[KRÖNIKA] Tidigare i år kunde Amazon Web Services (AWS) locka 4 000 besökare till ett event i Stockholm.
När Microsoft höjer priset på sin molntjänst Azure blir det en nyhet i alla teknikmedier. Detta är bara ett par exempel som visar på hur stark trenden är att flytta över sina applikationer och data till molntjänster som AWS, Google Cloud och Azure. Som leverantör av säkerhetslösningar ser vi dock ofta att säkerheten i molnet inte har utvecklats i samma takt som i det privata molnet.
Många som beställer molntjänster tar ofta för givet att det är leverantörerna av molntjänsterna som ansvarar för säkerheten i molnet. Här är det viktigt att förstå att en stor del av ansvaret finns kvar hos beställaren och att säkerhetsansvaret alltså delas mellan beställare och leverantör. Därför är det viktigt att ha tänkt igenom hur säkerheten ska lösas innan flytten till molnet genomförs.
Att tänka på säkerheten blir dessutom viktigare i takt med att det är allt mer affärskritisk information som placeras hos molntjänsterna. Att affärssystemet och kunddata ska vara ordentligt skyddade är egentligen helt självklart, och kraven från GDPR har gjort det ändå tydligare.
Hur vet då en beställare om säkerheten är tillräcklig och var finns egentligen säkerhetsluckorna i molnet? Några punkter att tänka på är dessa:
1. Tänk igenom vilken säkerhetsnivå ni behöver
I många verksamheter provades molntjänster först av någon utvecklare som lagt ut något mest för att det går. När det numera är viktiga funktioner som är beroende av molntjänsterna behöver säkerhetsnivån anpassas därefter. Samtidigt finns det förstås även kostnader förknippade med att höja säkerheten, så det behövs göras en avvägning. Hur stor är risken att drabbas av en attack? Hur mycket skadar det företaget om kundinformation blir stulen?
2. Ta reda på ansvarsfördelningen för molnsäkerheten
Typiskt sett säger kontraktet med en molnleverantör att säkerheten är ett delat ansvar, där leverantören tar hand om den fysiska säkerheten i datacentret såväl som hårdvara, kylning och elsäkerhet. Däremot är det ofta kundens ansvar att ta hand om applikationssäkerhet, datasäkerhet och rättighetsfrågor. Men allt kan variera beroende på hur kontraktet är utformat. Ta reda på vilka delar som är ert ansvar så slipper ni otrevliga överraskningar.
3. Säkerhetshålen behöver täppas till
Angrepp kan starta nästan var och hur som helst. Den kanske inte kommer in genom brandväggen utan den svaga länken i kedjan kan istället vara en övervakningskamera med ett undermåligt skydd eller en medarbetare som rundar säkerhetspolicyn och lånar ut jobbets laptop till tonårsbarnen. Över huvud taget är den mänskliga faktorn en utmaning att hantera. Det är också så att många säkerhetslösningar för datacenter inte är anpassade för molntjänster.
4. Automatisera överblicken av molnsäkerheten
Ofta lägger man ut en stor mängd olika applikationer i molnet, och det blir till sist svårt att hålla reda på alla aspekter av säkerheten. Att då få en dashboard med de mest akuta hoten markerade kan spara mycket jobb. Sådant finns det idag verktyg som kan göra automatiskt, genom att gå igenom konfigurationen i molntjänsten och ge en snabb överblick över hur hotbilden ser ut. Det går också att få veta olika säkerhetsbrister kopplade till GDPR.
De närmaste åren tyder allt på att företagen kommer flytta ännu mer av sin IT till molnet. Att då arbeta preventivt för att se till att säkerheten är på plats innan flytten borde vara självklart. Att vi sett exempel på rätt stora brister i en del verksamheter tyder på att många företag har en hemläxa kvar att göra i fråga om detta.
Jan Lundberg, Palo Alto Networks