Ik heb onlangs de gelegenheid gehad om in gesprek te gaan met Allan Kristensen, Senior Director van Worldwide Public Cloud Security SE's bij Palo Alto Networks. Allan heeft al meer dan 15 jaar ervaring in het bouwen van zeer effectieve Solutions Engineering (SE) teams. Het team van Palo Alto Networks SE heeft kennis van de unieke en diverse uitdagingen op het gebied van cloud beveiliging die potentiële klanten willen oplossen.
Op basis van mijn gesprek met Allan zijn hier zeven essentiële principes die je helpen bij het evalueren en selecteren van het juiste cloudbeveiligingsaanbod voor jouw multi-cloudomgevingen, verdeeld over AWS, Azure en Google Cloud Platform.
1. Multi-Cloud ondersteuning - minimaal AWS, Azure en GCP
Onze ervaring is dat meer dan driekwart van onze klanten een multi-cloudstrategie heeft - misschien niet in eerste instantie, maar zeker later in het proces. Met dat in gedachten is het belangrijk om een oplossing te kiezen die de cloud kan verbinden en echt geïntegreerde multi-cloudondersteuning kan bieden - met een gecentraliseerde aanpak die de zichtbaarheid in al jouw cloud omgevingen vandaag en in de toekomst naadloos verenigt.
2. 100% SaaS-gebaseerd en API-gestuurd - geen agenten of proxy's
Een 100% API-gebaseerde SaaS-oplossing is de enige manier om het dynamische, gedistribueerde karakter van cloud omgevingen effectief te beheren. Onze ervaring leert dat klanten die proberen om agent- of proxy-gebaseerde point producten te gebruiken, aanzienlijke vertraging introduceren en eindigen met blinde vlekken in de beveiliging. Er is veel te veel overhead, risico en handmatig werk vereist om niet-API-gebaseerde producten te implementeren en te onderhouden.
3. Continue resource-discovery
Je kunt niet beschermen wat je niet kunt zien. Het is belangrijk om een oplossing te selecteren die continu de cloud resources bewaakt en dynamisch ontdekt, zoals virtuele machines, database-instanties, opslagdomeinen, gebruikers, toegangssleutels, beveiligingsgroepen, netwerken, gateways, snapshots en meer. Een gecentraliseerde en automatisch bijgewerkte inventaris die de beveiligings- en nalevingsstatus van elke ingezette resource weergeeft, is fundamenteel voor een echt effectieve cloudbeveiligingsstrategie.
4. Geautomatiseerde resource monitoring
Even belangrijk is het vermogen van de oplossing om automatisch een robuust beveiligingsbeleid toe te passen, snel onjuiste configuraties te verhelpen en te zorgen voor naleving van het door de onderneming gedefinieerde beveiligingsbeleid. Deze mogelijkheden moeten alle belangrijke risicovectoren in de cloud omgevingen omvatten, waaronder:
- Configuratiecontroles: recent onderzoek van Unit 42 benadrukt dat 32% van de organisaties ten minste één cloudopslagservice openbaar heeft gemaakt. Configuratiecontroles helpen ervoor te zorgen dat elke geïmplementeerde bron uit de cloud correct is geconfigureerd en zich binnen gedefinieerde restricties bevindt, en dat er geen configuratie-afwijking is in de publieke cloud omgevingen met AWS, Azure en GCP.
- Netwerkactiviteiten: Uit hetzelfde onderzoek van Unit 42 blijkt ook dat 11% van de organisaties momenteel cryptojack activiteiten in hun omgeving hebben. Om ervoor te zorgen dat er volledig inzicht is in verdacht netwerkverkeer en activiteiten, moet de gekozen oplossing de Cloud omgevingen continu kunnen bewaken. Het is niet voldoende om alleen configuratie- en nalevingscontroles te hebben, omdat deze je alleen vertellen wat er mis kan gaan, niet wat er misgaat.
Hier is een voorbeeld:
Configuratiecontroles kunnen helpen bij het detecteren en waarschuwen voor los geconfigureerde beveiligingsgroepen die inkomend verkeer op alle poorten van alle IP-adressen toestaan. Dit kan een missie kritisch probleem zijn. Zonder netwerkbewaking kan er eenvoudigweg niet worden bepaald of het beveiligingslek is misbruikt of dat kwaadwillig verkeer de beveiligingsgroep is binnengedrongen. - Gebruikers- en toegangsbewaking: gegevens uit het onderzoek van Unit 42 geven ook aan dat 29% van de organisaties potentiële accountcompromissen ondervonden, die niet alleen kunnen leiden tot gegevensverlies, maar ook verlies van controle en uiteindelijk vertrouwen in de cloud omgevingen. Analyse van gebruikersgedrag (UBA) en andere op Machine Learning (ML) gebaseerde functies kunnen helpen bij het detecteren van stiekeme activiteiten, zoals gekaapte referenties. Deze mogelijkheden helpen klanten bij het zoeken naar en waarschuwen voor afwijkende activiteiten. Zonder UBA is het bijna onmogelijk om geavanceerde aanvallen op tijd te detecteren.
- Bewaking van Host kwetsbaarheden en bedreigingsdetectie: het is belangrijk om een cloudbeveiligingsaanbod te selecteren dat gegevens van bedreigingen en kwetsbaarheden van derden kan correleren en in context kan zetten.
5. Correleer veel gegevens
Voortdurende contextualisatie van meerdere, ongelijksoortige gegevenssets is van cruciaal belang voor het verkrijgen van een diep begrip van je beveiliging. Pas als je volledig inzicht hebt in het beveiligingsprofiel en de risico's, kun je snel problemen oplossen. Hier zijn een paar veel voorkomende voorbeelden:
- Werkbelastingen met te grote configuratietoleranties van beveiligingsgroepen, ook bekend als host kwetsbaarheden gedetecteerd en verkeer van verdachte IP-adressen enz.
- Identificatie van prefererende gebruikersactiviteiten in cloud omgevingen die worden uitgevoerd voor ongewone (niet eerder geziene) locaties
6. Sanering is goed, auto-sanering is beter
Het hebben van meerdere herstelopties (zowel begeleid als geautomatiseerd) is belangrijk voor het verminderen van je blootstellingsvenster. Als het systeem bijvoorbeeld een openbaar toegankelijke netwerkbeveiligingsgroep identificeert die is gekoppeld aan een gevoelige werkdruk, is de mogelijkheid om de toegang automatisch te beperken van het grootste belang. De mogelijkheid om ook aangepaste herstelregels te schrijven, afgestemd op je specifieke behoeften, is van cruciaal belang. Een 'zelf herstellend' vermogen stelt organisaties in staat ervoor te zorgen dat hun 'gouden standaard'-beveiligings- en nalevingsbeleid altijd wordt gehandhaafd.
7. Integreren
Ten slotte is het belangrijk om gebruik te maken van een open platform, waarmee je cloud meldingen kunt verzenden naar bestaande tools en workflows, zoals je SIEM, SOAR, ticketingsystemen, samenwerkingstools, etc.
Prisma Public Cloud is het meest complete cloudbeveiligingsaanbod op de markt, met alle zeven hierboven besproken principes. Zie zelf het Prisma-verschil.