Geen cloud-migratie zonder security gaps

In het afgelopen jaar is de cloudadoptie onder organisaties als gevolg van de coronacrisis sterk toegenomen. Vast niet allemaal omdat men het graag dit jaar al wilde, maar wel gewoon bittere noodzaak om de business draaiende te houden. Een dergelijke al dan niet gedwongen verschuiving van workloads en werkplekken richting de cloud levert ook de nodige uitdagingen op. Een belangrijke is dat je als organisatie je footprint onder de streep behoorlijk vergroot en daarmee dus ook je aanvalsoppervlak. De grote vraag hierbij is of je als organisatie wel altijd overzicht hebt over je gedistribueerde omgeving. Belangrijker nog, heb je ook inzicht hebt in waar de eventuele gaten in je security zitten? We gingen erover in gesprek met Richard Beckett van Sophos.

cloud security shield with checkmark / cloud / digital connections / cloud security expert / CASB
Natali Mis / Getty Images

Beckett is bij Sophos verantwoordelijk voor Product Marketing rondom het public cloud-verhaal van de securityspecialist. Hij kan dus uit eerste hand vertellen wat de gevolgen van de pandemie zijn geweest voor de security binnen organisaties. Interessant om te vermelden over zijn carrière bij Sophos is dat hij zelf eigenlijk ook een migratie naar de cloud heeft doorgemaakt. Een migratie die ongeveer dezelfde route heeft genomen als veel organisaties. Hij is namelijk binnen Sophos begonnen binnen het portfolio dat zich bezighoudt met e-mailbeveiliging. E-mail is voor organisaties vaak de eerste stap richting de cloud, omdat het relatief eenvoudig is om te migreren naar Office 365 of G Suite. Dat maakt het vanuit cloud-perspectief ook voor Beckett een interessant startpunt bij Sophos. Evenals veel organisaties is hij ook via deze variant van SaaS verder de cloud ‘ingerold’.

Van bescherming via inzicht naar integratie

In het algemeen geldt dat er drie fases zijn bij klanten die naar de cloud migreren, zo geeft Beckett aan. Elk van die fases heeft een eigen security-behoefte, waaraan een partij zoals Sophos moet voldoen om bij de hele reis naar de cloud relevant te zijn. Allereerst is er het rehost-stadium, waarbij er lift-and-shift gedaan wordt van workloads. Stap twee is wanneer je workloads gaat refactoren en hiermee ook toewerkt richting zaken zoals serverless. Stap drie is het cloud-native-stadium, waarbij er geen sprake is van een originele workload waarvandaan je vertrekt en applicaties in de cloud ontwikkeld worden.

De eerste stap is op zich nog niet zo interessant en ingewikkeld, geeft Beckett aan: “Deze stap kun je zien als een natuurlijke uitbreiding van de bestaande security-producten.” Organisaties gaan echter vrij snel het overzicht verliezen als ze naar de tweede stap gaan. Op zich is dat niet zo gek, want je maakt hiermee je totale IT-omgeving een stuk complexer. Met name in de cloud is zichtbaarheid niet per se gegarandeerd. Deels doordat het zo’n dynamische omgeving is waar vrijwel dagelijks nieuwe services en features worden uitgerold, maar ook zeker omdat je te maken hebt met meerdere public clouds die ingezet kunnen worden. Tot slot zal je als organisatie niet volledig in een van de stappen uitkomen, in ieder geval niet in de nabije toekomst. Dus je hebt ook nog eens een zeer verspreide IT-omgeving.

Gaten zichtbaar maken, op meerdere vlakken

Het mag duidelijk zijn dat migratie naar de cloud een nieuwe behoefte creëert bij organisaties op het gebied van security, namelijk die om inzicht te krijgen in wat er zoal gebeurt met de workloads in de cloud. “Er ontstaat een behoefte om te visualiseren,” in de woorden van Beckett. “Niet alleen op het gebied van security, maar ook als het gaat om kostenoptimalisatie, IAM en compliance,” vult hij verder aan. Om dat te kunnen bieden, heeft Sophos enkele jaren geleden Avid Secure overgenomen, dat inmiddels is geïntegreerd in het portfolio van Sophos als Cloud Optix. Dit is een CSPM (Cloud Security Posture Management) tool waarmee je de verschillende soorten gaten inzichtelijk moet kunnen maken. Het is onderdeel van Sophos Central, het centrale managementplatform (draaiend in AWS) waar alles wat Sophos doet aan gekoppeld is. Naast CSPM maakt daar uiteraard ook workload en netwerk beveiliging onderdeel van uit.

In het afgelopen jaar heeft Beckett deze verschuiving en de verschuivende wensen ook zeker zien plaatsvinden tijdens de coronacrisis en alle gevolgen die dit met zich meebracht voor hoe organisaties werkten en dus voor hoe zij zich moesten gaan beveiligen. “Meteen bij de start van de lockdowns wereldwijd, kwam er vraag naar goed beveiligde remote access en daarna naar security rondom remote desktop/VDI,” vertelt Beckett. Toen dat eenmaal geregeld was, merkte hij duidelijk dat er vraag kwam naar meer inzicht en visualisatie: “Tegen de tijd dat het zomer werd, zagen we een duidelijke stijging in de vraag naar Cloud Optix.”

richard beckett sophos Sophos

Richard Beckett, Public Cloud Senior Product Marketing Manager bij Sophos

Op zich doen de verschillende public clouds de dingen die Cloud Optix doet ook allemaal zelf. Er is een spend monitoring service in AWS bijvoorbeeld. Waarom zou je dat dan nog binnen Cloud Optix doen? Volgens Beckett krijg je simpelweg meer inzicht via de tool van Sophos: “Waar je bij AWS voor Trusted Advisor een stapje hoger moet qua uitgaven, krijg je via Cloud Optix 6 aanbevelingen.” Bij Microsoft Azure mag Azure Advisor dan praktisch gratis zijn, daar zit je volgens Beckett wel weer met een extra console, wat het allemaal weer iets minder overzichtelijk maakt.

Belang voor DevSecOps

Als je middels Cloud Optix (of om het even welke CSPM-tool) meer inzicht krijgt in waar de verschillende gaten zitten (in security, compliance, kosten, IAM), dan word je vanuit Cloud Optix ook begeleid in het dichten van deze gaten. Het daadwerkelijk toepassen van een fix moet echter doorgaans in de omgeving van de cloudaanbieder gedaan worden. Ook daar is Cloud Optix op voorbereid, volgens Beckett: “We kunnen je zelfs rechtstreeks richting de console van de cloudaanbieder duwen, vanuit Cloud Optix.” Het idee is dat je daar dan kiest uit een verzameling van kant-en-klare fixes voor je probleem.

Gaten inzichtelijk maken en deze vullen is natuurlijk erg mooi meegenomen, maar het zou ook fijn zijn als security meer en meer tijdens het ontwikkelen van (cloud-native) applicaties al goed geregeld is. Ook daarvoor kun je Cloud Optix gebruiken, geeft Beckett aan. Je kunt Cloud Optix gebruiken om security en compliance checks te doen gedurende de verschillende stadia in een typische development pipeline. Hiermee kun je allerlei verkeerde configuraties opsporen en herstellen tijdens het ontwikkelen van de applicatie, niet pas erna.

Als het gaat om integratie met andere onderdelen binnen je organisatie, kun je Cloud Optix tot slot ook nog via een API koppelen aan SIEM-tools, waarbij de output van Cloud Optix dus onderdeel wordt van een grotere verzameling van logs.

Cloud Optix als easy button 

Al met al wordt Cloud Optix gepositioneerd als een soort easy button, oftewel een grote groene knop. Alles wat het leven met betrekking tot security op dit moment ingewikkeld maakt, moet er onder een enkele knop beschikbaar zijn. Wat Beckett betreft is een dergelijke tool uiteraard absoluut onmisbaar: “De cloud alleen is niet genoeg, er gaapt een enorm gat dat organisaties moeten overbruggen voor ze er zijn.” De ervaringen van dit jaar, met de duidelijke stijging in vraag naar Cloud Optix als gevolg van een deels gedwongen cloudadoptie, lijkt hem gelijk te geven.

Aan de andere kant geeft Beckett ook aan dat de meeste organisaties op dit moment nog in het eerste stadium van cloud-migratie zitten, waarbij bestaande workloads voornamelijk nog gewoon van een on-prem naar een cloud-locatie worden verplaatst. Partijen zoals VMware moedigen een dergelijke migratie ook aan door middel van het aanbieden van de bekende omgeving van die leverancier in de cloud (VMware Cloud on AWS bijvoorbeeld), waardoor migreren plots een stuk eenvoudiger en minder ondoorzichtig wordt. De aantrekkingskracht van een tool zoals Cloud Optix is voor een belangrijk gedeelte afhankelijk van hoe snel de markt als geheel beweegt. Dit jaar was dat noodzakelijkerwijs vrij snel, we zijn benieuwd hoe zich dit de komende tijd verder zal ontwikkelen. 

Related:

Copyright © 2020 IDG Communications, Inc.

7 secrets of successful remote IT teams