Cloud Security

Het aanbod Cloud Security oplossingen in de markt groeit gestaag en er zijn verschillende typen oplossingen die organisaties bij hun specifieke business behoefte ondersteunen. Het kiezen van de juiste oplossing of zelfs het juiste type oplossing, kan moeilijk zijn. Dit overzicht beschrijft de belangrijkste aspecten van de vijf onder de cloud security management noemer vallende typen.

• Cloud Access Security Broker (CASB).
• Cloud Workload Protection Platform (CWPP).
• Cloud Security Posture Management (CSPM).
• Cloud Infrastructure Entitlement Management (CIEM).
• Cloud-Native Application Protection Platform (CNAPP).

Gartner heeft de bovenstaande typen, die elkaar vaak overlappen qua functionaliteit, bepaald en verder gedefinieerd zodat organisaties op basis van deze beschrijving beter geïnformeerde besluiten kunnen nemen. De laatste twee, CIEM en CNAPP zijn de meest recente toevoegingen.

Voor elke categorie beschrijven we de navolgende eigenschappen:

• Wat elke categorie precies inhoudt,
• Waar de oplossing het best kan worden ingezet, en
• De voordelen en beperkingen van de diverse categorieën.

Wat is het precies? We zullen aangeven wat elke oplossing binnen de betreffende categorie precies doet en we zullen de noemenswaardige functionaliteit verder toelichten.

In welke context kan de oplossing het beste worden ingezet? In deze sectie kijken we naar het best passende uitrolpatroon en de implementatie scenario’s voor elke oplossing.

Volgens Gartner kunnen de uitrolpatronen voor Cloud worden onderverdeeld in drie algemene groepen:

1. Infrastructure as a Service (IaaS). Deze optie omvat de IaaS-only methode, inclusief enkel IaaS en IaaS met gebruik van containers;
2. Software as a Service (SaaS) en applicatie. Deze optie omvat alle SaaS, en de op applicaties gebaseerde patronen, inclusief Platform as a Service (PaaS);
3. Gemixte omgevingen. Deze optie omvat IaaS samen met gemixte en meer complexe combinaties van IaaS samen met andere cloud diensten, inclusief SaaS en PaaS.

Gartner heeft de CASB, CWPP en CSPM oplossingen over deze drie verschillende uitrolpatronen onderzocht voor enkele, multi en hybride cloud implementaties. We bekijken hoe deze oplossingen gerangschikt zijn en in welke categorieën een specifieke oplossing het meest bruikbaar kan zijn. Een belangrijk aandachtspunt is dat Gartner de CIEM en CNAPP verschijningsvorm nog niet formeel heeft onderzocht en bepaald.

Voordelen en beperkingen? Waarom wordt een specifieke toolset ingezet? Wat zijn de potentiële nadelige factoren waar rekening mee dient te worden gehouden. We zetten de positieve aspecten en de negatieve aspecten voor elke oplossingsrichting op een rij.

Cloud Access Security Broker (CASB)

Wat is een CASB?
CASB’s zijn on-premise of cloud gebaseerde oplossingen waarmee een policy kan worden opgelegd aan de gebruiker. Een CASB oplossing wordt geplaatst tussen de cloud service gebruiker en de cloud service aanbieder (CSP) met als doel om enterprise security policies toe te passen op het verkeer van en naar de cloud omgevingen. CASB’s consolideren meerdere typen security policy enforcement. Een voorbeeld van een dergelijke security policy is authenticatie, single sign-on, autorisatie, het mappen van credentials, het profileren van apparaten, encryptie, het gebruk van tokens, logging, alertering, malware detectie, preventie etc..

In welke context kan een CASB het best worden gebruikt?
Volgens Gartner zijn CASB’s het meest effectief in SaaS omgevingen voor enkele en multi cloud implementaties. CASB’s zijn vaak enigszins effectief in gemixte omgevingen.

Voordelen en beperkingen

Voordelen

• Goed inzicht;
• Goede detectie. Capabel om ongesanctioneerde cloud applicaties (“shadow-it”) en ook gevoelige data (in transit) te detecteren;
• Rich data. Vanwege de eigenschap van het kunnen controleren van de toegang naar SaaS gebaseerde cloud applicaties kunnen CASB’s rijke audit logs produceren met daarin de informatie die gerelateerd is aan het gedrag van de gebruiker die de applicaties gebruikt.

Beperkingen

• Het gebrek aan geautomatiseerde acties. Ondanks dat CASB’s een grote hoeveelheid waardevolle informatie en data kunnen aanleveren, zijn ze niet ontworpen om geautomatiseerde acties te kunnen nemen om potentiële dreigingen weg te nemen. Dit kan een zorg zijn voor organisaties die niet voldoende security medewerkers hebben om de grote hoeveelheid incidenten die handmatig handelen vereisen aan te kunnen pakken.
• De oplossing worstelt vaak om consistente informatie aan te kunnen leveren vanwege de niet compatibele services verdeeld over de diverse Cloud Service Providers (CSP).
• Vaak is het moeilijk voor CASB providers om het tempo van de toevoeging van nieuwe services bij te houden bij de verschillende Cloud Service Providers.
• CASB’s vereisen vaak dat het verkeer van de aangesloten gebruikers via een centrale gateway verloopt; Gevolg hiervan is dat wanneer gebruikers toegang maken met cloud bronnen buiten deze omgeving, de security teams dit niet zien (Shadow-IT).

Cloud Workload Protection Platform (CWPP)

Wat is het precies?
Volgens Gartner zijn CWPP’s workload-gebaseerde security proposities die ingezet worden voor de unieke beschermingsvereisten van workloads in moderne hybride, multi-cloud data center architecturen. Anders gezegd helpen CWPP’s organisaties om bescherming te bieden voor hun capabilities of workloads (applicaties, resources etc.) die zich in cloud omgevingen bevinden.

CWPP capabilities variëren van vendor tot vendor, maar bevatten typische functionaliteit als system hardening, vulnerability management, host-gebaseerde segmentatie, monitoring van de systeem integriteit en toegangslijsten voor applicaties. CWPP’s bieden inzicht en management van security controls over meerdere publieke cloud omgevingen vanuit een enkel dashboard.

Gartner verdeelt de CWPP vendors in acht verschillende categorieën:

1. Brede, multi-OS functionaliteit.
2. Vulnerability Scanning, configuratie en compliance mogelijkheden.
3. Segmentatie, inzicht en controles op basis van identiteit.
4. Applicatie controles / opgelegde capabilities op basis van de gewenste situatie.
5. Bescherming van de integriteit van geheugen en processen.
6. Server gebaseerde EDR functies, workload gedragsmonitoring en threat detectie/response functionaliteit.
7. Beveiliging van container en kubernetes omgevingen.
8. Mogelijkheid tot serverloze bescherming.

In de Gartner Market Guide voor Cloud Workload Protection Platforms uit 2020 stelt Gartner dat workloads meer granulair worden – met kortere levenscycli – als gevolg van het feit dat organisaties steeds vaker DevOps gebaseerde ontwikkeling adopteren met per dag of per week meer verschillende invalshoeken.

De beste manier om deze snel veranderende en kortdurende workloads veilig te stellen kan worden bereikt met een pro-actieve aanpak. Door security al in het Devops process te integreren door het toepassen van “Infrastructuur als Code” templates, vulnerability management voorafgaande aan de definitieve uitrol en het scannen van de code, worden workloads van het begin af aan beschermd.

In welke vorm kan CWPP het beste worden toegepast?
Gartner stelt dat de best mogelijke context voor een CWPP een IaaS is die op één enkele provider gebaseerd is, in het bijzonder waar er vereisten zijn voor aanvullende security capabilities om workloads te beschermen.

Voordelen en beperkingen

Voordelen

• Inzicht bieden en controle verkrijgen en behouden over workloads;
• Het bieden van uitgebreide bescherming tegen risico’s die gepaard gaan met workloads die in een IaaS omgeving zijn ondergebracht. Dit is zeer belangrijk daar workloads zeer moeilijk beschermd kunnen worden, en aangezien steeds meer organisaties container gebaseerde uitrol van services toepassen blijft de moeilijkheid van het beschermen van de workloads aanwezig;
• CWPP kan zorgen voor alerteren en het escaleren van incidenten; het lokaal kunnen scripten van een policy op workload niveau zorgt voor het toe kunnen passen van aanpassingen in de opzet van de omgeving zoals bijvoorbeeld firewall wijzigingen en wijzigingen in de white list voor toegang tot de applicaties.

Beperkingen

• Het gebrek aan identity- en access management (IAM) functies;
• Er kan geen over-all risk management worden geboden over alle cloud omgevingen;
• Er kan geen event monitoring plaatsvinden voor alle activiteit buiten de workloads.

Cloud Security Posture Management (CSPM)

Wat is CSPM precies?
CSPM oplossingen beheren continu het cloud security risico. De CSPM oplossingen detecteren, loggen, rapporteren en bieden geautomatiseerde functies om risico’s aan te pakken. Deze risico’s kunnen variëren van cloud service configuraties tot security instellingen en zijn vrijwel altijd gerelateerd aan governance, compliance en security binnen cloud omgevingen.

CSPM oplossingen hebben de focus op vier primaire aandachtsgebieden:

• Identiteit, security en compliancy;
• Monitoring en analytics;
• Inventarisatie en classificatie van assets in een omgeving;
• Kostenbeheersing en organisatie van het toekennen van resources.

In welke context komt een CSPM het best tot zijn recht?
CSPM middelen zijn het meest effectief als ze in multi-cloud IaaS omgevingen worden ingezet. Ze kunnen ook worden ingezet om de IaaS elementen in gemixte omgevingen te beschermen.

Voordelen en beperkingen

Voordelen

• Ongeëvenaard inzicht in de door een organisatie gebruikte cloud assets en hun respectievelijke configuraties;
• Het bieden van waardevolle context door afhankelijkheden te mappen tussen cloud infrastructuren, cloud services en abstractielagen om volledig de bron en de scope van het risico in te kunnen schatten;
• De bescherming van data realiseren door zeker te stellen dat ingebouwde standaard en andere security controls aanwezig zijn;
• Het identificeren van workload problemen en potentiële aanvalsvlakken/blootstelling door configuratiefouten te detecteren of configuraties die afwijken van de best practices. Er wordt gebruik gemaakt van ingebouwde monitoring en alerting functies teneinde een effectieve identificatie en escalatie van het incident te kunnen doen;
• Door het integreren van CSPM met identity management systemen of gebruik te maken van de native cloud identity functies kunnen CSPMS de privileged toegang tot de IaaS cloud administratie omgeving organiseren en beheren.

Beperkingen
De meeste CSPM beperkingen zijn verbonden middels interconnecties met ingebouwde CSP security controls.

Om een voorbeeld te geven. Bij CSPM’s werkt het als volgt:

• Er word geen security op de data, het operating system of de applicatielaag zelf toegepast, noch leveren CSPMs aanvullende data security controls. Daar staat tegenover dat er wel native data- en applicatie controls worden opgelegd door een CSPM;
• Er vindt geen specifieke scan op kwetsbaarheden plaats. In plaats daarvan zijn CSPMs afhankelijk van specifieke VM oplossingen en van output vanuit andere third party oplossingen.

Cloud Infrastructure Entitlement Management (CIEM)

Wat is CIEM precies?
In haar Cloud Security Hype Cycle rapport heeft Gartner een nieuwe categorie toegevoegd, genaamd CIEM. Deze nieuwe vorm beschrijft de oplossingen die de focus hebben op cloud identiteit en identity access management (IAM), een proces dat vaak veel te complex en dynamisch is om enkel door een CSP oplossing zelf te laten beheren. De in opmars zijnde CIEM categorie is specifiek opgezet voor technologieën die de mogelijkheid bieden om identity en access governance controls toe te passen met als doel om het aantal cloud infrastructuren aanzienlijk te verlagen en de toegangscontrole voor de gebruikers met de minste rechten binnen dynamische, gedistribueerde cloud omgevingen verder te kunnen stroomlijnen.

In welke setup kan CIEM het beste worden toegepast?
In IaaS en PaaS omgevingen.

Voordelen en beperkingen

Voordelen

• Biedt direct inzicht in wie en wat toegang kan krijgen tot de cloud omgevingen;
• Vervangt de tijdrovende tussenkomst om overdreven toegang en rechten te herstellen
• Beschermt de gevoelige informatie;
• Voorkomt onnodig hoge permissies en onbedoelde toegang;
• Maakt het mogelijk om audit- en compliance functies toe te kunnen passen.

Beperkingen

• Veel CIEM oplossingen zijn niet holistisch gebouwd; In tegenstelling, veel fabrikanten die hun IAM proces buiten de cloud hebben draaien creeren eerder gefragmenteerde oplossingen op basis van afzonderlijke producten die het identity governance en administratie-, het access management-, en het Multi Factor Authenticatie (MFA) proces verzorgen. Het beheren van identiteit en toegang in de cloud vereist een veel breder contextueel begrip van de cloud omgeving en de diverse complexe policy lagen die de toegang en permissies bepalen binnen organisaties.

Cloud-Native Application Protection Platform (CNAPP)

Wat is CNAPP?
Gartner heeft onlangs CNAPP aangewezen als een nieuwe categorie om opkomende trends in cloudbeveiliging te weerspiegelen. CNAPP's brengen applicatie- en datacontext in de convergentie van de CSPM- en CWPP-archetypen om hosts en workloads te beschermen, inclusief VM's, containers en serverloze functies.

In welke context komt CNAPP het beste tot zijn recht?
IaaS and PaaS omgevingen.

Voordelen en beperkingen

Voordelen

• Sterke automatisering en orchestratie;
• Betere beveiliging door standaardisatie en diepere beschermingslagen;
• Zorgt ervoor dat workloads vaker kunnen worden benaderd.

iSOC24 heeft de Rapid7 InsightCloudSec oplossing (voorheen bekend als DivvyCloud) in haar portfolio. Hieronder volgt een beschrijving van de oplossing alsmede de kenmerken.

Rapid7 InsightCloudSec (voorheen bekend als DivvyCloud)

Waar past de Rapid7 InsightCloudSec propositie het beste?
De combinatie van meerdere capabilities alsmede het breed kunnen positioneren van de InsightCloudSec propositie in de CSPM, CWPP en CIEM categorie is de basis voor Gartner geweest om Rapid7 in de CNAPP categorie op te nemen. Rapid7 InsightCloudSec past zeer goed in de CSPM categorie en heeft zichzelf ontwikkeld tot marktleider in deze oplossingsrichting. De Rapid7 InsightCloudSec oplossing valt ook binnen de CWPP categorie, waarbij de positionering nog sterker is als de InsightCloudSec oplossing gecombineerd wordt met de Rapid7 InsightVM functionaliteit. En door het recentelijk toevoegen van de Rapid7 Cloud IAM governance module past de InsightCloudSec module ook nog eens in de CIEM categorie.

Waardoor onderscheidt de Rapid7 InsightCloudSec oplossing zich ondermeer:
Rapid7 heeft Cloud Security op de onderstaande unieke wijze benaderd.

1. Vanaf de eerste dag gebaseerd op multi-cloud omgevingen. Dit is belangrijk want de grootste hoeveelheid organisaties zijn niet van éen enkele CSP afhankelijk. Integendeel, vaak wordt er een combinatie van verschillende CSPs en containers gebruikt. In een multi-cloud omgeving kun je niet zomaar even een audit uitvoeren binnen de AWS omgeving. Er moet een audit plaatsvinden in AWS, AZURE, GCP, Kubernetes, etc. De organisaties die op dit moment gebruik maken van niet meer dan één enkele CSP zullen naar alle waarschijnlijkheid in de toekomst ook de stap maken naar een multi-cloud architectuur – ofwel door fusies of overnames ofwel op de logische wijze met behulp van innovatie in de product development omgeving.
2. Gemeenschappelijk inzicht en monitoring. Gemeenschappelijk inzicht biedt de mogelijkheid om monitoring toe te kunnen passen en hiermee de security- en compliancy gesteldheid over de gehele cloud- en container omgeving te begrijpen. InsightCloudSec van Rapid7 standaardiseert de data uit een multi-cloud omgeving als ware het een asset inventarisatie met als doel om cloud security meer toegankelijk te maken, zelfs wanneer meerdere services worden uitgerold door de CSPs’. Bijvoorbeeld, met een standaard terminologie over de gehele cloud omgeving kan Rapid7 InsightCloudSec ervoor zorgen dat provider specifieke resource namen zoals S3 Bucket (AWS), Blob Storage Container (Azure) of Cloud Storage (Azure) verklaard worden. In plaats daarvan gebruikt Rapid7 InsightCloudSec de genormaliseerde terminologie genaamd “storage container" voor deze resources.
   Met de gestandaardiseerde asset bibliotheek van InsightCloudSec kunnen organisaties een algehele policy- en automatische real-time aanpak hanteren over alle omgevingen zodat een proactieve, bewezen en robuuste aanpak ontstaat.
3. Real-time automation en sanering. InsightCloudSec automatiseert de beschermende en reactieve maatregelen die een enterprise organisatie nodig heeft om mee te innoveren met de snelheid van de Cloud. Automatisering is de sleutel tot het in staat zijn om zowel security en snelheid op schaal te realiseren. Met API polling en de unieke event gedreven aanpak om risico’s te identificeren en sanering te triggeren biedt InsightCloudSec snelle detectie van veranderingen waarmee sanering in real-time kan plaatsvinden.
   Met een geheel op maat te maken automation engine kunnen gebruikers snel en eenvoudig de workflows definiëren (“Bots”) die zorgen voor de automation. Een enkele “Bot” kan worden geconfigureerd om een uniforme aanpak toe te kunnen passen voor sanering binnen alle cloud omgevingen waardoor een consistent, schaalbaar en duurzame aanpak voor cloud security kan worden gevormd.
4. Uitbreidbaar platform. Van specifiek gebouwde policies tot een robuuste API, de Rapid7 InsightCloudSec oplossing kan worden ingericht zodat deze aan de specifieke business behoefte van de organisatie kan voldoen. Rapid7 biedt een flexibel datamodel met verschillende toepasniveaus inclusief: configuratie door middel van de user interface, aanpassing door middel van de ingebouwde plugin gebaseerde architectuur en automation door middel van de RESTful API.
5. Risico vaststelling en auditing. De compliance score card van Rapid7 levert een visuele presentatie van het risico als deze tegen de regelgeving en industrie standaarden of de eigen bedrijfsstandaard wordt aangehouden. De interactieve heatmap zorgt voor het uniforme overzicht over de gehele cloud omgeving. Er kan worden gefilterd op onderwerpen als cloud omgeving, account, business unit, applicatie, risicoprofiel, compliancy standaard etc..
6. Threat protection. Binnen InsightCloudSec wordt er gebruik gemaakt van ingebouwde CSP Services en security controls (bijv. Amazon GuardDuty) voor best-in-class intelligente threat detectie waardoor continu wordt gemonitord op verdachte activiteit en ongeautoriseerde activiteit zoals:
   • crypto-currency mining,
   • credentials die gecompromitteerd worden;
   • communicatie met bekende command-and-control (C&C) servers, en
   • API calls vanuit bekende verdachte IP adressen/ranges.

Als er een dreiging wordt gedetecteerd kan InsightCloudSec geautomatiseerde opschoon/saneringsacties uitvoeren, inclusief het herconfigureren van de cloud services, het aanpassen van de cloud infrastructuur, het aansturen en begeleiden van mensgedreven workflows en de integratie ervan met systemen als bijv. ServiceNow en Jira, en het orchestreren van de workflow activiteiten in andere security- en beheersystemen.

Rapid7 InsightCloudSec’s Cloud IAM Governance Module

De Rapid7 InsightCloudSec Cloud IAM Governance module past naadloos in de CIEM categorie. Deze nieuwe module ondersteunt organisaties bij de navolgende taken:

• Het identificeren en reduceren van het risico van blootstelling aan de cloud;
• Het verschaffen van inzicht om incorrecte combinaties van gegeven permissies waardoor overtollig of onbedoelde toegang is gegeven en het prioriteren en saneren ervan;
• Het verkennen van effectieve toegang door medewerker, resource of applicatie;
• Het doorgronden van de daadwerkelijke toegang tot complexe IAM combinaties;
• Vaststellen en onderhouden van de minst benodigde privileges voor toegang;
• Het beheersen en begrijpen van de expansieradius van cloud security.

Cloud-Native Security: InsightCloudSec and InsightVM

Het balanceren van cloud security en compliance met als doel om de DevOps te ondersteunen is cruciaal daar de fundamentele rol van traditionele security teams sterk aan het veranderen is. Kijkend naar de mogelijkheden van het integreren van security in het DevOps proces is het belangrijk om de aanpak te overdenken en de daadwerkelijke wrijving of de perceptie ervan hierbij zo laag mogelijk te houden. Een belangrijk onderdeel van deze evolutie is de adoptie van moderne oplossingen die de door de ontwikkelaars gedreven, API gerichte en infrastructuur onafhankelijke patronen van cloud native security ondersteunen. Rapid7 biedt hier exact de oplossing voor met haar InsightCloudSec en InsightVM integratie waarmee de best-in-class functionaliteit bij elkaar wordt gebracht om problemen holistisch op te kunnen lossen.

Wanneer de Rapid InsightCloudSec oplossing wordt gebruikt in combinatie met de Rapid7’s InsightVM vulnerability management oplossing én de CWPP functies wordt de positie van Rapid7 InsightCloudSec nog eens extra versterkt waardoor klanten de mogelijkheid krijgen om te scannen op kwetsbaarheden en tegelijkertijd een compliance baseline te bouwen. De combinatie van Rapid7 InsightVM en InsightCloudSec staat voor de samenvoeging van CWPPs en CSPMs in de nieuwe CNAPP categorie. Door zowel InsightVM als InsightCloudSec tegelijkertijd in te zetten krijgen organisaties het beste van beide werelden.

Conclusie

CSPM en CIEM oplossingen, zoals Rapid7 InsightCloudSec, zijn belangrijke investeringen voor organisaties met een innovatief karakter maar die wel veilig willen blijven in de cloud. CSPMS bieden ongelooflijk veel inzicht, goede monitoring en detectie terwijl ook de security naar een nog hoger niveau wordt getild door bijvoorbeeld het automatiseren van de processen rondom sanering en het wegnemen van potentiële risico’s. CSPMS zijn zeer goed in staat om de huidige en toekomstige uitdagingen die het moeilijker maken voor organisaties om veilig in de cloud te verblijven het hoofd te kunnen bieden. En met de uitdagingen rondom identiteit en toegang tot gegevens en informatie die zich in de cloud bevinden mag het onderwerp CIEM zeker niet over het hoofd worden gezien. Gelukkig is de Rapid7 InsightCloudSec IAM Governance module prima op zijn plaats in de CIEM categorie.

Wanneer we verder kijken dan CASBs, CWPPs en CSPMs belanden we in het CNAPP segment. De combinatie van InsightVM en InsightCloudSec biedt het beste van beide werelden tijdens de transformatie naar een nieuwe generatie van cloud native security oplossingen.

Bent u geïnteresseerd en wilt u meer weten over hoe u de stap kunt zetten naar de nieuwe generatie cloud security neemt u dan contact op met één van de cloud security specialisten van iSOC24 voor een presentatie en/of demonstratie van de mogelijkheden voor uw organisatie.