Van account tot applicatie altijd veilig in de cloud
De cloud biedt een canvas waarop alle bouwblokken voor IT-omgevingen al klaarliggen. Daarmee kun je vele prachtige bouwwerken creëren. Maar zonder een solide fundering kan zo’n bouwwerk door de minste of geringste beving instorten. Een Cloud Landing Zone biedt deze fundering.
Kortgezegd is dit een framework van best practices en richtlijnen, waarbinnen organisaties cloudmigraties op efficiënte en veilige wijze kunnen doorlopen. Het voordeel van een Landing Zone is dat er afhankelijk van de behoeften van de organisatie parameters worden vastgelegd, zogenaamde vangrails – in IT ook wel ‘guardrails’ genoemd – die de gebruiksmogelijkheden van applicaties en data bepalen.
Net als hun fysieke tegenhangers, zorgen deze vangrails ervoor dat je niet met desastreuze gevolgen uit de bocht vliegt. Snelheid is één van de krachten van de cloud, maar ook een van de risico’s. Guardrails zorgen er dus simpelweg voor dat je op de juiste weg richting de cloud blijft en er met een veilig gevoel in kunt werken.
De uitdagingen van een Landing Zone
Klinkt goed, nietwaar? Toch blijkt vaak achteraf dat het fundament minder stabiel is, dat de guardrails op enkele gevaarlijke bochten los zitten – kortom, dat de instellingen van je cloudomgeving tot securityrisico’s leiden. Doorgaans is dit geen kwestie van onwil of onkunde, maar een resultaat van de andere denkwijze die cloud security vereist ten opzichte van traditionele architecturen.
Zo zien we veel organisaties worstelen met het Zero Trust-model. De crux van dit model is dat je binnen je netwerk monitort en handelt alsof er altijd een binnendringer aanwezig is. Zero Trust staat haaks op het traditionele ‘kasteelmodel’ dat IT-beheerders gewend zijn, waar vooral de buitenmuren (lees: firewalls) de focus hebben. Voordat een organisatie optimaal gebruik kan maken van alle krachtige securitytools die de cloud biedt, is dus een fundamenteel andere denkwijze nodig.
Dat begint met een grondige analyse van de bedrijfsbehoeften en een gedegen discussie over alle security-aspecten waar een Landing Zone mee te maken heeft. Denk aan vraagstukken als ID- en access management, logging, redundantie van systemen, governance, ga zo maar door. Deze discussie is breder dan IT: stakeholders zoals de compliance manager, CISO, CTO en zelfs de business manager zouden gezamenlijk tot een werkbare situatie moeten komen.
De overstap naar de cloud raakt de gehele organisatie, dus het is nodig om deze overstap als een strategisch vraagstuk te beschouwen waar draagvlak voor moet worden gecreëerd. En net zoals iedere organisatie anders is, ziet ook een Cloud Landing Zone er voor iedere organisatie anders uit. Zo zal een bank hele andere vereisten stellen aan logging dan een sportvereniging. Om een Cloud Landing Zone gedegen in te richten, is dus op twee fronten specialistische kennis nodig: kennis over alle ins en outs van de cloud én kennis van de organisatie.
Snelle én veilige applicatieontwikkeling op je Cloud Landing Zone
Met een veilige Cloud Landing Zone ben je er nog niet. Een groot deel van kritieke veiligheidsrisico’s bevindt zich in de laag daarboven: de applicaties die óp de Landing Zone draaien. Dat is geen verrassing gezien de snelheid waarmee applicaties evolueren. Want hoewel de onderliggende technologie van een cloudomgeving voortdurend wordt verbeterd, gaan veranderingen op applicatieniveau vele malen sneller – zij moeten meebewegen met de snelheid van marktbehoeften. En de realiteit is dat hierdoor security makkelijk het ondergeschoven kindje wordt binnen de development teams.
Ook op applicatieniveau is een andere mentaliteit nodig om security te borgen. De (half)jaarlijkse pentest is onvoldoende, zeker als je meerdere keren per week updates uitrolt. Als je snel én veilig wilt handelen, dien je een continue feedbackloop aan te brengen. De pentest knip je dus in feite op en smeer je uit over het gehele jaar. Het beste is om bij iedere softwareupdate te testen. Om dat (kosten)efficiënt te doen, kun je alleen die delen van je omgeving testen waar veranderingen worden uitgebracht.
Door consequent te blijven testen en developers doorlopend op security-risico’s te wijzen, blijft security bij hen top-of-mind, terwijl ze toch vaart kunnen blijven maken met hun releases. En belangrijk: omdat je niet constant grootschalige pentests hoeft uit te voeren, blijf je als organisatie wendbaar. We noemen deze testmethode niet voor niets Agile Security.
Automatiseren of toch handwerk?
Het liefste automatiseer je zo veel mogelijk. Automatisering levert kostenefficiëntie en schaalvoordeel op. Het is dan ook een sleutelonderdeel van zowel Cloud Landing Zones als Agile Security. Zo kun je met automatisering zorgen dat je Landing Zone niet alleen onderhouds- en kostenefficiënt blijft, maar ook dat deze blijft voldoen aan de behoeften van je organisatie. Die behoeften kun je namelijk als code vastleggen, waaraan alle wijzigingen kunnen worden getoetst. Past een wijziging aan de Landing Zone niet bij de afspraken, dan wordt deze geblokkeerd.
Hoewel bepaalde processen goed te automatiseren zijn, blijft een menselijk element nodig als er bijvoorbeeld complexe logica nodig is. Vergelijk het met een spellcheck: die kan prima beoordelen of je d’tjes en t’tjes kloppen, maar niet of je tekst zinnig is. Organisaties moeten dus altijd nog de uitdaging aangaan om de experts te vinden die over de nodige kennis beschikken. Of ze dat nu doet door personeel te werven, of door een externe partner aan te haken.
Unieke beveiliging van je IT-infrastructuur tot aan je applicatie(s)
Bij Solvinity zien we het belang van security als een rode draad die door je gehele organisatie, processen en IT-omgeving loopt. We bieden daarom, met name voor ISV’s en bedrijven die hun eigen applicaties ontwikkelen, een uniek dienstenportfolio in Nederland, dat security van A tot Z verzorgt – van de opbouw van je Cloud Landing Zone en Security by Design tot veilig beheer van de omgeving en toetsing van de security op applicatieniveau met onder andere Agile Security.
Door met onze klanten samen te werken in een ‘stretched’ dev(sec)ops constructie volgens ons software releasemodel Integrated Delivery zorgen we voor voorspelbare software releases, zonder dat je in hoeft te boeten op snelheid of security. Daarmee zijn we één van de weinige service providers zijn die software developers van start tot landing bijstaan.
Wil je meer weten over dit onderwerp? Neem contact met ons op via (020) 364 36 00, info@solvinity.com of solvinity.nl.
Meld je aan voor de Solvinity Nieuwsbrief
Ontvang het laatste nieuws, blogs, artikelen en events.
Lees ook
Meer
Multisourcing Service Integration: van SPOC naar SPOSA
Multisourcing loopt niet altijd lekker. Waar wij naartoe willen is niet SPOC, maar SPOSA: een Single...
READ MORE
Solvinity rondt SOC 1 en SOC 2 audit wederom succesvol af op private én Azure cloud
Wederom -voor het vierde jaar op een rij- heeft Solvinity van KPMG nieuwe SOC 1 (ISAE...
READ MORE
Rollen en verhoudingen in het financiële digitale ecosysteem
Ontdek de rollen en verhoudingen in het financiële digitale ecosysteem: producenten, reducenten en orchestrators en leer...
READ MORE