Hybrid cloud: 6 noodzakelijke maatregelen

Hybride cloudomgevingen zijn tegenwoordig meer de regel dan uitzondering. Maar met data en processen versnipperd over meerdere clouds, groeit zonder maatregelen ook de kans op een lek of hack. Hoe blijft u 'in control' over uw omgeving? De security specialisten van KPN delen hun visie en tips.

Uit het rapport ‘Hybrid IT Takes Center Stage’ van Harvard Business Review Analytic Services blijkt dat CIO’s de cloud omarmen om het concurrentievermogen van de organisatie te vergroten. De flexibiliteit van de cloud is in de ogen van IT-directeuren nodig om de digitale transformatie bij te kunnen benen, zo stellen de onderzoekers.

 

Wat in alle onderzoeken duidelijk naar voren komt, is dat bedrijven al lang geen gebruik meer maken van slechts één cloud. Zo gebruiken bedrijven volgens RightScale gemiddeld drie publieke en drie private clouds. Steeds vaker maken zij per applicatie een afweging tussen de public en de private cloud en on-premise. Een combinatie van deze wordt een hybrid cloud genoemd.

 

Bij het gebruik van hybride cloudomgevingen is het van belang om goed na te denken over security aspecten. Voorbeelden hiervan zijn:

 

  • Bij het uitbesteden aan een cloudprovider legt u dan het beheer van data in handen van een bedrijf dat het tot zijn kernexpertise heeft gemaakt? Wat is de reputatie en het track record van de provider en welke afspraken heeft u vastgelegd in een Service Level Agreement?
  • Versnippering van data. Data staan al snel verspreid over meerdere platformen. Deze versnippering wordt nog eens versterkt door de toenemende mobiliteit van medewerkers, die data ook op mobiele devices opslaan. Hierdoor wordt het voor een organisatie steeds lastiger om data te beveiligen en hier een back-up van te maken.
  • Compliance-issues. In de hybrid cloud loopt mogelijk uw compliance met wet- en regelgeving gevaar. Zo stelt de Algemene Verordening Gegevensbescherming (AVG) die vanaf mei 2018 wordt toegepast (lees daarvoor het whitepaper Security en Compliance) dat u inzicht moet hebben in waar privacygevoelige gegevens zijn opgeslagen. Dat is lastig als sprake is van bijvoorbeeld schaduw-IT en een versnipperd IT-landschap. Heeft u dit inzicht niet, dan riskeert u echter fikse boetes.

Hoe voorkomt u dat de hybrid cloud een onbeheersbare chaos wordt? Daarvoor moet u een aantal voorzorgsmaatregelen treffen. Onderstaand 6 tips die hierin leidend zijn:

1. Formuleer beleid

Organisaties moeten op het moment dat ze stappen zetten richting de hybrid cloud direct een passend security- en compliancebeleid formuleren. Zowel de technische als de organisatorische controls moeten goed op orde zijn, evenals de processen, de besturing van een organisatie en de menselijke factor. Denk bijvoorbeeld na over hoe u het changemanagement inricht, de toegang tot clouddiensten regelt en reporting voor compliance organiseert. Alleen dan kan er sprake zijn van een toekomstbestendige IT-omgeving die optimaal blijft functioneren.

2. Zorg voor dataclassificatie

Welke data zet u waar? In de hybrid cloud kunt u ervoor kiezen om minder gevoelige data in de public cloud te zetten, en gevoeligere data in een private cloud of on-premise. Deze afweging moet u per type data maken. De keuzes moeten voor iedereen duidelijk zijn.

3. Maak duidelijke afspraken

Is het noodzakelijk om op regelmatige basis audits uit te voeren bij de cloudprovider? Maak hierover dan heldere afspraken, en vraag om een ISAE 3402-verklaring. Hiermee toont de provider aan ‘in control’ te zijn over de processen. Ook moet er aandacht zijn voor het datamanagement. Vooraf moet altijd duidelijk zijn waar de data zich bevinden en hoe de toegang en de beschikbaarheid zijn geregeld. De AVG verplicht ook tot het sluiten van een overeenkomst als de provider namens u persoonsgegevens verwerkt. Hierin wordt vastgelegd hoe de bewerker met de persoonsgegevens moet omgaan.

4. Beveilig de applicaties

Elke applicatie heeft de best mogelijke beveiliging nodig. Het is daarom zaak om per applicatie de juiste maatregelen te nemen. Beveilig applicaties bijvoorbeeld met een Web Application Firewall en continue monitoring en zorg voor een versleuteling van de data en de verbindingen. Houd de beveiliging bovendien continu tegen het licht. Aangezien de aanvallen van kwaadwillenden steeds complexer worden, zijn ook steeds slimmere maatregelen nodig.

5. Kies voor een centrale back-up

Als het gaat om een hybrid cloud is het raadzaam om voor een centrale cloudgebaseerde back-updienst te kiezen. Hierbij worden alle data van de afzonderlijke clouddiensten centraal opgeslagen. Zorg er wel voor dat u over voldoende bandbreedte beschikt om een disaster recovery uit te kunnen voeren. Deze bandbreedte moet immers replicatie van data mogelijk maken.

6. Besteed aandacht aan veilige verbindingen

In een hybrid cloud bent u voor de beschikbaarheid van uw IT-omgeving niet alleen afhankelijk van meerdere cloudproviders, maar ook van de verbindingen met de geleverde clouddiensten.

 

Door de verschillende cloudoplossingen te koppelen aan uw bestaande Virtual Private Network, bijvoorbeeld met behulp van private netwerkverbindingen, zorgt u voor een veilige hybrid cloud. Op deze manier maakt u clouddiensten een integraal onderdeel van uw eigen ICT-infrastructuur waar u zelf de controle over heeft.

 

Een hybrid cloud biedt als het ware the best of both worlds en kan voor organisaties de sleutel zijn tot succes. Voorwaarde is wel dat u de regie behoudt. Bent u geïnteresseerd in hybrid cloud en wilt u graag meer informatie? Bekijk dan de hybrid cloud van KPN of neem contact op met een van de specialisten.