Organisaties hebben de afgelopen twee jaar de digitalisering en cloudtransformatie in hoog tempo versneld om klanten overal ter wereld digitale diensten aan te bieden op basis van Cyber Resilience. Technologieën voor beveiliging en privacy zijn door deze snelle overgang naar de cloud naar een hoger niveau geëvolueerd.
De Cloud Security Alliance (CSA) heeft tussen oktober en november 2021, in samenwerking met Micro Focus CyberRes een wereldwijd onderzoek uitgevoerd om inzicht te krijgen in de opvattingen van de branche over deze evolutie. In dit artikel bespreken we drie belangrijkste uitkomsten van het onderzoek.
1: Verhoog, ondanks de uitdagingen, het gebruik van multi-cloud
De workloads van organisaties blijven draaien in een hybride cloudomgeving (in de cloud en on-premises) en de meeste bedrijven willen in plaats van één liever meer cloudplatforms gebruiken. De voornaamste reden (29%) voor een multi-cloud-implementatie is de toegang tot de beste technische feautures die elk afzonderlijk cloudplatform biedt. Bijvoorbeeld, organisatie A maakt gebruik van IaaS-services van Amazon Web Services (AWS), office utility-services als Software as a Service (SaaS) van Microsoft Azure en het business analytics-platform op Google Cloud Platform (GCP). De organisatie gebruikt de meest geschikte combinatie op basis van skills, eisen aan hoge beschikbaarheid en compatibiliteit met de bestaande technologieën, in plaats van te vertrouwen op één provider.
De tweede reden (21%) om te kiezen voor multi-cloud is, niet verrassend, het vermijden van vendor lock-in. Organisaties willen meer vrijheid en flexibiliteit en willen niet vastzitten aan één cloudplatform.
De wettelijke eis om ‘cloudconcentratie’ te voorkomen is de derde reden (16%). Beleidsbepalers maken zich zorgen over de effecten die een te grote afhankelijkheid van één serviceprovider op de bedrijfsvoering kan hebben.
Figuur 1: Source Cloud Security Alliance, 2022
Uitdagingen voor multi-cloud-adoptie
Om te kunnen profiteren van multi-cloud is het belangrijk aandacht te besteden aan de beschikbaarheid van vaardigheden (26%). Technologische vaardigheden en personeel dat ervaring heeft met meerdere cloudplatforms is moeilijk te vinden. Het vermogen om vanuit architectuuroogpunt, verschillen in meerdere cloudplatforms (22%) te begrijpen en de complexiteit van beveiligingscontroles (18%) tussen een breed scala aan services en producten bij verschillende cloudproviders te beheren, vormen ook een uitdaging. Een uitgebreid overzicht krijgen van alle resources, governance en risico’s over de verschillende cloudplatforms en on premises is de volgende belangrijke stap (20%).
Met de toenemende acceptatie van meerdere openbare providers, staan ontwikkelaars voor de uitdaging om code op verschillende platforms met verschillende interactiepunten consistent te houden. Het automatiseren van security tests tijdens integratie, code-ontwikkeling en containerisatie helpt de risico’s te verlagen.
Alternatieve trend: Private cloud favoriet
Private cloud (30%) is de favoriete cloudomgeving, De belangrijkste redenen om voor een private cloud te kiezen, en niet voor on premise, hybrid of public, zijn voornamelijk de plaats waar de gegevens zijn opgeslagen, eisen op het gebied van gegevenssoevereiniteit of lokale regelgeving.
2: Implementatie van Privacy by Design is minder volwassen dan verwacht
Privacy by Design bevindt zich zwaar in de ontwikkelingsfase: tweederde van de organisaties (65%) is momenteel bezig met het bouwen of plannen van de strategieën, en slechts een klein aantal (8%) heeft een volledig geplande Privacy by Design-strategie. Dit is geen verrassing, aangezien de strengere regelgeving rond privacy pas de afgelopen drie jaar is afgedwongen (bijv. Global Data Privacy Regulations (GDPR) in 2018 en de Central Consumer Protection Authority (CCPA) in 2020). Organisaties gaan pas over tot implementatie als het noodzakelijk is.
Figuur 2: Source Cloud Security Alliance, 2022
Het zal niemand verbazen dat compliancy de meest volwassen categorie onder Privacy by Design is. Door de jaren heen hebben met name nationale en internationale wet- en regelgeving privacy afgedwongen. Verrassend is dat volgens de meerderheid van de respondenten (60%) Data discovery en Governance nog steeds niet tot volle bloei zijn gekomen. Het lijkt erop dat er op dit gebied veel ruimte is om te verbeteren, aangezien Governance en uitgebreid overzicht ook een van de zorgen is bij de acceptatie van multi-cloud.
3: Gebruik van Zero Trust, AI/Machine Learning en Serverless uitbreiding in de komende twee jaar
Een paar technologische concepten zijn zeker van invloed op de plannen die organisaties in de komende twee jaar willen implementeren. De belangrijkste concepten zijn zero trust (60%), artificial intelligence (AI) of machine learning (43%) en serverless computing (42%).
Figuur 3: Source Cloud Security Alliance, 2022
Zero Trust
Werken op afstand en toenemend gebruik van online diensten tijdens de pandemie hebben de op grenzen gebaseerde securitycontrole weggevaagd, waardoor de nadruk kwam te liggen op zero trust, het concept van ‘vertrouw niemand, verifieer iedereen’. De implementatie van dit concept lijkt zich in een hoog tempo te voltrekken: bijna de helft (45%) van de organisaties is dit van plan, en meer dan een kwart (28%) implementeerde tot op zekere hoogte zero trust-architecturen. De volledige implementatie van zero trust-concepten is echter nog laag (8%).
Als het gaat om volwassenheid van zero trust op domeinniveau, had het “netwerk”-domein de hoogste volwassenheid. De reden voor dit niveau van volwassenheid is duidelijk, want het vormen van vertrouwen op basis van het netwerk is al jaren de meest gebruikte methode. Nieuwe methoden, zoals vertrouwen op basis van identiteit of op basis van gegevens, bevinden zich nog steeds onderaan in de curve.
Kunstmatige intelligentie (AI) of machine learning
Zelfs na twee jaar van een pandemie worstelen organisaties nog steeds met de Covid-uitbraak en aanverwante zorgen. Geautomatiseerde systemen op basis van AI of machine learning-technologieën deden hun intrede om operationele excellentie , kostenefficiëntie en veerkracht te bereiken.
AI/ML-technologieën zijn gebruikt voor het signaleren van afwijkingen, het analyseren van gebruikersgedrag, het detecteren van malware en het voorkomen van cyberaanvallen in het domein van cybersecurity. Ook worden deze technologieën ingezet in de zoektocht naar bedreigingen, bij het ontwikkelen van securityintelligentie en bij het verminderen van “false positives”.
Serverless computergebruik
Serverless werd populair door het toegenomen gebruik van cloudproviderservices zoals AWS Lambda, Google Cloud Functions, Azure Functions en andere. Serverless levert grotere financiële voordelen en vraagt minder resources wat zorgt voor een dynamische groei en een versnelde gecontaineriseerde implementatie van applicaties. Echter het bouwen van veilige serverloze scripts en container-images is nog steeds niet volwassen, wat securityteams zorgen baart.
Meer bevindingen en perspectieven
Lees het wereldwijde onderzoeksrapport van CSA, gesponsord door CyberRes in samenwerking met het CSA Bangalore Chapter over “Cloud Security and Technology Maturity Evolution” voor meer uitykomsten en analyses.
Bekijk hier het CSA CloudBytes-webinar waarin verschillende Chief Information Security Officers (CISO), Chief Privacy Officers (CPO), Security Strategists en Solution Integrators hun mening delen over de technologische evolutie op het gebied van cloudbeveiliging en privacy.
Lees ook:
- Trends in applicatiebeveiliging
- Waarom geprivilegieerd toegangsbeheer altijd top-of-mind moet zijn