– Å komme i gang med offentlige skyløsninger kan virke enkelt, men vår erfaring viser at det for mange organisasjoner kan være krevende å ha kontroll på plattformen. Løsningen kan involvere flere skyleverandører, og det er stadig nye endringer og oppdateringer å forholde seg til.
Dette sier Marius Sandbu. Som fagansvarlig for offentlige skyløsninger i TietoEVRY har han lang erfaring med å hjelpe ulike typer virksomheter til sky.
I IDC Nordic Cloud Survey 2020 kom det fram at mange bedrifter underveis i skytransformasjoner møter utfordringer med tanke på risikostyring, sikkerhet og manglende ekspertise. I denne prosessen kan en partner som TietoEVRY gjøre en stor forskjell.
Sandbu forteller at ledende leverandører som Google, Amazon og Microsoft publiserer opp mot 2000 oppdateringer årlig, og antallet vil bare øke fremover. På den ene siden kan disse endringene representere en risiko, men på den andre siden kan de også bety sikrere, mer effektive og kostnadseffektive tjenester.
– Eksempelvis har en av skyleverandørene nylig introdusert en ny, virtuell infrastruktur basert på kraftigere hardware. For en av kundene våre betydde dette en billigere og mer effektiv infrastruktur, migrasjonen fra gammel til ny hardware gikk problemfritt, sier Sandbu.
Men for å komme gjennom alle disse endringene er det viktig å ha de rette prosessene på plass. Dette handler også om å evaluere og forstå endringene og hvordan de kan virke inn på allerede eksisterende tjenester.
– Det viktigste er å overvåke tjenestene bygd på offentlige plattformer, og å beholde kontrollen over dataene. Spørsmålet er hvordan det er lurt å gå fram, sier Sandbu og trekker fram fem viktige byggeklosser som et steg på veien for å bygge et sikkert fundament:
Sandbu nevner noen av risikofaktorene som understreker betydningen av å ha disse
Om man ikke gjør det riktig er risikoen mye høyere for å bli utsatt for virus som kan ramme organisasjonen
Marius Sandbu
byggeklossene på plass:
– Om man ikke gjør det riktig er risikoen mye høyere for å bli utsatt for virus som kan ramme hele organisasjonen og føre til stopp i produksjonen eller andre kritiske systemer - for eksempel løsepengevirus. I tillegg ser man at trusselbildet stadig endrer seg. Dette krever at man kontinuerlig følger med på hva som kommer av verktøy til å bekjempe truslene.
Ved å bruke en del standardtjenester fra en skyleverandør vil man kunne redusere risikoen for angrep.
Mange skyleverandører har en referansearkitektur som kan brukes som utgangspunkt. Tjenester som benytter seg av en slik referansearkitektur gir gode sikkerhetsnett, men du må likevel holde øye med endringene og hva som er den beste sikkerhetspraksisen for de spesifikke tjenestene eller applikasjonene. Det gjelder å fokusere på hva som trengs for å dekke hver enkelt virksomhets behov.
Det er avgjørende å forstå de forskjellige tjenestene du kan benytte for å oppnå bedre kontroll og sikkerhet. Når det gjelder nettverksikkerhet har skyleverandørene ulike løsninger som kan brukes til å stenge av og beskytte tjenester, inkludert DdoS-beskyttelse og nettbaserte brannmurer i tillegg til mer tradisjonelle brannmurløsninger.
– I noen tilfeller vil skyleverandørenes innebygde funksjonalitet være utilstrekkelig for å dekke alle sikkerhetsbehov. I så fall må du bruke tredjepartsløsninger for å forbedre funksjonaliteten, sier Sandbu.
– Alle skyleverandører bruker kryptering i datasenterne sine. I tillegg kan de sørge for ytterligere kryptering og klassifisering basert på betingelser og mønstre i datastrømmen. Alle data er konfigurert for tilgjengelighet, og de skal kunne hentes fram uansett om for eksempel en harddisk svikter, sier Sandbu.
Hver enkelt skyleverandør har forskjellige alternativer for dataredundans på tvers av datasentre og geografiske regioner.
For å sikre standarder for risikostyring, nevner Sandbu noen viktige kriterier som bør oppfylles:
Det er viktig at virksomhetens policy blir tatt hensyn til når en tjeneste med alle de nødvendige mekanismene skal konfigureres.
– Ikke alle komponenter har logging skrudd på som standard. Selv om loggmekanismene ligger der, er det avgjørende at de skrus på for å få historikk over hvem som har hatt tilgang til en fil eller en database. Samtidig vil dette gjøre det mulig å definere varslinger, for eksempel lage en sikkerhetsalarm som utløses om noen uvedkommende har skaffet seg tilgang til en fil de egentlig ikke skulle hatt tilgang til, sier Sandbu.
Identitet og tilgangskontroll er kanskje det viktigste elementet, siden dette også angår sluttbrukere med tilgang til enkelte deler av skyplattformen og SaaS-baserte tjenester som organisasjonen har tilgang til.
Microsoft hevder at mer enn 99.9 prosent av alle kompromitterte kontoer som brukte Microsofts løsninger for identitetstilgang ikke hadde aktivert tofaktor-autentisering.
– Gjennom tofaktor-autentisering unngår man blant annet at uvedkommende kan gjenbruke brukernavn og passord. Det er også viktig å ha kontroll på hvem som til enhver tid skal ha tilgang og ikke, poengterer Sandbu.
Han nevner dataangrepet på amerikanske Colonial Pipeline i mai som et eksempel på hva som kan skje. Der benyttet uvedkommende en fortsatt aktiv brukerkonto til en tidligere ansatt for å komme seg inn. I samråd med FBI valgte selskapet å betale løsepenger i bitcoin for å gjenopprette kontroll over operasjonene sine.
Flere av de skybaserte identitetstilbyderne beveger seg nå i retning nye metoder for autentisering. Disse kan innbefatte en sikkerhetsnøkkel som sørger for passordløs autentisering og multifaktor-mekanismer.
Selv om det finnes mange sikkerhetsmekanismer i skyen, må de likevel håndteres som et integrert økosystem. Her er Sandbus viktigste tips til hva som er viktig å huske på:
– Stadig flere bedrifter er i ferd med å flytte sine data til skyen. Samtidig bygges det nye tjenester ved hjelp av skybaserte verktøy og en mer DeVOps-basert innfallsvinkel. Vi mener at det samme prinsippet bør brukes for å kontrollere skymiljøene. Dette betyr at en kodebasert tilnærming for styring og sikkerhet er essensiell, sier Sandbu.
For å illustrere hvor fort endringene skjer, avslutter Sandbu med tre eksempler fra de store tilbyderne:
Men hvilke nye tjenester er på trappene, og hvordan kan de hjelpe bedriften din? TietoEVRY hjelper store og små virksomheter i ulike bransjer med å foreta de rette valgene, og med å få en sømløs overgang til sky. Vi kan hjelpe deg også, gjennom det vi kaller «Cloud Discovery & Assessment», som du kan lære mer om her.
