← Terug naar het overzicht

Cloud Security: de uitdagingen van publieke clouds

Publieke cloud-diensten winnen steeds meer terrein. Ze zijn schaalbaar & betaalbaar en worden beheerd door grote partijen met veel resources. Dat zijn goede redenen om je cloud onder te brengen bij een partij als Google, Microsoft of Amazon. Maar als je graag zelf de controle hebt over je kosten, je compliance en je security, heeft je omgeving hosten via zo’n grote partij ook z’n nadelen.

Bij het kiezen en implementeren van nieuwe oplossingen, zoals cloud-diensten, speelt budget altijd een belangrijke rol. Alleen zijn de kosten van cloud-diensten vaak ondoorzichtig vanwege variabele factoren zoals gebruikersaantallen en opslagverbruik, waardoor onverwachte uitgaven kunnen ontstaan. Bovendien vereist het beheer van cloud-platformen specifieke kennis en is het afnemen van alleen de dienst niet voldoende. De implementatie van een cloud-omgeving heeft impact op de gehele IT-omgeving en vereist zorgvuldige afstemming met bestaande werkprocessen en software. Het is van essentieel belang om te kijken naar de meerwaarde die cloud-diensten kunnen bieden, hoe ze correct worden gebruikt, wie verantwoordelijk is voor ondersteuning en –niet in de laatste plaats- hoe veiligheid wordt gewaarborgd. 

De implementatie van een cloud-omgeving heeft impact op de gehele IT-omgeving en vereist zorgvuldige afstemming met bestaande werkprocessen en software.

Security & Compliance

Als je kiest voor een publieke cloud-dienst, ben je onderworpen aan de configuraties en het beleid van de leverancier. Als binnen jouw organisatie aanvullende security-instellingen nodig zijn, bijvoorbeeld om aan branchespecifieke wetgeving te voldoen, dan kan het zijn dat het beleid van zo’n public cloud-partij niet aansluit bij wat je nodig hebt. En een partij als Microsoft of Amazon kan hun public cloud-beleid niet zomaar aanpassen aan de wensen en eisen van jouw organisatie. 

Om bovenstaande te voorkomen, kun je kiezen voor multicloud-strategie. Daarbij maak je gebruik van verschillende cloud-leveranciers om juist zo’n lock-in te voorkomen. Ook een verschil in features tussen diensten kan een reden zijn om voor multicloud-strategie te kiezen. Het nadeel is dat daardoor je controle en informatie verder fragmenteert. Het beheren van de verschillende omgevingen wordt meer complex. Zo’n complexe omgeving beheren vraagt op zijn beurt ook weer extra expertise van het IT-team. 

Eigen verantwoordelijkheid

Een voorbeeld daarvan is dat Identity & Access Management (welke rollen en personen hebben welke toegang tot bestanden en systemen?) erg belangrijk wordt. Dat komt omdat je bij het afnemen van een publieke cloud-dienst dan wel aan moet sluiten bij het beleid van de leverancier, maar het stukje “toegangsbeheer” valt onder je eigen verantwoordelijkheid. Dan wordt het ineens belangrijk om die kennis ook binnen je IT-team te waarborgen. 

Public cloud-diensten leveren een stuk gemak en flexibiliteit op, maar kosten je geld, mensen en controle.

Daarnaast moet je er rekening mee houden dat je ook zelf verantwoordelijk blijft voor het monitoren van, en reageren op, verdachte security-events. Een publieke cloud-provider ziet niet wat er zich in jouw netwerk afspeelt. Hackers zouden zomaar binnen kunnen komen in jouw cloud-omgeving om bijvoorbeeld data te stelen. Het is dus ook belangrijk dat je een goede SIEM-oplossing hebt, zodat je ogen op je hele netwerk hebt.

Er zijn dus nogal wat factoren om rekening mee te houden wanneer je ervoor kiest met een publieke cloud-leverancier zoals Microsoft in zee te gaan. Zeker waar het gaat om security & compliance. Het levert een stuk gemak en flexibiliteit op, maar kost je geld, mensen en controle. Wil je eens sparren over hoe je een cloud-omgeving veilig kunt neerzetten in je organisatie? Bel of mail ons en we helpen je graag op weg met een (uiteraard vrijblijvende) workshop

Meer weten?

Mark Schager helpt je graag verder. Je kunt hem bereiken op: mark@mydigitals.nl

Contact

Neem contact met ons op. We helpen je graag verder!

Contact
Volgend artikel

Zó weet je welke IT assets nu écht kwetsbaar zijn.