De (schijn)veiligheid van de cloud
Als het gaat om beveiliging, verwacht dan niet alles van uw cloud service provider. Iedereen heeft zijn deel van de verantwoordelijkheid, benadrukt Geert De Ron, Cloud Security Architect, Check Point. Jij en hij!
De voordelen van de cloud zijn bekend. Veiligheid is er één van. Althans dat is wat men ons wil doen geloven, zegt Geert De Ron, Cloud Security Architect, Check Point. In werkelijkheid passen Amazon, Google of Microsoft een model van gedeelde verantwoordelijkheid toe.
Concreet is de aanbieder verantwoordelijk voor de fysieke beveiliging van zijn datacenters: de infrastructuur, de goede werking van de servers, de koeling, de beveiliging van het besturingssysteem van zijn PaaS-diensten. Maar u, de cloudgebruiker, wordt geacht te zorgen voor de juiste configuratie van de genoemde PaaS-diensten, de encryptie van de gegevens en de niet-openbaarmaking van de voor uzelf of voor intern gebruik gereserveerde gegevens. Met andere woorden, u bent verantwoordelijk voor de bescherming van uw eigen inhoud en toepassingen, terwijl de hostingproviders verantwoordelijk zijn voor de beveiliging van hun platform zelf.
Aangezien de hostingproviders echter het grootste deel van de beveiliging voor hun rekening nemen, lijkt de situatie in uw voordeel. Bovendien hebben ze meer ervaring. En ze hebben al het nodige personeel om hun platform te beveiligen. Uw gegevens lijken dus in goede handen”, aldus Geert De Ron. “Dit is een van de belangrijkste argumenten om klanten te overtuigen voor de cloud te kiezen. Dit is een redenering die niet in dovemansoren valt, want klanten willen verlost worden van beveiligingszorgen…”
Een belangrijk doelwit voor cybercriminelen
In 2021 werd de veiligheid van cloudplatforms op de proef gesteld. Het begon met het onderzoek van beveiligingsdeskundigen. Gezien de toenemende populariteit van de cloud wilden zij de platforms die hun klanten absolute veiligheid beloofden in detail analyseren. Hun rapporten onthulden kwetsbaarheden die al lang aanwezig waren… die niemand eerder had gezien. Sindsdien zijn deze platforms systematisch geëvalueerd en gerapporteerd. En gelukkig zijn de gastheren snel om de zwakke punten te verhelpen.
“De populariteit van cloudplatforms is een bedreiging geworden”, zegt Geert de Ron. Door slechts één van de gebreken in het systeem uit te buiten, kunnen cybercriminelen nu duizenden slachtoffers in hun net vangen. Eenmaal ontdekt en gepubliceerd, worden deze kwetsbaarheden gelukkig altijd vrij snel geneutraliseerd. Grote cloud hosts hebben namelijk de mogelijkheid om deze snel en op grote schaal te patchen. Maar dit toont aan dat klanten en gebruikers op hun hoede moeten zijn. Dit betekent dat zij maatregelen moeten nemen om hun omgeving te beveiligen. Want hoe veiliger hun omgeving is, hoe minder impact een kwetsbaarheid in het cloudplatform heeft op hun eigen omgeving.
De deur metafoor
Dus welke stappen kan een cloudklant nemen om het risico te minimaliseren? “Door de deur te sluiten, zou je denken. Het beveiligen van de webruimte van uw bedrijf zou net zo vanzelfsprekend en systematisch moeten zijn als het op slot doen van de kantoordeur en het activeren van het alarm wanneer het personeel vertrekt. Hoewel dit de basis van veiligheid is, is het in de huidige digitale wereld niet…”
In feite is deze fysieke bescherming niet voldoende. In feite is de fysieke toegang tot het bedrijf niet langer de grootste zorg. Bedreigingsvectoren manifesteren zich nu online, via alomtegenwoordige en onbeheerde internetverbindingen. Ze strekken zich uit tot de cloud, die u gebruikt voor vele toepassingen, gegevensopslag en -beheer, en operaties. Op de wolk… of liever gezegd wolken,” nuanceert Geert De Ron. Want elke wolk heeft een of meer poorten, d.w.z. ingangen en uitgangen. Wanneer uw bedrijf gegevens op een cloud host, plaatst het veel meer deuren waardoor cybercriminelen binnen kunnen komen. En het probleem wordt steeds groter: volgens een recent rapport over cloudbeveiliging zegt driekwart van de respondenten ten minste twee verschillende clouddiensten te gebruiken, tegenover slechts 62% in 2021.
Hoe kun je jezelf het beste beschermen? “Laten we de analogie van een deur gebruiken,” zegt Geert De Ron. Het bestaat uit verschillende onderdelen: het deurpaneel zelf, de scharnieren, de handgrepen, het slot, de sleutels, enz. Als een van deze onderdelen ontbreekt, kan de deur niet meer volledig worden afgesloten. Het geheel is groter dan de som der delen. Hetzelfde geldt voor de beveiliging in de cloud!
Aan uw omgeving aangepaste beveiligingsinstellingen
De Check Point-specialist adviseert om met de cloud host en de security provider te praten. “Zij kunnen u vertellen welk type bescherming geschikt is voor uw omgeving. Zij kunnen u dus helpen de beveiligingsinstellingen aan te passen aan uw omgeving. U moet er ook rekening mee houden dat uw configuratie kan veranderen. En dat de oorspronkelijke instellingen van tijd tot tijd moeten worden bijgewerkt.”
Deze update is belangrijk. In augustus 2021 onthulde onderzoek door cloudbeveiligingsdeskundigen kritieke kwetsbaarheden in Azure Cosmos DB, de grootste NoSQL-databaseservice op het Microsoft Azure-platform. Door dit reeds in 2019 geïntroduceerde euvel, onder de toepasselijke naam ChaosDB, hadden Microsoft Azure-klanten -en zelfs hackers- met een corrupt Azure-account twee jaar lang toegang tot de zogenaamd beschermde omgeving van andere Azure-klanten, en dus tot hun bedrijfsgegevens en andere vertrouwelijke data. “Dit was een ramp voor alle Azure Cosmos DB-gebruikers die het gewone beschermingsniveau van deze dienst niet voldoende hadden verhoogd, door de internettoegang tot de database te weinig te beperken. Dit is wat de providers altijd adviseren beveiliging en clouddiensten. Geef voor elke toepassing en database alleen toegang aan degenen voor wie dat strikt noodzakelijk is.”
Voortdurende controle nodig
KMO-managers moeten ook beseffen hoe noodzakelijk continu toezicht is. Om Azure Linux machines te optimaliseren heeft Microsoft bijvoorbeeld stiekem “secret agents” geïnstalleerd, dat wil zeggen kleine beheerprogramma’s die op de achtergrond werken en waarvan de meeste klanten niet eens weten dat ze bestaan. Maar wanneer een van deze agenten een kwetsbaarheid ontdekt, moeten alle andere worden bijgewerkt. Prima, behalve als de klanten zelf gevraagd wordt de upgrade uit te voeren! En de kennisgeving die hen hiervan op de hoogte brengt is als zovele andere, waarmee ze dagelijks worden overspoeld. De kans dat je niet goed oplet is groot. Met andere woorden, de kwetsbaarheid mag niet worden geneutraliseerd.
Pas op, Microsoft Azure is niet de enige dienst met kwetsbaarheden. Amazon AWS en Google Cloud hebben ook regelmatig patches en updates nodig. Om een duidelijker beeld te krijgen van alle reeds geïdentificeerde kwetsbaarheden voor elk platform dat in de cloud actief is, kunt u terecht op https://www.cloudvulndb.org. De lijst is lang en de groei lijkt te versnellen. Ironisch genoeg blijkt dat zelfs Microsoft onbeveiligde documenten in de cloud had opgeslagen. Andere bronnen van informatie over de situatie zijn bulletins van hostingproviders zoals Microsoft (https://msrc.microsoft.com/update-guide/vulnerability), AWS (https://aws.amazon.com/security/security-bulletins) en Google (https://cloud.google.com/support/bulletins).
“Als u liever op uw handen slaapt en cybersecurity aan een derde partij overlaat, wend u dan tot een beveiligingspartner die specifieke oplossingen heeft voor de detectie van kwetsbaarheden in uw cloudomgeving en die in staat is een passende reactie in te dienen en zelfs uit te voeren in geval van een probleem…”