Cloud Security Alliance Summit | KPMG | NL

Cloud Security Alliance Summit – Continuous monitoring en auditing

Twee keer per jaar organiseert de Cloud Security Alliance (CSA) een summit. Op dit evenement worden de nieuwste trends op het gebied van cloudbeveiliging besproken. Op 5 oktober vond de summit plaats, met als thema ‘Continuous monitoring en auditing’. Dit thema sluit aan bij de wens van organisaties om controle te houden over clouddiensten en daarmee het vertrouwen in de beveiliging van deze diensten te laten groeien. Marjolijn en Edwin bezochten dit evenement. Hieronder enkele vragen die we hen in dit kader hebben voorgelegd.

1000

Contact

Gerelateerde content

Cloud Security Alliance Summit – Privacy & IoT

Waarom is continuous monitoring en auditing belangrijk in het kader van clouddiensten?

“Clouddiensten zijn sterk gestandaardiseerde vormen van IT-dienstverlening. In de praktijk betekent dit, dat een clouddienst voor de ene organisatie hetzelfde is als voor de andere. De eisen aan de beveiliging van deze diensten kunnen echter verschillen. Om relatief snel clouddiensten te kunnen evalueren, bieden gestandaardiseerde auditraamwerken een uitkomst. Tevens kan hiermee worden bepaald of de organisatie, bij gebruik van de clouddienst, kan blijven voldoen aan de geldende compliance-eisen.

Daarbij is het in veel gevallen niet mogelijk om een ‘right-to-audit’ te verkrijgen bij een clouddienstverlener. Dit versterkt de vraag naar alternatieve mogelijkheden tot controle. Een van de alternatieven is het kunnen monitoren van de clouddienst.

Wat wij ons afvragen is in hoeverre aanvullende vormen van controle het risico verlagen. Clouddiensten hebben als belangrijkste eigenschap gestandaardiseerd te zijn, tot aan de ‘laag’ waarvoor de dienst wordt geleverd (SaaS, PaaS en IaaS). Zolang het deel van de dienst waar de gebruiker geen verandering in kan aanbrengen onderdeel is van een certificering of audit, is de meerwaarde van extra controle beperkt.

De waarde zit vooral in het monitoren van datastromen, gebruikers en toegangsrechten. Daarmee kunnen organisaties controle houden over het deel van de dienstverlening dat onder de eigen verantwoordelijkheid valt. Dit deel omvat te allen tijde de data welke in de dienst wordt opgeslagen of verwerkt.”

Hoe werkt security monitoring voor clouddiensten?

“Er zijn twee belangrijke vormen van security monitoring. Ten eerste bieden PaaS en IaaS diensten, zoals Amazon AWS en Micorosoft Azure, relatief veel mogelijkheden om logbestanden te genereren, te verwerken en inzichtelijk te maken. In plaats van het monitoren van de firewall aan de buitenkant van een omgeving, kan hiermee gericht worden gekeken naar activiteiten binnen applicaties en API’s. Hiermee kan security monitoring voor veel organisaties relatief eenvoudig naar een hoger niveau worden gebracht. De kunst is om de omgeving zorgvuldig te configureren, alleen het noodzakelijke te monitoren en dit aan beleid te koppelen. De uitkomsten kunnen worden weergegeven in dashboards en bieden zo in een oogopslag inzicht in de status van de beveiliging van de dienst.”

Microsoft Azure Security Center (voorbeeld)

Een ander soort security monitoring wordt geleverd door Cloud Access Security Brokers (CASB). Deze oplossingen bieden verschillende functionaliteiten om toegang door gebruikers tot clouddiensten en het delen van data binnen clouddiensten, inzichtelijk te krijgen. Daarmee kan automatisch worden ingegrepen bij overtreding van het beveiligingsbeleid. Vooral bij SaaS-diensten komt het voor dat data, bewust of onbewust, gelekt wordt.”

Wat zijn de belangrijkste ontwikkelingen als het gaat om het auditen van clouddiensten?

“De markt vraagt om meer gestandaardiseerde raamwerken en tools om clouddiensten efficiënt evalueren. Een van de ontwikkelingen op dit vlak is het ontwerp van het EU-SEC-raamwerk. Het doel van dit raamwerk is om alle relevante controls en regelgeving op het gebied van clouddiensten te combineren en, in samenwerking met zowel auditors, clouddienstverleners als regelgevers, tot een geaccepteerde standaard te komen.

Tevens werd door CSA een aantal tools gepresenteerd om clouddiensten te kunnen evalueren. Het Consensus Assessments Initiative Questionnaire (CAIQ) bijvoorbeeld, biedt de mogelijkheid om clouddienstverleners een set van vragen te laten beantwoorden over de beveiliging van de clouddienst. Daarnaast is het CSA Guidance-document bijgewerkt naar versie 4. Dit document biedt aandachtspunten voor veilig gebruik van clouddiensten. De nieuwe versie gaat uit van een hybride omgeving, waar cloud- en on-premise diensten door elkaar gebruikt worden. Voor veel organisaties zal dit het uitgangspunt zijn voor de komende jaren. Verder zijn er eisen uit de GDPR meegenomen en wordt er rekening gehouden met het gebruik van DevOps en software containers.”

De laatste ontwikkelingen op het gebied van continuous monitoring en auditen voor clouddiensten, laten zien dat het gebruik van clouddiensten veel voordelen kan bieden voor de beveiliging en het voldoen aan wet- en regelgeving. De vraag naar controle blijft bestaan, maar indien er bewuste en weloverwogen keuzes worden gemaakt, kunnen clouddiensten de volwassenheid van op het gebied van beveiliging en privacy voor veel organisaties verhogen.

Meer weten?

Meer details over het evenement en de sprekers kunt u hier vinden. De volgende Cloud Security Summit wordt op 12 april 2018 verwacht.

Mocht u vragen hebben of op zoek zijn naar meer informatie over het verhogen van de volwassenheid van uw cloud security en privacy, dan kunt u contact opnemen met Edwin Sturrus of Marjolijn Honcoop.

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig