Secure cloud met Zero Trust – deel 2: SaaS

Secure cloud met Zero Trust - Microsegmentatie

In deel 1 van deze serie hebben we het beveiligen van een private cloud uitgebreid besproken. Deze keer gaan we het hebben over Software as a Service (SaaS). En vergeleken met SaaS is de beveiliging van de private cloud kinderspel.

Bij een private cloud zou je kunnen zeggen dat je alles in eigen hand hebt. Bij SaaS is eigenlijk het tegenovergestelde het geval. Vergelijk het met het bakken van een pizza. In het eerste geval bereidt u de pizza helemaal zelf. U maakt zelf het deeg en bakt de pizza in uw eigen oven. U weet dus precies wat er in de pizza zit en dat u de enige bent die erbij kan.

In het andere geval gaat u met het pak meel naar de pizzabakker en vraagt hem een pizza te bakken. Natuurlijk doet hij dat, maar u mag er niet bij blijven als hij aan het werk is. Weet u dan nog wat er precies in zit? Wie er allemaal bij kunnen, er iets in kunnen stoppen of wat van meenemen? Zo werkt het ook met een SaaS-applicatie. Je geeft alles uit handen. Het netwerk, besturing, software én je data. Maar je blijft wel verantwoordelijk voor die data, terwijl je voor de beveiliging daarvan afhankelijk bent van je leverancier. Geen prettig idee als je bedenkt wat de gevolgen van onvoldoende beveiliging zijn:

  • Misbruik of diefstal van data
  • Inbreuk op de vertrouwelijkheid van data
  • Verspreiding van malware
  • Compliance risico’s

Kortom: geen of beperkte controle, maar wel verantwoordelijkheid en mogelijk nadelige gevolgen. Vertrouw daarom niet zomaar op de veiligheidsmaatregelen van de SaaS-leverancier. Maar wat kun je daaraan doen?

SaaS-beveiliging: hoe pak je dat aan?

1. Zorg voor inzicht

We roepen het te pas en te onpas, maar inzicht is altijd de eerste stap naar een goede beveiliging. Je kunt iets pas controleren en beveiligen als je weet wat er gebeurt. Het SaaS Risk Assessment Report biedt hier uitkomst. Dit rapport laat onder andere zien welke SaaS-applicaties er worden gebruikt en door wie en hoeveel data er naar die applicaties gestuurd wordt.

2. Bepaal wat wel en niet mag

Als u weet welke applicaties er gebruikt worden, kunt u onderscheid maken tussen applicaties die wel en niet toegestaan zijn. Een veelgebruikte indeling is:

Unsanctioned apps

Unsanctioned apps zijn het meest risicovol. Deze komen vaak voort vanuit shadow-IT. Zakelijk gebruik van deze applicaties is zeer onwenselijk. Via firewall policies kun deze apps worden uitgesloten van gebruik.

Tolerated apps

Tolerated apps zijn apps die je liever ook niet zou gebruiken, maar vaak zijn ze zo ingeburgerd in de organisatie dat verbieden geen optie meer is.

Sanctioned apps

Over de categorie sanctioned heb je de meeste controle. Je kiest als organisatie een applicatie voor een bepaald doel en stelt daar ook voorwaarden aan.

3. Classificeer je data

Bepaal wat wel en niet mag binnen de toegestane applicatie. Dit kan onder meer door data te classificeren. Leg in uw beleid bijvoorbeeld vast dat een juridisch document wel gedeeld mag worden in OneDrive zakelijk, maar niet in OneDrive persoonlijk.
Als deze functionaliteit niet in de applicatie zelf zit, biedt Aperture van Palo Alto Networks uitkomst. Aperture classificeert data automatisch op basis van de content (Engels en Duits zijn inmiddels beschikbaar). Daarnaast blokkeert het bestanden, ook als ze al gedeeld zijn, of stuurt het naar WildFire (sandbox) als er sprake is van een unknown threat.

Waar moet je nog meer rekening mee houden

Veel problemen kunnen ook voorkomen door een goede voorbereiding. Let daarom bij het kiezen van een SaaS-leverancier op de volgende punten:

Eerst beleid, daarna cloud

Zoals we al zeiden blijf je zelf verantwoordelijk voor je data. Reduceer de risico’s en de impact van cyberdreigingen daarom tot het minimum. Hoe? Op basis van Zero Trust. In ons vorige artikel legden we uit hoe je risico en impact kunt beperken door te segmenteren. Segmentatie zorgt ervoor dat niet alle verbindingen zomaar open staan (risico beperken). En als er onverhoopt toch iets misgaat, dan blijft de schade beperkt tot dat ene segment (impact beperken).

Een SaaS-applicatie is ook (onderdeel van) zo’n segment. En bij een segment hoort een specifiek beleid. Op basis van dat beleid kunt u bepalen welke functionaliteiten vereist zijn en toetsen welke cloud provider daaraan voldoet.

Voorkom vervelende gevolgen
Wie een leverancier kiest zonder eerst de functionaliteiten te checken, kan achteraf in een lastige situatie terechtkomen. Stel dat het beleid niet uitvoerbaar is, wat dan?

  1. Het beleid wordt aangepast. In dit geval wordt beleid ondergeschikt aan functionaliteit en doe je in feite concessies aan de veiligheid. En als het beleid voortvloeit uit een wettelijke eis, dan kun je je serieus afvragen of een beleidsaanpassing überhaupt een optie is.
  2. Met de leverancier om tafel om de functionaliteit af te stemmen op het beleid. (En hoogstwaarschijnlijk valt dit niet onder de noemer ‘service’)
  3. Opzeggen en op zoek naar een andere leverancier. Ook dat is geen aantrekkelijke en voordelige optie.

Het kostenplaatje

Voor veel organisaties is het kostenplaatje een van de belangrijkste redenen om SaaS-applicaties te gebruiken. Heel begrijpelijk, want lage aanschafkosten zijn natuurlijk gemakkelijker te verantwoorden dan hoge. Alleen blijft het hier vaak niet bij. SaaS-providers halen hun inkomsten uit de abonnementskosten. En die kunnen nogal eens hoog uitvallen. Veel organisaties worden gelokt met een laag starttarief, wat na de eerste abonnementsperiode flink wordt verhoogd.

 Alles op één plek: is dat safe?

Bij een SaaS-applicatie heeft u alles op één plek. Klinkt lekker overzichtelijk en dat is het ook, maar er kleeft ook een risico aan. Als er iets mis gaat, gaat het ook goed mis. Alles is tenslotte bij dezelfde provider ondergebracht. Bij downtime ligt de complete applicatie plat en wordt de data onbereikbaar. Het is dus niet zo’n gek idee om data bijvoorbeeld over meerdere providers te verdelen. Werkt u met data met een hoge BIV-rating, bewaar ze dan op verschillende plekken (liefst ook on premise) én zorg dat u de controle behoudt. Het is goed om over een multi-cloud strategie na te denken, maar deze levert ook extra risico’s op. Als data op twee plaatsen staan, zijn er ook twee plaatsen waar een aanval op de data kan plaatsvinden.

Zorg dat je een exit-strategie hebt

“Weggaan bij onze cloudprovider. Waarom zouden we dat willen?”
Het klinkt misschien als een onwaarschijnlijk scenario, maar er kan een moment komen waarop u afscheid wilt nemen van uw cloudprovider. Wanneer?

  • De cloudprovider past de voorwaarden aan, waardoor uw beleid niet meer overeenkomt met de functionaliteit.
  • De cloudprovider verhoogt -na een periode met een aantrekkelijk welkomsttarief- de maandelijke kosten aanzienlijk.
  • Een wetswijziging verplicht u om het securitybeleid aan te scherpen en de cloudprovider kan daar niet aan voldoen.

Kortom, genoeg aannemelijke redenen om een plan B klaar te hebben.

Kun je op een veilige manier gebruik maken van SaaS-applicaties?

Bezint eer ge begint, daar komt het kortgezegd op neer. SaaS-applicaties bieden talloze voordelen, maar verlies daardoor de keerzijde niet uit het oog. U blijft tenslotte zelf verantwoordelijk voor uw data.

  • Stel beleid vast, voordat u een cloudprovider kiest
  • Houd rekening met redundantie en back-up (zeker in het geval van gevoelige data)
  • Zorg voor een exit-strategie

Inzicht krijgen in wat er binnen uw organisatie al gebeurt op SaaS-gebied? Vraag een SaaS Risk Assessment Report aan. De eerste stap richting veilig gebruik van Saas-applicaties.