.



Multicloud heeft een veilige basis nodig

Blake_434_cropped.jpg

Multicloud is de kern van moderne IT-omgevingen. De meeste bedrijven gebruiken verschillende cloud providers. Multicloud-omgevingen bestaan uit drie elementen: microservices, containers en orchestration (voor de implementatie en beheer van containers). Terwijl dit trio enterprise IT verandert, brengt het ook nieuwe beveiligingsrisico’s.

Elk element gaat met security-risico’s gepaard die substantieel toenemen als ze gecombineerd worden ingezet voor de ontwikkeling van cloud-native software en services in een complexe en dynamische multi-cloudomgeving.

Het agile karakter van cloud-native development vergroot de risico’s. Docker containers hebben een gemiddelde levensduur van 2 dagen, en draaien mogelijk op één server die over meerdere virtuele machines verspreid is.

Containers zorgen dus voor een fikse toename van het aantal componenten dat bewaakt moet worden. Vanwege de snelle doorlooptijden is het vrijwel onmogelijk dat handmatig te doen. Dit vraagt om orchestration, wat weer een nieuw aanvalsoppervlak vertegenwoordigt.

Verantwoordelijkheid

Zowel de cloud provider als de gebruiker is verantwoordelijk voor de beveiliging. Dat betekent dat je inzicht moet verwerven in alle risico’s rond je multicloud-omgeving en die opvangt met een effectief security-programma.

In de eerste stap in zo’n programma maak je onderscheid tussen waar de verantwoordelijkheid voor de beveiliging van de diverse componenten ligt, bij de provider of bij de gebruiker. De beveiliging van de basisinfrastructuur ligt bij de gebruiker en begint bij de containers. De developers moeten authenticatiemogelijkheden voor containers inbouwen om gemachtigde toegang te waarborgen. Met digitale handtekeningen kun je voorkomen dat er niet-vertrouwde containers worden toegevoegd. Scan daarnaast elke afzonderlijk container-image op kwetsbaarheden. Laat het Security Operations-team het gedrag binnen en tussen containers bewaken. En gebruik tools voor het creëren van een baseline van verwacht containergedrag en whitelisting van processen en netwerkactiviteiten die je op de hoogte stellen van afwijkend en kwaadaardig gedrag.

Weldoordacht

Veilige orchestration vraagt om een weldoordachte configuratie. Authenticatie op basis van sterke wachtwoorden is onontbeerlijk. Ga er nooit vanuit dat standaardinstellingen afdoende beveiliging bieden. Neem elke instelling zorgvuldig onder de loep en voorkom gebruik van containers met speciale toegangsrechten. Verleen workloads geen volledige systeemtoegang en zorg ervoor dat toegangsrechten binnen containers niet kunnen worden verhoogd. Pas encryptie toe op kernaspecten als stores met sleutelwaarden en gebruik secrets management om sleutels regelmatig te wijzigen.

Microservices zijn inherent afhankelijk van de code van leveranciers en open source-code in gedeelde repository’s. Zorg ervoor dat je precies weet welke code je gebruikt en inspecteer onderlinge afhankelijkheden op kwetsbaarheden. Microservices ondergraven het traditionele concept van beveiliging van de netwerk edge op basis van firewalls. Kies daarom voor een gelaagde beveiligingsaanpak. Toegangsbeheer en autorisatie in combinatie met een firewall zijn onontbeerlijk. Gebruik een API-gateway die API-calls van containers kanaliseert en beheert. Zorg voor monitoring met een oplossing als CNCF’s Prometheus. Daarmee kun je systeemgegevens verzamelen en analyseren en meldingen definiëren. Met fuzz testing kun je API-gedrag binnen actieve applicaties testen.

Sleutel tot succes

Multicloud is zo populair omdat het de vrijheid en flexibiliteit biedt die moderne IT-omgevingen nodig hebben. Maar het maakt deze ook complexer doordat er een lappendeken ontstaat van onderling verbonden microapplicaties op basis van code die uit alle hoeken van het internet afkomstig is. Effectieve security vraagt dan om nieuwe tools en beheerpraktijken. De sleutel tot succes? Beveiliging op het fundamentele niveau van containers, orchestration en microservices die developers aan het stuur van de beveiliging van multi-cloud zet.