Waarom workloads beschermen in de cloud niet je prioriteit is

Op CPX zet Check Point zijn capaciteiten in de verf om workloads zoals containers en serverless-functies te beschermen. “Cool”, klinkt het bij het bedrijf zelf, “maar zorg er eerst maar eens voor dat je omgeving juist geconfigureerd is.”

De Isrealische beveiligingsspecialist Check Point pakt op CPX in Wenen uit met zijn Cloudguard-portfolio. Met dat product kunnen klanten onder andere hun workloads in de cloud beveiligen. Zohar Alon, die aan het hoofd staat van de clouddivisie, legt uit wat dat betekent. “We laten ontwikkelaars toe om erg eenvoudig runtime-bescherming toe te voegen aan onder andere containers of serverless-functies. Met een druk op de knop is het een optie om een blokje code met de juiste API-commands aan een workload toe te voegen en die te beveiligen.”

De code laat Check Point toe om te kijken wat er gebeurt binnen de workload. “Met welke data gaat bijvoorbeeld een Lambda-functie aan de slag, en wat gebeurt er met die gegevens?” Zo wordt de workload inherent veilig, waar die ook draait. De aanpak is een preview van wat Check Point Infinity Next noemt: een breed geconsolideerd platform, waarmee de beveiligingsspecialist letterlijk alles wil beveiligen, van netwerk en endpoints over cloud en workloads tot zelfs IoT. De aanpak spreekt tot de verbeelding vindt ook Alon, maar we mogen niet te hard van stapel lopen.

Bescherming voor gevorderden

De workloadbescherming is volgens hem maar nuttig in ongeveer één procent van de cloudgerelateerde aanvallen. Dat komt niet omdat ze inneficiënt is, wel omdat aanvallen op workloads complex zijn en hackers veel eenvoudigere alternatieven ter beschikking hebben. “95 procent tot zelfs 99 procent van de incidenten is het gevolg van misconfiguratie”, weet hij. “Voor je begint met het beschermen van je workloads, kan je maar beter zeker zijn dat je IT-omgeving juist geconfigureerd is.”

Tot 99 procent van de incidenten is het gevolg van misconfiguratie.

Die bevinding wordt gestaafd door een recent rapport van Check Point-concullega Palo Alto Networks. “Een misconfiguratie volstaat om een hele cloudomgeving te hypothekeren”, laat Matthew Chiodi, Chief Security Officer voor Public Cloud bij het bedrijf optekenen. De oorzaak ligt volgens dat bedrijf deels bij de automatisering van cloudinfrastructuur aan de hand van onjuist geconfigureerde templates.

Hulp bij het configureren

Eerder dit jaar bespraken we nog gelijkaardige conclusies van onder andere Fortinet en Sophos. Analysebureau IDC maakte als eerste gewag van het cijfer van 95 procent, dat volgens Alon nu al achterhaald is. Hij benadrukt hoe belangrijk de juiste configuratie is, maar geeft aan dat het niet eenvoudig is om alles meteen juist te hebben. De belangrijkste beveiligingstool voor een cloudomgeving is er daarom volgens hem één die IT’ers kan helpen om alle knopjes en vinkjes juist te zetten. “Wie zichtbaarheid heeft in zijn omgeving en begeleid wordt in de analyse van de configuratie, kan de infrastructuur veel beter afschermen.”

Daar is volgens Alon een belangrijke plaats weggelegd voor beveiligingsbedrijven. “Cloudproviders helpen wel, maar het is hun core business niet. Precies daarom zal infrastructuur van Cisco of AWS nooit helemaal veilig zijn. Bedrijven zoals Check Point doen uitsluitend beveiliging en zijn beter geplaatst om dergelijke problemen op te lossen.” Als extra voordeel voor de gebruikers geeft hij aan dat een derde partij een zelfde beveiligingstaal kan gebruiken over verschillende cloudproviders heen. “Van de top 5.000 van grote publieke cloudgebruikers is het gros actief bij meer dan één provider”, weet hij.

Een extra paar ogen

Tot slot denkt hij dat de basisbeveiliging van cloudinfrastructuur door een gespecialiseerde partij gewoon een goed idee is. “Je kan ontwikkelaars toch nooit helemaal vertrouwen om hun eigen code te beveiligen”, vindt hij. “Zij kijken altijd naar de code vanuit een bepaalde mindset.” Geld speelt daarbij geen rol volgens de cloudspecialist: “Wat is 300.000 euro extra per jaar voor een bijkomende beveiligingslaag voor een bedrijf dat 10 miljoen uitgeeft aan cloudinfrastructuur.”

Uiteindelijk vindt Alon dus dat organisaties niet te veel mogen focussen op de workloadbescherming, ook al spreekt die tot de verbeelding. Hulp bij de juiste configuratie van de cloudomgeving, zodat die op z’n minst al veilig is ingesteld, zet organisaties al een heel eind op weg. Dat moet dan ook de prioriteit zijn. “Het gaat hierbij niet om een eenmalige stap”, zegt hij nog. “De cloud blijft veranderen en de configuratie van de infrastructuur moet mee veranderen.” Wie dat beseft en actie onderneemt, wapent zich al tegen het gros van de aanvallen. Dan pas wordt het ook echt relevant om aan workloadbeveiliging te denken.

Lees ook: Check Point onthult Infinity Next: één beveiligingsproduct voor alles