Al enige tijd onderscheiden we drie megatrends in technologie met een diepe en blijvende impact op de beveiligingspraktijk; het Zijn Tidal Forces. Een getijde stroom waar niet gemakkelijk tegenin te zwemmen is.

• De endpoints verschillen van vroeger en zijn vaak veiliger en minder open. Met de huidige hardening van besturingssystemen, aangevuld met het minder open maar veiligere model van Apple’s iOS, dan zijn de kosten voor het beheer van endpoints wel veel hoger geworden.
• Software as a Service (SaaS) is de nieuwe backoffice. Organisaties blijven steeds meer van hun bedrijfsapplicaties in SaaS drukken – met name functies zoals documentmanagement, CRM en ERP zolang die niet essentieel zijn voor het primaire bedrijfsproces.
• Infrastructure as a Service (IaaS) is het nieuwe datacenter. De groei van publieke IaaS heeft zelfs de positiefste verwachtingen overtroffen. Het is de thuisbasis van de meeste nieuwe applicaties en een groot aantal organisaties verschuift hun bestaande applicatiestack naar IaaS – zelfs als het niets opleverd.

Tidal Forces van SaaS en Cloud

Het fundamentele werking van het “Tidal Forces” concept is dat Deze trends zich gedragen als zwaartekrachtbronnen. We worden allemaal onverbiddelijk naar hen toe getrokken, met een versnelling naarmate we dichterbij komen – totdat we desintegreren omdat sommige delen van de organisatie sneller bewegen en andere achterblijven. Het infrastructuurteam en het securityteam moeten proberen beide uiteinden van het spectrum te managen.

Deze migratie van de backoffice naar een steeds groter wordende melange van externe services heeft vele praktische securitygevolgen. Het is meer dan alleen fysiek de controle verliezen. De verschillende services hebben verschillende opties en ze vragen allemaal om nieuwe modellen, hulpmiddelen en technieken voor het beheersen van de security. Hoe harder je probeert om de lessen uit het verleden in de toekomst te implementeren, hoe pijnlijker de overgang wordt. Niet dat we al onze kennis en vaardigheden weggooien, maar we moeten ze vertalen zodat we veiligheid kunnen bieden in de nieuwe omgeving.

Hoe de SaaS-transitie de veiligheid beïnvloedt

Als je de meest gevoelige data verplaatst naar een externe provider, vervalt de illusie dat fysieke controle er iets toe doet. Maar deze verschuiving ontslaat je niet van de veiligheidsverantwoordelijkheden. De transitie creëert zowel voordelen als uitdagingen, met een breed scala aan variaties.

De grootste uitdaging met Software as a Service is het enorme aantal opties van zelfs vergelijkbare providers. Sommige vooraanstaande SaaS-providers begrijpen dat grote beveiligingsincidenten bedreigingen voor voortbestaan van hun bedrijf zijn, dus investeren ze veel in beveiligingsopties en functies. Andere bedrijven zijn snel bewegende startups die meer om klantverwerving geven dan om klantveiligheid – maar uiteindelijk zullen ze het pijnlijk leren. Afgezien van hun verschillen in beveiliging, zijn deze services allemaal externe oplossingen, ieder met zijn eigen interne beveiligingsmodellen en -opties die moeten worden beheerd. Risicobeoordeling en platformkennis zijn hoge prioriteiten voor beveiligingsteams die SaaS beheren.

Het helpt niet dat deze platformen allemaal internet toegankelijk zijn. Wat inhoudt dat je data dat ook kan zijn als je de platformen niet goed configureert. Alle standaard services hebben security opties, maar het nieuws is gevuld met systemen die gehackt zijn.

Vervangers voor bestaande security tools

Bestaande tools en technieken zijn zelden direct in de cloud toe te passen. Je beheert geen firewall – in plaats daarvan moet je vertrouwen op identiteitsbeheer – en zowat alle traditionele controletools breken. Overweeg bijvoorbeeld logmanagement voor monitoring en incidentrespons. Over het algemeen heb je alleen toegang tot de logboeken van het cloudplatform, als ze er al zijn. En dan zijn ze hoogstwaarschijnlijk in een aangepaste indeling en alleen toegankelijk via een API binnen de interface van de cloudprovider.

Voor sommigen is compliance het meest belangrijk. Je bent volledig afhankelijk van de compliance van je SaaS-provider en dan moet je voor zorgen dat je alles correct configureert en gebruikt. Met IaaS kunnen we een aantal van deze beperkingen omzeilen, maar met SaaS is dat meestal geen optie. Als een provider baseline-compliance biedt ten op zichte van een regelgeving of standaard, noemen we dat compliance-overerving, maar dat betekent alleen dat hun baseline compliant is.

Risicomanagement moet voorop staan

Iedere nieuwe technologie kent zijn compromissen. Uiteindelijk is het de taak van de beveiligingsdeskundigen om te beslissen of een keuze een netto verbetering of verslechtering van risico’s oplevert, en hoe deze risico’s het best kunnen worden beperkt tot het niveau dat de organisatie eist. De cloud biedt enorme potentiële beveiligingsvoordelen – met name het uitbesteden van applicaties en data aan providers met een sterke motivatie om deze te beveiligen – maar we moeten de juiste provider selecteren, de juiste configuratie bepalen en de juiste beveiligingsprocessen en -hulpmiddelen gebruiken om alles te managen.

Discusseer mee op LinkedIn.

Boeken over dit onderwerp

-- Printbare PDF-versie --