Mediacontact:
Kevin W. Irland
703-886-1117
kevin.w.irland@verizon.com
Verizon biedt beveiligingstips voor de cloud
Bescherm gegevens en pas het compliance-programma toe
In een tijd waarin steeds meer bedrijven overstappen naar de cloud is de behoefte aan effectieve procedures op het gebied van beveiliging en compliance groter dan ooit.
“In een compliance-programma mag de beveiliging van cloud-omgevingen niet ontbreken”, aldus Bart Vansevenant, executive director van de Global Security Solutions-divisie van Verizon. “De essentiële elementen – de planning, het ontwerp en het beheer – zijn hetzelfde voor traditionele en cloud-platforms. Bedrijven die gebruikmaken van best practices op het gebied van de beveiliging en speciale aandacht besteden aan de unieke aspecten en functies van de cloud, zullen in staat zijn om effectieve compliance-programma's op te stellen en toe te passen. Op deze manier kunnen ze met een gerust hart profiteren van alle flexibiliteit en kostenreducties die de cloud hen te bieden heeft.”
Om bedrijven te helpen met het naleven van de wet- en regelgeving tijdens hun gebruik van de cloud en het beschermen van hun netwerk, toepassingen en gegevens, heeft Verizon de volgende lijst van best practices en tips opgesteld:
Alles staat of valt met de beveiliging van de cloud-infrastructuur
• Fysieke beveiliging. De faciliteiten moeten worden beveiligd met systemen voor klimaatbeheersing, brandpreventie en -onderdrukking en uninterruptable power supply's. Er moet 24 uur per dag beveiligingspersoneel op locatie aanwezig zijn. Kies voor een leverancier die gebruikmaakt van biometrische functionaliteit voor het toegangsbeheer, zoals het scannen van vingerafdrukken of gezichtsherkenning. Camerabewaking binnen de faciliteiten is onontbeerlijk.
• Netwerkbeveiliging en logische scheiding. Binnen cloud-omgevingen moet gebruikt worden gemaakt van gevirtualiseerde versies van firewalls en systemen voor indringerpreventie. Alle gedeeltes van de cloud waarin bedrijfskritische systemen en gevoelige gegevens worden ondergebracht, moeten worden geïsoleerd. Er moeten regelmatig audits worden uitgevoerd op basis van door de branche erkende methoden en standaarden zoals SAS 70 Type II, de Payment Card Industry Data Security Standard, ISO 27001/27002 en Cloud Security Alliance Cloud Controls Matrix.
• Inspectie. Bij de gateways moet gebruik worden gemaakt van antivirus- en antimalwaretoepassingen en contentfiltering. Overweeg het gebruik van toepassingen voor de preventie van gegevensverlies indien u gevoelige informatie zoals financiële en persoonlijke gegevens en intellectueel eigendom opslaat.
• Beheer. Besteed speciale aandacht aan de hypervisors in de cloud (de servers waarop meerdere besturingssystemen draaien). Hypervisors bieden namelijk de mogelijkheid om een volledige cloud-omgeving te beheren. Voor de beveiliging en naleving van de wet- en regelgeving is vaak een extra niveau van beveiliging en een scheiding van taken van de netwerk- en cloud-beheerders vereist. De toegang tot beheerinterfaces voor virtuele omgevingen moet waar mogelijk worden beperkt. Application programming interfaces (API's) moeten worden vergrendeld of gedeactiveerd.
• Uitgebreide bewaking en het bijhouden van logbestanden. Bijna alle beveiligingsstandaarden vereisten bewaking en beheer van de toegang tot netwerken, systemen, toepassingen en gegevens. Elke cloud-omgeving moet deze mogelijkheden bieden, of het nu gaat om een intern datacenter of de cloud van een externe dienstverlener.
Het beveiligen van cloud-toepassingen is een must
• Systeembeveiliging. Virtuele machines (VM's) moeten worden beveiligd met firewalls, systemen voor indringerpreventie en antivirustoepassingen die speciaal voor de cloud zijn ontwikkeld. Daarnaast moet er sprake zijn van consistent en programmatisch patchbeheer.
• Beveiliging van toepassingen en gegevens. Waar mogelijk moeten toepassingen gebruikmaken van toegewijde databases. De toegang van toepassingen tot databases moet bovendien tot een minimum worden beperkt. Veel beveiligings- en compliance-normen vereisen dat er logbestanden worden bijgehouden en dat de toepassingen en databases waarvan zij gebruikmaken worden bewaakt.
• Authenticatie en machtigingen. Voor de bescherming van gebruikersnamen en wachtwoorden moet gebruik worden gemaakt van two-factor-authenticatie zoals digitale authenticatie. Hetzelfde geldt voor toegang op afstand en andere speciale toegangsrechten. De rollen van gebruikers moeten duidelijk worden afgebakend, en hun rechten moeten worden beperkt tot de machtigingen die zij nodig hebben om hun werk uit te kunnen voeren. Een sterke mate van aanpassing van zaken als de authenticatie, machtigingen en boekhoudsoftware is uit den boze, omdat de beveiliging meestal wordt verzwakt.
• Beheer van kwetsbaarheden. Er moet op worden toegezien dat de gebruikte toepassingen niet vatbaar zijn voor veel voorkomende exploits (misbruik van kwetsbaarheden), zoals de exploits die beschreven zijn in de Open Web Application Security Project (OWASP) Top 10. Toepassingen in de cloud vragen om regelmatige patching, scans op kwetsbaarheden, beveiligingstests door onafhankelijke partijen en voortdurende bewaking.
• Gegevensopslag. Bedrijven moeten weten welke soorten gegevens er in een cloud-omgeving worden opgeslagen en deze gegevenstypen zoveel mogelijk scheiden. De fysieke en logische locatie van gegevens moeten bekend zijn vanwege mogelijke gevolgen voor de beveiliging en privacy.
• Wijzigingsbeheer. Het wordt met kracht aangeraden om beleidsregels op het gebied van wijzigingsbeheer op heldere wijze te documenteren voor de beheerders van netwerken, systemen, toepassingen en gegevens. Door een goed begrip van deze regels kunnen onverwachte problemen en gegevensverlies worden voorkomen.
• Encryptie. De encryptie van gegevens kan binnen een cloud-omgeving complexer uitpakken en vergt daarom speciale aandacht. Veel richtlijnen stellen speciale eisen aan zowel de overdracht als de opslag van gegevens. Zo moeten financiële gegevens en informatie over de gezondheid van mensen altijd worden versleuteld.
Wat u over publieke, private en hybride clouds moet weten
• Gedeelde gevirtualiseerde omgevingen. Publieke clouds, die vaak een gedeelde gevirtualiseerde omgeving omvatten, bieden standaard beveiligingsfuncties. Een juiste segmentatie en scheiding van ICT-bronnen is daarom van groot belang. Om te kunnen voldoen aan de richtlijnen op het gebied van de beveiliging en compliance is het belangrijk dat u bij de keuze voor een cloud-omgeving niet over één nacht ijs gaat.
• Aanbieders van publieke clouds. Hoewel cloud computing voor aantrekkelijke kostenbesparingen kan zorgen, bieden sommige aanbieders van publieke clouds mogelijk onvoldoende ondersteuning voor de controlemechanismen waarom de beveiliging- en compliance-richtlijnen vragen. Wees niet bang om uw leverancier het hemd van zijn lijf te vragen.
• Nauwgezette beveiligingsmaatregelen. Ongeacht het type cloud moet er gebruik worden gemaakt van segmentatie, firewalls, systemen voor indringerpreventie, bewaking, logbestanden, toegangscontrole en gegevensencryptie.
• Bij private clouds snijdt het mes aan twee kanten. Private clouds kunnen op locatie worden gehost of binnen de faciliteit van een dienstverlener. Net zoals bij traditionele ICT-omgevingen spelen het beveiligingsontwerp en de beveiligingsmechanismen een doorslaggevende rol. Wanneer u op zoek gaat naar een dienstverlener, is het belangrijk om voor het type cloud te kiezen dat het op uw behoeften aansluit. Een private cloud is niet per definitie inherent veilig.
• Hybride clouds. Hybride clouds bieden bedrijven het beste van beide werelden en stellen hen in staat om een breed scala aan zakelijke en ICT-doelstellingen te realiseren. Ze bieden daarnaast de mogelijkheid om bedrijfstoepassingen onder te brengen binnen de omgeving die daarvoor het meest geschikt is. Met een hybride cloud kunt u profiteren van de voordelen en mogelijkheden van publieke en private clouds en uw gegevens en toepassingen tussen deze twee omgevingen verplaatsen.
Verizon Business levert via zijn dochteronderneming Terremark wereldwijd geavanceerde IT-, cloud- en beveiligingsdiensten. Het biedt klanten de mogelijkheid om hun IT-infrastructuur te optimaliseren en de prestaties van applicaties te bevorderen binnen de huidige complexe en dynamische bedrijfsomgeving. Voor meer informatie kunt u terecht op de Verizon IT Solutions & Hosting-website.
Verizon is wereldwijd leider in oplossingen die de operationele prestatie van middelgrote bedrijven, multinationals en overheidsinstellingen verbeteren. Verizon biedt een combinatie van geïntegreerde ICT-oplossingen, professionele dienstverlening en uiterst intelligente mobiele en IP-netwerken die wereldwijde dekking bieden en organisaties in staat stellen om op veilige wijze informatie op te vragen, content te delen en te communiceren. Verizon transformeert snel naar een uniek, cloud-gebaseerd ‘everything-as-a-service’delivery-model dat alle organisaties toegang biedt tot krachtige oplossingen van grootzakelijk niveau. Raadpleeg voor meer informatie www.verizonbusiness.com.
Over Verizon
Verizon Communications Inc. (NYSE, NASDAQ: VZ) heeft zijn hoofdkantoor in New York en is marktleider in het leveren van breedband en andere draadloze en draadgebaseerde communicatieoplossingen aan consumenten, bedrijven, de overheid en groothandelaren. Verizon Wireless runt het meest betrouwbare draadloze netwerk in de VS met meer dan 104 miljoen verbindingen door het land. Ook biedt Verizon geconvergeerde communicatie, informatievoorziening en entertainmentdiensten via het meest geavanceerde glasvezelnetwerk van de VS en levert het bedrijf naadloze zakelijke oplossingen aan klanten over de hele wereld. Verizon maakt gebruik van een divers personeelsbestand van meer dan 196.000 mensen en behaalde in 2010 als Dow 30 aangeschreven een geconsolideerde omzet van 106,6 miljard dollar. Voor meer informatie, bezoek www.verizon.com.
####
VERIZON'S ONLINE NEWS CENTER: Verizon´s persberichten, speeches en biografieën van bestuursleden, mediacontacten, hoge kwaliteit video, beelden en andere informatie zijn beschikbaar op Verizon's News Center: http://www.verizon.com/news / news. Voor het ontvangen van persberichten per e-mail, ga naar de News Center en registreer voor aangepaste automatische aanlevering van nieuwsberichten van Verizon.
Dit betreft een niet-officiële vertaling. Voor de officiële tekst verwijzen wij graag naar ons originele Engelstalige bericht."
Hartelijke groet/ Kind regards,
Dina-Perla Marciano
global technology PR
Dina-Perla Marciano | axicom | watertorenplein 4b | 1051pa | amsterdam | t: +31 (0)20 75469 86 | f: +31 (0)20 75469 88 | m: +31 (0)6 30 045 484 | dina-perla.marciano@axicom.com|www.axicom.com |linkedin| follow us on Twitter here or follow my personal account here
Geen opmerkingen:
Een reactie posten