IT-säkerhet

Hur säkra är molntjänster – egentligen? Och hur funkar IT-säkerhet i molnet?

Jesper Strandberg

Jesper Strandberg

Hackern är idag utbytt mot en grupp högutbildade programmerare och ingenjörer som arbetar på vanliga kontor, många gånger i statligt sponsrade program med närmast obegränsade resurser.

I flera oberoende studier dyker år efter år oron kring säkerheten upp som en högt rankad anledning till att inte använda molntjänster.

Med den här artikeln har jag som mål att råda bot på den upplevda oron och ge dig insikter kring säkerhet i molnet.

Denna artikel är användbar för många, men det här är vem jag tror att du är:

  • Du planerar en långsiktig strategi för att du förstår fördelarna och använder redan lika former av molntjänster som Microsoft Azure
  • Du är en företagsledare med fokus på tekniken som vill att IT möter dina affärsbehov och stärker förutsättningarna för innovation
  • Du är en IT-chef som vet mycket om molntekniken, men inte helt säker exakt på hur du behöver förhålla dig till IT-säkerhet i molnet

Innan vi sätter igång rekommenderar jag dig att först läsa min förra artikel: Varför molntjänster?

Vi fokuserar i den här artikeln på molntjänsterna IaaS (infrastruktur) och PaaS (plattform) och inte SaaS (mjukvara) där exempelvis tjänster som Office 365 inkluderas.

Huvudskäl till oro över datasäkerhet

IT-säkerhet kommer i många former och här följer några aspekter som gäller för alla IT-miljöer, vare sig det är molntjänster eller inte:

  • Data resilience; är min data lagrad på sånt sätt att om den raderas av misstag, uppsåtligt eller på grund av hårdvarufel kan återskapas?
  • Data availability; är min data tillgänglig när den behövs och klarar den sig mot möjliga attacker som till exempel överbelastningsattacker (DoS)?
  • Data encryption; är min känsliga data skyddad med kryptering i vila och under transport?
  • Access points; är min data bara tillgänglig via behöriga åtkomstkanaler?
  • Access restrictions; är min data lagrad på ett sätt som enbart tillåter behörig personal att få tillgång till den?
  • Intrusion detection and prevention; är tillgång till min data övervakad och kan jag upptäcka och skydda mot intrång?
  • Vulnerability and malware protection; är min data skyddad mot möjlig sårbarhet i mjukvaran och mot exekvering av skadlig kod (virus, trojaner)?
  • Insider protection; är min data skyddad mot brott från anställda, leverantörer och samarbetspartners?

Allt detta kan utnyttjas och skada ditt företag.

Utöver detta behöver du även se över kontosäkerheten. Kapning av konton är ett återkommande tema och en allvarlig säkerhetsbrist.

Idag är nästan alla ständigt uppkopplade mot tjänster som Facebook, LinkedIn och Instagram och använder samma lösenord till tjänster i företaget.

Ett sätt att säkra dig mot kontokapning är genom tvåfaktorsautentisering och samtidigt att alltid använda olika lösenord, förslagsvis genom en lösenordshanterare.

Den delade ansvarsmodellen för säkerhet

Det är viktigt att förstå ansvarsfördelningen när du flyttar din IT-miljö till molnet.

Molnleverantörer som Microsoft, Amazon, IBM och Google erbjuder ofta stora fördelar kring säkerhet och efterlevnad. Fördelarna friskriver dig dock inte från att skydda din egen data, dina applikationer och tjänster.

Säkerheten i molnet är ett delat ansvar mellan dig och molnleverantören.

Det enklaste sättet att förklara detta på är att börja med en bild.

microsoft-azure-shared-responsibility-illustration

Som bilden illustrerar (specifikt för Microsoft Azure) har båda parter ett delat ansvar som antingen ökar eller minskar beroende på vilken tjänst du använder.

När du överväger vilken molnleverantör som är rätt för dig lönar det sig ofta att välja en av de mer välkända namnen (Microsoft, Amazon, IBM, Google) eftersom de har resurser som mindre molnleverantörer inte kan matcha.

Många gånger är de insatta i de senaste sårbarheterna och säkerhetsutvecklingen som ännu inte avslöjats offentligt – ibland även före regeringar.

Återigen, innebär det inte att du är friskriven från att tänka på säkerheten.

Faktum är att du behöver se på säkerheten i molnet på samma sätt som du gör lokalt.

Men en fördel som kommer med molnet, bland många andra, är att alla typer av attacker eller intrångsförsök måste passera säkerhetsskyddet från både molnleverantören och den du sätter upp.

Hur du säkrar molntjänster

Det grundläggande steget är att säkerställa att din data inte hamnar i orätta händer.

Nedan följer några aspekter som tål att upprepas.

Datakryptering för känsliga data

De flesta molnleverantörer gör det möjligt att kryptera din data (och trafiken) med ett par knapptryck i ett användargränssnitt med minimal eller ingen prestandaförlust.

Tänk på att du betalar för all resursanvändning. Kryptera därför bara det som behövs. Du vill ha en effektiv internmiljö.

Molnleverantörer har normalt verktyg tillgängliga för att underlätta användandet av dessa teknologier.

Åtkomstkontroll

Åtkomstkontroll behöver appliceras på all data med säkerhetsgrupper för att ge åtkomst – till exempel ska du inte ge “Johan” administratörsprivilegier, utan lägg till “Johan” i administratörsgruppen.

Ännu bättre, skapa ett specifikt adminkonto för Johan och tilldela gruppmedlemskap till de funktioner hans roll kräver.

Ett tips är att ha en grupp för “Ingen tillgång” dit du snabbt kan flytta en användare om skadlig aktivitet detekterats internt. Den här processen kan också automatiseras.

Säkra nätverket

Öppna inte fler portar än nödvändigt, stäng av onödiga tjänster, installera brandväggar och andra säkerhetsskydd för att förhindra obehörig trafik att passera dina molnbaserade applikationer.

Utöver detta kan du segmentera nätverket för att isolera trafik.

Många molnleverantörer erbjuder möjligheten att få detaljerad insikt i trafikflöden till och från dina applikationsservers och de innehåller dessutom kraftfulla nätverkssäkerhetsfunktioner som du får på köpet.

Håll miljön uppdaterad

De senaste uppdateringarna täcker de näst senaste hoten. Nya sårbarheter upptäcks och offentliggörs hela tiden.

Se till att din IT-miljö inte utsätts för attacker på grund av att den inte är uppdaterad. En självklarhet, men tyvärr en enkel rutin som inte alltid efterlevs.

Installera antivirusprogram och antimalware på lämpliga system.

Att hålla system och skydd uppdaterade är en viktig del av att driva en IT-miljö, oavsett om den är i molnet eller inte.

Vanligtvis tillhandahåller molnleverantören verktyg som underlättar uppdateringar och hanteringen av tjänster i molnet genom ett centralt system till en mycket låg kostnad.

Övervakning

En av säkerhetsaspekterna som ofta förbises är övervakning.

Om monitorering är implementerat, är det inte sällan endast för drift och kontinuitet.

De flesta molnleverantörer låter dig övervaka och skapa varningar vid onormalt beteende så att en administratör manuellt kan ta en närmare titt och/eller låta automatiserade åtgärder köras.

Slutsats

Som du kan se är IT-säkerhet i molntjänster ett mångfacetterat ämne.

Molnet eller inte, det är alltid lika viktigt att det finns riktlinjer som genomförs, efterlevs och att du tillämpar de saker du redan vet om säkerhet.

Molntjänster kommer med många fördelar och tillgängliga funktioner som hjälper dig att öka säkerheten med liten ansträngning och till ett mycket konkurrenskraftigt pris.

Med hjälp av en samarbetspartner som är expert på molnet, kan du förenkla resan till molnet.

Den rätta lösningen med rätt molnleverantör och rätt konsulter banar väg för framgång.

Squad IT-support konsultation

Jesper Strandberg

Jesper Strandberg

Jesper är teknikchef och en av tre ägare av Squad. Med en djupförståelse för IT på ett flertal nivåer har han skapat ramverk att arbeta inom samt automatiserat teknik för små till mellanstora organisationer. När han lever livet njuter han av bra underhållning, jobbar på sin golfsving och tar gärna en utmaning i diverse spel.