Inhoudsopgave:
Video: Proximus Hybrid Cloud (NL) 2024
Een doordachte benadering van beveiliging kan erin slagen veel veiligheidsrisico's in een hybride cloudomgeving te beperken. Om een veilige hybride omgeving te ontwikkelen, moet u de huidige status van uw beveiligingsstrategie en de beveiligingsstrategie van uw cloudprovider beoordelen.
Beoordeel uw huidige staat van beveiliging
In een hybride omgeving begint de beveiliging met het beoordelen van uw huidige toestand. U kunt beginnen met het beantwoorden van een reeks vragen die u kunnen helpen bij het vormen van uw benadering van uw beveiligingsstrategie. Hier zijn enkele belangrijke vragen om te overwegen:
-
Heeft u recentelijk uw eigen traditionele beveiligingsinfrastructuur geëvalueerd?
-
Hoe beheert u de toegangsrechten tot applicaties en netwerken - zowel binnen uw bedrijf als buiten uw firewall? Wie heeft er recht op toegang tot IT-bronnen? Hoe zorgt u ervoor dat alleen de juiste identiteiten toegang krijgen tot uw applicaties en informatie?
-
Kunnen de kwetsbaarheden en risico's van webtoepassingen worden geïdentificeerd en eventuele zwakke punten worden gecorrigeerd?
-
Hebt u een manier om uw beveiligingsrisico's in de loop van de tijd bij te houden, zodat u eenvoudig bijgewerkte informatie kunt delen met degenen die het nodig hebben?
-
Zijn uw serveromgevingen te allen tijde beschermd tegen externe beveiligingsbedreigingen?
-
Als u codering gebruikt, onderhoudt u dan uw eigen sleutels of haalt u ze bij een vertrouwde, betrouwbare provider? Gebruik je standaardalgoritmen?
-
Kunt u beveiligingsrisico's in realtime monitoren en kwantificeren?
-
Kunt u het beveiligingsbeleid consequent implementeren in alle soorten lokale en cloud-architecturen?
-
Hoe beschermt u al uw gegevens, ongeacht waar deze zijn opgeslagen?
-
Kunt u aan de audit- en rapportagevereisten voor gegevens in de cloud voldoen?
-
Kunt u voldoen aan de nalevingsvereisten van uw branche?
-
Wat is uw applicatiebeveiligingsprogramma?
-
Wat zijn uw ramp- en herstelplannen? Hoe waarborg je de continuïteit van de dienstverlening?
Beoordeel de beveiliging van uw cloudleverancier
Een hybride cloudomgeving vormt een speciale reeks uitdagingen op het gebied van beveiliging en governance. Hybride clouds gebruiken uw eigen infrastructuur plus die van uw serviceprovider. Gegevens kunnen bijvoorbeeld op uw locatie worden opgeslagen, maar in de cloud worden verwerkt. Dit betekent dat uw lokale infrastructuur mogelijk is verbonden met een meer openbare cloud, wat gevolgen zal hebben voor de soorten beveiligingsfuncties die u nodig hebt.
Er moeten besturingselementen aanwezig zijn voor perimeterbeveiliging, toegang, gegevensintegriteit, malware en dergelijke - niet alleen op uw locatie, maar ook bij uw cloudprovider.Cloudserviceproviders hebben elk hun eigen manier om de beveiliging te beheren. Ze kunnen al dan niet verenigbaar zijn met het nalevings- en algehele beveiligingsplan van uw organisatie. Het is absoluut van cruciaal belang dat uw bedrijf zijn kop niet in het zand steekt door aan te nemen dat de cloudprovider gedekt is door beveiliging.
U moet controleren of uw cloudprovider hetzelfde beveiligingsniveau biedt dat u intern nodig heeft (of een superieur niveau, als u uw algehele beveiligingsstrategie wilt verbeteren). U moet veel moeilijke vragen stellen om te garanderen dat de beveiligings- en beheerstrategie van uw bedrijf kan worden geïntegreerd met die van uw provider.
Hier zijn enkele tips waarmee u aan de slag kunt en die ook nuttig kan zijn bij het beoordelen van uw beveiligingsstrategie:
-
Vraag uw cloudprovider naar wat voor soort bedrijven zij bedienen. Stel ook vragen over de systeemarchitectuur om meer te weten te komen over hoe met multi-tenancy wordt omgegaan.
-
Bezoek de faciliteit onaangekondigd om te begrijpen welke fysieke beveiligingsmaatregelen er zijn getroffen. Volgens de CSA betekent dit dat je door alle gebieden loopt, van de receptie tot de generatorruimte en zelfs de brandstoftanks inspecteert. U moet ook controleren op perimeterbeveiliging (controleer bijvoorbeeld hoe mensen toegang krijgen tot het gebouw) en of de operator voorbereid is op een crisis (bijvoorbeeld brandblussers, alarmen en dergelijke).
-
Controleer waar de cloudprovider zich bevindt. Staat het bijvoorbeeld op een gebied met veel criminaliteit of een gebied dat vatbaar is voor natuurrampen zoals aardbevingen of overstromingen?
-
Wat voor up-to-date documentatie heeft de cloudprovider? Heeft het incidentresponsplannen? Noodplannen? Back-upschema's? Restauratieplannen? Achtergrondcontroles van beveiligingspersoneel en andere personeelsleden?
-
Wat voor certificeringen biedt de provider? Hebben cloudbeveiligingspersoneel certificeringen zoals CISSP, CISA en ITIL?
-
Ontdek waar uw gegevens worden opgeslagen. Als uw bedrijf nalevingsvoorschriften heeft, moet het over gegevens in het buitenland vergaderen, dit is belangrijk om te weten.
-
Ontdek wie toegang heeft tot uw gegevens. Controleer ook om te zien hoe gegevens worden beschermd.
-
Meer informatie over de gegevensback-up en retentieplannen van de provider. U wilt weten of uw gegevens zijn vermengd met andere gegevens. Als u uw gegevens terug wilt wanneer u uw contract beëindigt, kunnen deze problemen belangrijk zijn.
-
Hoe zal uw provider denial-of-service (DoS) -aanvallen voorkomen?
-
Wat voor soort onderhoudscontracten heeft uw provider voor zijn apparatuur?
-
Controleert uw cloudprovider zijn activiteiten voortdurend? Kun je inzicht krijgen in deze monitoringmogelijkheden?
-
Hoe worden incidenten gedetecteerd? Hoe wordt informatie gelogd?
-
Hoe worden incidenten afgehandeld? Wat is de definitie van een incident? Wie is uw aanspreekpunt bij uw serviceprovider? Wat zijn de rollen en verantwoordelijkheden van teamleden?
-
Hoe gaat uw provider om met applicatiebeveiliging en gegevensbeveiliging?
-
Welke statistieken controleert uw cloudprovider om ervoor te zorgen dat applicaties veilig blijven?
Gezien het belang van beveiliging in de cloudomgeving, kunt u ervan uitgaan dat een grote cloudserviceprovider een reeks uitgebreide servicelevelovereenkomsten voor zijn klanten zal hebben. In feite zijn veel van de standaardovereenkomsten bedoeld om de serviceprovider te beschermen - niet de klant. Uw bedrijf moet dus echt het contract begrijpen, evenals de infrastructuur, processen en certificeringen die uw cloudprovider in huis heeft.
U moet uw cloudbeveiligingsvereisten en governance-strategie duidelijk formuleren en de verantwoordelijkheid bepalen. Als uw cloudprovider niet over deze items wil praten, moet u waarschijnlijk een andere cloudprovider overwegen. Aan de andere kant heeft uw cloudprovider mogelijk enkele tricks in handen die uw eigen veiligheid kunnen verbeteren!