Beveilig de cloud, begin klein

1. Zorg voor inzicht en uitstekende zichtbaarheid van de cloud.

Jouw beveiligingsmensen moeten weten welke cloudplatforms worden gebruikt en ook wat daarop draait. Daarvoor zijn API’s de essentiële technologieën die de cloud anders maken dan de meeste on-premises omgevingen. Benut de API’s van de cloudprovider om doorlopend op de hoogte te zijn van wijzigingen in de metadata-laag.

Wanneer alle beveiligingsinspanningen zijn gebaseerd op beleidsregels, wordt het automatiseren ervan een stuk eenvoudiger

1. Breng barrières aan voor het automatisch voorkomen van de ernstigste cloudconfiguratiefouten.

Bedenk welke configuraties nooit mogen bestaan in jouw omgeving. Stel een initiële lijst op en breid die uit naarmate je cloudbeveiliging volwassener wordt. Houd rekening met twee belangrijke zaken: begin klein en test alles goed. Zo ontstaan er geen onbedoelde neveneffecten. Werk nauw samen met ontwikkelaars. Implementeer geen geautomatiseerde beveiligingsmiddelen zonder de betrokkenheid van hen.

1. Beleid is de voorloper van automatisering.

Een goede doelstelling is om in de loop der tijd 80% van de beleidsregels te automatiseren. Wanneer alle beveiligingsinspanningen zijn gebaseerd op beleidsregels, wordt het automatiseren ervan een stuk eenvoudiger.

Verwacht niet dat je binnen 90 dagen van geen automatisering naar volledige automatisering kunt gaan, tenzij je een start-up bent. Bij een bedrijf van enige omvang kost het al snel negen maanden voordat dit proces op orde is.

1. Train en werf beveiligingsengineers die kunnen coderen.

Goed personeel is heel belangrijk. Begin met het evalueren van de aanwezige vaardigheden bij je medewerkers. Zijn er teamleden die Python of Ruby beheersen? Zo ja, investeer dan flink in die mensen en stem hun werkzaamheden af op de automatiseringsplanning. Zo nee, bepaal of er mensen zijn die het willen leren.

1. Maak beveiliging een kernonderdeel van de ontwikkelingspijplijn.

Weet tot in detail hoe jouw organisatie code naar de cloud overbrengt. Zodra dat bekend is, zoek naar de plaats waar beveiligingsprocessen en -hulpmiddelen zo onmerkbaar mogelijk kunnen worden geïmplementeerd. Ook hierbij is vroege betrokkenheid van de ontwikkelteams cruciaal.

Met een cloudstrategie die is gefocust op deze 5 tips, kunnen zowel grote als kleine beveiligingsafdelingen profiteren van de voordelen van publieke clouds, waardoor die niet langer zijn voorbehouden aan ontwikkelaars. Klein beginnen, snel opschalen.