1. Wat is cloudbeveiliging
“Cloud computingbeveiliging, ook wel cloudbeveiliging genoemd, verwijst naar technologieën, beleidslijnen en toepassingen die worden gebruikt om apparaten, diensten, gegevens, toepassingen en infrastructuur te beschermen. Vanuit het perspectief van de klant is de aanpak vaak breder. Wanneer klanten de beveiliging van onze clouddiensten beoordelen, nemen ze niet alleen de clouddienst mee maar ook onze organisatie, interne IT, gebouwen en mensen.
Kijken we naar de pure definitie dan hebben we het over de beveiliging van de cloud computingomgeving. Cloudbeveiliging is bedoeld om de gegevens van onze klanten te beschermen. Als het gaat om de getroffen fysieke apparaten, gaat het meestal om de bescherming van de servers en apparatuur die de gegevens verwerken en opslaan.”
2. Hoe werkt cloudbeveiliging?
“Verschillende maatregelen zorgen voor de beveiliging van een cloudoplossing. Ten eerste worden de servers waarop de gegevens staan, geplaatst in data warehouses waartoe de meeste werknemers geen toegang hebben. Ten tweede worden de bestanden op cloudservers versleuteld. Dit maakt het voor cybercriminelen moeilijker om bij de gegevens te komen. Daarnaast voeren cloudleveranciers regelmatig een aantal beveiligingsmaatregelen uit om klantgegevens te beschermen. Denk aan:
- Regelmatig beveiligingsupdates: auto-patching en kunstmatige intelligentie identificeren mogelijke kwetsbaarheden.
- Beveiligingstests door derden.
- Ingebouwde firewalls.
- Redundantie
Om cloudbeveiliging te laten ‘werken’, is een end-to-end framework nodig met relevante controles voor alle elementen van de levering van een clouddienst. Vaak wordt hiernaar verwezen als een ISMS, (Internet Security Management System). Een ISMS is gebaseerd op een norm zoals ISO 27001. Die norm omvat alles; van ontwikkeling tot productie en is gebaseerd op bekende beveiligingsstandaarden voor veilige ontwikkeling, testen en operaties.”
3. Hoe veilig zijn cloud-oplossingen?
“De beveiliging van een cloudoplossing hangt af van de kwaliteit van de dienst. Mensen zijn geneigd te denken dat online bankieren veilig is, omdat banken moeten voldoen aan strenge eisen. Er zijn vele redenen waarom cloudoplossingen vaak veiliger zijn dan traditionele lokaal geïnstalleerde software. Het gebruik van een cloudprovider betekent bijvoorbeeld dat de servers, waarop de gegevens van klanten staan, continu worden voorzien van de nieuwste beveiligingsmaatregelen. Deze servers hebben ingebouwde firewalls, auto-patching en krijgen beveiligingstests door derden. Dit is zeer specialistisch werk. Als je in de private cloud werkt, ben je zelf verantwoordelijk hiervoor en moet je deze kennis in huis hebben.”
4. Wat zijn veel voorkomende veiligheidsrisico’s van de cloud?
Er zijn veel risico’s waarmee ontwikkelaars van cloudoplossingen rekening moeten houden. De meest voor de hand liggende is het beveiligen van de fysieke gegevensopslag tegen indringers. Dat is het ‘eenvoudige’ deel. Het moeilijke deel is het ontwikkelen van software zonder ernstige kwetsbaarheden waar cybercriminelen misbruik van kunnen maken. Een cloudoplossing is meestal ook afhankelijk van codecomponenten van derden. Controle van de code van derden is een standaardmaatregel bij cloudbeveiliging.
Normaal gesproken vallen cloudbeveiligingsproblemen in twee categorieën: beveiligingsproblemen bij cloudaanbieders en beveiligingsproblemen bij hun klanten.
5. Wie is waarvoor verantwoordelijk bij cloudbeveiliging?
“De cloudaanbieder is verantwoordelijk voor een veilige infrastructuur en gegevensbescherming van zijn klanten. De afnemer van de clouddienst is verantwoordelijk voor het gebruik van sterke wachtwoorden en authenticatie.
Cloudaanbieders voeren achtergrondcontroles uit voor de medewerkers die toegang hebben tot de servers in het datacenter. Een cloudaanbieder moet de datacenters ook regelmatig controleren op verdachte activiteiten. Als de leverancier gegevens van meer dan één klant op dezelfde server opslaat, moet hij ook zorgen voor logische opslagscheiding en gegevensisolatie.”
6. Wat is het verschil tussen een private en een public cloud in termen van beveiliging?
“In een private cloud is de levering meestal op maat te maken, maar in een public cloud is het een “one size fits all”-levering. De publieke cloud is niet minder veilig dan de private cloud. Bij cloud computing-diensten die publieke cloudproviders leveren, worden gegevens en toepassingen gehost bij een derde partij in plaats van binnen een zelf gecontroleerd netwerk zoals bij traditionele IT.”
7. Wat is het verschil tussen cloudbeveiliging en cyberbeveiliging?
“Voor de meeste klanten zal dat hetzelfde zijn. Voor beveiligingsprofessionals is het verschil een kwestie van definitie. Cyberbeveiliging bestrijkt een breder terrein dan cloudbeveiliging. Cloudbeveiliging kan je terugbrengen tot het beveiligen van de gegevens in de cloud.”
Cloud beveiliging en gegevensbeveiliging is topprioriteit voor Visma. Onze beveiligingsspecialisten gebruiken de meest geavanceerde tools om software en data veilig te houden. Benieuwd naar de laatste ontwikkelingen, volg dan de security blog. Hier vind je ook interessante online evenementen over het veilig houden van cloudapplicaties en gegevens.
