Cloudbeveiligingstips om beveiligingsrisico's, bedreigingen en kwetsbaarheden te verminderen

Gaat u ervan uit dat uw gegevens in de cloud worden geback-upt en beschermd tegen bedreigingen? Niet zo snel.

Met een recordaantal cyberbeveiligingsaanvallen in 2018, is het duidelijk dat alle gegevens worden bedreigd.

Iedereen denkt altijd:"Het kan mij niet gebeuren." De realiteit is dat geen enkel netwerk 100% veilig is voor hackers.

Volgens het Kaspersky Lab is ransomware in 2018 met meer dan 250% gestegen en blijft het zich in een zeer angstaanjagende richting ontwikkelen. Het volgen van het hier gepresenteerde advies is de ultieme verzekeringspolis tegen de verlammende effecten van een aanzienlijk gegevensverlies in de cloud.

Hoe begin je met het beveiligen van je data in de cloud? Wat zijn de best practices om uw gegevens in de cloud te beschermen? Hoe veilig is cloudcomputing?

Om u te helpen uw beveiligingsstrategie een vliegende start te geven, hebben we experts uitgenodigd om hun advies te geven over Cloud-beveiligingsrisico's en -bedreigingen.

Belangrijkste tips van onze experts op het gebied van cloudbescherming en beveiligingsbedreigingen

• Accepteer dat het misschien een kwestie van tijd is voordat iemand je verdediging doorbreekt, plan het.
• Ga er niet vanuit dat er een back-up van uw gegevens in de cloud is gemaakt.
• Schakel tweestapsverificatie en IP-locatie in om toegang te krijgen tot cloud-apps.
• Maak gebruik van versleuteling. Versleutel gegevens in rust.
• Het menselijke element is een van de grootste bedreigingen voor uw veiligheid.
• Implementeer een robuust proces voor wijzigingscontrole, met wekelijkse patchbeheercyclus.
• Behoud offline kopieën van uw gegevens voor het geval uw cloudgegevens worden vernietigd of losgeld worden vastgehouden.
• Contract met 24×7 beveiligingsbewakingsservice.
• Heb een reactieplan voor beveiligingsincidenten.
• Gebruik geavanceerde firewalltechnologie, waaronder WAF (Web Access Firewalls).
• Profiteer van applicatieservices, gelaagdheid en microsegmentatie.

1. Beschikbaarheid in de cloud behouden

Dustin Albertson, Senior Cloud Solutions Architect bij Veeam

Wanneer de meeste mensen denken aan cloudgebaseerde beveiliging, denken ze meestal aan netwerken, firewalls, eindpuntbeveiliging, enz. Amazon definieert cloudbeveiliging als:

Beveiliging in de cloud lijkt veel op beveiliging in uw on-premises datacenters - alleen zonder de kosten van onderhoud van faciliteiten en hardware. In de cloud hoef je geen fysieke servers of opslagapparaten te beheren. In plaats daarvan gebruikt u op software gebaseerde beveiligingstools om de informatiestroom van en naar uw cloudbronnen te bewaken en te beschermen.

Maar een risico dat vaak over het hoofd wordt gezien, is het handhaven van de beschikbaarheid. Wat ik daarmee bedoel, is meer dan alleen geo-redundantie of hardware-redundantie, ik verwijs naar ervoor te zorgen dat uw gegevens en applicaties worden gedekt. Cloud is geen magische plek waar al je zorgen verdwijnen; een wolk is een plek waar al je angsten vaak makkelijker en goedkoper te vermenigvuldigen zijn. Het hebben van een robuuste strategie voor gegevensbescherming is essentieel. Veeam heeft vaak gepredikt over de '3-2-1-regel' die is bedacht door Peter Krogh.

De regel stelt dat u drie kopieën van uw gegevens moet hebben, deze op twee verschillende media moet opslaan en één op een andere locatie moet bewaren. De ene offsite bevindt zich meestal in de 'cloud', maar hoe zit het als u zich al in de cloud bevindt?

Dit is waar ik de meeste cloudproblemen zie ontstaan, wanneer mensen al in de cloud zijn, hebben ze de neiging om de gegevens in dezelfde cloud op te slaan. Daarom is het belangrijk om te onthouden dat u een gedetailleerde strategie moet hebben wanneer u naar de cloud verhuist. Door gebruik te maken van zaken als Veeam-agents om cloudworkloads te beschermen en Cloud Connect om de back-ups offsite te verzenden om die beschikbaarheid buiten hetzelfde datacenter of dezelfde cloud te behouden. Ga er niet vanuit dat het de taak van de providers is om uw gegevens te beschermen, want dat is niet zo.

2. Cloudmigratie overtreft de evolutie van beveiligingscontroles

Salvatore Stolfo, CTO van Allure Security

Volgens een nieuw onderzoek van ESG zei 75% van de organisaties dat ten minste 20% van hun gevoelige gegevens die zijn opgeslagen in openbare clouds onvoldoende beveiligd is. Bovendien is 81% van de ondervraagden van mening dat gegevensbeveiliging op locatie volwassener is dan openbare cloudgegevens.

Toch migreren bedrijven sneller dan ooit naar de cloud om de voordelen van de organisatie te maximaliseren:volgens het Cloud Vision 2020-rapport van LogicMonitor zal tegen 2020 naar schatting 83% van de zakelijke workloads in de cloud zijn. Wat we hebben is een steeds urgentere situatie waarin organisaties hun gevoelige gegevens voor productiviteitsdoeleinden in een sneller tempo naar de cloud migreren dan de beveiligingscontroles evolueren om die gegevens te beschermen.

Bedrijven moeten kijken naar oplossingen die de toegang tot gegevens binnen cloudshares regelen op basis van het toestemmingsniveau dat de gebruiker heeft, maar ze moeten ook de middelen hebben om gewaarschuwd te worden wanneer die gegevens op ongebruikelijke of verdachte manieren worden gebruikt, zelfs door wat lijkt wees een vertrouwde gebruiker.

Onthoud dat veel hackers en insider-lekken afkomstig zijn van kwaadwillenden met gestolen, legitieme inloggegevens waarmee ze vrij kunnen bewegen in een cloudshare, op zoek naar waardevolle gegevens om te stelen. Misleidingsdocumenten, lokvogels genoemd, kunnen ook een uitstekend hulpmiddel zijn om dit op te sporen. Lokvogels kunnen beveiligingsteams in een vroeg stadium van een inbreuk op de cloudbeveiliging waarschuwen voor ongebruikelijk gedrag, en kunnen zelfs een potentiële cyberdief voor de gek houden door te denken dat ze iets van waarde hebben gestolen, terwijl het in werkelijkheid een zeer overtuigend nepdocument is. Dan is er nog de kwestie van controle over documenten, zelfs als ze uit de cloudshare zijn gehaald.

Dit is waar veel beveiligingsoplossingen beginnen te falen. Als een bestand eenmaal is gedownload uit een cloudrepository, hoe kunt u dan volgen waar het naartoe gaat en wie ernaar kijkt? Er moet meer geïnvesteerd worden in technologieën zoals geofencing en telemetrie om dit op te lossen.

3. Minimaliseer cloudcomputingbedreigingen en kwetsbaarheden met een beveiligingsplan

Nic O'Donovan, Solutions Architect en Cloud Specialist bij VMware 

De hybride cloud blijft groeien in populariteit bij de onderneming, vooral omdat de snelheid van implementatie, schaalbaarheid en kostenbesparingen aantrekkelijker worden voor bedrijven. We blijven infrastructuur snel zien evolueren naar de cloud, wat betekent dat beveiliging zich in een vergelijkbaar tempo moet ontwikkelen. Het is essentieel voor de onderneming om te werken met een Cloud Service Provider die een betrouwbare benadering van beveiliging in de cloud heeft.

Dit betekent dat de samenwerking met uw cloudprovider steeds belangrijker wordt naarmate u samenwerkt om een ​​beveiligingsplan te begrijpen en te implementeren om uw gegevens veilig te houden.

Beveiligingscontroles zoals multi-factor authenticatie, gegevenscodering en het nalevingsniveau dat u nodig hebt, zijn allemaal gebieden waarop u zich moet concentreren bij het opstellen van uw beveiligingsplan.

4. Stop nooit met leren over je grootste kwetsbaarheden

Isacc Kohen, CEO van Teramind

Steeds meer bedrijven worden het slachtoffer van de cloud, en dat heeft te maken met een verkeerde configuratie van de cloud en nalatigheid van werknemers.

1. De grootste bedreigingen voor gegevensbeveiliging zijn uw medewerkers. Nalatig of kwaadwillend, werknemers zijn een van de belangrijkste redenen voor malware-infecties en gegevensverlies. De redenen waarom malware-aanvallen en phishing-e-mails veelvoorkomende woorden in het nieuws zijn, is omdat het 'gemakkelijke' manieren zijn voor hackers om toegang te krijgen tot gegevens. Via social engineering kunnen kwaadwillende criminelen werknemers 'misleiden' om wachtwoorden en inloggegevens door te geven aan kritieke bedrijfs- en bedrijfsgegevenssystemen. Manieren om dit te voorkomen:een effectief trainingsprogramma voor medewerkers en monitoring van medewerkers die het systeem actief doorzoeken

2. Stop nooit met leren. In een branche die continu verandert en zich aanpast, is het belangrijk om op de hoogte te zijn van de laatste trends en kwetsbaarheden. Met het Internet of Things (IoT) beginnen we bijvoorbeeld pas het 'topje van de ijsberg' te zien als het gaat om het beschermen van gegevens via meer wifi-verbindingen en online gegevensopslagservices. Er valt meer te ontwikkelen met dit verhaal en het zal in de toekomst een directe impact hebben op kleine bedrijven.

3. Onderzoek en begrijp hoe de opslag werkt, en geef voorlichting. We hebben de verhalen gehoord:wanneer gegevens via de cloud worden vrijgegeven, is dit vaak te wijten aan een verkeerde configuratie van de cloudinstellingen. Werknemers moeten het beveiligingskarakter van de applicatie begrijpen en dat de instellingen gemakkelijk kunnen worden gewijzigd en 'aan' kunnen worden gezet, waardoor gegevens extern worden vrijgegeven. Ontwikkel veiligheidsbewustzijn door middel van trainingsprogramma's.

4. Beperk uw toegangspunten. Een gemakkelijke manier om dit te verminderen, is het beperken van uw toegangspunten. Een veelgemaakte fout bij blootstelling aan de cloud is te wijten aan het feit dat werknemers met toegang per ongeluk algemene machtigingen inschakelen, waardoor de gegevens worden blootgesteld aan een open verbinding. Om dit te beperken, moet u begrijpen wie en wat toegang heeft tot de datacloud – alle toegangspunten – en deze verbindingen grondig bewaken.

5. Monitoring van de systemen. Vooruitstrevend en door. Gebruik voor langdurige bescherming van gegevens in de cloud een platform voor gebruikersanalyse en monitoring om inbreuken sneller te detecteren. Monitoring en gebruikersanalyse stroomlijnen data en creëren een standaard ‘profiel’ van de gebruiker – werknemer en computer. Deze analyses zijn geïntegreerd en volgen uw meest cruciale gegevensdepots, die u als beheerder heeft aangegeven in de detectiesoftware. Wanneer er met specifieke cloudgegevens wordt geknoeid, verplaatst of geschonden, zal het systeem een ​​beheerder "pingen" die onmiddellijk een tekenwijziging aangeeft.

5. Overweeg hybride oplossingen

Michael V.N. Hall, Director of Operations voor Turbot

Er zijn een aantal essentiële dingen die u moet weten over beveiliging in de cloud:

1. Wachtwoorden zijn macht – 80% van alle wachtwoordinbreuken had kunnen worden voorkomen door identificatie met meerdere factoren:door uw persoonlijke identiteit te verifiëren via sms naar uw telefoon of een e-mail naar uw account, kunt u nu worden gewaarschuwd wanneer iemand toegang probeert te krijgen tot uw details.

Een van de grootste boosdoeners op dit moment zijn verzwakte referenties. Dat betekent dat wachtwoorden, wachtwoordsleutels en wachtwoordzinnen worden gestolen via phishing, keylogging en brute-force-aanvallen.

Wachtwoordzinnen zijn de nieuwe wachtwoorden. Willekeurige, gemakkelijk te onthouden wachtwoordzinnen zijn veel beter dan wachtwoorden, omdat ze meestal langer en ingewikkelder zijn.

MyDonkeysEatCheese47 is een ingewikkelde wachtwoordzin en, tenzij u een ezeleigenaar of een kaasmaker bent, geen familie van u. Vergeet niet om hoofdletters en kleine letters te gebruiken, evenals alle interpunctietekens.

2. Houd contact met je hostingprovider. Kies de juiste hostingprovider - een gerenommeerd bedrijf met hoge beveiligingsnormen. Communiceer regelmatig met hen, aangezien frequente interactie u in staat stelt op de hoogte te blijven van eventuele wijzigingen of zich ontwikkelende problemen.

3. Overweeg een hybride oplossing. Hybride oplossingen zorgen ervoor dat veilige, statische systemen kritieke gegevens intern kunnen opslaan en tegelijkertijd gegevens met een lagere prioriteit toegankelijk maken voor de grotere veelzijdigheid van de cloud.

6. Leer hoe cloudbeveiligingssystemen werken

Tom DeSot, CIO van Digital Defense, Inc.

Bedrijven moeten ervoor zorgen dat ze de beveiligingsrisico's en voordelen van cloud computing evalueren. Het is om ervoor te zorgen dat ze zichzelf leren wat het betekent om naar de cloud te gaan voordat ze die grote sprong maken van het draaien van systemen in hun eigen datacenter.

Al te vaak heb ik een bedrijf naar de cloud zien migreren zonder een plan of enige kennis over wat het voor hen betekent en de beveiliging van hun systemen. Ze moeten erkennen dat hun software zal "leven" op gedeelde systemen met andere klanten, dus als er een inbreuk is op het platform van een andere klant, kan het voor de aanvaller mogelijk zijn om ook hun systeem te compromitteren.

Evenzo moeten cloudklanten begrijpen waar hun gegevens worden opgeslagen, of dit nu alleen in de VS is of dat de provider repliceert naar andere systemen op verschillende continenten. Dit kan een reëel probleem veroorzaken als de informatie iets gevoeligs is, zoals PII of informatie die wordt beschermd onder HIPAA of een ander regelgevend statuut. Ten slotte moet de cloudklant goed letten op de Service Level Agreements (SLA) die de cloudprovider naleeft en ervoor zorgen dat deze zijn eigen SLA weerspiegelt.

Verhuizen naar de cloud is een geweldige manier om computerresources vrij te maken en uptime te garanderen, maar ik raad mijn klanten altijd aan om in kleine stappen over te stappen, zodat ze tijd hebben om te beseffen wat het betekent om 'in de cloud' te zijn. ”

7. Doe uw due diligence bij het beveiligen van de cloud

Ken Stasiak, CEO van SecureState

Begrijp het type gegevens dat u in de cloud plaatst en de verplichte beveiligingsvereisten rond die gegevens.

Zodra een bedrijf een idee heeft van het type gegevens dat ze in de cloud willen opslaan, moeten ze een goed begrip hebben van het niveau van due diligence dat vereist is bij het beoordelen van verschillende cloudproviders. Als u bijvoorbeeld een cloudserviceprovider kiest om uw Protected Health Information (PHI) te hosten, moet u een beoordeling van de beveiligingsnormen en HIPAA-compliance vereisen voordat u gegevens naar de cloud verplaatst.

Enkele goede vragen die u kunt stellen bij het evalueren of een cloudserviceprovider geschikt is voor een organisatie die zich bezighoudt met het beveiligen van die gegevens, zijn onder meer:​​Voert u regelmatig SOC-audits en beoordelingen uit? Hoe beschermt u tegen kwaadwillende activiteiten? Voert u antecedentenonderzoek uit bij alle medewerkers? Welke soorten systemen heeft u voor het monitoren van medewerkers, het bepalen van toegang en audittrajecten?

8. Toegangscontrole en beveiligingsmachtigingen instellen

Michael R. Durante, president van Tie National, LLC.

Hoewel de cloud een groeiende kracht in computing is vanwege zijn flexibiliteit om te schalen om aan de behoeften van een bedrijf te voldoen en om de samenwerking tussen locaties te vergroten, roept het ook beveiligingsproblemen op met zijn potentieel om kwetsbaarheden bloot te leggen die relatief buiten uw controle liggen.

BYOD kan bijvoorbeeld een uitdaging zijn om te beveiligen als gebruikers niet regelmatig beveiligingspatches en updates toepassen. De belangrijkste tip die ik zou willen is om optimaal gebruik te maken van de beschikbare toegangscontroles.

Bedrijven moeten toegangscontroles gebruiken om beveiligingsmachtigingen te beperken, zodat alleen de acties met betrekking tot de functies van de werknemers worden toegestaan. Door de toegang te beperken, zorgen bedrijven ervoor dat kritieke bestanden alleen beschikbaar zijn voor het personeel dat ze nodig heeft, waardoor de kans op blootstelling aan de verkeerde partijen wordt verkleind. Deze controle maakt het ook gemakkelijker om toegangsrechten onmiddellijk in te trekken na beëindiging van het dienstverband om gevoelige inhoud te beschermen, ongeacht waar de werknemer op afstand toegang probeert te krijgen.

9. Begrijp de stamboom en processen van de leverancier of verkoper

Paul Evans, CEO van Redstor

Dankzij het gebruik van cloudtechnologieën hebben bedrijven van elke omvang prestatieverbeteringen kunnen realiseren en efficiënter kunnen werken door meer op afstand te werken, hogere beschikbaarheid en meer flexibiliteit.

Met een toenemend aantal verschillende systemen dat wordt geïmplementeerd en zoveel cloudleveranciers en software om uit te kiezen, kan het echter een uitdaging worden om de controle over gegevensbeveiliging te behouden. Wanneer u een cloudservice wilt implementeren, is het essentieel om de stamboom en processen van de leverancier/leverancier die de service gaat leveren, grondig te begrijpen. Industriestandaard beveiligingscertificeringen zijn een goede plek om te beginnen. Leveranciers met een ISO 27001-certificering hebben bewezen dat ze voldoen aan de internationale normen voor informatiebeveiligingsbeheer en moeten hoger in aanzien staan ​​dan leveranciers zonder.

Het verkrijgen van een volledig inzicht in waar uw gegevens zich geografisch bevinden, wie er toegang toe heeft en of ze worden versleuteld, is essentieel om ze te kunnen beschermen. Ook is het belangrijk om te weten wat de processen van de leverancier zijn bij een datalek of verlies of als er sprake is van downtime. Aanvaardbare uitvaltijd moet worden vastgelegd in gecontracteerde Service Level Agreements (SLA's), die door hen financieel moeten worden ondersteund en die geruststelling moeten bieden.

Voor organisaties die cloudplatforms willen gebruiken, zijn er cloudbeveiligingsbedreigingen om op de hoogte te zijn, wie heeft toegang tot gegevens? Waar worden de gegevens opgeslagen? Zijn mijn gegevens versleuteld? Maar voor het grootste deel kunnen cloudplatforms deze vragen beantwoorden en een hoog beveiligingsniveau hebben. Organisaties die de clouds gebruiken, moeten ervoor zorgen dat ze op de hoogte zijn van wet- en regelgeving op het gebied van gegevensbescherming die van invloed zijn op gegevens en ook een goed begrip krijgen van contractuele overeenkomsten met cloudproviders. Hoe worden gegevens beschermd? Veel regelgeving en industriestandaarden geven advies over de beste manier om gevoelige gegevens op te slaan.

Als u onbeveiligde of niet-versleutelde kopieën van gegevens bewaart, loopt u een groter risico. Kennis opdoen van de beveiligingsniveaus van cloudservices is van vitaal belang.

Wat is het bewaarbeleid en heb ik een back-up? Cloudplatforms kunnen zeer uiteenlopende toepassingen hebben en dit kan problemen veroorzaken (of voorkomen). Als gegevens worden opgeslagen op een cloudplatform, kunnen deze kwetsbaar zijn voor cloudbeveiligingsrisico's, zoals ransomware of corruptie, zodat dit kan worden voorkomen door ervoor te zorgen dat meerdere kopieën van gegevens worden bewaard of dat er een back-up van wordt gemaakt. Door te garanderen dat deze processen zijn uitgevoerd, worden de beveiligingsniveaus van de cloudplatforms van een organisatie verbeterd en krijgt u inzicht in waar eventuele risico's vandaan kunnen komen

10. Gebruik sterke wachtwoorden en meervoudige verificatie

Fred Reck, InnoTek Computer Consulting

Zorg ervoor dat u sterke wachtwoorden vereist voor alle cloudgebruikers en gebruik bij voorkeur multi-factor authenticatie.

Volgens het Verizon Data Breach Investigations Report 2017 maakte 81% van alle hackgerelateerde inbreuken gebruik van gestolen en/of zwakke wachtwoorden. Een van de belangrijkste voordelen van de cloud is de mogelijkheid om overal ter wereld en op elk apparaat toegang te krijgen tot bedrijfsgegevens. Aan de andere kant, vanuit veiligheidsoogpunt, kan iedereen (ook wel 'slechteriken' genoemd) met een gebruikersnaam en wachtwoord mogelijk toegang krijgen tot de bedrijfsgegevens. Door gebruikers te dwingen sterke wachtwoorden te maken, wordt het veel moeilijker voor hackers om een ​​brute force-aanval te gebruiken (het wachtwoord raden uit meerdere willekeurige tekens.)

Naast veilige wachtwoorden, kunnen veel cloudservices tegenwoordig de mobiele telefoon van een werknemer gebruiken als het secundaire, fysieke beveiligingsauthenticatieonderdeel in een multi-factorstrategie, waardoor dit voor een organisatie toegankelijk en betaalbaar is om te implementeren. Gebruikers moeten niet alleen het wachtwoord weten, maar hebben ook fysieke toegang tot hun mobiele telefoon nodig om toegang te krijgen tot hun account.

Overweeg ten slotte een functie te implementeren die het account van een gebruiker zou vergrendelen na een vooraf bepaald aantal mislukte aanmeldingen.

11. IP-locatievergrendeling inschakelen

Chris Byrne is mede-oprichter en CEO van Sensorpro

Bedrijven moeten tweefactorauthenticatie en IP-locatievergrendeling inschakelen om toegang te krijgen tot de cloudapplicaties die ze gebruiken.

Met 2FA voegt u per sms een extra uitdaging toe aan de gebruikelijke e-mail/wachtwoordcombinatie. Met IP-lockdown kunt u toegang afschermen vanaf uw kantoor-IP of het IP-adres van externe werknemers. Als het platform dit niet ondersteunt, overweeg dan om je provider te vragen dit in te schakelen.

Met betrekking tot de daadwerkelijke levering van het cloudplatform, moet u een versleutelingsoptie voor gegevens in rust opgeven. Op een gegeven moment zal dit net zo alomtegenwoordig worden als https (SSL/TLS). Mocht het ondenkbare gebeuren en komen gegevens in verkeerde handen terecht, d.w.z. een apparaat wordt gestolen of vergeten in een trein, dan is versleuteling van gegevens in rust de laatste verdedigingslinie om te voorkomen dat iemand toegang krijgt tot uw gegevens zonder de juiste coderingssleutels. Zelfs als ze erin slagen om het te stelen, kunnen ze het niet gebruiken. Dit zou bijvoorbeeld de recente inbreuk op Equifax hebben verbeterd.

12. Beveiligingsoplossingen voor cloudopslag met VPN's

Eric Schlissel, president en CEO van GeekTek

Gebruik VPN's (virtuele privénetwerken) wanneer u verbinding maakt met de cloud. VPN's worden vaak gebruikt om webverkeer semi-anonimiseren, meestal door kijkers die geografisch geblokkeerd zijn door toegang te krijgen tot streamingdiensten zoals Netflix USA of BBC Player. Ze bieden ook een cruciale beveiligingslaag voor elk apparaat dat verbinding maakt met uw cloud. Zonder VPN kan elke potentiële indringer met een pakketsniffer bepalen welke leden toegang hebben tot uw cloudaccount en mogelijk toegang krijgen tot hun inloggegevens.

Versleutel gegevens in rust. Als om welke reden dan ook een gebruikersaccount in uw openbare, privé- of hybride cloud wordt gecompromitteerd, kan het verschil tussen gegevens in platte tekst versus versleuteld formaat worden gemeten in honderdduizenden dollars - met name $ 229.000, de gemiddelde kosten van een cyberaanval gerapporteerd door de respondenten van een onderzoek van de verzekeringsmaatschappij Hiscox. Zoals recente gebeurtenissen hebben aangetoond, zal het proces van het versleutelen en ontsleutelen van deze gegevens veel pijnlozer blijken te zijn dan het alternatief ervan te doorstaan.

Gebruik tweefactorauthenticatie en eenmalige aanmelding voor alle cloudgebaseerde accounts. Google, Facebook en PayPal maken allemaal gebruik van tweefactorauthenticatie, waarbij de gebruiker een unieke, door software gegenereerde code in een formulier moet invoeren voordat hij/zij inlogt op zijn/haar account. Of uw bedrijf nu wel of niet naar hun status streeft, het kan en moet dit kernonderdeel van hun beveiligingsstrategie navolgen. Single sign-on vereenvoudigt het toegangsbeheer, zodat een paar gebruikersreferenties de werknemer aanmeldt bij alle accounts. Op deze manier hoeven systeembeheerders slechts één account te verwijderen in plaats van meerdere die kunnen worden vergeten en later opnieuw kunnen worden geopend door de voormalige werknemer.

13. Pas op voor het risico van het menselijke element

Steven J.J. Weisman, advocaat en professor aan de Bentley University

Om Shakespeare te parafraseren:de fout zit niet in de cloud; de verantwoordelijkheid ligt bij ons.

Het opslaan van gevoelige gegevens in de cloud is op veel niveaus een goede optie voor gegevensbeveiliging. Maar hoe veilig een technologie ook is, het menselijke element zal altijd een potentieel veiligheidsrisico vormen dat door cybercriminelen kan worden uitgebuit. Veel eerdere inbreuken op de cloudbeveiliging zijn niet te wijten aan tekortkomingen in de beveiliging door de cloudtechnologie, maar eerder aan acties van individuele gebruikers van de cloud.

Ze hebben onbewust hun gebruikersnamen en wachtwoorden verstrekt aan cybercriminelen die, door middel van spear-phishing-e-mails, telefoontjes of sms-berichten, mensen overhalen om de kritieke informatie te verstrekken die nodig is om toegang te krijgen tot het cloudaccount.

De beste manier om dit probleem te voorkomen, samen met een betere opleiding van werknemers om spear phishing te herkennen en te voorkomen, is door dubbele factor-authenticatie te gebruiken, zoals het verzenden van een eenmalige code naar de mobiele telefoon van de werknemer wanneer wordt geprobeerd toegang te krijgen tot het cloudaccount.

14. Zorg ervoor dat gegevens worden opgehaald bij een cloudleverancier

Bob Herman, mede-oprichter en president van IT Tropolis.

1. Twee-factor-authenticatie beschermt tegen accountfraude. Veel gebruikers slagen er niet in het slachtoffer te e-mailen met phishing-pogingen waarbij kwaadwillenden het slachtoffer misleiden om hun inloggegevens in te voeren op een nepwebsite. De slechte acteur kan dan inloggen op de echte site als het slachtoffer en allerlei soorten schade aanrichten, afhankelijk van de site-applicatie en de gebruikerstoegang. 2FA zorgt ervoor dat er een tweede code moet worden ingevoerd bij het inloggen op de applicatie. Meestal wordt er een code naar de telefoon van de gebruiker gestuurd.

2. Ervoor zorgen dat u de eigenaar bent van uw gegevens en deze kunt ophalen in het geval u niet langer zaken wilt doen met de cloudleverancier, is absoluut noodzakelijk. De meeste legitieme cloudleveranciers moeten in hun voorwaarden specificeren dat de klant eigenaar is van hun gegevens. Vervolgens moet u bevestigen dat u de gegevens in een bruikbaar formaat kunt extraheren of exporteren, of dat de cloudleverancier u deze op verzoek zal verstrekken.

15. Realtime en continue monitoring

Sam Bisbee, Chief Security Officer bij Threat Stack

1. Realtime veiligheidswaarneming en continue systeembewaking creëren

Hoewel monitoring essentieel is in elke dataomgeving, is het van cruciaal belang om te benadrukken dat veranderingen in moderne cloudomgevingen, vooral die van SaaS-omgevingen, vaker voorkomen; hun impact is onmiddellijk voelbaar.

De resultaten kunnen dramatisch zijn vanwege de aard van elastische infrastructuur. Onopzettelijke of kwaadaardige acties van iemand kunnen op elk moment ernstige gevolgen hebben voor de beveiliging van uw ontwikkelings-, productie- of testsystemen.

Het runnen van een moderne infrastructuur zonder realtime veiligheidswaarneming en continue monitoring is als blind vliegen. U heeft geen inzicht in wat er in uw omgeving gebeurt en u kunt niet onmiddellijk met mitigatie beginnen als er zich een probleem voordoet. U moet de toegang tot applicaties en hosts bewaken om de status van uw applicatie in de loop van de tijd te begrijpen.

• Bewakingssystemen voor handmatige gebruikersacties. Dit is vooral belangrijk in de huidige DevOps-wereld waar technici waarschijnlijk toegang hebben tot productie. Het is mogelijk dat ze systemen beheren met handmatige taken, dus gebruik dit als een kans om processen te identificeren die geschikt zijn voor automatisering.
• Het volgen van applicatieprestaties in de loop van de tijd om afwijkingen te helpen detecteren. Inzicht in "wie deed wat en wanneer" is van fundamenteel belang voor het onderzoeken van veranderingen die zich in uw omgeving voordoen.

2. Configuratie-instellingen instellen en continu bewaken

Beveiligingsconfiguraties in cloudomgevingen zoals Amazon Direct Connect kunnen ingewikkeld zijn en het is gemakkelijk om onbedoeld toegang tot uw systemen en gegevens open te laten voor de wereld, zoals is bewezen door alle recente verhalen over S3-lekken.

Gezien de veranderlijke (en soms vluchtige) aard van SaaS-omgevingen, waar services continu in realtime kunnen worden gemaakt en verwijderd, kan het niet correct configureren van services en het niet controleren van instellingen de beveiliging in gevaar brengen. Uiteindelijk zal dit het vertrouwen aantasten dat klanten in u stellen om hun gegevens te beschermen.

Door configuraties in te stellen op basis van een vastgestelde baseline en deze continu te bewaken, kunt u problemen bij het opzetten van services voorkomen en kunt u configuratieproblemen sneller detecteren en erop reageren wanneer ze zich voordoen.

3. Breng beveiligings- en operationele prioriteiten op elkaar af voor cloudbeveiligingsoplossingen en infrastructuur

Een goede beveiliging is niet te onderscheiden van een goede bedrijfsvoering. Te vaak staan ​​deze teams op gespannen voet binnen een organisatie. Beveiliging wordt soms gezien als een vertraging van een bedrijf - te veel gericht op het controleren van de activiteiten van Dev- en Ops-teams. Maar beveiliging kan een zakelijke factor zijn.

Beveiliging moet gebruikmaken van automatiseringstesttools, beveiligingscontroles en monitoring binnen een organisatie - via netwerkbeheer, gebruikerstoegang, de configuratie van infrastructuur en kwetsbaarheidsbeheer in de applicatielaag - zal het bedrijf vooruit helpen, het risico op het aanvalsoppervlak verminderen en de operationele beschikbaarheid behouden .

16. Audittools gebruiken om gegevens in de cloud te beveiligen

Jeremey Vance, VS Cloud

1. Gebruik een audittool zodat u weet wat u allemaal in de cloud heeft en wat al uw gebruikers in de cloud gebruiken. Je kunt geen gegevens beveiligen waar je geen weet van hebt.

2. Ontdek niet alleen welke services op uw netwerk worden uitgevoerd, maar ontdek ook hoe en waarom die services worden gebruikt, door wie en wanneer.

3. Maak van dat auditproces een routinematig onderdeel van uw netwerkbewaking, niet slechts een eenmalige gebeurtenis. Bovendien, als je daar niet de bandbreedte voor hebt, besteed die auditroutine dan uit aan een gekwalificeerde derde partij zoals US Cloud.

17. De meeste inbreuken beginnen bij eenvoudige onbeveiligde punten

Marcus Turner, hoofdarchitect en CTO bij Enola Labs

De cloud is zeer veilig, maar om ervoor te zorgen dat u bedrijfsgegevens veilig houdt, is het belangrijk om de cloud goed te configureren.

Specifiek voor AWS is AWS Config de tool die hiervoor het best kan worden gebruikt. AWS is, mits op de juiste manier geconfigureerd, een van de veiligste cloud computing-omgevingen ter wereld. De meeste datalekken zijn echter geen hackers die complexe programma's gebruiken om toegang te krijgen tot kritieke gegevens, maar het zijn de eenvoudige onbeveiligde punten, het laaghangende fruit, dat bedrijfsgegevens kwetsbaar maakt.

Zelfs met de beste cloudbeveiliging zijn menselijke fouten vaak de oorzaak van de meest kritieke leemte of inbreuk op de beveiliging. Het hebben van routines om continue configuratienauwkeurigheid te valideren is de meest onderbenutte en ondergewaardeerde maatstaf om bedrijfsgegevens veilig in de cloud te houden.

18. Stel uw Cloud Vendor Key-beveiligingsvragen

Brandan Keaveny, Ed.D., oprichter van Data Ethics LLC

Bij het verkennen van de mogelijkheden om over te stappen naar een cloudgebaseerde oplossing, moet u ervoor zorgen dat er voldoende ondersteuning is als er een inbreuk optreedt. Zorg ervoor dat u de volgende vragen stelt voordat u een overeenkomst met een cloudgebaseerde provider ondertekent:

Vraag:Hoeveel derde partijen gebruikt de provider om hun service te vergemakkelijken?

Reden voor de vraag (Reden):Processen en documentatie moeten worden bijgewerkt met procedurele waarborgen en coördinatie met de cloudgebaseerde oplossing. Bovendien moet het beveiligingsniveau dat door de cloudgebaseerde provider wordt geboden, duidelijk worden begrepen. Er moeten hogere beveiligingsniveaus worden toegevoegd om te voldoen aan de privacy- en beveiligingsvereisten voor de gegevens die worden opgeslagen.

Question:How will you be notified if a breach of their systems occurs and will they assist your company in the notification of your clients/customers?

Reason:By adding a cloud-based solution to the storage of your data also adds a new dimension of time to factor into the notification requirements that may apply to your data should a breach occur. These timing factors should be incorporated into breach notification procedures and privacy policies.

When switching to the cloud from a locally hosted solution your security risk assessment process needs to be updated. Before making the switch, a risk assessment should take place to understand the current state of the integrity of the data that will be migrated.

Additionally, research should be done to review how data will be transferred to the cloud environment. Questions to consider include:

Question:Is your data ready for transport?

Reason:The time to conduct a data quality assessment is before migrating data to a cloud-based solution rather than after the fact.

Question:Will this transfer be facilitated by the cloud provider?

Reason:It is important to understand the security parameters that are in place for the transfer of data to the cloud provider, especially when considering large data sets.

19. Secure Your Cloud Account Beyond the Password

Contributed by the team at Dexter Edward

Secure the cloud account itself. All the protection on a server/os/application won’t help if anyone can take over the controls.

• Use a strong and secure password on the account and 2-factor authentication.
• Rotate cloud keys/credentials routinely.
• Use IP whitelists.
• Use any role-based accesses on any associated cloud keys/credentials.

Secure access to the compute instances in the cloud.

• Use firewalls provided by the cloud providers.
• Use secure SSH keys for any devices that require login access.
• Require a password for administrative tasks.
• Construct your application to operate without root privilege.
• Ensure your applications use encryption for any communications outside the cloud.
• Use authentication before establishing public communications.

Use as much of the private cloud network as you can.

• Avoid binding services to all public networks.
• Use the private network to isolate even your login access (VPN is an option).

Take advantage of monitoring, file auditing, and intrusion detection when offered by cloud providers.

• The cloud is made to move – use this feature to change up the network location.
• Turn off instances when not in use. b. Keep daily images so you can move the servers/application around the internet more frequently.

20. Consider Implementing Managed Virtual Desktops

Michael Abboud, CEO, and Founder of TetherView

Natural disasters mixed with cyber threats, data breaches, hardware problems, and the human factor, increase the risk that a business will experience some type of costly outage or disruption.

Moving towards managed virtual desktops delivered via a private cloud, provides a unique opportunity for organizations to reduce costs and provide secure remote access to staff while supporting business continuity initiatives and mitigating the risk of downtime.

Taking advantage of standby virtual desktops, a proper business continuity solution provides businesses with the foundation for security and compliance.

The deployment of virtual desktops provides users with the flexibility to work remotely via a fully-functional browser-based environment while simultaneously allowing IT departments to centrally manage endpoints and lock down business critical data. Performance, security, and compliance are unaffected.

Standby virtual desktops come pre-configured and are ready to be deployed instantaneously, allowing your team to remain “business as usual” during a sudden disaster.

In addition to this, you should ensure regular data audits and backups

If you don’t know what is in your cloud, now is the time to find out. It’s essential to frequently audit your data and ensure everything is backed up. You’ll also want to consider who has access to this data. Old employees or those who no longer need access should have permissions provoked.

It’s important to also use the latest security measures, such as multi-factor authentication and default encryption. Always keep your employees up to speed with these measures and train them to spot potential threats that way they know how to deal with them right away.

21. Be Aware of a Provider’s Security Policies

Jeff Bittner, Founder and President of Exit technologies

Many, if not most, businesses will continue to expand in the cloud, while relying on on-premise infrastructure for a variety of reasons, ranging from a simple cost/benefit advantages to reluctance to entrust key mission-critical data or systems into the hands of third-party cloud services providers. Keeping track of what assets are where in this hybrid environment can be tricky and result in security gaps.

Responsibility for security in the cloud is shared between the service provider and the subscriber. So, the subscriber needs to be aware not only of the service provider’s security policies, but also such mundane matters as hardware refresh cycles.

Cyber attackers have become adept at finding and exploiting gaps in older operating systems and applications that may be obsolete, or which are no longer updated. Now, with the disclosure of the Spectre and Meltdown vulnerabilities, we also have to worry about threats that could exploit errors or oversights hard-coded at the chip level.

Hardware such as servers and PCs has a limited life cycle, but often businesses will continue to operate these systems after vendors begin to withdraw support and discontinue firmware and software updates needed to counter new security threats.

In addition to being aware of what their cloud provider is doing, the business must keep track of its own assets and refresh them or decommission them as needed. When computer systems are repurposed for non-critical purposes, it is too easy for them to fall outside of risk management and security oversight.

22. Encrypt Backups Before Sending to the Cloud

Mikkel Wilson, CTO at Oblivious.io

1. File metadata should be secured just as vigilantly as the data itself. Even if an attacker can’t get at the data you’ve stored in the cloud, if they can get, say, all the filenames and file sizes, you’ve leaked important information. For example, if you’re a lawyer and you reveal that you have a file called “michael_cohen_hush_money_payouts.xls” and it’s 15mb in size, this may raise questions you’d rather not answer.

2. Encrypt your backups *before* you upload them to the cloud. Backups are a high-value target for attackers. Many companies, even ones with their own data centers, will store backups in cloud environments like Amazon S3. They’ll even turn on the encryption features of S3. Unfortunately, Amazon stores the encryption keys right along with the data. It’s like locking your car and leaving the keys on the hood.

23. Know Where Your Data Resides To Reduce Cloud Threats

Vikas Aditya, Founder of QuikFynd Inc,

Be aware of where their data is stored these days so that they can proactively identify if any of the data may be at risk of a breach.

These days, data is being stored in multiple cloud locations and applications in addition to storage devices in business. Companies are adopting cloud storage services such as Google Drive, Dropbox, OneDrive, etc. and online software services for all kind of business processes. This has led to vast fragmentation of company data, and often managers have no idea where all the data may be.

For example, a confidential financial report for the company may get stored in cloud storage because devices are automatically synching with cloud or a sensitive business conversation may happen in cloud-based messaging services such as Slack. While cloud companies have all the right intentions to keep their customer data safe, they are also the prime target because hackers have better ROI in targeting such services where they can potentially get access to data for millions of subscribers.

So, what should a company do?

While they will continue to adopt cloud services and their data will end up in many, many locations, they can use some search and data organization tools that can show them what data exists in these services. Using full-text search capabilities, they can then very quickly find out if any of this information is a potential risk to the company if breached. You cannot protect something if you do not even know where it is. And more importantly, you will not even know if it is stolen. So, companies looking to protect their business data need to take steps at least to be aware of where all their information is.

24. Patch Your Systems Regularly To Avoid Cloud Vulnerabilities

Adam Stern, CEO of Infinitely Virtual

Business users are not defenseless,  even in the wake of recent attacks on cloud computing like WannaCry or Petya/NotPetya.

The best antidote is patch management. It is always sound practice to keep systems and servers up to date with patches – it is the shortest path to peace of mind. Indeed, “patch management consciousness” needs to be part of an overarching mantra that security is a process, not an event — a mindset, not a matter of checking boxes and moving on. Vigilance should be everyone’s default mode.

Spam is no one’s friend; be wary of emails from unknown sources – and that means not opening them. Every small and midsize business wins by placing strategic emphasis on security protections, with technologies like clustered firewalls and intrusion detection and prevention systems (IDPS).

25. Security Processes Need Enforcement as Staff Often Fail to Realize the Risk

Murad Mordukhay, CEO of Qencode

1. Security as a Priority

Enforcing security measures can become difficult when working with deadlines or complex new features. In an attempt to drive their products forward, teams often bend the rules outlined in their own security process without realizing the risk they are putting their company into. A well thought out security process needs to be well enforced in order achieve its goal in keeping your data protected. Companies that include cloud security as a priority in their product development process drastically reduce their exposure to lost data and security threats.

2. Passwords &Encryption

Two important parts of securing your data in the cloud are passwords and encryption.

Poor password management is the most significant opportunity for bad actors to access and gain control of company data. This usually accomplished through social engineering techniques (like phishing emails) mostly due to poor employee education. Proper employee training and email monitoring processes go a long way in helping expose password information. Additionally, passwords need to be long, include numbers, letters, and symbols. Passwords should never be written down, shared in email, or posted in chat and ticket comments. An additional layer of data protection is achieved through encryption. If your data is being stored for in the cloud for long periods, it should be encrypted locally before you send it up. This makes the data practically inaccessible in the small chance it is compromised.

26. Enable Two-factor Authentication

Tim Platt, VP of IT Business Services at Virtual Operations, LLC

For the best cloud server security, we prefer to see Two Factor Authentication (also known as 2FA, multi-factor authentication, or two-step authentication) used wherever possible.

Wat is dit? 2 Factor combines “something you know” with “something you have.” If you need to supply both a password and a unique code sent to your smartphone via text, then you have both those things. Even if someone knows your password, they still can’t get into your account. They would have to know your password and have access to your cell phone. Not impossible, but you have just dramatically made it more difficult for them to hack your account. They will look elsewhere for an easier target. As an example, iCloud and Gmail support 2FA – two services very popular with business users. I recommend everyone use it.

Why is this important for cloud security?

Because cloud services are often not protected by a firewall or other mechanism to control where the service can be accessed from. 2FA is an excellent additional layer to add to security.  I should mention as well that some services, such as Salesforce, have a very efficient, easy to use implementation of 2FA that isn’t a significant burden on the user.

27. Do Not Assume Your Data in the Cloud is Backed-Up

Mike Potter, CEO &Co-Founder at Rewind

Backing up data that’s in the cloud:There’s a big misconception around how cloud-based platforms (ex. Shopify, QuickBooks Online, Mailchimp, WordPress) are backed up. Typically, cloud-based apps maintain a disaster recovery cloud backup of the entire platform. If something were to happen to their servers, they would try to recover everyone’s data to the last backup. However, as a user, you don’t have access to their backup to restore your data.

This means that you risk having to manually undo unwanted changes or permanently losing data if:

• A 3rd party app integrated into your account causes problems.
• You need to unroll a series of changes
• Your or someone on your team makes a mistake
• A disgruntled employee or contractor deletes data maliciously

Having access to a secondary backup of your cloud accounts gives you greater control and freedom over your own data. If something were to happen to the vendor’s servers, or within your individual account, being able to quickly recover your data could save you thousands of dollars in lost revenue, repair costs, and time.

28. Minimize and Verify File Permissions

Randolph Morris, Founder & CTO at Releventure

1. If you are using a cloud-based server, ensure monitoring and patching the Spectre vulnerability and its variations. Cloud servers are especially vulnerable. This vulnerability can bypass any cloud security measures put in place including encryption for data that is being processed at the time the vulnerability is being utilized as an exploit.

2. Review and tighten up file access for each service. Too often accounts with full access are used to ensure software ‘works’ because they had permission issues in the past. If possible, each service should use its own account and only have restricted permission to access what is vital and just give the minimum required permissions.

29. When Securing Files in the Cloud,  Encrypt Data Locally First

Brandon Ackroyd, Founder and Mobile Security Expert at Tiger Mobiles 

Most cloud storage users assume such services use their own encryption. They do, Dropbox, for example, uses an excellent encryption system for files.

The problem, however, is because you’re not the one encrypting, you don’t have the decryption key either. Dropbox holds the decryption key so anyone with that same key can decrypt your data. The decryption happens automatically when logged into the Dropbox system so anyone who accesses your account, e.g., via hacking can also get your now non-encrypted data.

The solution to this is that you encrypt your files and data, using an encryption application or software, before sending them to your chosen cloud storage service.

30. Exposed Buckets in AWS S3 are Vulnerable

Todd Bernhard, Product Marketing Manager at CloudCheckr

1. The most common and publicized data breaches in the past year or so have been due to giving the public read access to AWS S3 storage buckets. The default configuration is indeed private, but people tend to make changes and forget about it, and then put confidential data on those exposed buckets.

2. Encrypt data, both in traffic and at rest. In the data center, where end users, servers, and application servers might all be in the same building. By contrast, with the Cloud, all traffic goes over the Internet, so you need to encrypt data as it moves around in public. It’s like the difference between mailing a letter in an envelope or sending a postcard which anyone who comes into contact with it can read the contents.

31. Use the Gold-standard of Encryption

Jeff Capone, CEO of SecureCircle

There’s a false sense of privacy being felt by businesses using cloud-based services like Gmail and Dropbox to communicate and share information. Because these services are cloud-based and accessible by password, it’s automatically assumed that the communications and files being shared are secure and private. The reality is – they aren’t.

One way in which organizations can be sure to secure their data is in using new encryption methods such as end-to-end encryption for emailing and file sharing. It’s considered the “gold standard” method with no central points of attack – meaning it protects user data even when the server is breached.

These advanced encryption methods will be most useful for businesses when used in conjunction with well-aligned internal policies. For example, decentralizing access to data when possible, minimizing or eliminating accounts with privileged access, and carefully considering the risks when deciding to share data or use SaaS services.

32. Have Comprehensive Access Controls in Place

Randy Battat, Founder and CEO, PreVeil

All cloud providers have the capability of establishing access controls to your data. This is essentially a listing of those who have access to the data. Ensure that “anonymous” access is disabled and that you have provided access only to those authenticated accounts that need access.

Besides that, you should utilize encryption to ensure your data stays protected and stays away from prying eyes. There is a multitude of options available depending on your cloud provider. Balance the utility of accessing data with the need to protect it – some methods are more secure than others, like utilizing a client-side key and encryption process. Then, even if someone has access to the data (see point #1), they only have access to the encrypted version and must still have a key to decrypt it

Ensure continuous compliance to your governance policies. Once you have implemented the items above and have laid out your myriad of other security and protection standards, ensure that you remain in compliance with your policies. As many organizations have experienced with cloud data breaches, the risk is not with the cloud provider platform. It’s what their staff does with the platform. Ensure compliance by monitoring for changes, or better yet, implement tools to monitor the cloud with automated corrective actions should your environment experience configuration drift.

33. 5 Fundamentals to Keep Data Secure in the Cloud

David Gugick, VP of Product Management at CloudBerry

• Perform penetration testing to ensure any vulnerabilities are detected and corrected.
• Use a firewall to create a private network to keep unauthorized users out.
• Encrypt data using AES encryption and rotate keys to ensure data is protected both in transit and at rest.
• Logging and Monitoring to track who is doing what with data.
• Identity and Access Control to restrict access and type of access to only the users and groups who need it.

34. Ensure a Secure Multi-Tenant Environment

Anthony Dezilva, CISO at PhoenixNAP

When we think of the cloud, we think of two things.  Cost savings due to efficiencies gained by using a shared infrastructure, and cloud storage security risk.

Although many published breaches are attributed to cloud-based environment misconfiguration, I would be surprised if this number was more than, the reported breaches of non-cloud based environments.

The best cloud service providers have a vested interest in creating a secure multi-tenant environment.  Their aggregate spending on creating these environments are far more significant than most company’s IT budgets, let alone their security budgets.  Therefore I would argue that a cloud environment configured correctly, provides a far higher level of security than anything a small to medium-sized business can create an on-prem.

Furthermore, in an environment where security talent is at a grave shortage, there is no way an organization can find, let alone afford the security talent they need.  Resulting in the next best thing, create a business associate relationship with a provider that not only has a strong secure infrastructure but also provides cloud monitoring security solutions.

Cloud Computing Threats and Vulnerabilities:Need to know

• Architect solution as you would any on-prem design process;
• Take advantage of application services layering and micro-segmentation;
• Use transaction processing layers with strict ACLs that control inter-process communication.  Use PKI infrastructure to authenticate, and encrypt inter-process communication.
• Utilize advanced firewall technology including WAF (Web Access Firewalls) to front-end web-based applications, to minimize the impact of vulnerabilities in underlying software;
• Leverage encryption right down to record level;
• Accept that it is only a matter of time before someone breaches your defenses, plan for it.  Architect all systems to minimize the impact should it happen.
• A flat network is never okay!
• Robust change control process, with weekly patch management cycle;
• Maintain offline copies of your data, to mitigate the risk of cloud service collapse, or malicious attack that wipes your cloud environment;
• Contract with 24×7 security monitoring services that have an incident response component.