Strategie en security in de multicloud

Dat bedrijven in verschillende public clouds actief zijn, hoeft niet te verbazen. “De diverse hyperscalers bieden nu eenmaal verschillende oplossingen en diensten aan”, zegt Thierry Van Nuffelen, Product Manager Cloud bij Proximus NXT. “Wie naar heel specifieke applicaties op zoek is, vindt die soms maar bij één specifieke aanbieder.”

Daarnaast helpt de multicloudaanpak om de kosten onder controle te houden. “Als de ene cloudprovider zijn prijzen voor bepaalde diensten verhoogt, en die diensten zijn ook bij een concurrent beschikbaar – denk aan IaaS – dan ligt het voor de hand om daarvoor naar een andere provider over te stappen”, zegt Thierry. In de praktijk kiezen vooral middelgrote en grote bedrijven voor multicloud. “Er is een bepaald volume nodig. Alleen dan zijn de investering en de kosten bij een verhuis van de ene naar de andere public cloud te rechtvaardigen.”

Die middelgrote tot grote bedrijven hebben dus enkele erg goede redenen om voor multicloud te kiezen, maar verschillende public clouds combineren brengt ook uitdagingen met zich mee. De belangrijkste daarvan is dat ze op zoek moeten naar een oplossing om hun cloudarchitectuur consistent en efficiënt te beveiligen.

Kiezen voor een strategie

Alles begint bij de strategie die een organisatie volgt. Thierry: “Als ze een hyperscaler-centric cloudinfrastructuur aanhoudt, stelt ze één provider centraal. De organisatie gebruikt dan één public cloud als master, waarop ze dan de stacks van de andere clouds ent. Daarmee wint ze aan operationele efficiëntie.” Tegelijk is er ook beperking. “Als je tools van de ene public cloud in de andere gebruikt, kan je die daar niet even fijn tweaken als in de eigen, native cloud van de tool.”

Thierry Van Nuffelen
Product Manager Cloud bij Proximus NXT

Andere bedrijven gaan net voor een gedistribueerde cloudinfrastructuur. In dat geval kiest het bedrijf niet voor één toolstack binnen één public cloud, maar gaat het voor tools die met alle gebruikte public clouds - en vaak ook private clouds - samenwerken. “Met de hyperscaler-centric strategie ga je voor diepgang in één cloud”, legt Thierry uit. “Met de gedistribueerde strategie gebruik je telkens het beste van elke afzonderlijke public cloud.”

Thierry Van Nuffelen, Product Manager Cloud bij Proximus NXT

De juiste security

“De toolstack die een onderneming typisch gebruikt om de public cloud te beveiligen ziet er anders uit dan de klassieke tools voor on-premise security”, stelt Bart Callens, Product Manager Cybersecurity bij Proximus NXT. “Bij applicaties en besturingssystemen die je in je eigen datacenter draait, sta je bijvoorbeeld zelf in voor de patching. In een SaaS- of PaaS-omgeving in de public cloud staat de provider daar voornamelijk voor in. De focus ligt daar dan eerder op veilige configuratie.”

De vraag blijft natuurlijk wel: hoe vallen de verschillende gecombineerde public clouds te beveiligen? “Per definitie kan je de cyberbeveiliging per public cloud apart regelen, telkens met de native stack”, vervolgt Bart. “Maar dan heb je per cloud een aparte securityspecialist nodig.” Er bestaat echter ook een alternatief voor die aanpak. “Met Azure Cloud Security Posture Management (CSPM), bijvoorbeeld, kun je niet alleen foute configuraties in Azure opsporen en rechtzetten, maar ook in AWS en op Google Cloud Platform. Alleen kan dat daar niet zo diepgaand als in Azure zelf.”

Overkoepelende beveiliging

“Je kan ook een laag van security middleware aanbrengen, die alle gebruikte clouds overkoepelt”, gaat Bart verder. “Denk aan oplossingen als Prisma Cloud van Palo Alto Networks. Daarvoor stelt de onderneming dan centrale policy’s op, die de oplossing dan over de verschillende clouds heen distribueert. In de omgekeerde richting verloopt de rapportering voor compliance eenvoudiger, als de beveiliging overkoepelend is.”

Bart Callens
Product Manager Cybersecurity bij Proximus NXT

Zeker als een bedrijf al ervaring heeft met een van die oplossingen, vraagt de uitrol naar andere public clouds relatief weinig moeite. “De leveranciers consolideren almaar meer beschermingsfunctionaliteiten in hun overkoepelende oplossingen”, zegt Bart. “Deze zijn ook beschikbaar in de stack van de hyperscalers zelf. Dat maakt het makkelijk om een virtuele firewall in te stellen, bijvoorbeeld, over verschillende clouds heen. Maar tegelijkertijd zien we ook hoe een speler als Palo Alto geavanceerde beveiligingsfunctionaliteiten cloud-native in de firewall van Azure zelf onderbrengt waardoor klanten op termijn misschien toch weer eerder voor de hyperscaler-centric approach gaan.”

Wat met beheer en onderhoud?

Tot zover de keuzes die bedrijven kunnen maken in functie van hun cloudinfrastructuur en de bijhorende beveiliging voor de multicloudomgeving. Maar uiteraard heeft elke keuze daarbij telkens ook een impact op de opvolging en het beheer van het geheel, en – niet onbelangrijk – op de vereiste expertise die daarbij nodig is. Thierry: “Zo kan het in de praktijk gebeuren dat een organisatie op één public cloud is gericht, bijvoorbeeld Azure, maar dat vanuit de business de vraag komt naar een specifieke toepassing binnen een andere cloud, bijvoorbeeld Google of Amazon.”

Wil – of moet – de organisatie op die vraag ingaan, dan zet haar dat voor een extra uitdaging. Ze moet expertise ontwikkelen rond dat andere clouddomein, niet alleen puur functioneel, maar bijvoorbeeld ook waar het de vereiste bijkomende security betreft.

Wat kan een onderneming doen, wanneer het beheer en het onderhoud van de multicloudomgeving te complex blijkt?

Thierry: “Als het bedrijf genoeg expertise en beschikbare medewerkers heeft, kan het een oplossing zijn om over de verschillende clouds heen een cloud management platform aan te brengen, om vervolgens daarmee de multicloudomgeving te beheren.” Wil een bedrijf een specifieke dienst van een hyperscaler gebruiken, maar heeft het daar niet de juiste skills voor in huis? “Dan kan de onderneming voor die cloud bij ons terecht voor een managed service”, zegt Thierry. Die gespecialiseerde expertise heeft Proximus NXT in huis. “Evengoed besteedt het bedrijf het beheer en onderhoud van zijn multicloud volledig aan ons uit.”

Bart Callens, Product Manager Cybersecurity bij Proximus NXT

Modulaire aanpak

“Hetzelfde geldt voor security”, besluit Bart. Door de aanhoudende schaarste aan gespecialiseerde securityprofielen en de hoge snelheid waarmee de behoeften rond security evolueren, kiezen bedrijven sneller voor ondersteuning door een partner. “We leveren daarbij niet alleen de securitylicenties die in de cloud draaien, maar beheren de security controls voor het bedrijf, on-site en in de diverse clouds, ongeacht de multicloudstrategie die het bedrijf volgt.”

De geboden dienstverlening is modulair en zowel op operationeel, tactisch als strategisch niveau. “Van het beschikbaar houden van de securitycontroles over het aanleveren van SOC-diensten (Security Operations Center) tot een volledige dienstverlening rond GRC (Governance, Risk & Compliance).”