IT-säkerhet, jag har flyttat till Azure så det sköter väl Microsoft nu?

Vad är egentligen det ansvar för säkerhet som molnleverantörer tar, och vad är ditt, som kunds, ansvar? Och om inte molnleverantören gör det, vem i din organisation ska sedan löpande ta ansvaret och säkerhetsarbetet?

För tydlighetens skull tar vi först och definierar säkerhet.

Enligt Svenska Akademins Ordlista så beskrivs följande:

Säkerhet: egenskapen / förhållandet / tillståndet att vara säker / skyddad mot fara / olycka, trygghet.

Fara: hotfullt läge; hotande olycka / skada.

Jag tycker också denna definition från Boverket är intressant.

“Säkerhet är den faktiska risken att utsättas för brott och ordningsstörningar”

“Trygghet är individens upplevelse av säkerheten eller risken”

Så den synvinkel jag tar i denna artikel är alltså att beskriva vem som har ansvar för de vanligaste åtgärder som finns tillgängliga för att skydda din IT-miljö, den information som den innehåller och de som interagerar med den.

Jag vill också lägga in några förbehåll:

Säkerhet vs. Efterlevnad(Compliance)

Jag hävdar att efterleva ett regelverk inte i sig är en skyddande åtgärd, inga intrångsförsök eller dataläckage stoppas av att du har ett dokument som säger att du är ISO 27001 certifierad.
Vad det gör är att skapa en ökad trygghet (framförallt mot dina affärspartners), men efterlevnaden i sig ökar inte säkerhetsnivån. Därmed så kommer jag inte behandla efterlevnadsfrågor vidare i denna artikel.

Vad jag också vill delvis exkludera är informationssäkerhet som definieras enligt följande:

“Bevarandet av informationens konfidentialitet, riktighet och tillgänglighet.

Jag exkluderar det inte för att det inte är viktigt, tvärtom, det är centralt och mycket viktigt, men oavsett vad du väljer för lösningar är det alltid ditt ansvar. Däremot erbjuder olika plattformar olika lösningar och utmaningar som jag delvis kan ta upp, men ansvarsfrågan är som sagt alltid din egen.

Så vad kan du då förvänta dig kring säkerheten i publika molntjänster?

Framförallt har de tre stora styrkor Skalskydd, Intelligens och Storskalighet:

Vi börjar med skalskyddet som jag skulle säga är överlägset i publikt moln, både med geografisk spridning av datacenter som ger ett otroligt bra skydd mot naturkatastrofer krig och strömavbrott. Tekniken för inpassering är också otroligt stark då de stora leverantörerna har satsat stort på vägbommar kraftiga nog att stå emot mindre stridsfordon, rigorösa kontroller av skäl för inpassering, vägning och kameraövervakning. Det är svårt för företag som har en mindre skala att göra dessa investeringar.

När det gäller intelligens, investeras betydande resurser i avancerad detektion och analys. Dessa resurser överstiger ofta vad de största säkerhetsföretagen lägger ner. Det är viktigt att förstå att dessa investeringar inte primärt skyddar din data. Istället fokuserar de på övergripande skydd och på att utveckla ramverk och produkter för dataskydd. Som användare är det ditt ansvar att lära dig hur dessa ramverk och verktyg fungerar och att korrekt konfigurera dem.

Skalan sedan, förutom det rent fysiska skyddet mot avbrott i ett enstaka land, bidrar också att du lätt kan sprida dina tjänster över världsdelar och länder, och bygga ett nätverk av tjänster som kan vara extremt feltoleranta. En brasklapp här är dock att detta snabbt ökar kostnader och var säker på att du har behovet av detta, kanske en snabb flytt till andra sidan Europa vid en större händelse räcker.
En annan fördel som relaterar till skalan är den separation som kan uppnås med mängden personal. I ett litet datacenter eller en lokal miljö så kan du ofta hitta en eller flera personer som har nycklarna till allt, personerna har både nyckeln till servrarna och lösenordet till ett konto med höga behörigheter. I det publika molnet skulle detta aldrig ske, där finns en strikt åtskillnad, den som installerar servrar fysiskt har ingen som helst access till mjukvara och operativsystem på dessa. Den som har access till mjukvara och operativssystem har tvärtom ingen access att komma in i datacentret, allt för att hindra att en person vet för mycket och kan utnyttja detta. Nästa separation är mellan den egna infrastrukturen, det som brukar kallas fabric, och kundernas miljöer. Dessa skiljs åt för att inte kundernas miljöer ska utsätta tjänsten som helhet i fara.

Ansvaret då? Det är ganska lätt att avgöra av tjänstenivåerna. Läs min artikel “Drift och förvaltning, nä, vi kör PaaS” om du är osäker på vad tjänstenivåerna är och hur den grundläggande ansvarsfördelningen ser ut.
Rent specifikt kring säkerhetsansvaret ser det ut som följer:

IaaS
Du är ansvarig för allt utom säkerheten för den underliggande hårdvaran och infrastrukturen. Du får egentligen bara fördel av molnets skalskydd om du inte själv distribuerar dina virtuella servrar på flera geografiskt spridda platser och själv sätter upp sätt för dessa att kommunicera. Detta är förstås enklare i ett publikt moln eftersom grundkomponenterna redan är där och färdiga att använda.

PaaS
Du slipper ansvar för Operativsystem och uppdatering av detta, men du har fortfarande ansvar för att din konfiguration är säker och att du kör den senaste versionen av tjänsten genom att i många fall själv göra uppgraderingar. I vissa tjänster kan du med ett knapptryck eller kodrad ta fördel av molnets skala, vissa andra är detta ett jobb som kräver att du samkör med andra tjänster för lastbalansering och feltolerans.

SaaS
Även om leverantören tar allt ansvar för att tjänsten i sig är så säkert uppsatt som är ekonomiskt försvarbart har fortfarande du ansvaret för åtkomsten till tjänsten och konfigurationen av detta. Med en större tjänst som Microsoft 365 eller SalesForce är detta ett stort ansvar. Tjänsterna är fulla med ofta kritisk information och de som kan administrera åtkomsten behöver hålla tungan rätt i munnen för att hålla nere åtkomsten till ett minimum. När det kommer till Microsoft 365 har de konton med högst behörighet dessutom höga behörigheter i din Azure-miljö eftersom de flesta valt att knyta identiteterna till dessa mot ditt eget datacenter.

I alla scenarion som nämnts tidigare har du det fulla ansvaret för informationssäkerheten, att rätt person kommer åt rätt innehåll, att detta innehåll stämmer och kan läsas när det behövs samt att det finns en plan för hur din information fortfarande är tillgänglig vid en katastrofartad händelse.

Det är lätt att titta på en enstaka tjänst och/eller ha en strategi om att bara köra PaaS och SaaS för att slippa allt det meransvar som IaaS innebär, men i verkligheten så kommer sannolikt flera PaaS tjänster att samexistera. Dessa kommer då behöva infrastrukturtjänster för att dels kommunicera med varandra eller med ditt egna datacenter. Exempelvis en plattformstjänst för webbapplikationer behöver också en databastjänst, en cachningstjänst och en brandväggstjänst för inspektion av trafik. Företagets alla tjänster behöver sedan en struktur för administration och kontroll. Denna struktur är att klassa som en infrastrukturtjänst där du som kund har både administrations- och säkerhetsansvar.

Att komma ihåg är att oftast som företag rör sig mot PaaS eller SaaS ökar oftast mängden egenutvecklad mjukvara vilket gör att säker mjukvaruutveckling blir en allt större del av jobbet. Nu ska du inte bara hindra hotaktörer att ta sig in i redan uppsatta mjukvaror och infrastruktur, du behöver också stoppa att hot som smyger med redan när en utvecklare skriver eller installerar sin programvara.

Den andra frågan är vem i organisationen tar ansvar för sätta och uppfylla säkerhetskrav?

Traditonella IT avdelningar har en säkerhetsavdelning som ofta tar ansvar för att sätta säkerhetskrav, många har en informationsskyddsavdelning som stöttar IT i klassning av information och GDPR frågor. Ofta har säkerhetsavdelningen också tagit ett stort ansvar i att reglerna efterlevs.

Idag är det många företag som satsat stort på molnet som har kanske 20 till uppåt 200 utvecklingsteam. Dessa ligger i ofta i olika framkant gällande teknik och har ibland ett mer eller mindre uttalat drift och förvaltningsansvar över de produkter de utvecklar.

Hur ska då ett IT-säkerhets team kunna ta ansvar för kanske 200 andra teams konfigurationer, ännu mindre övervaka alla? Gårdagens lösning med säkerhets “poliser” spricker ganska snabbt och både sölar ner organisationen och brister i sitt uppdrag. Det sätt som återstår är att sprida säkerhetskompetens i sin organisation, varje team behöver kunna självständigt säkerställa att sin produkt uppnår den säkerhet som verksamheten och IT-säkerhetsavdelningen ställer och det behöver finnas ett samarbetssystem där detta blir transparent. Vägen dit är dock en stor resa för många och kräver mycket samarbete, diskussion och utbildning.

Sammanfattningsvis så trots de stora skalfördelarna och leverantörernas stora säkerhetsinvesteringar så återstår mycket av ansvaret kring säkerheten till dig som kund. Mycket av säkerhetsjobbet kommer tillbaka på informationssäkerhet och det är ditt jobb att ge rätt åtkomst till rätt person, hantera identiteter och konfigurera dina tjänster på rätt sätt oavsett tjänstenivå.
I organisationer med en växande infrastruktur i molnet rekommenderar jag att tidigt diskutera och testa hur du distribuerar din säkerhetsförmåga. Det kommer krävas att dina utvecklingsteam får konstant vidareutbildning i både administration och säkerhet och att det finns en tydlig beskrivning av ansvarsfördelning, både mellan dem, IT-säkerhetsavdelningen och din molnleverantör! Ta hjälp av någon som gjort resan förut!

Kontakta mig om du vill ha en fördjupning av något eller stöd där just din organisation befinner sig just nu.

Föregående
Föregående

Vi behöver inga processer, vi är agila!

Nästa
Nästa

Vi har inga servrar, vi kör Serverless