Beveiligingsaandachtspunten voor Cloud omgevingen

Bedrijven wachten niet langer af en applicaties en data worden op grote schaal naar de Cloud gemigreerd. Daar zijn wel beveiligingsrisico's aan verbonden vooral op gebied van authenticatie. Hier een aantal aandachtspunten.

De Cloud Security Alliance sprak onlangs op beveiligingscongres RSAc over de dreigingen binnen Cloud computing waar we in 2016 mee te maken krijgen. De CSA heeft daarom een rapport uitgebracht waarin deze worden aangestipt om ervoor te zorgen dat Cloud klanten en -aanbieders hun beveiligingsbeleid kunnen richten op de problemen die voor hen relevant zijn.

Datadiefstal

Cloud omgevingen krijgen te maken met dezelfde types aanvallen als bedrijfsnetwerken, maar vanwege het datavolume worden Cloud providers een aantrekkelijker doelwit. Hoe ernstig de eventuele datadiefstal is, hangt af van de soort informatie die wordt gestolen. Je leest sneller over gestolen financiële informatie, maar datadiefstal van intellectueel eigendom, bedrijfsgeheimen en medische gegevens zijn veel schadelijker. Dit heeft vaak imagoschade en mogelijk klantverlies tot gevolg.

Gestolen credentials

Datadiefstal is soms ook het gevolg van een laks authenticatiebeleid, zwakke wachtwoorden en de post-it memo’s bijvoorbeeld aan schermen. Daarnaast worden rechten niet aangepast of ingetrokken als een gebruiker van rol veranderd of als gebruiker de organisatie verlaat.

Een ander risico is het verwerken van credentials in de broncode, vooral omdat die soms via openbare bron code Beheer systemen als GitHub beschikbaar komen. 

Gehackte interfaces en API's

Bijna elke Cloud provider heeft een set van API's welke door IT'ers worden aangesproken om Cloud diensten te benaderen. De beveiliging van je clouddienst is zo sterk als de beveiliging van die API. Hoe meer partijen gebruik maken van dezelfde interfaces, hoe meer credentials en verbonden diensten worden gedeeld. Daar ontstaan mogelijk problemen met integriteit, betrouwbaarheid en beschikbaarheid.

API's en andere interfaces vormen een kwetsbaar deel omdat ze vaak benaderbaar zijn via het open internet. 

Bugs in het systeem

Bugs in software zijn verre van nieuw. Ze worden alleen een grote probleem nu je één omgeving hebt met gedeelde resources tussen meerdere bedrijfsnetwerken. Geheugen, databases en andere bronnen draaien naast elkaar.

Accountkapingen

Phishing, fraude en software-exploits blijven succesvol en clouddiensten zorgen voor een nieuwe factor hiervoor, want nu kunnen ook cloudapplicaties zelf worden gebruikt om aanvullende aanvallen uit te voeren

Insiders

De insider kan vele gezichten hebben: een (ex-)werknemer, een systeembeheerder of een leverancier. De redenen kunnen vanuit wraak zijn of een financieel motief hebben. In een Cloud omgeving kunnen de infrastructuur en diverse databronnen worden vernietigd. Systemen die volledig afhankelijk zijn van de aanbieder voor beveiliging, zoals versleuteling via PKI, lopen het meeste risico.

Wat te doen?

Voor data diefstal kun je Multi Factor Authenticatie (MFA) en versleuteling in te zetten om de schade van een eventuele Cloud diefstal te beperken.

MFA als extra authenticatie via een “dongle” of je smartphone (denk aan internet bankieren waarbij bijvoorbeeld ABN Amro gebruik maakt van de e.dentifier en ING van TAN codes naar je mobiel nadat je in de betreffende omgeving bent ingelogd) en het gebruik van smartcards maken je veiliger, omdat aanvallers niet direct overal kunnen inloggen met buitgemaakte inloggegevens.

Login credentials moeten goed beschermd worden. Ook moeten vooral wachtwoorden regelmatig worden vervangen, zodat aanvallers minder lang de tijd krijgen om een vervolgaanval te plannen en uit te voeren. Denk hier ook aan medewerkers welke op een indirecte manier inloggen, het komt voor dat zij buiten het wachtwoord beleid van organisaties vallen.

Om aanvallen via API’s of interfaces tegen te gaan is het belangrijk om een threat-model te hebben voor de applicatie en systemen voor wat betreft de architectuur, het design, de data stromen etc. Ook het regelmatig uit (laten) van een rigoureuze penetratie test is onderdeel van het bijhouden van deze risico’s. Basale processen zoals goed patch beleid, regelmatig scannen en SNEL reageren op mogelijke dreigingen zijn een goed startpunt.

Een mislukte poging om een routinematige klus uit te voeren kan worden gezien als de pogingen om iets schadelijks uit te voeren. Denk in dat geval meteen aan de huidige TV campagne over Phishing van banken (Hang op, Klik weg, Bel uw bank). Onderneem actie door accounts, wachtwoorden en log files te bekijken. Voor het verkleinen van risico’s in de toekomst is het verstandig te inventariseren in hoeverre MFA gebruikt kan worden voor het benaderen van de meest kritische omgevingen.

Let wel: deze blog is zeker niet om bedrijven bang te maken voor Cloud computing. Het is iets waar vroeger of later elk bedrijf gebruik van zal maken. Vanwege de omvang van het nieuwe datacenter (vergeleken met je eigen/oude datacenter) wil ik alleen de belangrijkste punten op gebied van veiligheid benadrukken zodat deze bij het ontwerp en de implementatie mee genomen worden.

MARCO VAN DER STEIJLE 14 March 2016

Reageer op dit bericht