Grote cloudbeveiligingsproblemen steeds meer verantwoordelijkheid van gebruikers

De belangrijkste zorgen in verband met cloudsecurity zijn de verantwoordelijkheid van de gebruikers en niet meer van de cloudproviders, blijkt uit onderzoek.

De voornaamste zorgen die met het gebruik van de publieke cloud gepaard gaan, hebben betrekking op zaken die voor rekening van de gebruiker zijn. De publieke cloudprovider en de klant werken volgens een systeem van gedeelde verantwoordelijkheid, waarbij de provider de beveiliging van onder andere de infrastructuur voor zijn rekening neemt maar de afnemer van diensten wel instaat voor de veiligheid en configuratie van software. Onderzoek toont nu aan dat het zwaartepunt voor beveiliging daardoor bij de gebruikers komt te liggen.

Geen angst voor DDoS

De bevindingen zijn afkomstig uit een rapport van de Cloud Security Alliance. Voor het onderzoek werden 241 experts uit de sector aan de tand gevoeld. Zij constateerden dat zaken zoals DDoS-aanvallen, verlies van data of lekken in de infrastructuur zelf geen actuele bron van zorgen meer zijn. Gebruikers liggen er niet meer wakker van, vermoedelijk omdat providers vandaag een erg hoge beveiligingsstandaard hebben die dergelijke problemen de marginaliteit in duwen.

Veel belangrijker zijn beveiligingsproblemen als gevolg van acties of inacties door klanten zelf. Het meest voor de hand liggende voorbeeld is misconfiguratie. Kwetsbaarheden in cloudinfrastructuur zijn vandaag vaak een gevolg van slecht geconfigureerde applicaties door gebruikers. Denk maar aan blootgestelde S3 buckets binnen AWS. Amazon mag zijn beveiliging nog zo strikt maken, als een gebruiker ervoor kiest om opslag publiek toegankelijk te maken en zo de beveiliging te passeren, is data wel degelijk kwetsbaar.

Accountmanagement en API’s

Een te beperkt toegangscontrolebeleid is een andere zorg. Juist management van accounts, nauwkeurig uitgewerkte policies en een beperkt gebruik van accounts met administratorprivileges beperken het risico op problemen via een hack. Tweefactor-authenticatie helpt bovendien om account takeovers tegen te gaan. Ook bedreigingen van binnenuit leg je hiermee aan banden. Het is een goed idee om geen enkele gebruiker meer digitale rechten te geven dan strikt noodzakelijk voor het uitvoeren van de job.

Een andere misschien niet helemaal verrassende bevinding uit het rapport is API-hygiëne. Het is belangrijk om goed in het oog te houden wat toegang heeft tot wat, welke API’s open staan voor welke accounts, en welke toegang dringend ingetrokken moet worden omdat ze niet meer gebruikt wordt.

Zichtbaarheid

Tot slot stipt het onderzoek het belang van zichtbaarheid aan. Enkel via een duidelijk overzicht van wat er allemaal gebeurt in de publieke cloudomgeving is het mogelijk om na te kijken of er zich geen vreemde zaken voordoen. Denk bijvoorbeeld aan verdacht hoge workloads op een server, of activiteiten van virtuele machines die eigenlijk al lang afgesloten moesten zijn.

De belangrijkste les uit het rapport is dat gedeelde verantwoordelijkheid in context van de publieke cloud vooral betekent dat je wel degelijk honderd procent verantwoordelijk bent voor jouw deel van de beveiliging. Configuratie, accountmanagement, monitoring… maken allemaal deel uit van goede security en maken terecht deel uit van de belangrijkste kopzorgen van cloudgebruikers vandaag.

Gerelateerd: Cijfers in plaats van buikgevoel: weet waar workloads draaien en wat ze kosten