image

Britse overheid: veel cloudproviders met standaard onveilige instellingen

dinsdag 16 augustus 2022, 14:23 door Redactie, 4 reacties

Er zijn redelijk veel cloudproviders die standaard onveilige configuraties aanbieden, zoals optionele encryptie, zwak authenticatiebeleid zonder multifactorauthenticatie, het uitgeschakeld staan van logbestanden en het toestaan van "password" als wachtwoord voor het root-account, zo stelt het Britse National Cyber Security Centre (NCSC). Organisaties doen er dan ook verstandig aan om cloudproviders te kiezen die 'secure by default' zijn. Namen van cloudproviders met onveilige instellingen zijn niet gegeven.

Wanneer verschillende cloudproviders dezelfde beveiligingsfeature bieden, moet de provider worden gekozen waar die standaard staat ingeschakeld, aldus advies van het NCSC. Daarnaast moet het verlagen van de beveiliging alleen mogelijk zijn door middel van een doelbewuste actie. Volgens het NCSC kan het kiezen voor een cloudprovider het leven van organisaties eenvoudiger maken, maar is het nog altijd de verantwoordelijkheid van de klant om clouddiensten goed te configureren.

Het NCSC stelt verder dat veel providers nog geen diensten aanbieden die secure by design en by default zijn. "Terwijl ze hier aan werken zouden ze je tenminste security-templates, blauwdrukken, scripts en handleidingen moeten geven zodat je eenvoudig hun dienst kan beveiligen", aldus de Britse overheidsinstantie.

Reacties (4)
16-08-2022, 16:11 door Anoniem
Klopt helaas, vermoedelijk is dit om de overstapdrempel laag te houden.

Anders klagende gebruikers: Waarom is de security streng? Ik wil dit niet, etc, etc.
16-08-2022, 16:29 door Anoniem
beetje kip en ei dingetje. je moet eentje gebruike die std alles goed op zet, maar we melden je niet welke dat zijn, dus probeer er maar eentje?
17-08-2022, 10:32 door Anoniem
Time to market is alles en uiteraard mag het niks kosten (de concurrent berekend het ook niet). Er is niks leuker dan bij een product lancering vragen te stellen over beveiligings eisen en instellingen en dan lastig gevonden worden. Dan zie je weer dat sales als een kip zonder kop achter een paar techies aanloopt zonder te beseffen wat voor shit ze aan het verkopen/vermarkten zijn.

Jammer is alleen dat je dan op termijn steeds minder product lancering uitnodigingen krijgt.

en het maakt niet uit overigens , of het nou cloud, of speelgoed of camera's of nog erger , white label stuff is.....

Wel eens aan een leverancier gevraagd: waarom biedt je geen 2FA aan, antwoord: dan ben ik duurder dan de concurrent en de klant vraagt er niet om in de eisen
17-08-2022, 11:15 door Anoniem
Hadden wij maar zo'n NCSC... oh wacht.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.