging van cloudaccounts tegen ongeautoriseerde toegang, de versleuteling en bescherming van cloudgebaseerde gegevensactiva, en het beheer van de beveiligingsstatus (compliance).
The Top 7 Advanced Cloud Security Challenges
Omdat de publieke cloud geen duidelijke perimeters heeft, presenteert deze een fundamenteel andere beveiligingsrealiteit. Dit wordt nog uitdagender wanneer moderne cloudbenaderingen worden toegepast, zoals geautomatiseerde Continuous Integration en Continuous Deployment (CI/CD)-methoden, gedistribueerde serverloze architecturen en efemere middelen zoals Functions as a Service en containers.
Enkele van de geavanceerde cloud-native beveiligingsuitdagingen en de meerdere risicolagen waarmee de cloudgeoriënteerde organisaties van vandaag worden geconfronteerd, zijn:
-
Verhoogd aanvalsoppervlak
De publieke cloudomgeving is een groot en zeer aantrekkelijk aanvalsoppervlak geworden voor hackers die slecht beveiligde cloud-ingangspoorten exploiteren om toegang te krijgen tot en verstoring te veroorzaken van werklasten en gegevens in de cloud. Malware, Zero-Day, Account Takeover en vele andere kwaadaardige bedreigingen zijn een dagelijkse realiteit geworden.
-
Lack of Visibility and Tracking
In het IaaS-model hebben de cloudaanbieders de volledige controle over de infrastructuurlaag en stellen ze deze niet bloot aan hun klanten. Het gebrek aan zichtbaarheid en controle wordt verder uitgebreid in de PaaS- en SaaS-cloudmodellen. Cloudklanten kunnen hun cloudactiva vaak niet effectief identificeren en kwantificeren of hun cloudomgeving visualiseren.
-
Wisselende workloads
Cloudactiva worden dynamisch beschikbaar gesteld en buiten gebruik gesteld – op schaal en met hoge snelheid. Traditionele beveiligingstools zijn eenvoudigweg niet in staat om beschermingsbeleid af te dwingen in zo’n flexibele en dynamische omgeving met zijn steeds veranderende en kortstondige werkbelasting.
-
DevOps, DevSecOps en automatisering
Organisaties die de sterk geautomatiseerde DevOps CI/CD-cultuur hebben omarmd, moeten ervoor zorgen dat passende beveiligingscontroles al vroeg in de ontwikkelingscyclus worden geïdentificeerd en in code en sjablonen worden opgenomen. Beveiligingsgerelateerde wijzigingen die worden doorgevoerd nadat een werklast in productie is genomen, kunnen de beveiligingspositie van de organisatie ondermijnen en de time-to-market verlengen.
-
Granulaire privilege- en sleutelbeheer
Vaak worden gebruikersrollen in de cloud zeer losjes geconfigureerd, waarbij uitgebreide privileges worden toegekend die verder gaan dan bedoeld of vereist is. Een veel voorkomend voorbeeld is het geven van database verwijder- of schrijfrechten aan ongetrainde gebruikers of gebruikers die geen zakelijke noodzaak hebben om database assets te verwijderen of toe te voegen. Op applicatieniveau stellen onjuist geconfigureerde sleutels en privileges sessies bloot aan beveiligingsrisico’s.
-
Complexe omgevingen
Het beheren van beveiliging op een consistente manier in de hybride en multicloud-omgevingen waar ondernemingen tegenwoordig de voorkeur aan geven, vereist methoden en tools die naadloos werken tussen publieke cloudproviders, private cloudproviders en on-premise implementaties – inclusief randbeveiliging voor filialen van geografisch verspreide organisaties.
-
Cloud Compliance en Governance
Alle toonaangevende cloudproviders hebben zich aangesloten bij de meeste bekende accreditatieprogramma’s, zoals PCI 3.2, NIST 800-53, HIPAA en GDPR. Klanten zijn er echter verantwoordelijk voor dat hun workload en dataprocessen compliant zijn. Gezien de slechte zichtbaarheid en de dynamiek van de cloudomgeving, wordt het compliance-auditproces bijna onmogelijk, tenzij tools worden gebruikt om continue compliance-controles uit te voeren en real-time waarschuwingen af te geven over misconfiguraties.
Zero Trust en waarom u het moet omarmen
De term Zero Trust werd voor het eerst geïntroduceerd in 2010 door John Kindervag, die op dat moment een senior Forrester Research-analist was. Het basisprincipe van Zero Trust in cloudbeveiliging is om niemand of niets binnen of buiten het netwerk automatisch te vertrouwen, en alles te verifiëren (d.w.z. autoriseren, inspecteren en beveiligen).
Zero Trust bevordert bijvoorbeeld een least privilege governance-strategie waarbij gebruikers alleen toegang krijgen tot de bronnen die ze nodig hebben om hun taken uit te voeren. Evenzo worden ontwikkelaars opgeroepen ervoor te zorgen dat webtoepassingen goed beveiligd zijn. Als de ontwikkelaar bijvoorbeeld poorten niet consequent heeft geblokkeerd of geen machtigingen heeft geïmplementeerd op een “naar behoefte”-basis, zal een hacker die de applicatie overneemt, privileges hebben om gegevens uit de database op te halen en te wijzigen.
Bovendien maken Zero Trust-netwerken gebruik van micro-segmentatie om de beveiliging van cloud-netwerken veel granulairder te maken. Micro-segmentatie creëert veilige zones in datacenters en cloud-implementaties, waardoor workloads van elkaar worden gescheiden, alles binnen de zone wordt beveiligd en beleidsregels worden toegepast om verkeer tussen zones te beveiligen.
De 6 pijlers van robuuste cloudbeveiliging
Weliswaar bieden cloudproviders als Amazon Web Services (AWS), Microsoft Azure (Azure) en Google Cloud Platform (GCP) veel cloud-native beveiligingsfuncties en -diensten, maar aanvullende oplossingen van derden zijn essentieel om enterprise-grade bescherming van cloudworkloads tegen inbreuken, datalekken en gerichte aanvallen in de cloudomgeving te realiseren. Alleen een geïntegreerde cloud-native/ third-party beveiligingsstack biedt de gecentraliseerde zichtbaarheid en beleidsgebaseerde granulaire controle die nodig zijn om de volgende best practices in de branche te leveren:
-
Granulaire, beleidsgebaseerde IAM- en authenticatiecontroles binnen complexe infrastructuren
Werk met groepen en rollen in plaats van op het individuele IAM-niveau om het eenvoudiger te maken IAM-definities bij te werken wanneer de bedrijfsvereisten veranderen. Verleen alleen de minimale toegangsprivileges tot bedrijfsmiddelen en API’s die essentieel zijn voor een groep of rol om zijn taken uit te voeren. Hoe uitgebreider de privileges, hoe hoger de authenticatieniveaus. En verwaarloos een goede IAM-hygiëne niet, zoals het afdwingen van een sterk wachtwoordbeleid, time-outs voor rechten, enzovoort.
-
Zero-trust cloudnetwerkbeveiligingscontroles over logisch geïsoleerde netwerken en microsegmenten
Deployeer bedrijfskritische resources en apps in logisch geïsoleerde secties van het cloudnetwerk van de provider, zoals Virtual Private Clouds (AWS en Google) of vNET (Azure). Gebruik subnetten om workloads op microniveau van elkaar te scheiden, met granulaire beveiligingsbeleidsregels bij subnet-gateways. Gebruik dedicated WAN-links in hybride architecturen, en gebruik statische, door de gebruiker gedefinieerde routeringsconfiguraties om de toegang tot virtuele apparaten, virtuele netwerken en hun gateways, en openbare IP-adressen aan te passen.
-
Handhaving van beleid en processen voor de bescherming van virtuele servers, zoals wijzigingsbeheer en software-updates:
Cloudbeveiligingsleveranciers bieden robuust Cloud Security Posture Management, waarbij governance- en compliance-regels en sjablonen consequent worden toegepast bij het provisionen van virtuele servers, audits worden uitgevoerd voor configuratieafwijkingen en waar mogelijk automatisch worden hersteld.
-
Bescherming van alle applicaties (en met name cloud-native gedistribueerde apps) met een next-generation web application firewall
Deze inspecteert en controleert op granulaire wijze het verkeer van en naar webapplicatieservers, werkt WAF-regels automatisch bij in reactie op veranderingen in het verkeersgedrag, en wordt dichter bij microservices ingezet waarop workloads worden uitgevoerd.
-
Geavanceerde gegevensbescherming
Geavanceerde gegevensbescherming met versleuteling op alle transportlagen, beveiligde fileshares en communicatie, doorlopend compliance-risicobeheer, en het handhaven van een goede hygiëne van gegevensopslagbronnen, zoals het detecteren van verkeerd geconfigureerde buckets en het beëindigen van weesbronnen.
-
Bedreigingsinformatie waarmee bekende en onbekende bedreigingen in realtime worden gedetecteerd en hersteld
Derde leveranciers van cloudbeveiliging voegen context toe aan de grote en diverse stromen cloud-native logs door op intelligente wijze geaggregeerde loggegevens te vergelijken met interne gegevens, zoals systemen voor activabeheer en configuratiebeheer, kwetsbaarheidsscanners, enz. en externe gegevens, zoals openbare bedreigingsinformatiefeeds, geolocatiedatabases, enz. Ze bieden ook tools waarmee het bedreigingslandschap kan worden gevisualiseerd en bevraagd en snellere reactietijden bij incidenten kunnen worden bevorderd. AI-gebaseerde algoritmen voor anomaliedetectie worden toegepast om onbekende bedreigingen op te sporen, die vervolgens aan een forensische analyse worden onderworpen om hun risicoprofiel te bepalen. Real-time waarschuwingen over inbraken en schendingen van beleidslijnen verkorten de tijd die nodig is voor herstel, waarbij soms zelfs auto-remediation workflows worden geactiveerd.
Lees meer over Check Point CloudGuard-oplossingen
Het uniforme CloudGuard-platform voor cloudbeveiliging van Check Point integreert naadloos met de cloud-native beveiligingsdiensten van providers om ervoor te zorgen dat cloudgebruikers zich houden aan hun deel van het Shared Responsibility Model en een Zero Trust-beleid handhaven voor alle pijlers van cloudbeveiliging: toegangscontrole, netwerkbeveiliging, compliance met virtuele servers, bescherming van werklasten en gegevens, en bedreigingsinformatie.
Check Point Unified Cloud Security-oplossingen
- Cloud Native Cloud Security-oplossingen
- Cloud Security Posture Management
- Cloud Workload Protection
- Cloud Intelligence en Threat Hunting
- Cloud Network Security
- Serverless Security
- Container Security
- AWS Security
- Azure Security
- GCP Security
- Branch Cloud Security
