Op de cloud gebaseerde IT-systemen vervullen belangrijke functies in bijna elke moderne industrie. Bedrijven, non-profitorganisaties, overheden en zelfs onderwijsinstellingen gebruiken de cloud om het marktbereik te vergroten, de prestaties te analyseren, personeel te beheren en betere diensten aan te bieden. Vanzelfsprekend is effectieve cloud security governance essentieel voor elke entiteit die de vruchten van distributed IT wil plukken.
Zoals elk IT-domein heeft cloud computing unieke beveiligingsproblemen. Hoewel het hele idee om gegevens veilig te houden in de cloud al lang als een onmogelijke tegenstrijdigheid wordt beschouwd, onthullen wijdverspreide industriële praktijken talloze technieken die zorgen voor effectieve cloudbeveiliging. Zoals commerciële cloudproviders zoals Amazon AWS hebben aangetoond door FedRAMP-compliance te handhaven, is effectieve cloudbeveiliging zowel haalbaar als praktisch in de echte wereld.
$config[code] not foundEen Impactful Security Roadmap in kaart brengen
Geen enkel IT-beveiligingsproject kan functioneren zonder een solide plan. Praktijken waarbij de cloud is betrokken, moeten variëren in overeenstemming met de domeinen en implementaties die ze willen beschermen.
Stel dat een lokale overheidsinstantie een bring your own device of BYOD-beleid instelt. Het kan zijn dat andere controlemaatregelen moeten worden getroffen dan wanneer het simpelweg onmogelijk zou zijn voor werknemers om toegang te krijgen tot het organisatienetwerk met hun persoonlijke smartphones, laptops en tablets. Evenzo zal een bedrijf dat zijn gegevens toegankelijker wil maken voor geautoriseerde gebruikers door het in de cloud op te slaan, waarschijnlijk andere stappen moeten nemen om de toegang te bewaken dan wanneer het zijn eigen databases en fysieke servers zou onderhouden.
Dit wil niet zeggen, zoals sommigen hebben gesuggereerd, dat het met succes beveiligen van de cloud minder waarschijnlijk is dan het onderhouden van de beveiliging op een privé-LAN. De ervaring heeft geleerd dat de effectiviteit van verschillende cloudbeveiligingsmaatregelen afhangt van hoe goed ze zich houden aan bepaalde bewezen methodologieën. Voor cloudproducten en -services die overheidsgegevens en -activa gebruiken, worden deze best practices gedefinieerd als onderdeel van het Federal Risk and Authorization Management-programma of FedRAMP.
Wat is het Federal Risk and Authorization Management-programma?
Het Federal Risk and Authorization Management-programma is een officieel proces dat door federale instanties wordt gebruikt om de effectiviteit van cloud computing-services en -producten te beoordelen. Aan de basis liggen normen die zijn vastgelegd door het National Institute for Standards and Technology, of NIST, in verschillende speciale publicaties, of SP, en federale informatieverwerkingsnormen of FIPS-documenten. Deze standaarden zijn gericht op effectieve cloudgebaseerde beveiliging.
Het programma biedt richtlijnen voor veel voorkomende cloudbeveiligingstaken. Deze omvatten het afhandelen van incidenten, het gebruik van forensische technieken om inbreuken te onderzoeken, het plannen van onvoorziene omstandigheden om de beschikbaarheid van resources te behouden en het beheersen van risico's. Het programma bevat ook accreditatieprotocollen voor de derde accreditatie-organisaties, of 3PAO's, die cloud-implementaties beoordelen op een case-by-case basis. Het onderhouden van 3PAO-gecertificeerde naleving is een zeker teken dat een IT-integrator of -provider bereid is om informatie veilig te houden in de cloud.
Effectieve beveiligingspraktijken
Dus hoe houden bedrijven gegevens veilig met commerciële cloudproviders? Hoewel er ontelbare belangrijke technieken zijn, zijn er hier een paar die de moeite van het vermelden waard zijn:
Provider verificatie
Sterke werkrelaties zijn gebouwd op vertrouwen, maar die goede trouw moet ergens vandaan komen. Ongeacht hoe goed een cloudprovider is, het is belangrijk dat gebruikers hun compliance- en beheerpraktijken verifiëren.
De IT-beveiligingsstandaarden van de overheid omvatten meestal auditing- en scorestrategieën. Het controleren van de prestaties uit het verleden van uw cloudprovider is een goede manier om vast te stellen of ze uw toekomstige bedrijf waardig zijn. Personen met.gov- en.mil-e-mailadressen kunnen ook toegang krijgen tot FedRAMP-beveiligingspakketten die aan verschillende providers zijn gekoppeld om hun complianceclaims te bevestigen.
Neem een proactieve rol aan
Hoewel diensten zoals Amazon AWS en Microsoft Azure beweren dat ze zich aan gevestigde standaarden houden, heeft uitgebreide cloudveiligheid meer dan één partij nodig. Afhankelijk van het cloudservicepakket dat u aanschaft, moet u mogelijk de uitvoering van bepaalde essentiële functies door uw provider laten uitvoeren of hen adviseren dat zij specifieke beveiligingsprocedures moeten volgen.
Als u bijvoorbeeld een fabrikant van medische apparaten bent, kunnen wetten zoals de Health Insurance Portability and Accountability Act of HIPAA, u verplichten extra stappen te nemen om de gezondheidsgegevens van consumenten te beschermen. Deze vereisten bestaan vaak onafhankelijk van wat uw provider moet doen om zijn Federal Risk en Authorization Management Program-certificering te behouden.
U bent ten enen male alleen verantwoordelijk voor het onderhouden van beveiligingspraktijken die betrekking hebben op uw organisatorische interactie met cloudsystemen. U moet bijvoorbeeld een veilig wachtwoordbeleid instellen voor uw personeel en klanten. Als u de bal op uw kant laat vallen, kan dit zelfs de meest effectieve cloudbeveiligingsimplementatie in gevaar brengen, dus neem nu de verantwoordelijkheid op zich.
Wat u met uw cloudservices doet, heeft uiteindelijk invloed op de effectiviteit van hun beveiligingsfuncties. Uw werknemers kunnen om praktische redenen schaduwprogramma's uitvoeren, zoals het delen van documenten via Skype of Gmail, maar deze ogenschijnlijk onschadelijke handelingen kunnen uw zorgvuldig opgebouwde plannen voor cloudbescherming belemmeren. Naast het trainen van personeel om geautoriseerde services correct te gebruiken, moet u hen leren valkuilen te vermijden met betrekking tot niet-officiële gegevensstromen.
Begrijp de voorwaarden van uw cloudservice om risico's te beheersen
Als u uw gegevens in de cloud host, hoeft u niet noodzakelijkerwijs dezelfde rechten te krijgen als bij opslag op eigen risico. Sommige providers behouden het recht om uw inhoud te trawlen, zodat ze advertenties kunnen weergeven of uw gebruik van hun producten kunnen analyseren. Anderen moeten mogelijk uw gegevens raadplegen tijdens het bieden van technische ondersteuning.
In sommige gevallen is blootstelling aan gegevens geen groot probleem. Wanneer u echter te maken hebt met persoonlijk identificeerbare consumenteninformatie of betalingsgegevens, kunt u gemakkelijk zien hoe toegang van derden tot rampen kan leiden.
Het is misschien onmogelijk om alle toegang tot een systeem of database op afstand volledig te voorkomen. Desalniettemin houdt het werken met providers die auditrecords en logboeken voor systeemtoegang vrijgeven, u op de hoogte of uw gegevens veilig worden onderhouden. Dergelijke kennis helpt bij het helpen van entiteiten om de negatieve gevolgen van eventuele inbreuken te verzachten.
Veronderstel nooit dat beveiliging een eenmalige aangelegenheid is
De meest intelligente mensen veranderen hun persoonlijke wachtwoorden regelmatig. Moet je niet net zo ijverig zijn over cloudgebaseerde IT-beveiliging?
Ongeacht hoe vaak de nalevingsstrategie van uw provider bepaalt dat zij zelfaudits uitvoeren, moet u uw eigen reeks normen voor routinebeoordelingen definiëren of toepassen. Als u ook gebonden bent aan de nalevingsvereisten, moet u een streng regime volgen dat ervoor zorgt dat u aan uw verplichtingen kunt voldoen, zelfs als uw cloudprovider dit niet consequent doet.
Cloudbeveiligingsimplementaties maken die werken
Effectieve cloudbeveiliging is geen mystieke stad die voor altijd buiten de horizon ligt. Omdat het een goed ingeburgerd proces is, ligt het binnen het bereik van de meeste IT-servicegebruikers en -providers, ongeacht de normen waaraan ze voldoen.
Door de in dit artikel geschetste praktijken aan uw doelen aan te passen, is het mogelijk om beveiligingsnormen te bereiken en te handhaven die uw gegevens veilig houden zonder de operationele overhead drastisch te verhogen.
Afbeelding: SpinSys
1 Reactie ▼
