5 juli 2023
Vincent Villerius
In de eerste Security Blog van deze reeks werd het Zero Trust Framework toegelicht. Voor het beveiligen van IT-middelen is de infrastructuurlaag een belangrijk onderdeel van het framework. IT-infrastructuur bestaat uit oplossingen die ondersteunend zijn aan meerdere applicaties. Van oudsher denkt men dan aan compute, opslag en netwerk. Zaken waarvan in de on-premises wereld (waarschijnlijk) helder is hoe deze beschermd moeten worden. Maar hoe zit dat in de cloud? Vincent Villerius, Managing Consultant Azure & Integration bij Motion10, legt het uit.
Gedeelde verantwoordelijkheid
Wanneer je gebruik maakt van clouddiensten, is er sprake van een gedeelde verantwoordelijkheid (shared responsibility model) voor informatiebeveiliging tussen de cloudleverancier en de klant. In dit model is de cloudleverancier altijd verantwoordelijk voor zaken als fysieke toegangsbeveiliging, energie, koeling en fysieke hardware, maar voor de diensten die daar bovenop worden afgenomen verschilt de verantwoordelijkheid per levermodel. Als het om eigen data, devices van eindgebruikers, accounts en toegangsbeheer gaat, ligt voor ieder levermodel de verantwoordelijkheid bij de klant. Bij IaaS (Infrastructure as a Service) heeft de klant meer verantwoordelijkheden dan in de PaaS en SaaS-modellen. Om het duidelijk te houden kijken we voor het vervolg van deze blog specifiek naar het IaaS model. Waar liggen de verantwoordelijkheden als klant en welke gereedschappen biedt Microsoft om die verantwoordelijkheid te nemen?
IaaS
In het IaaS model neem je compute, opslag en netwerk af van Azure. De klant is zelf verantwoordelijk voor de inrichting en dus beveiliging van virtuele servers, virtuele netwerken, identity infrastructuur en applicaties. Gelukkig biedt Azure verschillende oplossingen waarmee de Zero Trust principes kunnen worden toegepast op eigen middelen.
Principe 1: verifieer expliciet
Controleer de identiteit van alles en iedereen die toegang wil hebben en pas dit ook toe op de systemen zelf. Stel vragen als: ‘wordt er vertrouwde software gebruikt’, ‘zijn jouw eigen virtuele machines wel te vertrouwen’. De volgende tips kunnen helpen bij dit eerste principe:
Principe 2: verstrek zo weinig mogelijk rechten
We zien nog veel organisaties waar elke IT-medewerker Global Admin en Subscription Owner is. Deze medewerkers zijn vast te goeder trouw, maar een ongeluk zit in een klein hoekje. Door medewerkers alleen voor een moment de toegang te geven die nodig is om productief te zijn, kunnen veel incidenten worden voorkomen. De volgende tips kunnen helpen de rechten te beperken tot het hoogstnoodzakelijke:
Principe 3: ga uit van een inbraak
Er wordt vaak gezegd dat er twee soorten organisaties zijn: organisaties die wéten dat ze gehackt zijn en organisaties die dat nog níet weten. Vanuit de mindset dat er wellicht al een inbraak aan de gang is, beperken we de impact daarvan zoveel mogelijk. De volgende tips kunnen daarbij helpen:
Gebruik Adaptive Network Hardening om netwerkverkeer adaptief verder te beperken, wanneer Network Security Groups onvoldoende controle bieden. Dit is onderdeel van Defender for Servers plan 2.
Neem de verantwoordelijkheid
Clouddiensten zijn enorm krachtig, schaalbaar en rijk aan configuratiemogelijkheden. Organisaties nemen vaak ten onrechte aan dat security de volledige verantwoordelijkheid is van de cloudleverancier, met kwetsbaarheden en datalekken als gevolg. Juist wanneer een klant gebruik maakt van IaaS en PaaS diensten heeft men veel verantwoordelijkheden. Gelukkig is er een rijke set aan gereedschappen die ingezet kunnen worden om systemen in de cloud te beveiligen op een manier die recht doet aan jouw eisen en wensen.
Wil je weten hoe jouw organisatie een actieve houding aan kan nemen omtrent IT-beveiliging? De ‘Secure Identities and Access Workshop’ en ‘Protect and Govern Sensitive Data Activator Workshop’ geven inzichten die jouw organisatie nodig heeft om vervolgstappen te nemen.
Lees meer