Beheer
De cloud is de route naar veilige cloud-workload communicatie
Hoe hou je jouw online communicatie veilig?
Hoe hou je jouw online communicatie veilig?
Met verschillende applicaties in de cloud, sta je voor de uitdaging om ervoor te zorgen dat jouw online communicatie veilig is. Zowel de communicatie tussen verschillende apps, als tussen een app en het datacenter. Maar de multicloud-omgevingen en grote hyperscalers van vandaag de dag kunnen het beheer van beveiligde toegang tot de workload tot een gigantische onderneming maken. Met complexe verbindingen en hoge beveiligingsvereisten is dit een gebied dat vereenvoudigd moet worden. Geavanceerde cloud workload-oplossingen op basis van zero trust-technologie kunnen hierop het antwoord zijn.
Wanneer workloads naar de cloud worden verplaatst, moeten deze op allerlei verschillende manieren worden benaderd en volgens de multicloud-scenario’s die nu voorhanden zijn. Dit feit staat centraal in het debat over complexiteit en beveiliging in het bedrijfsleven. Voor de meeste applicaties die in de public cloud worden gehost, zijn drie ‘communicatierelaties’ vereist. De workload, die bestaat uit de applicatie en de bijbehorende data, dient voor beheerdoeleinden toegankelijk te zijn voor de IT-afdeling. De applicatie moet daarnaast ook in staat zijn om via internet te communiceren met andere applicaties en tot slot ook verbonden zijn met het datacenter. Als de vereiste toegangsrechten op deze vlakken niet goed zijn ingesteld, kan het bedrijf mogelijk kwetsbaarder zijn voor aanvallen.
De kosten en moeite die gepaard gaan met veilige workload-communicatie stijgen met het aantal applicaties dat in de cloud wordt gehost en het aantal cloud providers dat wordt gebruikt. Omdat hyperscalers de neiging hebben om een gedecentraliseerde infrastructuur te gebruiken, staan hun applicatieontwikkelaars en netwerk-beveiligingsteams voor de uitdaging om ervoor te zorgen dat de communicatierelaties voor elke workload en van elke cloudprovider zowel effectief als veilig zijn. Omdat deze bedrijven regelmatig een nog traditionele benadering van netwerkbeveiliging hanteren, worden de verantwoordelijken vaak geconfronteerd met veel complexiteit of hoge kosten.
De nieuwste "State of Cloud (In)Security"-analyse door het Zscaler ThreatLabz-team, dat duizenden cloud-workloads onderzocht, laat zien dat beveiligingsoverwegingen vaak buiten de boot vallen vanwege de complexiteit van multicloud-omgevingen. In vergelijking met 2020 is het spectrum en de frequentie van cloudbeveiligingsproblemen in de loop van 2021 toegenomen. Volgens de analyse wordt voor 71% van de cloud-accounts geen software of hardware gebaseerde multifactor-authenticatie gebruikt, vergeleken met 63% het jaar ervoor. 56% van de toegangssleutels werd in de afgelopen 90 dagen niet vernieuwd; een stijging van 6% ten opzichte van vorig jaar. Bovendien waren aan 91% van de accounts machtigingen toegewezen die nog nooit waren gebruikt. De meeste machtigingen waren niet alleen nog nooit gebruikt, maar ook onjuist geconfigureerd. En als klap op de vuurpijl bleek uit de analyse dat 90% van de bedrijven niet wist dat ze uitgebreide leesrechten hadden verleend aan externe providers.
Verwarring en chaos in workload communicatie
Door de toename van de public cloud-workloads in de afgelopen twee jaar hebben veel bedrijven te maken met een complex en chaotisch systeem van verbindingen voor hun cloud-applicaties. Deze complexiteit is het gevolg van de verschillende routeringseisen voor dataverkeer. Dit is bestemd voor de applicatie in de cloud, communicatie tussen de cloudgebaseerde apps onderling en communicatie van de applicatie terug naar het datacenter. Factoren zoals de vereiste niveaus van service-beschikbaarheid in verschillende regio's en zelfs redundante applicaties, dragen allemaal bij aan ingewikkelde communicatiepaden.
Het monitoren en structureren van multicloud-omgevingen wordt nog complexer als meerdere applicaties of delen van applicaties in de public cloud met elkaar moeten communiceren, of wanneer delen van applicaties onder verschillende hyperscalers vallen. Het meest complex van allemaal zijn workloads die niet alleen redundant zijn maar die zich ook uitstrekken over meerdere regio's en cloud providers, om computernetwerken te creëren voor gigantische taken of voor big data-toepassingen. Als dit soort complexe applicatiescenario's worden gecombineerd met traditionele WAN's en hardwaregebaseerde beveiligingsarchitecturen, moet er een uitgebreide set aan firewallregels worden geïmplementeerd. Dit om het noord-zuid verkeer van de server naar het internet en het oost-west verkeer tussen de servers te beheren.
Afhankelijk van het datavolume worden bedrijven gedwongen om glasvezeltechnologie of directe verbindingen met hyperscalers te gebruiken. De enige alternatieven voor bedrijven met lagere data workload volumes zijn een complexe VPN-tunnel of een combinatie van verschillende pakketten van bedrijven die kunnen helpen met de beheerlast.
In dit soort complexe cloud-scenario's wordt vaak over het hoofd gezien wie precies verantwoordelijk is voor de beveiliging van cloud-workloads en alle bijbehorende infrastructuur. Hoewel de verantwoordelijkheden misschien duidelijk zijn gedefinieerd toen de applicaties op het netwerk werden gehost - waarbij het applicatieteam, het netwerkteam en de beveiligingsafdeling allemaal hun rol speelden - vervaagt de cloud deze traditionele afbakening van verantwoordelijkheden. De verantwoordelijkheid voor de beveiliging van de cloud-workload wordt stilzwijgend neergelegd bij degenen die verantwoordelijk zijn voor de cloud-applicatie. De vaardigheden van de ontwikkelaars liggen echter vaak in de eerste plaats in het programmeren van applicaties; ze zijn mogelijk geen experts op het gebied van netwerk- en beveiligingsinfrastructuur, wat kan leiden tot hiaten in de beveiligingsconfiguratie.
Beveiliging vereenvoudigen via de cloud
De zero trust-aanpak is de afgelopen jaren enorm populair geworden als een manier om het dataverkeer van applicaties op internet en toegang op afstand tot applicaties in datacenter- of cloud-omgevingen te beveiligen. Met deze aanpak vindt veilige communicatie plaats op basis van beleid en gedefinieerde toegangsrechten, in lijn met het principe van ‘least privileged’-toegang. Een beveiligingsplatform fungeert als tussenliggende beveiligingslaag om dit beleid te implementeren. Deze veiligheidsdiensten werken samen met het internet, de applicaties en de gebruiker om veilige communicatie te bewaken. In dit soort scenario's is een cloudgebaseerde aanpak ideaal omdat het de nodige ruimte biedt voor schaalvergroting en daarnaast weinig beheer vereist.
Dit op zero trust gebaseerde concept kan ook worden toegepast op het structureren en bewaken van cloud-workload relaties, waardoor de complexiteit van deze scenario's wordt verminderd. Er wordt beleid gebruikt om de workload toegangsrechten te verlenen voor de vereiste applicaties; deze rechten worden vervolgens bewaakt via een cloudplatform. Deze benadering maakt netwerkverbindingen overbodig en geeft in plaats daarvan de voorkeur aan gedetailleerde verbindingen op individueel applicatieniveau. Workloads in de cloud kunnen worden gekoppeld aan gedefinieerde bestemmingen op internet, om updates door te voeren of om te communiceren met andere applicaties in verschillende clouds of in hetzelfde datacenter. Ook hier vormen gedefinieerde toegangsrechten tot de cloud-workload de basis voor veilige communicatie. Via een ingekapselde verbinding bewaakt een intermediair in de cloud het verkeer om ervoor te zorgen dat alleen geautoriseerde communicatierelaties tot stand komen. Het cloud-beveiligingsplatform implementeert niet alleen de toegangsrechten, maar beheert ook andere beveiligingsfuncties om het dataverkeer te monitoren, zoals het analyseren van SSL-encrypted verkeer op verborgen kwaadaardige code.
Cloud-workloads zijn niet langer een ingang voor aanvallen
Deze aanpak heeft een tweeledig effect: het vermindert de complexiteit en tegelijkertijd de kwetsbaarheid van cloud-workloads voor internetaanvallen. Omdat communicatie tussen apps is ingekapseld, zijn de applicaties zelf niet online zichtbaar. Hierdoor hebben onbevoegde partijen er geen toegang toe.
Deze methode maakt ook microsegmentatie mogelijk: met behulp van het gedefinieerde beleid voor toegangsrechten bepaalt het systeem welke servers kunnen communiceren met andere servers en onder welke omstandigheden dit kan gebeuren. Dit zonder dat er dataverkeer via externe netwerkapparatuur hoeft te worden gerouteerd om firewall-regels toe te passen. Deze aanpak werkt over verschillende clouds heen en gaat de gedecentraliseerde methodologie van hyperscalers tegen.
Daarnaast herstelt het ook de traditionele verdeling van verantwoordelijkheid voor de applicatie, het netwerk en de beveiliging. De applicatieontwikkelaar is alleen verantwoordelijk voor het instellen van het pad van de applicatie naar het cloud-beveiligingsplatform; De verantwoordelijkheid voor de beveiliging van de cloud-infrastructuur wordt weer overgedragen aan het beveiligingsteam zodra het beleid is vastgesteld. Omdat de applicaties niet langer online worden blootgesteld voor communicatiedoeleinden, vermindert het bedrijf ook zijn kwetsbaarheid voor aanvallen.
De cloud maakt veilige cloud-workload communicatie mogelijk
Workload-verbindingen in de public cloud moeten net zo veilig zijn als de verbindingen waarmee individuele gebruikers toegang krijgen tot hun cloudgebaseerde apps. Door de zero trust-principes van gebruikerscommunicatie toe te passen op cloud-workloads, kunnen bedrijven ervoor zorgen dat deze communicatie eenvoudig en veilig is, terwijl ze ook hun blootstelling aan aanvallen via internet verminderen. Deze aanpak vermindert de complexiteit door de datastromen te herstructureren en tegelijkertijd de beveiliging te versterken, waardoor het de perfecte oplossing is voor de ‘cloud-first’-route die tegenwoordig vaak voorkomt binnen bedrijven.