Cloud security audit: waar let een auditor op bij AWS, Azure en Google Cloud?

De adoptie van clouddiensten groeit exponentieel. Organisaties draaien hun applicaties en data bij AWS, Microsoft Azure of Google Cloud Platform. Maar de migratie naar de cloud introduceert nieuwe beveiligingsrisico's die fundamenteel anders zijn dan die van een traditionele on-premises omgeving. Een cloud security audit brengt deze risico's in kaart.

Het shared responsibility model is het vertrekpunt van elke cloud security audit. De cloudprovider is verantwoordelijk voor de beveiliging van de infrastructuur (security of the cloud), terwijl de klant verantwoordelijk is voor de beveiliging in de cloud (security in the cloud). Misconfiguraties aan de klantzijde zijn de meest voorkomende oorzaak van beveiligingsincidenten.

Identity en access management (IAM) is het eerste aandachtsgebied. De auditor beoordeelt of het principe van least privilege is toegepast, of MFA is afgedwongen voor alle beheeraccounts, of service accounts minimale rechten hebben, en of er geen hardcoded credentials in code of configuratie staan.

Netwerkconfiguratie is het tweede aandachtsgebied. Zijn security groups en network ACLs correct geconfigureerd? Is het verkeer tussen componenten versleuteld? Zijn er onbedoeld publiek toegankelijke resources zoals S3 buckets, storage accounts of databases? Zijn er VPN-verbindingen of private endpoints ingericht voor gevoelig verkeer?

Databeveiliging vormt het derde aandachtsgebied. De auditor controleert of data at rest en in transit is versleuteld, of encryptiesleutels veilig worden beheerd (bij voorkeur via een managed KMS), en of gevoelige data niet onbedoeld wordt opgeslagen in logs, snapshots of tijdelijke opslag.

Logging en monitoring zijn het vierde aandachtsgebied. Zijn CloudTrail, Azure Activity Log of GCP Audit Logs ingeschakeld? Worden deze logs centraal verzameld en geanalyseerd? Zijn er alerts ingericht voor verdachte activiteiten? Is er een incident response proces dat aansluit op de cloudomgeving?

Tot slot beoordeelt de auditor complianceaspecten. Draait de data in de juiste regio conform de AVG? Zijn de gebruikte diensten compliant met relevante standaarden? Biedt de cloudprovider de benodigde assurance-rapporten (SOC 2, ISO 27001)?

Secure Audit voert cloud security audits uit voor organisaties die op AWS, Azure of Google Cloud draaien. Van configuratiereview tot volledige compliancetoetsing. Neem contact op voor een cloud security assessment.