Vijf pijlers van veilige cloudtransformatie.
bedrijven wolk de transformatieambities zijn de afgelopen jaren in een stroomversnelling geraakt dankzij een grotere belangstelling voor verbeterde digitale technologieën en meer druk om werken op afstand te ondersteunen. Volgens het Office of National Statistics verwacht 85% van de werknemers nu opties voor hybride werk, wat aantoont dat zelfs nu de pandemie voorbij is, de vraag naar flexibele cloudgebaseerde diensten nog steeds niet zal afnemen.
De clouddiensten die nodig zijn om nieuwe digitale manieren van werken mogelijk te maken, brengen echter ook nieuwe uitdagingen op het gebied van cyberbeveiliging met zich mee, wat ontmoedigend kan lijken. Organisaties die zich door deze uitdagingen laten weerhouden om opties voor cloudtransformatie te omarmen, zullen alleen maar merken dat ze steeds verder achterop raken bij hun concurrenten. Gartner voorspelt inderdaad dat tegen 2025 cloud-native platforms de basis zullen vormen voor meer dan 95% van de nieuwe digitale initiatieven.
De beveiligingsuitdagingen van de cloud zijn anders dan die van traditionele beveiliging op locatie, waarbij alles achter een firewall zat. Om deze nieuwe risico's te beperken, moeten organisaties een veilig cloudacceptatieraamwerk (S-CAF) introduceren en volgen op basis van de volgende vijf belangrijke pijlers:
Pijler 1: Kies voor een mentaliteit van nul vertrouwen Geen vertrouwen gaat ervan uit dat alle gebruikers, apparaten en activiteiten kwaadaardig zijn totdat het tegendeel is bewezen. Het klinkt misschien hard, maar het moderne dreigingslandschap heeft deze aanpak noodzakelijk gemaakt om de valkuilen van werken op afstand, waar zoveel endpoints onbewaakt blijven, te vermijden.
Pijler 2: Bedreigingsdetectie en -respons Nu cyberaanvallen steeds sneller evolueren, is de beste aanpak voor cyberbeveiliging voor veel organisaties om ervoor te zorgen dat de tools die worden gebruikt om aanvallen af te weren net zo sterk zijn als de tools die worden gebruikt om ze in de eerste plaats te detecteren. Het is eenvoudig logisch dat hoe eerder een dreiging wordt opgemerkt, hoe sneller er op kan worden gereageerd, maar waar dit niveau van geavanceerde detectie niet mogelijk is, moeten organisaties in ieder geval gepositioneerd zijn om
schade verminderen.
Pijler 3: Bescherming van bedrijfsmiddelen Organisaties moeten over passend beleid en passende processen beschikken om al hun bedrijfsmiddelen gedurende hun respectieve levenscyclus te verantwoorden. Vanuit het oogpunt van cyberbeveiliging moet dit beleid betrekking hebben op software, hardware en bedrijfsgegevens.
Pijler 4: Identiteit en governance Zichtbaarheid van de toegangsrechten van elke gebruiker is cruciaal voor het beveiligen van alle endpoints binnen een organisatie. Dat geldt ook voor de mogelijkheid om toegangsniveaus snel en gemakkelijk aan te passen als reactie op het toetreden, verlaten of veranderen van functies door werknemers. Deze pijler is essentieel omdat het de kans voor werknemers minimaliseert om misbruik te maken van hun toegangsrechten.
Pijler 5: Innovatiebeveiliging Innovatie kan in verschillende vormen voorkomen, maar wanneer succesvolle beveiligingsmaatregelen worden voorbereid en geïmplementeerd, is het bewezen dat ontwikkeling, beveiliging en operaties (DevSecOps) organisaties potentiële aanvallers voorblijven.
Veilig bakken met DevSecOps
Om een cloudtransformatietraject op basis van het S-CAF-model tot een succes te maken, is het van cruciaal belang dat beveiligingscontroles en -maatregelen zijn ingebakken in de activiteiten van een organisatie. DevSecOps biedt deze basis. In een omgeving waar cloudgebaseerde services snel kunnen worden geleverd via selfserviceportals, speelt DevSecOps een centrale rol om ervoor te zorgen dat beveiligingsrisico's zo snel mogelijk worden geïdentificeerd en verholpen.
Deze benadering vereist dat organisaties vanaf het begin van het transformatietraject kritisch nadenken over de beveiliging van hun infrastructuur. Maar aangezien het meer is dan een set nieuwe instrumenten, moet het ook culturele factoren bevatten, zoals beleid en bestuur. Beleid moet bijvoorbeeld op architectuurniveau worden ingesteld, zodat het mee kan evolueren tijdens het cloudtransformatietraject. Dit betekent dat naarmate organisaties groter worden, de richtlijnen relevant en nuttig blijven, in plaats van een belemmering te vormen die regelmatige handmatige updates vereist. Met DevSecOps kunnen processen dynamisch zijn en voortdurend worden afgestemd op de specifieke applicaties en infrastructuurvereisten van de organisatie.
De sleutel tot het ontwikkelen van deze gebieden is om te focussen op de beveiligingscontroles die aanwezig moeten zijn bij de overgang van een on-premises architectuur naar een enkele of multi-cloud hybride architectuur. De initiële focus moet liggen op de technische activa in plaats van op het concept van Zero Trust, en daarmee bedreigingsdetectie, identiteit en governance, die belangrijk zijn in andere stadia van het cloudtransformatietraject.
Conclusie
Hoewel de S-CAF slechts één benadering is voor een veilige cloudtransformatie, is de aanpak inclusief en goed gepositioneerd om de uitdagingen aan te pakken die gepaard gaan met de overstap naar een cloudgebaseerde omgeving. De vijf pijlers zijn van toepassing op een organisatie van elke omvang, actief in elke sector, en ze bieden beveiligingsteams een stevige basis om te tweaken en op maat te maken Cloud Security om te voldoen aan de wensen en eisen van klanten en medewerkers nu en in de toekomst.
Organisaties die zich isoleren van de gevaren van een open internet, zullen merken dat het niet langer een kwestie is van het opwerpen van een grens en het tegenhouden van mensen om die over te steken. Transformeren naar de cloud vereist een meer flexibele, moderne aanpak en hoe eerder een wordt geselecteerd en geïmplementeerd, hoe sneller organisaties kunnen garanderen dat belangrijke gegevens en informatie veilig zijn.
