IDC voorspelt dat volgend jaar ruim 90 procent van de bedrijven wereldwijd gebruikmaakt van een hybride cloud. Hierin wordt clouddienstverlening gecombineerd met on-premises IT. Maar hoe zorgt u ervoor dat de security in beide ‘werelden’ op het juiste niveau is?
Dit was ook een van de vragen die werden gesteld tijdens KPN’s NLSecure[ID] September Edition. Het antwoord volgde tijdens de Blue Track met CTO Robbert Kelder van Microsoft-partner InSpark en Jan-Paul Oosterom, bij Microsoft Global Tech Strategy Lead – Zero Trust.
Bekijk hier de NLSecure[ID] 2021 aftermovie of schrijf je snel in voor de volgende editie van NLSecure[ID]!
Geïntegreerde aanpak
“In de cloud richt je je security op een heel andere manier in dan on-premises. Wellicht gebruik je zelfs andere technologieën”, vertelt Oosterom na afloop van het evenement. “Maar het is wel belangrijk dat die verschillende aanpakken samenkomen, zodat je er vanuit één strategie en omgeving de controle over kunt behouden.”
“Als je de security van de workloads in de cloud en on-premises niet integraal benadert, dan creëer je blinde vlekken en mis je de inzichten die je wel nodig hebt om kwetsbaarheden snel te mitigeren”, waarschuwt Kelder. Samen met Oosterom beschrijft hij een aantal stappen om te komen tot een integrale security:
1. Begin met een plan
Volgens Kelder en Oosterom begint die integrale benadering bij het opstellen van een plan van aanpak, een ‘overkoepelend programma’. Oosterom: “Je kunt alle securitymaatregelen inzetten die er zijn en bij wijze van spreken vijf veiligheidsgordels dragen, maar dat draagt wellicht niet bij aan de veiligheidsdoelstellingen die je als bedrijf hebt. Om te kunnen bepalen wat de juiste controls zijn, moet je eerst weten waar de kroonjuwelen zitten.”
“Je moet op de eerste plaats een goed beeld hebben van je business en de risico’s”, verduidelijkt de Global Tech Strategy Lead van Microsoft. “Welke bedreigingen komen er op me af, nu en in de toekomst? En je moet weten waar je data staan, om wat voor data het gaat en hoe sensitief ze zijn.”
2. Richt de architectuur in
“Als de uitkomsten van het risico-assessment duidelijk zijn, maak je de technische keuzes die aansluiten bij het plan”, zegt Kelder. Die technische inrichting is door de invloed van cloud de afgelopen jaren wel veranderd. Oosterom: “Het fort met de dikke muren laten we langzaam los. En onderwerpen als identity, applicatiebeveiliging en devicemanagement worden steeds belangrijker. In de cloud kunnen mensen overal werken. Waar iemand werkt, met welk device en via welk netwerk zijn dan factoren die het risicoprofiel beïnvloeden. En op basis van het risicoprofiel geef je iemand wel of niet toegang tot bepaalde resources.”
Oosterom refereert hiermee aan het zero-trustmodel waarin niets of niemand standaard wordt vertrouwd. Voordat toegang wordt verleend, wordt eerst gecontroleerd wie en wat verbinding probeert te maken. Multifactorauthenticatie (MFA) is daarbij een effectieve manier om de identiteit van de gebruikers te verifiëren. “En ook Single Sign-on zorgt voor extra veiligheid. Hoe minder vaak je een wachtwoord hoeft in te voeren, hoe kleiner de kans dat criminelen een wachtwoord afvangen. Microsoft kijkt ook altijd of een verandering in het risicoprofiel aanleiding is om de toegang te blokkeren, nog een keer MFA af te dwingen of de toegang te beperken tot bijvoorbeeld read-only access. Dit noemen we conditional access.”
Kelder merkt op dat ook de manier van securitymonitoring de afgelopen jaren is veranderd. “Waar organisaties voorheen vooral reactief handelden, gaan we nu met Extended Detection and Response (XDR) veel proactiever te werk. Je wacht niet meer tot het alarmbelletje afgaat, maar beschermt workloads on-premises en in de cloud aan de hand van usecases. Je zoekt continu op de zaken die je in de gaten wilt houden, houdt de logging die daaruit voorkomt in de gaten en remedieert kwetsbaarheden proactief”
Whitepaper: The future of networking
Verslim ook jouw netwerk. Lees onze visie, bekijk de 3 cases en ontdek hoe KPN je helpt met jouw connectiviteit.
Download3. Benut de beschikbare tools
Of het nu gaat om het hardenen van identiteiten, applicatiebeveiliging of devicemanagement, volgens Kelder zijn er in de cloud steeds meer tools beschikbaar. “De middelen om security op een hoog niveau in te richten, zijn er gewoon. Ook voor de on-premises workloads. En ze bieden vaak meer inzichten dan de traditionele on-premises beveiligingsoplossingen.”
“Het gaat erom dat je die tools op de juiste manier inricht en ook iets doet met de inzichten en de aanbevelingen die je vanuit de tooling krijgt”, merkt de CTO van KPN-dochter InSpark op. “Dan moet je als bedrijf goed nadenken of je dat allemaal zelf doet, of alles uitbesteedt. Of gaat voor een combinatie van zelf doen en uitbesteden. In het laatste geval kan een intern team dat het bedrijf goed kent helpen bij het bepalen van de risico’s en dreigingen en de resources die nodig zijn om risico’s te mitigeren.”
“Zeker kleinere organisaties zullen steeds vaker vertrouwen op partijen in de markt”, besluit Oosterom. “Bedenk wel dat er altijd een verantwoordelijkheid is die nooit helemaal is uit te besteden. Een organisatie weet zelf als geen ander welke workloads kritisch zijn, en blijft zelf dan ook verantwoordelijk voor bijvoorbeeld de data, de privacy van de klanten en voor alles wat een IT-partij voor je bepaalt of doet. Een cloudprovider kan onder andere het beveiligen van data makkelijker maken, maar je moet het wel zelf doen.”
