Här är insikterna som ger dig säkrare it i molnet

Nätattackerna blir allt fler och allt mer sofistikerade. Samtidigt gör en växande andel molntjänster våra it-miljöer mer komplexa och svårare att skydda. Vi träffade Advanias Michael Andersson och McAfees Christoffer Callender för att få ett grepp om säkerhet i molnet.

Hur säkert är egentligen molnet? Vad händer med informationen jag lägger där? Hur skyddar jag mig mot attacker? Och vad säger lagen?

Det här är frågor som både Michael Andersson och Christoffer Callender ofta får från företag. Michael är säkerhetsexpert på Advania och Christoffer jobbar på McAfee , med bland annat molnsäkerhet som ett ständigt tema. Dessvärre är frågorna svåra att besvara kort och enkelt. Det blir lätt ett ”det beror på”.

– Det beror till att börja med på vad du menar med molnet, säger Michael.

 

Oavsett var du lägger din data eller kör dina applikationer är det fortfarande du som har det yttersta ansvaret för att det görs på ett säkerhetsmässigt korrekt sätt.

 

– I ena änden av skalan har vi publika molntjänster där allt ligger mer eller mindre öppet och du inte ens vet var informationen lagras. I andra änden hittar du privata moln, antingen sådana du driftar själv eller sådana som någon annan tar hand om. De säkerhetsmässiga skillnaderna mellan dem är avgörande.

Kort sagt ska de öppna, publika molntjänsterna betraktas som tämligen osäkra. Där bör ingen kritisk information hanteras. Privata moln å andra sidan kan vara lika säkra eller säkrare än den it du driftar själv.

Skillnad på moln och moln

Svaren på nästan vilka frågor som helst kring säkerhet i molnet beror också på vad du köper i det. Handlar det om infrastrukturtjänster är du som kund helt och hållet ansvarig för säkerheten, eftersom du bara köper tillgång till själva hårdvaran. Om du köper en färdig plattform har leverantören ett visst ansvar. Handlar det om en komplett tjänst eller funktion är säkerheten i princip helt deras ansvar.

– Även om det inte går att ge specifika råd kring säkerhet i molnet utan att veta närmare hur förutsättningarna ser ut i varje enskilt fall, kan man i alla fall säga detta: oavsett var du lägger din data eller kör dina applikationer är det fortfarande du som har det yttersta ansvaret för att det görs på ett säkerhetsmässigt korrekt sätt, säger Christoffer.

 

Michael Andersson, Advanias säkerhetsexpert och Christoffer Callender, SE Manager på McAfee

Frågan är felformulerad

Han avslöjar snart att han helst undviker att tala om molnet i samband med informationssäkerhet. Han menar att det är mer relevant att prata om just informationen. Vilka möjligheter har du att se och hantera den, vem äger krypteringsnyckeln till krypterad information i en molntjänst? Hur sker åtkomsten?

Skälet till att Christoffer gärna undviker begreppet ”molnet” i samband med resonemang kring säkerhet är att det inte återspeglar verkligheten. Frågan ”hur säkert är molnet?” är snarast felformulerad, menar han.

– De flesta företag kör i dag en blandning av moln och egen it, en hybridmiljö. Utmaningen i det blir att hålla koll på informationen i den allt mer komplexa miljö som då uppstår, inte i enskilda molntjänster.

Ställ rätt krav på leverantören

Christoffer och Michael är överens om att molntjänster inte per automatik är mindre säkra än egen it. I somliga fall kan de till och med vara säkrare, eftersom inte minst större molnleverantörer ägnar stora resurser åt detta. Samtidigt understryker de att du som kund måste vara aktiv och ställa krav på leverantören.

– Flera av våra kunder som är på väg att flytta in i vårt moln gör revisioner av vår säkerhet, med frågor som var informationen lagras, hur den krypteras, vem som har tillträde till datahallen, hur loggar hanteras och så vidare. Då får de svar på viktiga frågor som påverkar säkerheten, förklarar Michael.

GDPR ställer höga krav på informationskoll

Christoffer återkommer till själva kärnan, informationen. Hur viktigt det är att behålla eller förbättra kontrollen av den. Det krävs inte minst när den kommande EU-förordningen GDPR börjar gälla i maj 2018. För att inte uppgiften att anpassa sina system och processer  att leva upp till de nya reglerna ska bli övermäktig krävs verktyg som ger en samlad bild av företagets information och hur den hanteras. Oavsett om den finns i system som står i den egna datahallen, i en publik molntjänst eller rör sig mellan olika platser.

Molnet är inte längre bara it ”någon annanstans”. Molnet bör snarare betraktas som den samlade it-miljön  där företagets system, tjänster och information produceras och lever. Säkerheten hänger i dag inte på enskilda molntjänster, utan på hur du hanterar hela den sammantagna miljön.

 

Kontakta oss så berättar vi mer!

3 frågor att ställa till leverantören

1. Var lagras informationen?

Frågan är framför allt relevant om du är styrd av lagar och regler. Få stora leverantörer kan garantera att informationen stannar i Sverige.

2. Hur hanteras krypteringsnycklar?

Säkrast är att du som kund får ensam tillgång till krypteringsnycklar. Då har du full kontroll på att ingen annan får tillgång till din krypterade information.

3. Delas hårdvara, exempelvis servrar och lagring, med andra kunder?

För mindre känslig information eller mindre kritiska system är det arrangemanget rimligt – eftersom det ger lägre kostnad. För mer kritiska system bör du överväga att använda det som kallas single tenant och enkelt sett innebär det att  du inte delar exempelvis servrar med någon annan.

Christoffers 5 bästa tips för ökad säkerhet

Visibilitet Du kan bara skapa säkerhet för det du ser. Därför behöver du inventera ditt nät både fysiskt och virtuellt. Inventera också de servrar, tjänster och nätinfrastukturer som används både internt och i molntjänsterna.

Tänk ”tjänst” och inte ”system” I en miljö som består av både interna och externa miljöer blir det viktigare att utgå ifrån tjänsten i stället för systemet, som ju kan vara godtyckligt och ändras över tid.

Automation Att starta nya tjänster och system är i dag så enkelt att det kan göras med några få klick. Enkelheten gör att fler gör det och att verksamheten kanske till och med gör det utan it-avdelningens vetskap. Då blir det viktigare med automation. Så fort ett nytt system dyker upp i den egna miljön eller i molnet ska ett verktyg automatiskt slå på säkerhetsfunktioner.

Riskbaserad säkerhetsstrategi Säkra upp kritiska system mer än andra. I en hybridmiljö där både interna och publika tjänster nyttjas finns ofta orkestreringsservrar som är länken mellan det privata och det publika molnet. Om dessa hackas kan angriparen göra förändringar som kan få allvarliga konsekvenser. Dessa system bör ha extra hög säkerhet med 2-faktors autentisering och exempelvis låsas ner med vitlistning.

Bygg säkerhetsplattform När du tar steget till molnet så vet du att de system som tjänster kör på kommer förändras över tid. Därför bör du ha en produktoberoende plattform som kan styra säkerhetsfunktionerna. De underliggande produkterna är sekundära och ska kunna bytas ut över tid utan att det påverkar plattformen.