De gouden driehoek: de basis van cloud security

De gouden driehoek: de basis van cloud security

23 February 2021 door in Security

De basis voor cloud security bestaat uit een gouden driehoek: Cloud Operations, security monitoring en een Security Operations Center (SOC). Ik zal uitleggen wat elk onderdeel inhoudt en wat dat toevoegt aan een gezond basisniveau van veiligheid voor cloud infrastructuren. Dit geldt voor zowel public clouds als private clouds.

Wanneer een cybercrimineel succesvol weet in te breken in systemen zie je dat er regelmatig dezelfde oorzaken aan ten grondslag liggen. Het gaat mis met dagelijks beheer, monitoring op veiligheidsincidenten en de opvolging van incidenten. Het komt ook voor dat security by design niet is toegepast, ofwel een veilige basisarchitectuur, maar daar ga ik in dit artikel niet op in. Ik focus hier op het voorkomen van succesvolle aanvallen op redelijk gedegen architecturen. Wees je ervan bewust dat vele security tactieken en termen hun oorsprong hebben in de wereld van defensie. Bij de uitvoering behoeven zij daarom ook een militaire discipline.

Security binnen Cloud Operations (CloudOps)

Cloud Operations bevat 4 belangrijke onderdelen die zorgen voor een degelijke basishygiëne van een cloud infrastructuur:

  1. Het accuraat updaten van de software;
  2. Onderhouden van een Configuration Management DataBase (CMDB);
  3. Het faciliteren van dataprotectie;
  4. Inrichten en onderhouden van duidelijke en nuttige statusmonitoring;

Het updaten van de software

Een cloud infrastructuur bestaat uit een diverse hoeveelheid software die continu complexer wordt. Daarmee neemt ook het aantal bugs en veiligheidslekken dat in die software zit behoorlijk toe. Leveranciers leveren doorlopend updates die geïnstalleerd moeten worden om zo het veiligheidsniveau zo hoog mogelijk te houden. Cybercriminelen scannen continu systemen op veiligheidslekken veroorzaakt door het niet tijdig updaten om zo gemakkelijk toe te kunnen slaan. Doordat de complexiteit alleen maar toeneemt is het verstandig om hiervoor een professioneel team in te zetten, zodat onderhoud grondig en kundig gebeurt en je zo min mogelijk last ervan ondervindt.

Configuration Management Database (CMDB)

Een CMDB is een inventaris van alle systemen en software die actief zijn en zijn geweest. Om accuraat te kunnen updaten en om te weten wanneer een systeem end of life is, heb je overzicht nodig. Om de impact van een aanval op de IT-infrastructuur vast te kunnen stellen en de schade te herstellen is het essentieel om inzicht te hebben in het aantal actieve en niet meer actieve systemen en applicaties en hier een prioriteit aan te koppelen. Hiermee kan je als een militair een interactief draaiboek voor crisismanagement vastleggen.

Dataprotectie

Je moet ervoor zorgen dat belangrijke informatie wordt beschermd tegen corruptie, compromittering of verlies. Je wilt bijvoorbeeld voorkomen dat ransomware ook je back-up encrypt, waardoor die tevens waardeloos is. Dataprotectie is erop gericht om data snel te kunnen herstellen na beschadiging of verlies (bijvoorbeeld door een cyberaanval), via back-up en disaster recovery. Uiteraard is het waarborgen van de data privacy tevens een belangrijk component van gegevensbescherming. Denk hierbij aan toegangscontrole van personen en applicaties tot gegevens en de encryptie van data, zodat eventuele gelekte data onbruikbaar is voor kwaadwillenden.

Status monitoring

Monitoring is erop gericht om schade te voorkomen. Goede monitoring voorziet in actief meten van belangrijke parameters die aangeven of er op een bepaald onderdeel ingegrepen moet worden, vaak om erger te voorkomen. Het is een dashboard dat aangeeft of je onder of boven signaalwaarden uitkomt en wanneer je erboven zit een alert stuurt, zodat je kan acteren. Het kan ook inzichten bieden om je capaciteit te beheren, zodat je tijdig kan opschalen bij groei of afschalen om kosten te besparen.

Security monitoring

Security monitoring richt zich voor een gedeelte op dezelfde onderdelen van het netwerk en cloud infrastructuur als status monitoring, maar bekijkt deze vanuit een ander perspectief. Ieder moment van de dag worden vele inbraakpogingen geblokkeerd en malware aanvallen gestopt. Daarnaast komen nog eens vele signalen per dag binnen in diverse logbestanden.

Het continu monitoren van het netwerk, cloud infrastructuur en logbestanden kan potentieel kwaadaardige activiteiten detecteren en ervoor zorgen dat een systeem of iemand ingrijpt. Dit voorkomt dat een aanval leidt tot een grootschalig security incident. Dit kan ook simpelweg de uitval van systemen betreffen.

Alle security meldingen moeten centraal samen komen en voorzien worden van een logische samenhang, zodat je niet tien losse meldingen ontvangt voor één incident. SIEM (Security Information and Event Management) voorziet voor een gedeelte hierin, en moet door experts ingericht, gemodelleerd en onderhouden worden. Uiteindelijk moeten alle alerts, ook de meldingen van de status monitoring samenkomen via central alerting in een incident management system.

Wanneer je hierin voorzien bent zal een team op deze meldingen moeten reageren, onderhouden en ingrijpen waar nodig. Dit is het Security Operations Center (SOC).

Security Operations Center (SOC)

Een Security Operations Center reageert op de meldingen (alerts) uit het incident management system. Zonder SOC beschik je over de inlichtingen verzameld door je inlichtingendienst, maar niet over de manschappen om bijvoorbeeld een aanslag te voorkomen. Gezien de grote verscheidenheid aan onderdelen van een cloud- en netwerkinfrastructuur, moet je dag en nacht beschikken over een team van generalisten en experts. De eerste lijn van generalisten kwalificeert de meldingen en pakt die op als zij dat kunnen. Mochten zij niet over de juiste kennis, ervaring of toegang permissies beschikken, zullen zij de hulp inschakelen van een meer ervaren generalist of direct een expert. Je kan je voorstellen dat je, in het voorbeeld van een inlichtingendienst, niet een jonge generalist die een bommelding ontvangt zelf hierop afstuurt, maar een expert ondersteund door een team van veiligheidsmensen.

Een SOC is dus het team belast met ordehandhaving van in dit geval cloud en netwerk infrastructuur.

Altijd in control: CloudOps, security monitoring en SOC

Cloud Operations is dus de uitvoerende macht die waakt over de basishygiëne van een Cloud platform. Heden ten dage is het gebruikelijk om die basishygiëne uit te breiden met security monitoring, de “inlichtingendienst”, en adequate ordehandhaving in de vorm van een SOC. Zonder inlichtingen ben je blind voor potentiële gevaren die op de loer liggen en zonder SOC kan je niet ingrijpen. Elke online applicatie, elk onderdeel van een cloud infrastructuur kan aangevallen worden op elk moment. Naarmate je risicoprofiel hoger is zullen de maatregelen die je neemt verder aangescherpt moeten worden in je infrastructuur, je dagelijkse cloud operations, de monitoring en de opvolging daarvan. Zonder een adequaat niveau van deze drie zal het een keer raak zijn en misschien wel onopgemerkt blijven totdat de data op straat liggen. Je kan je een cybersecurity verzekering afsluiten, maar ook die eist dat je aan een bepaald veiligheidsniveau voldoet en dat kan aantonen.

Voor elk risicoprofiel bestaat een standaard set aan maatregelen die je eigenlijk moet nemen. Wil je weten wat jouw risicoprofiel is, welke maatregelen jij moet nemen en hoe je die implementeert? Wij helpen je graag van A tot Z. Neem gerust contact met ons op voor een kennismaking.


Kwaliteit. Betrouwbaar. Betrokken.
  • 24/7 service support
  • Nederlandse datacenters
  • ISO 27001 gecertificeerd
Bel me terug