Cloud en Security: wat zijn de overwegingen?

18/03/2016, Eric Bruseker, Solution Advisor Security

Vanuit COMPAREX zien wij steeds meer organisaties overgaan naar de Cloud. Een logische keuze want het is immers altijd bereikbaar, schaalbaar, vanuit de eigen organisatie zijn geen resources nodig en de kosten zijn goed te budgetteren. Dat we steeds meer de kant van de Cloud op gaan is wel duidelijk, maar hoe zit het nu met de beveiliging ervan?

De Cloudprovider is niet verantwoordelijk voor de data

Als we kijken naar het traditionele on-premise model waarbij de data op de servers staat van de organisatie, dan zien we dat deze vaak beschermd is met tal van securityoplossingen. Denk aan een firewall, web en mail gateway, IPS etc. Schakelen we echter over naar de Cloud, dan hebben deze oplossingen geen directe impact meer op functionaliteiten zoals e-mail omdat deze via een geheel nieuwe route gaan.

Ook vertrouwen veel organisaties, zowel groot als klein, op de Cloudproviders wanneer het gaat om security. Nemen wij Microsoft als voorbeeld, dan zien we daar dezelfde trend. Omdat alles op de datacenters van Microsoft staat, vertrouwt men erop dat de informatie voldoende beveiligd is. Maar is dat ook daadwerkelijk zo?

Uiteraard heeft Microsoft securitymaatregelen toegepast. Toch kan men zich afvragen of dit voldoende is. Daarnaast spelen er nog twee andere zaken: hoe is de beveiliging tussen het datacenter van de Cloudprovider en de ontvanger? En als tweede en wellicht meest belangrijke: de Cloudprovider is niet verantwoordelijk voor de data, dat is altijd de organisatie zelf! Met de privacywetgeving die nu van kracht is en de daarbij bekende boetes, is dit een zeer belangrijk punt om kritisch naar te kijken.

Om toch te profiteren van de voordelen van de Cloud en daarbij de nodige securitymaatregelen te treffen, dienen de volgende stappen genomen te worden:

Cloud Security

Beveiliging via encryptie

Zorg dat zowel de data versleuteld is, als de verbinding tussen de Clouddienstverlener en de ontvanger. Ga daarmee dus verder dan schijfencryptie (BitLocker). Verzeker u ook van een veilige verbinding met de Cloudprovider via Transport Layer Security (TLS/SSL). Daarmee voorkomt u een zogenaamde ‘man-in-the-middle-attack’ waarbij een kwaadwillende tussen de verzender en ontvanger de boodschap onderschept. Zo krijgt u zelf de controle over wie er toegang heeft tot de informatie.

Beveiliging via encryptie

Data Loss Prevention

Veel organisaties hebben inmiddels een Data Loss Prevention (DLP) oplossing. Dit is in mijn ogen een steeds belangrijker onderdeel, ook met betrekking tot wetgeving. Welke gegevens verlaten de Cloud? Wie is de ontvanger? Welke bijlagen? Op deze manier kan worden aangetoond wie welke data aangeraakt heeft en waar deze heen is gegaan. Dit is niet anders wanneer u met de Cloud werkt. U wilt dat gevoelige data geclassificeerd en op de juiste manier beschermd is, zodat deze niet zomaar bij de verkeerde personen terecht kan komen.

Verder is het goed om een securityplatform te bouwen. Dus niet allerlei losse oplossingen (point solutions) die allemaal een eigen functie hebben, maar een geïntegreerd en communicerend geheel om zodoende het beveiligingsniveau te verbeteren.

Daarnaast en volledig in lijn met de Cloud, is het van belang dat overal de gewenste data opgevraagd kan worden. Naast een technologische heroverweging, zal dit ook impact hebben op uw securitybeleid.

Data Loss Prevention

Laat u adviseren over Cloud Security

Het belang van Cloud en Security is evident, maar het vergt een hoge mate van specialisatie om de juiste afwegingen en keuzes te maken. Bij COMPAREX hebben we deze specialisatie in huis en denken wij graag met u mee om hierbij ondersteuning te bieden. Bent u ook in de transitie naar de Cloud en wilt u uw beveiliging waterdicht maken? Neem dan contact met mij op.

Over Eric Bruseker

Solution Advisor gespecialiseerd in: Security, Meldplicht Datalekken, Informatiebeveiliging

Ik adviseer klanten over allerlei beveiligingsvraagstukken. Dat kan zijn op technologisch vlak, zoals de beveiliging van endpoints voor fysieke en virtuele omgevingen, SIEM (Security Information and Event Management) of het voorkomen van gegevensverlies. Ook adviseer ik op niet-technologisch vlak, zoals over wetgeving aangaande privacy, user awareness sessies of pentesten, toetsen van computersystemen op kwetsbaarheden van buitenaf.

Neem contact op

Eric Bruseker

Eric Bruseker

Solution Specialist

Cloud Security Workshop

‘Staat mijn data wel veilig in de Microsoft cloud?’

Privacy, databescherming, Safe Harbor en Patriot Act. Voor organisaties die willen overstappen op
cloud computing, zijn dit thema’s die de volle aandacht verdienen. Weet u van de hoed en de rand?
Onze experts helpen u op weg.

Lees meer over de Cloud Security Workshop


Deel deze pagina