Cloud-apps vragen om cloud-beveiliging

Er gebeurt steeds meer in de cloud. Ook het ontwikkelen van infrastructuren en applicaties is steeds vaker cloud native: vanaf het begin bedacht en ontwikkeld vanuit de cloud. Daarmee veranderen ook de eisen aan de beveiliging: een nieuwe, meer holistische kijk is vereist.

Een cloud native-aanpak maakt de ontwikkeling van infrastructuur en applicaties eenvoudiger en sneller. Dankzij software-gestuurde infrastructuurmodellen worden veel traditionele taken die bij het beheren en implementeren van serverarchitectuur komen kijken overbodig. Zo wordt een hoge mate van automatisering bereikt. Applicaties kunnen op schaal worden geïmplementeerd, en tegelijkertijd veerkrachtig en veilig zijn. Tegelijkertijd laten ze ook voortdurende integratietechnologieën toe, iets dat de ontwikkeling en de implementatie versnelt. De meeste autoriteiten zijn het erover eens dat deze cloud-aanpak de toekomst zal bepalen. Volgens Deloitte (pdf) zullen, bijvoorbeeld, de wereldwijde cloud-uitgaven tot ten minste 2025 zeven keer sneller groeien dan de totale IT-uitgaven.

Het gebruik van automatisering in cloud native-applicaties — geautomatiseerd testen, implementeren en schalen van een infrastructuur- — maakt een veel hoger tempo mogelijk. We zien bijvoorbeeld dat veel grotere ondernemingen in de cloud duizenden implementaties per dag uitvoeren. Dit cloud native-model leidt echter tot fundamentele wijzigingen in eerdere ideeën over bedrijfsvoering en bedrijfsveiligheid. Wat vroeger namelijk als een afzonderlijke infrastructuur werd beschouwd, maakt nu deel uit van de applicatie.

Een nieuwe beveiligingsaanpak

Om met deze veranderingen om te gaan zijn nieuwe middelen en een nieuwe aanpak van het security-model nodig. Bestaande ideeën over applicatie-security en bedrijfsvoering moeten daarom volledig opnieuw worden gedefinieerd. Verouderde beveilingstools en -processen zijn ontworpen voor een traditionele software hosting-infrastructuur en beschikken niet over de functies die nodig zijn om met moderne cloud-applicaties om te gaan.

Veel van de technologieën die in de moderne cloud-software stack gebruikelijk zijn, bestonden simpelweg nog niet toen een aantal veel gebruikte security-tools voor het eerst werden gemaakt, en de reikwijdte van die technologieën overtreft wat voorheen beschikbaar was. De moderne DevOps-toolset kan bijvoorbeeld Infrastructure as Code (IaC)-tools zoals Terraform en Ansible bevatten.

Deze tools kunnen relatief eenvoudig grote hoeveelheden infrastructuur leveren, dus is het essentieel dat ze beveiligd zijn. Ze gebruiken echter doorgaans een domeinspecifieke taal met unieke kenmerken en functionaliteit waardoor traditionele tests met tools zoals statische analyse moeilijk en mogelijk niet effectief zijn. Het controleren van de IaC-code en de configuratie ervan vereist best practices en nieuwe tools op basis van geavanceerde software en infrastructuur-engineering.

IaC-tools vertegenwoordigen slechts een van de vele uitdagingen bij het beveiligen van cloud native-applicaties. Concepten en benaderingen die traditioneel gezien het domein van IT/operationele security waren, zijn onderdeel geworden van het applicatie-security-model. Daarom moet het beveiligen van cloud native-applicaties beginnen bij de ontwikkelaars die de applicaties bouwen, en niet, zoals het nu nog vaak is, alleen bij de IT/Ops-security teams liggen.

Holistische benadering

Cloud native-applicatieveiligheid vereist een holistische benadering, ingebed in de hele levenscyclus van de softwareontwikkeling, waarbij kwetsbaarheden worden geïdentificeerd en verholpen gedurende de volledige cyclus, van de eerste regel code die wordt geschreven tot en met de live productieomgeving.

Zodra de applicatie- en infrastructuurcodering begint, moet die code ook worden getest als onderdeel van deze veilige levenscyclus van softwareontwikkeling. Een traditionele, eenduidige benadering van deze tests is niet langer voldoende: statische applicatietests, dynamische applicatietests, interactieve security-tests en security-tests voor mobiele applicaties zijn slechts enkele van de vele tests die nodig zijn voor cloud native-applicaties.

Om ontwikkelaars mede verantwoordelijkheid te kunnen geven op het gebied van security, zonder hun flexibiliteit in gevaar te brengen, moeten ze worden ondersteund door een security-platform dat naadloos is geïntegreerd in bestaande, efficiënte workflows. Op die manier kun je inzichten en nuttige begeleiding bieden. Bij Snyk laten we informatie bijvoorbeeld rechtstreeks in IDE’s — zoals die in de Eclipse- en JetBrains-productfamilies — verschijnen, en maken we lokaal testen mogelijk via CLI-tools.

Volledig veilig vanaf het begin

De cloud native security toolset moet worden ingebed in elke fase van het ontwikkelen van de software. Het moet ontwikkelaars zo makkelijk mogelijk worden gemaakt om dependancies in de code te achterhalen, of dat nu om containers of om open soure gaat.

Integratie met GitHub en Bitbucket zou bijvoorbeeld tot de mogelijkheden moeten behoren. En het platform zou niet alleen de code in een repository moeten scannen, maar ook kwetsbaarheden aan het licht moeten brengen met behulp van de eigen beveiligingsfuncties, zodat workflows niet worden onderbroken.

Ten tweede zullen moderne cloud native-applicaties waarschijnlijk gebruikmaken van containers om de ontwikkelingssnelheid verder te verhogen, workflows te automatiseren en enige leveranciersneutraliteit te creëren. Veel van wat doorgaans in een container wordt verzonden, is open source: deze componenten zijn overwegend gebaseerd op Linux en worden gebruikt om applicaties uit te voeren die zijn gemaakt met open source talen en frameworks.

Maar Linux is een complexe omgeving, omdat er zo’n vijftig kwetsbaarheden meer worden gerapporteerd dan in open source frameworks. Daarnaast zijn ontwikkelaars doorgaans geen beheerders van besturingssystemen en dat willen ze vaak ook niet worden. Deze container images, gemaakt met bijvoorbeeld Docker en vergelijkbare tools, vereisen daarom monitoring voor zowel bestaande als opkomende kwetsbaarheden. Deze monitoring moet niet alleen problemen detecteren, maar ook hersteladvies geven.

Geen afbakening meer

Ten slotte blijft de behoefte aan cloud native security-beheer ook bestaan ​​in live productieomgevingen. Traditioneel was de on-premises-infrastructuur vaak afhankelijk van een logische netwerkafbakening, die interne bronnen beschermde tegen ongeautoriseerd verkeer, hetgeen wat lossere beveiligingscontroles binnen die afgebakende omgeving mogelijk maakte. In cloud native is het idee van een afbakening niet nuttig. Vrijwel elke bron die door de meeste cloud providers wordt ge-host, kan openbaar worden gemaakt met een paar configuratieregels of een UI-herziening. En gegevens die zich fictief op hetzelfde logische domein bevinden, kunnen in werkelijkheid verschillende netwerken en fysieke locaties kruisen wanneer ze worden gebruikt.

Omdat cloudgebaseerde componenten en services allemaal een potentieel doelwit zijn voor compromissen, moet een ‘zero trust’-model worden toegepast. Ongeacht de netwerklocatie, moet authenticatie plaatsvinden tussen alle knooppunten en bronnen in een native cloud-systeem. Dit model verschilt wederom behoorlijk van traditionele opvattingen en vereist een toolset die is gemaakt voor het cloudtijdperk.

Conclusie

Hoewel de specifieke kenmerken van cloud computing voortdurend veranderen, zijn de essentiële kenmerken zoals snelheid en schaalbaarheid bekend en blijvend. Bedrijven zijn vaak op het verkeerde pad als ze de bestaande infrastructuur en procedures simpelweg in de cloud zetten. Op die manier missen ze sommige van de belangrijkste voordelen van cloud native-applicaties en — cruciaal — ze verplaatsen verouderde security-modellen en tools simpelweg naar de cloud in plaats ze te verbeteren. Naarmate applicaties opnieuw worden gebouwd en geoptimaliseerd voor de cloud, moet dat ook gelden voor beveilingsprocedures, -benaderingen en -toolsets.

Over de auteur: Liran Tal is Director of developer advocacy bij softwarebedrijf Snyk.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.