De public cloud biedt ongeëvenaarde schaalbaarheid, prestaties en flexibiliteit aan organisaties van alle grootten. Nieuwe producten en applicaties worden in een rap tempo ontwikkeld, wat digitale transformatie binnen organisaties alleen maar versnelt.
Dit is echter niet zonder hindernissen. Cloudleveranciers hebben enorm veel geïnvesteerd in hun platformen, maar er gaat nauwelijks een dag voorbij zonder nieuws over een security-incident. De meeste incidenten hebben echter eerder te maken met verkeerd gebruik van cloudservices, dan met beveiligingsfouten in de services zelf.
Om een beter beeld te krijgen van de staat van public cloud-security, verzamelde het Zscaler ThreatLabZ-team data van klanten met duizenden workloads in AWS, Azure en Google Cloud Platform (GCP). Daarnaast zijn ook gebruikers- en applicatie-instellingen van klanten die Microsoft 365 (M365) gebruiken verzameld.
Cloudsecurity shared responsibility model
Cloudsecurity en compliance is een gedeelde verantwoordelijkheid tussen de cloud service provider (CSP) en de klant. Dit wordt met regelmaat benadrukt door CSP’s: de security van de cloudservice wordt geboden door de CSP’s en de security in de cloudservice is de verantwoordelijkheid van de klant.
Deze gedeelde verantwoordelijkheid varieert op basis van het type cloudservice dat gebruikt wordt. In een SaaS-applicatie, zoals M365 of Salesforce, is de cloudleverancier verantwoordelijk voor de beveiliging van de gehele applicatie – van fysieke beveiliging tot de operationele systemen en de applicatie zelf.
In een IaaS-platform heeft de klant echter meer verantwoordelijkheden wat betreft de beveiliging en configuratie van de services. Dit omvat vaak de applicatiecode en zelfs het operationele systeem.
In ieder geval is het de verantwoordelijkheid van de organisatie om te garanderen dat zijn data goed beschermd is, of het nu in een datacenter staat of in een public cloud-omgeving.
Cloudsecurity bevindingen
Bij nadere inspectie van de data, blijkt dat security-problemen in veel omgevingen nog steeds niet genoeg verholpen zijn. De belangrijkste gebieden met tekortkomingen zijn:
Gebrek aan logging en monitoring: Als er een security-incident plaatsvindt, is de eerste plek om naar informatie te zoeken de log-files. Zelfs zonder beveiligingsfout kan robuust loggen helpen begrijpen wat er gaande is in de cloudomgeving. Dit werkt echter alleen als deze mogelijkheid ook daadwerkelijk gebruikt wordt. Onze analyse vind dat bijna 20% van de ondervraagde organisaties CloudTrail niet ingeschakeld had en meer dan de helft geen stappen ondernam om hun logging na de standaard 90 dagen te behouden.
Buitensporige machtigingen: Gecompromitteerde inloggegevens zijn de oorzaak van de meeste lekken. Het is dus geen verrassing dat toegangssleutels tot de cloud en credentials een belangrijk doelwit zijn voor kwaadwillenden. Hoe sterk de beveiliging ook is, als een aanvaller de juiste inloggegevens heeft, kan deze gewoon door de voordeur lopen. Uit onze analyse blijkt dat veel organisaties geen tweestapsverificatie inzetten en hard-coded toegangssleutels gebruiken die veels te weinig gerouleerd worden.
Opslag en encryptie: Openbaar blootgestelde databases zijn in de laatste jaren vaak de oorzaak geweest van high-profile datalekken. Ondanks de media aandacht blijft cloudopslag het meest voorkomende gebied van cloud-misconfiguratie. Problemen zijn onder andere een slap toegangsbeleid, gebrek een encryptie, beleid dat niet breed is uitgerold en toegang via onversleutelde protocols.
Netwerkbeveiligingsgroepen: Netwerkbeveilgingsgroepen controleren de verbinding van elke service in de cloud, waarbij het zich als het ware opstelt als firewall. Helaas vertegenwoordigt deze groep het op een na meest waargenomen gebied van verkeerde configuratie na cloudopslag. In sommige gevallen is dit het resultaat van een menselijke fout. In andere gevallen worden security-groepen expres open gelaten om connectiviteit te faciliteren of complexiteit te ontwijken. Extern blootgestelde protocollen zoals Secure Shell (SSH) en Remote Desktop Protocol (RDP), geven aanvallers de mogelijkheid geïnfecteerde systemen over te nemen en zich lateraal te bewegen binnen een cloud footprint van een organisatie.
