Security en audit in a cloud native world

Vóór het cloudtijdperk was het de IT-organisatie die als een betrouwbare poortwachter een vesting maakte van de organisatie. Met een stevige toegangspoort waren data en applicaties binnen de muren in goede handen. Maar tegenwoordig bestaat zelfs Fort Knox niet meer. Applicaties die gemaakt zijn om optimaal gebruik te maken van de functionaliteit van alle aspecten van de cloud zijn per definitie gedistribueerd en dus niet te vangen in het traditionele Fort Knox paradigma. Met de opkomst van cloud native wordt expertise op het gebied van security en compliance een must voor iedereen in de keten.

“Met de opkomst van cloud native wordt expertise op het gebied van security en compliance een must voor iedereen. Lees over het waarom in opiniestuk @seccubus voor @nrclive”
Tweet this!

Cloud native applicaties zijn specifiek voor toepassing in de cloud ontworpen en ontwikkeld, met als doel maximaal te profiteren van de voordelen van cloud en met het doel onnodige overhead, die met een traditionele IT infrastructuur gepaard gaat, te minimaliseren. De trend is dat bedrijven niet meer gaan voor monolithische applicaties, maar kiezen voor het aan elkaar koppelen van best-of-breed functionaliteit. En dat leidt al snel tot een groot en complex geheel aan componenten. Serverless is bij uitstek een voorbeeld van een cloud native design. Hierbij is de allocatie van die componenten over infrastructuren geautomatiseerd en voor de ontwikkelaar verborgen. In een serverless-omgeving denk je in functies en microservices die je als code uploadt naar de cloud, die het vervolgens ontsluit via internet. Cloud native brengt voordelen met zich mee, maar leidt ook tot verdere versnippering van het applicatielandschap en dat vergroot het risico op verlies van overzicht en controle. Als je niet weet wat je bewaakt of zou moeten bewaken, wordt het organiseren van IT security een lastige opdracht.

Cloud native brengt voordelen met zich mee, maar leidt ook tot verdere versnippering van het applicatielandschap en dat vergroot het risico op verlies van overzicht en controle.

‘Embedded’ security

Vergeleken met de vesting van weleer (met ‘alles in eigen huis’) hebben onze klanten nu te maken met een moderne, open stad. In die stad moet ieder huis worden beveiligd tegen verschillende soorten onheil: sloten op alle ramen en deuren, rookmelders en blusapparaten in alle vertrekken, en beveiligde routers zodat de verbinding met de buitenwereld betrouwbaar en veilig blijft. Bij cloud native applicaties is de infrastructuur geen vast gegeven meer. Daarom moeten security maatregelen worden ‘ingebakken’ in de applicaties. Amazon Web Services stelde het tijdens de meeste recente AWS Summit in Las Vegas als volgt: alle aanwezige developers moeten hier naar buiten gaan als security engineer. Met andere woorden, ontwikkelaars zullen moeten investeren in security skills. Op dit moment is het aantal cloud native developers met kennis op het gebied van security echter zeer schaars; voor veel bedrijven een uitdaging. Met name bij (native) cloud orkestratie neemt het belang van deze competentie verder toe.

Ontwikkelaars zullen moeten investeren in security skills

Cloud native: compliance wordt specialistenwerk

Zorgen dat cloud native applicaties betrouwbaar en veilig werken is één ding, zorgdragen voor compliance is een tweede uitdaging. In het verleden konden auditors hun controles nog uitvoeren in fysieke datacenters. Maar vanwege de grote volumes aan klanten die grote cloudproviders bedienen, hebben zij het ‘right to audit’ vrijwel altijd contractueel uitgesloten. In de praktijk wijzen zij een derde, onafhankelijke partij aan die periodiek een ‘third party statement’ afgeeft. Zo’n statement moet waarborgen dat de processen van de provider gecontroleerd zijn (lees: voldoen aan de door de leverancier gestelde eisen). Daarmee is het auditproces bij publieke cloudleveranciers veranderd in een technisch-administratief en technisch-juridisch proces. Het auditproces wordt bovendien complexer omdat de ingekochte diensten steeds meer zijn gedistribueerd en verdeeld over meerdere leveranciers. Hoe krijg je van een startup in Silicon Valley op afstand zekerheid over hun verder briljante functionaliteit ‘as a Service’?

Zorgen dat cloud native applicaties betrouwbaar en veilig werken is één ding, zorgdragen voor compliance is een tweede uitdaging

Woud van verklaringen

Wij zien dat de eisen (vanuit toezichthouders en klanten) voor een aantoonbaare beheersing van IT steeds strenger worden en dat dit leidt tot meer en meer formele statements, maar dat er hierdoor steeds minder wordt gekeken naar de precieze inhoud van dit soort statements: wat is de scope van het statement? Geeft een certificaat bijvoorbeeld wel voldoende rugdekking voor de business? Klanten verwachten een ‘in control statement’ voor hún specifieke processen: wat draait waar, wie zorgt voor het beheer, wie garandeert dat er backups worden gemaakt, en zijn die data ook beschikbaar? Hoe stel je de juiste vragen zodat je later kunt aantonen dat je echt in control bent? Wie kan audit rapporten lezen, terms of services interpreteren en de developers uitleggen waar ze aan moeten denken? Wie houdt het overzicht?

De oplossing ligt in een bundeling van traditionele en cloud native controls.

Cloud native assurance

Het begrijpen van deze statements is specialistenwerk dat om domeinkennis vraagt: assurance komt neer op het goed kunnen beoordelen van de third party statements van de leverancier in samenhang met IT-landschap en businessprocessen. In een cloud native omgeving is het niet meer mogelijk om met uitsluitend traditionele controls de gewenste assurance te verkrijgen. De oplossing ligt daarom in een bundeling van traditionele en cloud native controls. Dat pleit voor het sourcen van de regiefunctie, waarbij kennisuitwisseling op het gebied van business functionaliteit, cloud functionaliteit, regelgeving en beheer goed georganiseerd is. De inzet van een regiepartij met kennis van cloud native controls is cruciaal om de reis naar cloud native te overleven.


Frank Breedijk is de Security Officer van Schuberg Philis, waar hij al sinds 2006 de eigen organisatie en klanten helpt bij het maken van betere security en risico overwegingen voor bedrijf kritische applicatielandschappen. Voordat hij bij Schuberg Philis werkte is hij onder andere werkzaam geweest als Security Officer voor Interxion, is het werkzaam geweest als security consultant voor INS/BT en heeft hij voor Unisys het Security Operations Center voor Managed Security Service opgezet en gemanaged.


In aanloop en tijdens de NRC Live serie over Cybersecurity delen wij regelmatig opiniestukken van onze sprekers en partners.

Bekijk programma

Blijf op de hoogte!

Blijf op de hoogte!

Wil je op de hoogte blijven van toekomstige NRC Live events? Schrijf je dan in voor onze nieuwsbrief!

Suggesties voor een spreker?

Suggesties voor een spreker?

Ken jij iemand die goed zou kunnen spreken op een van onze events? Stel dan een spreker aan ons voor!