Cloudveiligheid: wat wordt beoordeeld en wat vinden testers?
Cloudmisconfiguraties behoren tot de meest voorkomende oorzaken van datalekken. De meeste organisaties hebben een goed geteste on-premises omgeving en een goed geteste cloudomgeving. Deze gids legt uit wat een cloudveiligheidsbeoordeling dekt en wat beoordelaars consistent vinden.
Cloudveiligheidsbeoordeling: Wat Wordt Beoordeeld en Wat Assessors Consistent Vinden
Een goed geteste on-premise omgeving naast een ongeteste cloudomgeving laat u blootgesteld waar aanvallers als eerste kijken.
De meeste organisaties hebben een redelijk goed geteste on-premise omgeving en een grotendeels ongeteste cloudomgeving. Cloudmisconfiguraties behoren tot de meest voorkomende oorzaken van datalekken. Niet omdat cloud inherent onveilig is, maar omdat cloudomgevingen anders worden geconfigureerd dan on-premise systemen en de beveiligingsaannames anders zijn.
Een cloudveiligheidsbeoordeling test of uw cloudconfiguratie, identiteitscontroles, netwerkarchitectuur en datatoegangsbeleid werkelijk het beveiligingsmodel implementeren dat u denkt dat ze doen. Dit artikel legt uit wat een cloudveiligheidsbeoordeling omvat, wat beoordelaars consistent vinden, hoe het zich verhoudt tot NIS2 en hoe het verschilt van een cloudpenetratietest.
TL;DR
Een cloudveiligheidsbeoordeling reviewt de configuratie van AWS-, Azure- of GCP-omgevingen op identity and access management, netwerkbeveiliging, dataopslag, geheimenbeheer, logging en workload-beveiliging. Beoordelaars vinden consistent publiek toegankelijke opslag, te ruime IAM-rollen, ontbrekende auditlogging en geheimen die op onveilige plekken zijn opgeslagen. De beoordeling verschilt van een cloud penetratietest doordat deze zich richt op configuratie in plaats van exploitatie. Beide zijn nodig voor een volledig cloudbeveiligingsprogramma en voor NIS2-dekking van cloud-gehoste assets.
Waarom cloudbeveiliging een eigen beoordeling nodig heeft
On-premise beveiligingsbeoordelingen zijn opgebouwd rond netwerkperimeters, fysieke infrastructuur en besturingssysteemcontroles. Cloudomgevingen werken volgens fundamenteel andere modellen. Identity and access management vervangt netwerklocatie als primaire beveiligingsgrens. Gedeelde verantwoordelijkheidsmodellen verdelen beveiligingsverplichtingen tussen de cloudprovider en de klant. Misconfiguraties in IAM-beleid, storage bucket rechten, netwerkbeveiligingsgroepen en loginstellingen kunnen data blootleggen of privilege-escalatie mogelijk maken op manieren die geen tegenhanger hebben in traditionele infrastructuur.
Veelvoorkomende cloudbeveiligingsfouten zijn niet exotisch. Het gaat om verkeerd geconfigureerde S3 buckets of Azure Blob storage met publieke toegang, IAM-rollen met buitensporige rechten die laterale bewegingspaden opleveren, service accounts met administrator-rechten voor geautomatiseerde taken, publiek blootgestelde management interfaces, ontbrekende logging en monitoring waardoor incidenten onopgemerkt blijven, en geheimen die zijn opgeslagen in omgevingsvariabelen of broncode repositories.
Wat een cloudveiligheidsbeoordeling omvat
Identity and access management
IAM is de primaire beveiligingsgrens in cloudomgevingen. De beoordeling dekt of het principe van least privilege consistent wordt toegepast op alle accounts, rollen en service-identiteiten. Dit omvat het controleren op te ruime IAM-rollen, ongebruikte rechten die het aanvalsoppervlak vergroten, service accounts met buitensporige rechten en of multi-factor authenticatie wordt afgedwongen voor alle menselijke gebruikers met toegang tot cloud management interfaces.
Netwerk- en perimeterconfiguratie
Cloud network security groups, beveiligingsbeleid en virtuele netwerkconfiguraties bepalen welke resources toegankelijk zijn vanaf het internet, vanuit andere cloudomgevingen en binnen de omgeving zelf. De beoordeling identificeert publiek blootgestelde management interfaces, te ruime inbound-regels en of netwerksegmentatie gevoelige workloads correct isoleert.
Dataopslag en toegangscontroles
Misconfiguraties in objectopslag zijn een belangrijke oorzaak van clouddatalekken. De beoordeling dekt of opslagresources passende toegangscontroles hebben, of versleuteling wordt toegepast op data in rust en tijdens transport, of toegangslogs zijn ingeschakeld en of levenscyclusbeleid gevoelige data correct beheert.
Geheimenbeheer
API-sleutels, database credentials, service account tokens en andere geheimen belanden regelmatig op onveilige plekken: omgevingsvariabelen die voor alle processen toegankelijk zijn, applicatieconfiguratie in versiecontrole of platte tekst in container images. De beoordeling identificeert waar geheimen worden opgeslagen en of ze worden beheerd via passende geheimenbeheerdiensten zoals AWS Secrets Manager, Azure Key Vault of HashiCorp Vault.
Logging, monitoring en incidentdetectie
Cloudomgevingen bieden uitgebreide logmogelijkheden. Veel organisaties schakelen ze niet consistent in. De beoordeling verifieert of auditlogs zijn ingeschakeld voor management plane acties, of data access logging is ingeschakeld voor gevoelige opslag, of logs voor een passende periode worden bewaard en of er alerts zijn geconfigureerd voor risicovolle acties zoals wijzigingen in IAM-beleid, aanpassingen van security groups en privilege-escalatie.
Workload- en containerbeveiliging
Voor omgevingen met containers of serverless workloads dekt de beoordeling of container images zijn gebouwd vanuit vertrouwde en regelmatig bijgewerkte base images, of container runtime security controls op hun plaats staan, of serverless functies passend afgebakende uitvoeringsrollen hebben en of workload-tot-workload communicatie beperkt is tot wat nodig is.
Wat cloudbeoordelingen consistent vinden
In cloudbeoordelingen vindt Sectricity consistent een terugkerende set problemen. Publiek toegankelijke objectopslag met productiedata. IAM-rollen gekoppeld aan compute instances met rechten die ver buiten de behoefte van de workload liggen. Auditlogging uitgeschakeld in bepaalde regio's of accounts. Geheimen die in broncode zijn gecommit en weken later nog actief zijn. Management interfaces die zonder IP-restricties of sterke authenticatie aan het publieke internet hangen. Netwerk security groups met brede inbound-regels die ooit werden toegevoegd voor troubleshooting en nooit zijn aangescherpt.
De meeste van deze bevindingen zijn niet het gevolg van het verkeerd begrijpen van de cloud. Ze zijn het gevolg van operationele drift: een goede initiële configuratie die verslechtert naarmate teams features uitrollen, accounts toevoegen en tijdelijke toegang verlenen die permanent wordt.
Cloudbeveiliging en NIS2
Onder NIS2 Artikel 21 moeten essentiële en belangrijke entiteiten risicomaatregelen nemen voor hun netwerk- en informatiesystemen, inclusief cloud-gehoste componenten. Een organisatie die haar on-premise omgeving heeft getest maar niet haar cloudomgeving, heeft een onvolledig beeld van haar risico. Cloud assets die gevoelige data hosten of kritieke processen draaien, moeten worden opgenomen in de scope van beveiligingsbeoordelingen om te voldoen aan NIS2-eisen rond uitgebreid risicobeheer.
Veelgestelde vragen over cloudveiligheidsbeoordelingen
Wat is een cloudveiligheidsbeoordeling?
Een cloudveiligheidsbeoordeling is een gestructureerde review van de configuratie van een cloudomgeving, met dekking van identity and access management, netwerkbeveiliging, dataopslagcontroles, geheimenbeheer, logging en monitoring en workload-beveiliging. Het identificeert misconfiguraties en beveiligingsgaten die data blootleggen of privilege-escalatie mogelijk maken. Een cloudveiligheidsbeoordeling verschilt van een standaard penetratietest doordat deze zich richt op configuratie en beleid in plaats van exploitatie van kwetsbaarheden, hoewel beide nodig zijn voor een volledig cloudbeveiligingsprogramma.
Wat is het gedeelde verantwoordelijkheidsmodel?
Het gedeelde verantwoordelijkheidsmodel verdeelt beveiligingsverplichtingen tussen de cloudprovider en de klant. De provider is verantwoordelijk voor de beveiliging van de cloudinfrastructuur, inclusief fysieke faciliteiten, hardware en de hypervisorlaag. De klant is verantwoordelijk voor beveiliging in de cloud, inclusief wat wordt uitgerold, hoe het wordt geconfigureerd, wie toegang heeft en hoe data wordt beschermd. De meeste cloudbeveiligingsfouten treden op in het verantwoordelijkheidsgebied van de klant, niet in de infrastructuur van de provider.
Wat zijn de meest voorkomende cloud misconfiguraties?
De meest voorkomende en meest ingrijpende cloud misconfiguraties zijn publiek toegankelijke objectopslag, te ruime IAM-rollen die privilege-escalatie en laterale beweging mogelijk maken, ontbrekende of onvolledige auditlogging, geheimen op onveilige plekken zoals omgevingsvariabelen of code repositories, publiek blootgestelde management interfaces en onvoldoende netwerksegmentatie tussen workloads met verschillende gevoeligheidsniveaus.
Valt cloudbeveiliging onder NIS2?
NIS2 vereist dat essentiële en belangrijke entiteiten risicomaatregelen nemen voor hun netwerk- en informatiesystemen, inclusief cloud-gehoste componenten. Er is geen uitzondering voor cloudomgevingen. Als uw organisatie NIS2-scope heeft en cloudservices gebruikt om gevoelige data te hosten of kritieke processen te draaien, moeten die cloudomgevingen worden opgenomen in uw beveiligingsbeoordeling en risicobeheerprogramma.
Wat is het verschil tussen een cloudveiligheidsbeoordeling en een cloudpenetratietest?
Een cloudveiligheidsbeoordeling bekijkt vooral configuratie en beleid: hoe de omgeving is opgezet, welke toegangscontroles op hun plaats staan, of logging is ingeschakeld. Een cloudpenetratietest probeert kwetsbaarheden en misconfiguraties te exploiteren om de werkelijke impact te bepalen die een aanvaller zou kunnen behalen. Beide zijn waardevol en complementair. Een configuratiebeoordeling identificeert wat verkeerd is. Een penetratietest toont wat een aanvaller daadwerkelijk met die zwakheden zou kunnen doen.
Welke cloudproviders beoordeelt Sectricity?
Sectricity beoordeelt AWS, Microsoft Azure en Google Cloud Platform omgevingen. De beoordeling is provider-specifiek in uitvoering, aangezien elke provider zijn eigen IAM-model, netwerkcomponenten en logging services heeft, maar de methodiek is consistent: review van identiteit, netwerk, opslag, geheimen, logging en workload-controles tegen actuele best practices, en bevindingen koppelen aan bedrijfsrisico en regulatoire verplichtingen.
Gerelateerde diensten en bronnen
Sectricity levert cloudveiligheidsbeoordelingen voor AWS, Azure en GCP op IAM, netwerkconfiguratie, opslagcontroles, geheimen, logging en workload-beveiliging. Cloudbeoordelingen combineren met web applicatie penetratietesten, API security testing en intern netwerk pentesten voor een compleet beeld. Voor verwante lectuur, zie onze gidsen over penetratietesten in de EU en Zero Trust beveiliging. Start met een gratis security scan.