Nu organisaties bedrijfskritische workloads naar de publieke cloud migreren, is het traditionele op perimeter gebaseerde beveiligingsmodel effectief verdwenen. Bij iExperts stellen we vaak vast dat de grootste uitdaging voor leidinggevenden niet alleen het beveiligen van de cloud is, maar het behouden van zichtbaarheid over welke assets er überhaupt bestaan. Vulnerability scanning in een dynamische omgeving vereist een verschuiving van verouderde geplande scans naar een continu, API-gestuurd discovery-model.

De paradigmaverschuiving naar Cloud-Native Scanning

In een traditioneel datacenter was een IP-adres een relatief stabiele identifier. In de cloud zijn instanties vluchtig en schalen ze binnen enkele minuten op en af. Om Continuous Asset Discovery te realiseren, moeten beveiligingsteams rechtstreeks integreren met de API's van cloudproviders om nieuwe Elastic Compute Cloud-instanties, virtuele machines en gecontaineriseerde workloads in realtime te identificeren.

"Zichtbaarheid is de basis van elk GRC-raamwerk. U kunt niets beveiligen, beheren of auditen wat u niet kunt zien in uw cloudinventaris."

Platformspecifieke vereisten

• Amazon Web Services (AWS): Effectief scannen vereist de configuratie van IAM-rollen met least-privileged toegang. Tools zoals Amazon Inspector bieden nu agentless scanning, waarbij gebruik wordt gemaakt van EBS-snapshots om kwetsbaarheden te identificeren zonder de prestaties van instanties te beïnvloeden.
• Microsoft Azure: Integratie met Microsoft Defender for Cloud is essentieel. Het biedt een uniform overzicht van de beveiligingsstatus over verschillende abonnementen heen. Speciale aandacht moet worden besteed aan Virtual Network peering en het waarborgen dat scanners geïsoleerde subnetten kunnen bereiken.
• Google Cloud Platform (GCP): Het gebruik van het Security Command Center is hier de gouden standaard. Het biedt een gecentraliseerd dashboard voor kwetsbaarheden die zijn gevonden in Compute Engine- en Google Kubernetes Engine (GKE)-clusters.

Kernresultaten voor Cloud Scanning

• Geautomatiseerde Asset Discovery
• API-gebaseerde Vulnerability Assessment
• Realtime Compliance Rapportage
• Multi-Cloud Unified Dashboard

Pro Tip

Gebruik bij het configureren van cross-account scanning altijd AssumeRole in AWS of Service Principals in Azure. Dit voorkomt het gebruik van langdurige inloggegevens en voldoet aan de Zero Trust-principes die worden bepleit door iExperts.

De complexiteit van scannen in de publieke cloud vereist een strategische aanpak die in lijn is met internationale normen zoals ISO 27001:2022 en NIST CSF 2.0. Door over te stappen van periodiek naar continu scannen, kan uw organisatie proactief risico's beheren en een veerkrachtige beveiligingsstatus waarborgen over alle cloudproviders heen.