Dit zijn de belangrijkste security uitdagingen bij een cloud dataplatform in Azure

30 april 2021

Na afloop van de Dataplatform Security Check beschikt u over een concreet stappenplan richting een veilig cloud dataplatform in Azure

Door Didar Baban, Data & Analytics Consultant

Steeds meer organisaties stappen over naar de Microsoft Azure cloud om hun moderne dataplatform te realiseren. Met uitstekende redenen: het gebruik is eenvoudig, schaalbaar en kostenefficiënt. Toch speelt er bij de overstap naar Azure nog een ander thema van essentieel belang: security. Hoe zit het eigenlijk met security bij de overstap naar Azure?

“Door te kiezen voor Microsoft Azure als de basis voor jouw data platform maak je gebruik van de gelaagde beveiliging geleverd door Microsoft in fysieke datacenters, infrastructuur en bewerkingen in Azure. Je profiteert van de uitstekende beveiliging geleverd in Azure datacentrums wereldwijd. Je kunt vertrouwen op een cloud die gebouwd is met aangepaste hardware en die beschikt over verregaande beveiligingsmaatregelen die geïntegreerd zijn in alle hardware- en firmwareonderdelen.

Bovendien biedt dit platform extra beveiliging tegen bedreigingen als DDoS. Microsoft beschikt over een team met meer dan 3500 cyberbeveiligingsexperts wereldwijd die samenwerken om jouw bedrijfsassets en gegevens in Azure te beschermen.” 1 

Onvoldoende bewust van eigen verantwoordelijkheid

Wij stellen zonder meer dat Microsoft een veilige infrastructuur biedt voor jouw cloud-omgeving, inclusief jouw dataplatform. Het correct configureren van het platform en bijbehorende services is echter jouw eigen verantwoordelijkheid. Hetzelfde geldt voor het nemen van specifieke veiligheidsmaatregelen en het houden van toegangscontrole voor gebruikers en applicaties. Helaas zijn veel organisaties zich hier onvoldoende van bewust, waardoor te weinig aandacht wordt besteed aan het beveiligen van hun dataplatform als geheel. Daardoor lopen zij onnodig risico’s, zoals ongewenste toegang tot het platform, datalekken en het niet voldoen aan AVG-wetgeving.

On-premises dataplatform vs Azure dataplatform

Bij een traditioneel on-premises-dataplatform is de rol van ontwikkelaar en databasebeheerder aanwezig binnen de eigen organisatie. De ontwikkelaar focust zich op het ontwikkelen van analytische producten en het verkrijgen van de bijbehorende functionele requirements. De databasebeheerder focust zich op het beheer, configuratie, security en toegang tot de on-premises omgeving.

In veel gevallen wordt een Azure-dataomgeving door een ontwikkelaar opgezet om bepaalde functionaliteiten te testen of om laagdrempelig te starten met werken in Azure. Later worden dit soort omgevingen gepromoveerd tot de centrale plek voor alles rondom data en analytics. In dit geval is de rol van de databasebeheerder minder duidelijk, aangezien Microsoft het onderliggende platform beheert en het platform door een ontwikkelaar is gerealiseerd. In deze situatie schiet het focussen op en het doorvoeren van security best practises, er dikwijls bij in. Dit gebeurt niet alleen in situaties als hiervoor beschreven, maar ook in het geval van Azure-omgevingen die al langer worden gebruikt.

Dit zijn de belangrijkste security uitdagingen bij een cloud dataplatform

Dit zijn de belangrijkste security uitdagingen bij een cloud dataplatform die we in de praktijk tegenkomen:

  1. Azure services en -resources worden opengezet voor iedereen
    In de firewall-instellingen wordt vaak toegestaan dat Azure services en -resources toegang krijgen tot de database server. Vaak wordt vanuit gemak, of gebrek aan kennis, met één klik op de knop deze optie in de firewall geselecteerd. Met deze optie configureert men de firewall om alle verbindingen van Azure toe te staan, inclusief verbindingen van de abonnementen (subscription) van andere klanten.
  1. Opslaan en verwerken van persoonsgegevens wordt niet volgens de AVG-wetgeving uitgevoerd
    Persoonsgegevens worden vaak verwerkt in rapportages en beschikbaar gesteld aan de eindgebruikers. Als organisatie ben je verantwoordelijk voor de veilige opslag en verwerking van deze gevoelige data. Er zijn diverse data classificatie, labeling en data maskering opties om op een veilige manier met gevoelige data om te gaan in jouw Azure dataplatform. Van deze opties wordt echter lang niet altijd gebruikgemaakt.
  1. Azure Storage Access Key wordt niet regelmatig geroteerd
    Een Azure Storage Acces Key kan gebruikt worden om toegang tot de Azure Storage-omgeving te verkrijgen. Wanneer deze niet regelmatig of automatisch opnieuw wordt gegenereerd behoudt iedereen die ooit de key heeft ontvangen of de key op een andere manier heeft verkregen, toegang tot de gehele Azure Storage-omgeving.
  1. Het least privilege-principe wordt niet toegepast
    Het principe van least privilege stelt dat aan de gebruikers voldoende rechten moeten worden toegewezen om specifieke taken te kunnen uitvoeren, maar niet meer.
    In de praktijk krijgen medewerkers vaak toegang tot alle resources omdat dit de snelste manier van werken is. Zo is het voor de medewerkers vaak mogelijk om Azure Key Vault te betreden en alle wachtwoorden in te zien.

Security toch écht een vak apart

Microsoft deelt veel security best practices in de online documentatie en via de verschillende communities. In de praktijk blijkt helaas dat veel best practises niet worden toegepast, met concrete beveiligingsrisico’s tot gevolg. Ook bij ontwikkelaars die de juiste trainingen hebben gevolgd en gecertificeerd zijn, zien we in de praktijk dat de focus ligt bij ontwikkelen. Security is toch écht een vak apart.

Dataplatform Security Check

Motion10 heeft op basis van diverse studies, Microsoft-richtlijnen en eigen praktijkervaring een lijst opgesteld met meer dan 100 checks en best practises voor een veilig dataplatform: de Dataplatform Security Check. De Dataplatform Security Check wordt constant up-to-date gehouden en is opgebouwd uit een volwassenheidsmodel voor tien essentiële deelgebieden op het gebied van security binnen een modern dataplatform.

Dit zijn de belangrijkste security uitdagingen bij een cloud dataplatform in Azure
Afb: Deelgebieden modern dataplatform

Op basis van een gericht assessment op de voor je relevante deelgebieden, beoordelen wij waar jouw organisatie staat op het gebied van de security van jouw cloud dataplatform. Na afloop van de Dataplatform Security Check beschik je over een concreet stappenplan voor het bereiken van een veilig cloud dataplatform in Azure.

Meer weten?

Wil je weten wat de Dataplatform Security Check voor jouw organisatie kan betekenen? Lees hier meer over de Dataplatform Security Check of neem contact op met Alex Zweekhorst, Unit Manager Data & Analytics, op 06 46 84 33 88 of alex.zweekhorst@motion10.com of met jouw Motion10 Accountmanager.

1 (bron: https://azure.microsoft.com/nl-nl/overview/security/ )

Whitepaper

Information Security: van belemmering naar kans

Hoe Informatiebeveiliging uw digitale transformatie kan versnellen
Blog

IT-security: belemmering of business enabler?

Innovatieve informatiebeveiliging hoeft geen beperking te zijn, maar kan juist een business enabler zijn.