Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Cloudsecurity begint bij aanpassen van 'deurbeleid'

Dit artikel delen:

Computable Expert

Bart Bruijnesteijn
Presales Manager - UK & North Europe, CyberArk. Expert van Computable voor het topic Security.

In cloud-omgevingen circuleren zoveel identiteiten voor gebruikers, machines en applicaties dat het nauwelijks te beheren is. Veel van de identiteiten zijn onbewust geconfigureerd met veel meer rechten dan noodzakelijk. Met als resultaat toegang tot systemen die onnodig is. De eerste stap in een zero-trust-benadering van cloudsecurity is het toepassen van het 'minste-privilege-principe'.

Met identity en access management (iam)-tools zijn toegangsrechten te verdelen op basis van rollen of groepen, maar toch krijgen veel accounts uitvoerige privileges mee. Dit vormt een grote uitdaging voor bedrijven die zero trust frameworks doorvoeren. Elke identiteit die toegang vraagt tot bedrijfsresources moet daarbij immers geverifieerd worden en de toegang moet op een slimme manier gelimiteerd worden.

Uit een recent onderzoek van ESG bleek dat accounts met (te) veel rechten de meest geziene misconfiguratie in cloudservices is. Dat is ook anderen opgevallen: misbruik van overvloedige privileges is de populairste aanvalstactiek bij cloud-applicaties. Hierdoor zijn 'misbruikers' in staat om zonder op te vallen, bij workloads te komen of deze rechten op te schalen tot het niveau dat hele cloud-toepassingen offline zijn te halen.

Om dit tegen te gaan, moet least privilege worden toegepast, waarbij alle identiteiten een minimum aan benodigde rechten krijgen. Het is een cruciaal element in zero trust en transities naar de cloud. Least privilege verkleint ook de mogelijkheid voor iemand om rechten toe te kennen, zodat een aanvaller niet zomaar rechten voor zichzelf kan uitbreiden. 

Vier redenen voor least privilege in de cloud

"Hoewel aanvallers zich richten op nieuwe omgevingen, houden ze vast aan beproefde tactieken"

  • Datadiefstal is vaak gekoppeld aan cloud-identiteiten

Bedrijven gaan naar de cloud en aanvallers gaan mee. Hoewel aanvallers zich richten op nieuwe omgevingen, houden ze vast aan beproefde tactieken. In het rapport '2020 Verizon Data Breach Incident' staat dat identiteiten de zwakste schakel blijven: in meer dan driekwart van de succesvolle aanvallen stond diefstal van de accountgegevens aan de basis. 

Een least privilege-model biedt meer bescherming. Een gestolen identiteit kan in zo’n geval niet direct allerlei zaken in gang zetten buiten de rechten om. Hierdoor wordt de bewegingsvrijheid van aanvaller aanzienlijk kleiner, waardoor kostbare tijd wordt gewonnen om de aanval te detecteren en te stoppen.

  • Meer cloud-gebruik zorgt voor meer aanvalsplekken

Meer cloud-services, meer identiteiten, meer risico. Verschillende aspecten van cloud-omgevingen maken goede configuratie van privileges lastiger. Om ontwikkelaars niet in de weg te zitten, worden iam-rollen voor sommige services soms bewust breed geconfigureerd. Veel bedrijven vergeten ook achterhaalde rechten te verwijderen, zoals toegang voor ontwikkelaars na het beëindigen van een project. In beide gevallen levert het gevaar op en mogelijkheden voor aanvallers om ongezien verder te komen in een netwerk. Het doorvoeren én continu valideren van least privilege is een cruciale stap in het verkleinen van de ‘attack surface’.

  • Misconfiguraties groeien met het aantal cloud-services mee

De drie grote IaaS-platformen (AWS, Azure en Google Cloud Platform) introduceren voortdurend nieuwe services. Het maakt hen onderling onderscheidend, en het ondersteunt de innovatiedrang van gebruikers met allerhande tools. Uiteraard hangt daar een prijskaartje aan. Niet alleen de kosten, maar ook de risico’s doordat een misconfiguratie bij zoveel en zo rap veranderende cloudservices snel gemaakt is. Volgens onderzoek van IBM ligt aan twintig procent van de datadiefstallen een cloud-misconfiguratie ten grondslag.

Least privilege kan dergelijke misconfiguraties identificeren door te kijken naar rechten, onnodige toegang te blokkeren en daarmee risico’s te verkleinen, terwijl noodzakelijke toegang tot workloads gewoon mogelijk blijft.

  • Least privilege wordt als uitgangspunt gezien door cloud-providers en brancheverenigingen
AWS, Azure en GCP herkennen de gevaren van identiteiten met te veel rechten en de uitdagingen services in grote cloud-omgevingen veilig te configureren. Ze formuleren daarom least privilege allemaal als best practice. Consortia als de Cloud Security Alliance’s Cloud Control Matrix benadrukken ook het belang van continue controle van toegangsrechten. Organisaties onderhevig aan strenge wetgeving kunnen zelfs boetes krijgen als least privilege niet is doorgevoerd.

Least privilege heeft dus nut, maar mag niet ten koste gaan van de productiviteit van gebruikers of it-teams. Er moet balans worden gevonden in effectief beheer van rechten en doorvoeren van beveiliging aan de ene kant, en operationele behoeften aan de andere.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Het deurbeleid bij uitbesteding is min of meer een vertrouwen in de portier waarvan je antecedenten niet kent. De auteur gaat zoals velen weer eens voorbij aan het personele aspect, de meeste sportclubs hebben middels de VoG een betere screening voor het deurbeleid dan menige cloudprovider.

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2020-12-01T14:35:00.000Z Bart Bruijnesteijn
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.