Vad betyder delat ansvar i molnet?

Molnbaserade tjänster är ett lockande alternativ till en traditionell IT-infrastruktur – och där finns stora fördelar när det gäller säkerheten också. Molntjänster erbjuder i varierande grad ett delat ansvar för säkerheten. Men vad betyder det för din organisation?

Författare: F-Secure Business Security Insider
Datum: 18.05.2017
Lästid: 5 Minuter

Detta är del ett i en serie om tre inlägg om säkerhet och molntjänster.

Din organisation bör fokusera på företagets vision, på det egentliga uppdraget – inte på att försöka ligga ett steg före de senaste sårbarheterna på era IT-system. Men att behålla fokus är inte det lättaste, inte när det sker massiva intrång och hela tiden dyker upp nya säkerhetsluckor som ska täppas till. Molnbaserade lösningar erbjuder ett alternativ till den traditionella IT-infrastrukturen – och erbjuder stora fördelar ur ett säkerhetsperspektiv. Men, på samma sätt som det finns molntjänster på hela skalan från infrastruktur till plattform till enskild mjukvarunivå, så finns det molntjänster som är beredda att ta olika stort ansvar för säkerheten.

För att säkerställa att din organisation uppnår den säkerhetsnivå som din organisation och era tillgångar kräver så behöver man följa två viktiga riktlinjer:

  • Välj rätt typ av tjänst för din organisation.
  • Förstå vilka skyldigheter som du har gällande säkerhet på den aktuella tjänsten.

Molnbaserade tjänster har fört med sig en revolution på säkerhetsområdet. Vid åtskilliga tillfällen har leverantörerna av molntjänster bevisat att deras system överträffar on-site-lösningar när det gäller såväl effektivitet och funktionalitet som säkerhet. Molnet gör det enkelt att lägga ut olika delar av ett företags IT-system på en kompetent leverantör.

Dessutom kräver molntjänsten i regel mindre investeringar i form av resurser och tid och är ofta ett smart val ur ett rent affärsperspektiv. Allt från e-post-lösningar till virtuella maskiner kan hanteras av leverantörer i molnet – och samtidigt befriar de kundens organisation från en stor del av säkerhetsansvaret. Men molnet minskar inte risken att slutanvändarna drabbas av intrång och skadlig kod. De är lika sårbara i den här modellen som de alltid varit.

Men genom att flytta över tjänster och system från egna datahallar och egna servrar till molnleverantörer så får den egna organisationen bättre möjligheter att fokusera på sin kärnverksamhet. Men betyder det att organisationen får ett frikort och inte behöver ägna en tanke åt cybersäkerhet?

Tyvärr är svaret nej. Där är vi inte ännu. I nuläget behöver man fortfarande förstå vilket ansvar man har och vilka skyldigheter man har – för säkerhetsansvaret delas mellan molnleverantören och deras kunder.

Något förenklat så är kunden ansvarig för alla delar av säkerhetsarbetet när det gäller lösningar i egna datacenter. Men i takt med att organisationen migrerar en allt större del av sin IT till molnet så flyttas en allt större del av ansvaret över på molnleverantören. Generellt fungerar det så att det som händer i molnet är molnleverantörens ansvar. Men de delar som ligger kvar i den egna organisationen, på det egna nätverket, är fortfarande organisationens eget ansvar.

Hur stort ansvar molnleverantören tar är något som varierar beroende på vilken typ av molntjänst det handlar om – från infrastructure as a service (IaaS) till software as a service (SaaS), med platform as a service (PaaS) som något slags gråzon i mitten.

IaaS – det är ditt ansvar. Mer eller mindre.

När det gäller IaaS är organisationen fortfarande ganska självständig när det gäller säkerhetsarbetet, men det är fortfarande ett stort steg bort från att drifta egna servrar i en on-prem-lösning. Enligt den här modellen behåller man ansvaret inte bara för den egna informationen, och sina kunder och användare – man har också ansvar för applikationer, nätverkskonfiguration. Hela vägen ner till själva operativsystemet.

Men IaaS lägger över ansvaret för att fysiskt härbärgera servrar och underhålla dem på molnleverantören, vilket i regel innebär att sådant som beräkningskraft och lagring är tillgängligt genom exempelvis virtuella maskiner. IaaS-leverantören är ansvarig för en del grundläggande nätverkssäkerhet (till exempel intrångsdetektering) och fysisk säkerhet (till exempel säkerhetskopior). Men till och med den här typen av grundläggande molntjänster är en bra väg att gå för IT-chefer som vill kunna sova bättre på nätterna.

PaaS – ännu lite mindre bekymmer

I en PaaS-lösning så hamnar det mesta av ansvaret gällande nätverkssäkerhet och lagring helt och hållet på leverantören. Det ger organisationen ytterligare trygghet i vetskapen att sådant som nätverkssäkerhet hanteras av leverantören.

Här handlar det till stor del om att säkerställa att slutanvändarna och deras maskiner är skyddade och inte släpper in skadlig kod och andra hot i molnet. I den här modellen är det fortfarande organisationens uppgift att säkra och hantera applikationer, slutanvändare och data.

SaaS – enklaste och i regel säkraste molnlösningen

Den modell som innebär minst ansvar för organisationen är SaaS. Här hanterar molnleverantören säkerhet på alla nivåer utom när det gäller själva slutanvändaren och deras data. Här återstår inte mycket i form av tekniska detaljer – och de stora aktörerna på den här marknaden släpper regelbundet nya versioner som täpper till säkerhetsluckor. Hit räknas exempelvis Googletjänster som Gmail och Docs, Salesforce och Microsoft Office 365.

Men även om den här modellen är den säkraste när det gäller molnlösningar så är de inte helt utan risk – det såg vi till exempel med när ransomware-varianten Cerber riktade attacker mot Microsoft Office 365. Likt de flesta hot av den här typen så var Cerber beroende av att användaren själv öppnade en fil och följde instruktioner om att aktivera makron.

Så vad innebär delat ansvar, egentligen?

Oavsett vilken modell man väljer så delas säkerhetsansvaret mellan parterna. Allt som din organisation placeras i molnet är ditt ansvar. Enligt analysföretaget Gartner kommer 95 procent av alla säkerhetsincidenter i molnet år 2020 att komma av att klienten gjort något fel. Med det i åtanke är det centralt att företagen förstår vad den delade ansvarsmodellen egentligen innebär för att kunna implementera de säkerhetslösningar som behövs för att de ska kunna fullfölja sin del av avtalet.

Molnet ger stora fördelar; det är enklare och säkrare – men de största riskerna kommer fortfarande från slutanvändarna, de beror fortfarande på ”den mänskliga faktorn”. Om du gör läxan gällande delat ansvar, implementerar kompletterande säkerhetslösningar och utbildar dina användare så kan din organisation dra full nytta av molnbaserade tjänster – utan att behöva oroa sig.

[FOTO: dyniss, Flickr.com, modifierad]