Wie is er verantwoordelijk voor cloud security?

CSA_LogoDe CloudSecurity Alliance (CSA) en AlgoSec hebben gisteren “State of Cloud Security Concerns, Challenges and Incidents.” gepubliceerd. Dat is een rapport gebaseerd op bijna 1.900 door IT- en beveiligingsprofessionals ingevulde enquêtes. Doel was inzichtelijk te krijgen wat de knelpunten zijn bij het gebruik van clouddiensten.

 

Meer cloud dus problemen en knelpunten

Volgens het rapport maakt meer dan de helft van alle organisaties gebruik van een of meer publieke clouds. Inmiddels gaat het om 41 procent van alle workloads. Multi cloud omgevingen zijn inmiddels ook gemeengoed, 61 procent kiest daarvoor.

Meer gebruik van verschillende publieke clouds zorgt ook voor meer problemen en knelpunten. De meeste gebruikers maken zich zorgen over de netwerkbeveiliging (58%). Ook het ontbreken van cloud expertise wordt door een grote groep (47%) gezien als een knelpunt. Het is daarbij niet alleen de expertise, het gaat ook om te weinig eigen personeel om de cloud omgevingen te beheren (32%). Dat laatste dwingt organisaties een beroep te doen op extern personeel. Hierdoor ontstaan dan weer problemen met de cloud gerelateerde kosten.

Concrete problemen

CSA en AlgoSec hebben ook gevraagd naar concrete problemen en de oorzaken daarvan. 11 procent van de groep kon of wilde die vragen beantwoorden. Daarbij geeft 26 procent aan kennis te hebben met incidenten veroorzaakt door problemen bij de cloud aanbieders. 22 procent noemt foute configuraties en 20 procent zegt DDoS aanvallen te hebben ervaren.

Over de impact van dat soort problemen staat genoemd dat in een kwart van de gevallen de storing een halve dag of langer heeft geduurd. Dat is lang. Onderbouwing of voorbeelden daarvan zijn niet expliciet benoemd.

Wie regelt de security van de cloud?

Terecht merken de twee organisaties op dat rond het thema cloudbeveiliging de signalen wel erg uiteenlopen. Een derde van de respondenten geeft aan dat men de security van de cloud in eigen beheer heeft via een eigen team. Maar vervolgens zijn er ook weer respondenten die naar een externe partij wijzen, de eigen applicatie-eigenaren, de dev-ops en de netwerkbeheerders.

De vraag en vooral de antwoorden leggen een groot en bekend probleem bloot. De cloud verdient goed doordachte security. De praktijk laat zien dat die verantwoordelijkheid nog steeds op meer en vooral minder logische plaatsen wordt belegd.

Mobiele versie afsluiten