Lees het vorig hoofdstuk over Security by design

Laten we eerlijk zijn, de beste software ter wereld kan zo lek zijn als een zeef als je infrastructuur niet op orde is. Je kunt nog zo veel tijd en geld steken in het ontwikkelen van veilige maatwerksoftware, maar als de omgeving waarin die draait niet goed is beveiligd, heb je een groot probleem. Vergelijk het met een huis: bouw je er één met een stevig slot op de voordeur, maar zonder hekken of muren eromheen, kan iedereen gewoon naar binnen wandelen. Daarom is het cruciaal dat je niet alleen naar de software zelf kijkt, maar ook naar de infrastructuur waar die op draait.

Wat bedoelen we met infrastructuur?

Als we het hebben over infrastructuur, dan hebben we het over alle hardware, netwerken en servers waarop je software draait. Dit kan je eigen interne netwerk zijn, of – zoals steeds vaker het geval is – een cloudgebaseerde omgeving. Elke omgeving heeft zijn eigen uitdagingen als het gaat om beveiliging.

Interne infrastructuur kan relatief eenvoudig worden afgeschermd. Je hebt volledige controle over wie toegang krijgt en je kunt makkelijk maatregelen nemen zoals het gebruik van een VPN-verbinding of andere afschermingsmechanismen. Maar zodra je software extern toegankelijk moet zijn – of in de cloud draait – worden de veiligheidsuitdagingen een stuk groter. En dat is precies waar we hier dieper op ingaan.

Interne infrastructuur: simpel maar doeltreffend

Laten we beginnen met de interne infrastructuur. Als jouw software puur intern wordt gebruikt, heb je veel meer controle over de toegang. Denk aan een HR-systeem dat alleen door je medewerkers wordt gebruikt en nooit vanaf externe locaties bereikbaar is. In zo’n geval kun je ervoor kiezen om de software grotendeels achter een stevige ‘muur’ te plaatsen. Niemand komt erbij, tenzij ze via het interne netwerk werken.

Dit betekent niet dat je helemaal geen beveiliging in de software zelf nodig hebt, maar het verlaagt wel de risico’s. De grootste uitdaging hier is om je netwerk goed te beveiligen. Zorg dat er geen ongewenste bezoekers binnenkomen, en je software is automatisch een stuk veiliger. Een simpele maatregel zoals een VPN-verbinding zorgt ervoor dat alleen geautoriseerde gebruikers toegang krijgen tot het netwerk. Dit verlaagt de noodzaak voor overmatige beveiliging binnen de software zelf.

Externe infrastructuur: de uitdaging wordt groter

De echte uitdaging begint wanneer je software extern toegankelijk moet zijn. Denk bijvoorbeeld aan een klantenportaal of een systeem waarmee je externe partners toegang moet geven. In dat geval moet je de beveiliging veel breder aanpakken. Het is niet meer voldoende om enkel te vertrouwen op een goed afgesloten intern netwerk; je moet zorgen dat je software zélf bestand is tegen aanvallen van buitenaf.

En dan hebben we nog de cloud. Steeds meer bedrijven kiezen ervoor om hun software in de cloud te laten draaien. En dat is logisch, want de cloud biedt enorme flexibiliteit en schaalbaarheid. Maar hij heeft ook z’n eigen risico’s. Omdat de cloud in feite een publieke ruimte is, zijn je gegevens – als je niet oplet – makkelijker toegankelijk voor mensen met minder goede bedoelingen.

Veiligheid in lagen

Of je software nu intern draait of extern toegankelijk is, het principe van ‘veiligheid in lagen’ blijft altijd van toepassing. Je wilt verschillende barrières opwerpen. Zo heeft een hacker die door de eerste laag komt, niet meteen toegang tot je volledige systeem. Denk aan het eerdergenoemde voorbeeld van het huis: zelfs als iemand de voordeur open krijgt, moeten je binnen nog kluizen en extra beveiligingen hebben die de meest waardevolle spullen beschermen.

In de praktijk betekent dit dat je beveiliging niet alleen op softwareniveau moet zitten, maar ook op infrastructuurniveau. Bij maatwerksoftware kijken we bijvoorbeeld naar zaken zoals:

• Netwerksegmentatie: Het opdelen van je netwerk in verschillende zones, zodat een eventuele inbreuk in één zone niet meteen betekent dat de hele infrastructuur gevaar loopt.
• Firewalls en gateways: Deze zorgen ervoor dat ongewenst verkeer buiten blijft en alleen geautoriseerde gebruikers toegang krijgen.
• Encryptie van data in beweging: Gegevens die over het netwerk worden verstuurd, moeten versleuteld worden, zodat ze onderweg niet onderschept kunnen worden.

Samenwerking is cruciaal

Een van de grootste valkuilen die we zien bij bedrijven, is dat er te weinig samenwerking is tussen de verschillende teams die verantwoordelijk zijn voor software en infrastructuur. Ontwikkelaars zijn gefocust op het bouwen van functionaliteiten, terwijl IT-specialisten bezig zijn met de netwerken en hardware. Maar deze twee werelden moeten elkaar vinden. Het is essentieel dat beide teams vanaf het begin samenwerken om te bepalen welke infrastructuur er nodig is om de software optimaal én veilig te laten draaien.

Dit betekent dat ontwikkelaars van bij het begin moeten weten op welke infrastructuur hun software wordt gehost. Moet de software draaien op de servers van de klant? Of op een externe cloudomgeving? Elke keuze brengt verschillende veiligheidsuitdagingen met zich mee. Daarom is het belangrijk dat infrastructuurspecialisten en softwareontwikkelaars elkaar begrijpen en samen beslissingen nemen over hoe de beveiliging op alle niveaus wordt aangepakt.

Klanteninfrastructuur: wie is verantwoordelijk?

Tot slot is het belangrijk om te beseffen dat de infrastructuur niet altijd in jouw handen ligt. Soms gebruik je de infrastructuur van een klant om je software op te draaien. In dat geval heb je minder controle, maar dat betekent niet dat je gewoon achterover kunt leunen. Ook hier moet je samenwerken met de klant om ervoor te zorgen dat de software veilig draait. Jij bent verantwoordelijk voor het beveiligen van de software, maar de klant moet zorgen dat de infrastructuur de juiste beveiligingslagen heeft. Vaak spelen we bij DMVH in zo’n situatie een adviserende rol en helpen we klanten hun infrastructuur veilig in te richten.

In de volgende hoofdstukken gaan we dieper in op de specifieke uitdagingen van beveiliging in de cloud en hoe je jouw software veilig kunt houden, ongeacht waar hij draait.