Blogs
& video

Cloud security en de uitdagingen van een Zero Trust strategie

De toekomst van security in een Microsoft-omgeving

Als CISO, Enterprise Architect of IT-Manager heeft u tegenwoordig te maken met een bijzonder uitdagend en complex speelveld als het gaat om de security van uw IT-omgeving.

De ransomware gevallen – waarbij de gehele bedrijfsvoering plat kan komen te liggen – zie je om je heen gebeuren. De intelligentie van cybercriminelen is op hoog niveau. Ondertussen draaien architectuur, opslag en operaties van steeds meer organisaties steeds meer in de cloud. Met alle security-uitdagingen van dien. Voeg daaraan toe dat gebruikers steeds meer eigen (unmanaged) devices willen gebruiken om toegang te krijgen tot bedrijfsdata en -processen. Met deze uitdagingen wordt het voor IT steeds uitdagender om in control te blijven.

Overkoepelend zien we - vooral in combinatie met bovenstaande - het belang groeien van het verhogen van het security-bewustzijn van onze mensen. Iedere medewerker zou doordrongen moeten zijn van het feit dat hij of zij een potentiële ingang is voor cybercriminelen.

Steeds groter belang voor state-of-the-art cloud security

Het is daarom van het grootste belang dat organisaties hun IT security - met name in de cloud, maar ook zeker on-premise - op een zo hoog mogelijk niveau op orde hebben. Van strategie en beleid tot technische inrichting, werkwijze en cultuur. En dat ze die proactief blijven monitoren en verbeteren. Aangezien de wereld in rap tempo digitaliseert, geldt dit in feite voor alle bedrijven. Bijzonder gewilde targets zijn bijvoorbeeld grote corporate en overheidsorganisaties, nutsbedrijven, en bedrijven in de financiële wereld of in de industrie.

Hoe pakt u deze uitdaging aan, en wat betekent dit in een Microsoft-wereld?

Modernizing Security: cloud security in een Microsoft-omgeving

Microsoft heeft het in dit kader over ‘Modernizing Security and Defend against Threats’. De strategie die Microsoft zelf hanteert en adviseert is gebaseerd op “Zero Trust”: nooit vertrouwen, altijd verifiëren. Dit valt op hoofdlijnen uiteen in een aantal basisprincipes:

  • Verify Explicitly - Altijd expliciet verifiëren, dus geen eenmalige logins.
  • Least privilige – Toegang voor gebruikers minimaliseren, tenzij noodzakelijk.
  • Assume Breach - Neem aan dat er inbreuk is gemaakt.

Microsoft Integrated Security richt zich op de vlakken Identity & Access Management, Threat Protection, Information Protection en Security. Tools en suites die Microsoft in haar cloud omgevingen beschikbaar maakt zijn onder andere Office 365 Defender, Secure Azure (hybrid and multicloud), Azure Security Center, en Azure Defender. Een landschap aan middelen, maar hoe zet je ze in?

De uitdagende transformatie naar Zero Trust

De transformatie die Zero Trust met zich meebrengt is er één van een zogenaamd kasteel-model naar een hotel-model. Dat wil zeggen: van een slotgracht om het geheel van alle data en applicaties heen, naar een model met openbare toegang tot de ‘lobby’, maar streng beveiligde en zeer beperkte, gepersonaliseerde toegang tot alle faciliteiten.

De ingrijpende transformatie naar Zero Trust is een meerjarenplan. Onder andere omdat heel veel (legacy) applicaties nog niet klaar zijn voor een inrichting op basis van deze principes. En omdat processen, werkwijze, management en cultuur in organisaties hier bij lange na niet klaar voor zijn.

Hoe kunt u uw organisatie klaarstomen voor een veilige toekomst in de cloud? Heeft u de expertise en capaciteit in huis om dit allemaal te gaan bolwerken?

Rubicon: strategisch partner voor Governance, Security en Compliance

Rubicon is Microsoft Gold en Advanced cloud partner op de thema’s Security, Integration, Data & AI en Business Applications. Naast voor het ontwikkelen en implementeren van uw cloud architectuur en -adoptieplan, kunt u ons aanhaken als strategisch partner op het gebied van (cloud) security. Bij alles wat we doen, nemen we security standaard mee: van ontwerp tot implementatie en beheer.

We bouwen op de benchmarks en principes van Microsoft, en voegen onze eigen best practices daaraan toe. Een Security Baseline Audit is altijd het startpunt voor onze security trajecten. We hanteren een holistische aanpak en opereren als een ‘purple team’: een adviseur op het gebied van beleid die tegelijkertijd meehelpt bij de implementatie en in het beheer.