Gepubliceerd op: 31 juli 2020

Multi-cloud beveiligen hoe doe je dat? 6 aandachtspunten om naar te kijken

Veel organisaties worstelen met beveiligingsvraagstukken wanneer ze hun ontwikkelomgeving – doormiddel van cloudoplossingen – naar een hoger niveau willen tillen. Elke variatie van cloud heeft zijn voor- en nadelen en volgens onderzoek vinden organisaties dat het gebruik van multi-cloud riskanter is dan het gebruik van één specifieke cloudprovider, maar waarom is dat?

Steeds vaker overwegen organisaties een multi-cloudstrategie waar applicaties worden geïmplementeerd op niet één cloudprovider, maar bij meerdere cloudproviders. Hoewel dit multi-cloudmodel extra complexiteit omtrent beveiliging en beheer met zich meebrengt, zijn er zeker ook voordelen: zo kun je een applicatie ontwikkelen en testen in je eigen geïsoleerde omgeving in een private cloud en deze daarna publiceren in de productieomgeving op een public cloud. Denk hierbij aan Microsoft Azure of AWS van Amazon. Deze benadering geeft ontwikkelaars flexibiliteit en kan kostenbesparend zijn. Ook vermindert multi-cloud afhankelijkheidsrisico’s en vermijd je daardoor een lock-in bij een bepaalde cloudprovider.

Het is echter belangrijk om op te merken dat de overstap naar een multi-cloudstrategie niet inherent meer of minder veilig is dan een “single-cloud-strategie”. Het is alleen zo dat een aantal vraagstukken zorgvuldig moeten worden overwogen bij multi-cloudimplementaties. Hieronder hebben we een zestal vraagstukken uitgelicht.

  1. Authenticatie en autorisatie

Ervoor zorgen dat gebruikers, beheerders en systeemcomponenten de juiste toegangsrechten hebben tot de verschillende delen van uw applicaties, kan een stuk complexer worden in een multi-cloudomgeving. Daarom is het verstandig om een framework te kiezen welke wordt ondersteund op de verschillende cloudomgevingen; zorg er voor dat deze zo universeel mogelijk is. Er is namelijk geen garantie dat de gekozen oplossing van cloudprovider A in de toekomst ook zal blijven werken op cloudprovider B of cloudprovider C tijdens de gehele levensloop van je applicatie.

Verschillende applicatiecomponenten kunnen zich ook verplaatsen gedurende de levenscyclus van je applicatie. Zorg er daarom voor dat je een beleid maakt op basis van de behoefte van de applicatie, in plaats van waar de applicatie op dit moment draait. Hiermee zorg je ervoor dat je ontwikkelt volgens jouw eisen en blijf je ‘in control’. Zo voorkom je dat je afhankelijk bent van de eisen en verwachtingen van de infrastructuur van een bepaalde cloudprovider.

  1. Blijf up-to-date

Of je nu virtuele machines (VM’s), containers of serverless gebruikt, je moet ervoor zorgen dat jouw workloads up-to-date zijn. Met andere woorden, dat ze de meest recente versie van alle beschikbare afhankelijke bibliotheken, kernel of services gebruiken. Voor sommige ontwikkel-platformen betekent dit upgraden of patchen, voor een container kan een rebuild met het nieuwste image genoeg zijn en voor anderen services hoef je wellicht alleen de recente dependencies te reloaden.

Natuurlijk nemen de gevaren van downtime af wanneer je een multi-cloudstrategie toepast. Je bent tenslotte niet afhankelijk van de risico’s van één bepaalde cloudinfrastructuur. De keerzijde is dat je bij een multi-cloudomgeving er wel rekening mee dient te houden dat kwetsbaarheden bij elke cloudinfrastructuur anders zijn. Je zult dus meer zorg moeten dragen dat jouw applicaties worden beschermd tegen deze verschillende infrastructuurkwetsbaarheden.

  1. Welke API’s maken je kwetsbaar?

Naast het patchen en upgraden, moet je ervoor zorgen dat jouw applicaties bestand zijn tegen aanvallen en misbruik van kwetsbaarheden. Voor een applicatie met componenten in meerdere clouds of voor implementaties waarbij applicaties met elkaar in meerdere clouds communiceren, wordt het bijhouden van deze kwetsbaarheden alleen maar complexer dan voorheen.

Een API extern beschikbaar maken, zonder de juiste toegangsrechten, kan desastreuze gevolgen hebben. Daarom zal je te allen tijde moeten weten welke API’s (extern) aangesproken kunnen worden, wie welke controle hierover heeft en welke acties je kunt ondernemen als ze worden aangevallen. Dit zijn allemaal zaken die zorgvuldig management vereisen.

  1. Houd toezicht op wat er gebeurt

Waar je in het verleden misschien vertrouwde op de tools van een bepaalde cloudprovider of gebruik maakte van een oplossing die uitsluitend gericht was op je lokale implementatie. Zal elke toekomstige monitoringoplossing volledig op de hoogte moeten zijn van de totale omvang van je multi-cloudimplementatie. Want als er zich een probleem voordoet op je applicatie en zelfs één set gegevens van cloudprovider A niet overeenkomt of verouderd is bij cloudprovider B, wordt het uitvoeren van analyses een stuk gecompliceerder of zelfs geheel onmogelijk. Laat staan dat je preventief actie had kunnen ondernemen en vroegtijdig klanten had kunnen informeren. Een consistente en up-to-date weergave van de infrastructuur is daarom van vitaal belang.

  1. Encryptie van opslag is belangrijk

Bij het ontwerpen van cloudinfrastructuren is dataopslag al vaak een onderwerp van extra aandacht en dat wordt zeker niet minder in een multi-cloudinfrastructuur. Daarom is databeveiliging in de vorm van versleuteling (dus niet te verwarren met rechten op bestanden) niet het eerste waar aan gedacht wordt bij het ontwikkelen van een opslagoplossing, maar dit zou wel een vereiste moeten zijn.

Het waarborgen van compatibiliteit in combinatie met dataversleuteling doormiddel van SSL certificaten kan zeer complexe materie worden, zeker in een multi-cloudinfrastuctuur. Het is minstens zo belangrijk als de opslagoplossing zelf.  Zorg er daarom voor dat je een opslagoplossing van het begin af aan met het oog op databeveiliging ontwerpt.

  1. Houd controle over je applicatie

Steeds meer organisaties gebruiken Openshift of Kubernetes om containers te beheren. Alle communicatie met dergelijke taakplanning-, monitoring- of routing applicaties moet natuurlijk worden versleuteld. Gelijkerwijs moeten alle cloudserviceproviders versleutelde toegang bieden tot al hun tools, maar hoe zit het met de beheer-, logboek- en auditfunctionaliteit van je eigen applicatie? Deze zijn net zo belangrijk. Zorg er daarom voor dat deze onderdelen niet onbewust een zwakke plek zijn en daardoor een beveiligingsrisico vormen.

Conclusie

Er zijn natuurlijk nog veel meer vraagstukken die je dient te overwegen en geen van de aandachtspunten die we hierboven hebben beschreven, zijn uniek voor multi-cloud: ze zijn net zo relevant voor lokale en hybride cloudimplementaties. De overstap naar multi-cloud vereist echter een zorgvuldigere afweging vanwege de complexiteit die een multi-cloudinfrastructuur met zich meebrengt. Beveiliging is een belangrijk onderdeel en zal “top of mind” moeten zijn tijdens het bedenken, plannen en ontwikkelen uw OTAP-strategie.