Identity en access management maken cloud zeer veilig en productief

december 15, 2013   Artikel

infosecurity05-2013HR2

Als we IT-managers vragen naar hun visie op cloud en security, dan zien we vaak iets opmerkelijks gebeuren: men maakt zich enerzijds grote zorgen over de security-aspecten bij gebruik van cloud services, terwijl men tegelijkertijd in cloud misschien wel dé oplossing voor veel security-problemen ziet. Met name dankzij oplossingen voor identity en access management als CA CloudMinder is het gebruik van cloud nu zeer veilig.

Eerder dit jaar heeft CA Technologies uitgebreid onderzoek laten doen naar de adoptie van cloud services door middelgrote en grote organisaties. Dit heeft geleid tot de publicatie van een belangrijke whitepaper getiteld ‘Cloud Succeeds. Now What?’. Hierin krijgt de lezer een uitstekend inzicht in niet alleen de voordelen van cloud computing, maar vooral ook in de randvoorwaarden die hiervoor geschapen moeten worden. Een succesvol gebruik van cloud vereist namelijk wel een goede voorbereiding, zowel technisch als organisatorisch.

1205 CA2

Hoe meer hoe beter
Tegelijkertijd komen we in deze whitepaper tot een aantal interessante conclusies. Zo blijkt dat organisaties die reeds enige tijd met cloud services werken tot de conclusie komen dat het gebruik van cloud steeds succesvoller wordt naarmate de organisatie meer ervaring met cloud-diensten opdoet en bovendien meer applicaties naar de cloud brengt of vanuit de cloud gaat afnemen.

Een andere toch wel opmerkelijke conclusie is dat veel mensen in zowel bedrijfsleven als overheid zich nog altijd zorgen maken over de veiligheid van cloud. Opmerkelijk genoeg zien we echter dat veel IT-managers tegelijkertijd in cloud ook dé oplossing voor veel security-problemen zien.

Beter dan verwacht
Het onderzoek is uitgevoerd door Luth Research en Vanson Bourne onder 542 bedrijven en overheidsinstellingen in Europa en de Verenigde Staten. Van de ondervraagde organisaties gaf 59 procent aan dat de cloud-diensten die zij in gebruik hebben voldoen aan hun verwachtingen op het gebied van security of deze zelfs overtreffen. Hierbij maakt het niet uit of men SaaS, IaaS of PaaS in gebruik heeft. Bovendien gaf nog eens een derde van de respondenten aan dat security veel minder een issue was gebleken dan men vooraf had ingeschat. Sterker nog, de beter dan verwachte prestaties op het gebied van security was juist een belangrijke reden waarom de respondenten zo enthousiast bleken over cloud (zie figuur).

Van de ondervraagde organisaties gaf 59 procent aan dat de cloud-diensten die zij in gebruik hebben voldoen aan hun verwachtingen op het gebied van security of deze zelfs overtreffen.

Van de ondervraagde organisaties gaf 59 procent aan dat de cloud-diensten die zij in gebruik hebben voldoen aan hun verwachtingen op het gebied van security of deze zelfs overtreffen.

De houding van veel IT-managers ten aanzien van cloud en security is nog steeds enigszins dubbel. Ja, men maakt zich zorgen over veiligheid, maar tegelijkertijd stelt 38 procent van zowel de IaaS- als de PaaS-gebruikers dat zij met deze cloud services aan de slag zijn gegaan juist vanwege de behoefte die men voelt om IT-security naar een hoger niveau te brengen. Een mening die gedeeld wordt door 41 procent van de SaaS-gebruikers.

Identity en access management
Het lijkt er op dat we in de hele discussie over cloud en security een belangrijk kantelpunt hebben bereikt. Niet langer overheerst het idee dat cloud gevaarlijk is. De houding is nu veel meer dat cloud services tot een belangrijke verbetering van de security van de organisatie leiden – niet alleen ten aanzien van de beveiliging van de cloud services zelf, maar juist ook als men kijkt naar het beveiligingsniveau over zowel traditionele als cloud-IT heen.

Een belangrijke reden voor deze verschuiving in de houding ten aanzien van cloud en security is de opkomst van uitstekende oplossingen voor identity en access management IAM) als CA CloudMinder.

Interne security
In steeds meer organisaties is men er inmiddels wel van overtuigd dat het simpelweg ‘nog meer sloten op de deur monteren’ geen oplossing is voor het security-vraagstuk. Cybercriminelen of kwaadwillende eigen medewerkers zullen altijd een weg weten te vinden door al dit soort maatregelen. Veel belangrijker is het dat we de toegang tot applicaties en bedrijfsgegevens goed reguleren. Voldoende ‘sloten op de deur’ zijn belangrijk maar we zullen ook binnen de firewall aan de slag moeten om gegevens en applicaties te beschermen tegen gebruik door onbevoegden. Per applicatie of dataset moet exact vastliggen welke personen of welke functiegroepen (rollen) toegang tot deze programma’s en informatie mogen hebben. Daarnaast moeten we per persoon heel goed vastleggen welke programmatuur en welke gegevens men nodig heeft om goed te functioneren. Er is geen reden om hen toegang te geven tot andere IT-voorzieningen dan dit vaak verrassend korte lijstje.

Wie de principes van identity en access management goed toepast, komt tot de ontdekking dat security helemaal geen probleem hoeft te zijn. Noch in traditionele IT-omgevingen, noch bij gebruik van cloud-diensten. Natuurlijk moeten we wel heel gestructureerd te werk gaan. Rechten tot applicaties en gegevens toekennen moet weloverwogen gebeuren – net als het weer intrekken van die rechten.

Cloud en security worden vaak in één adem genoemd. Tot voor kort ging de discussie dan meestal over zorgen rond beveiliging. Het wordt tijd dat we hier verandering in brengen: cloud en security passen uitstekend bij elkaar, omdat dankzij het gebruik van uitstekend beveiligde cloud services het totale security-niveau van de organisatie drastisch kan worden verbeterd.