<img height="1" width="1" style="display:none;" alt="" src="https://px.ads.linkedin.com/collect/?pid=441681&amp;fmt=gif">

19 april 2021

Hvem har ansvar for hva når du går til skyen?

Skrevet av: Øystein Kaldhol Palo Alto Networks | Skysikkerhet | Sikkerhetstjenester
5 min lesetid

19. april 2021

Du som kunde har i hvert fall alltid ansvar for datasikkerheten din.

Noen er redde for å gå til skyen. Noen skal gå «all in» i skyen. Noen sier at skyen er farlig og usikker. Noen sier at man skal til skyen for å oppnå god sikkerhet. Alt dette er for så vidt riktig.

Det viktigste for deg som kunde, er kunnskap. Hva er skyen? Hvilke varianter av tjenester har man i skyen? Hvilken skyleverandør skal jeg velge for de forskjellige tjenestene jeg vurderer å sette ut? Hvilket ansvar får jeg som kunde i de forskjellige løsningene jeg kan velge fra en leverandør? Hvilket ansvar har skyleverandøren? Det er stor forskjell på IaaS, PaaS, SaaS, og flere andre, som IDaaS, BaaS, og andre typer As a service.

Men en ting er helt sikkert... sikkerheten til dataene er alltid ditt ansvar. 

Artikkelen "Mange tror leverandøren har hele ansvaret når det går galt. Det får ekspert til å rope varsko" i Digi 1. mars 2019, omtaler ansvarsfordeling når man går til skyen. Den gang man hadde alt i eget datasenter var det ingen tvil, da visste man at man hadde alt ansvar selv:

  • Innsyn i dataene. Hvem eier dataene? Hvem har tilgang til dataene?
  • Backup av data
  • Tilgangskontroll til data og systemer
  • Sikkerhet på systemene.
  • Kvalitetskontroll
  • Sikkerhet på epost som mottas og sendes
  • Patching og oppgradering av OS og applikasjoner

Men så skal man til skyen. Noen tenker tjenester og funksjoner, mens andre tenker «all in». Her er det veldig viktig å trå varsomt, ellers kan man tråkke skikkelig feil. En ting er kostnaden, men en annen og veldig viktig ting her er sikkerheten. Tenk alltid sikkerhet først. Tenk så sårbarhet, kostnad, verdi osv. 

Hvilke typiske løsninger snakker vi om med tanke på «å gå til skyen»? Og hva er forskjellen når man går til skyen? Her kommer ansvarsfordeling inn, og den er ulik ettersom hvilken skyløsning man velger.

Noen presenterer det slik:

AzureServicesOverview


Det er en ting som aldri vil endre seg, og det er sikkerhetsansvaret for egne data. Dette vil alltid ligge på kunden. Gartner synliggjør dette veldig fint, og det er noe som bør være veldig viktig for kunden. Hvilken avtale skriver man med en leverandør? Hvor går grensen for ansvar? Hvem har ansvar for hva?

Her er fremstillingen til Gartner, som inneholder nettopp «data»:

xaas-gartner-definitionsj

 

Går man til skyen, hva med følgende?

  • Innsyn i dataene. Hvem eier dataene? Hvem har tilgang til dataene?
    • Dataene ligger på toppen av tjenesten, og tilgangen kontrolleres av deg som kunde, med policy definert av deg som kunde. Synlighet er noe man ofte ikke får ut av et produkt fra skyleverandøren, og ser man ikke, kan man naturligvis heller ikke kontrollere.
  • Backup av data. Ikke for backup’ens del selvfølgelig, men for å sikre drift og sikkerhet.
    • Her er du som kunde ansvarlig. Får du dette i tjenesten, eller er dette noe du må ta ansvar på selv?
  • Tilgangskontroll til data og systemer
    • Ulike data og systemer, har forskjellige kritikalitets og sensitivitets nivåer. Synlighet og kontroll av bruker er alltid viktig. Noen ganger ønsker man kanskje multifaktor autentisering. Dette er kundens eget ansvar, både med tanke på administratortilgang, og brukere forøvrig.
  • Sikkerhet på systemene. Kvalitetskontroll
    • En tjenesteleverandør har som oftest sikkerhet og kvalitetsansvaret for sin tjeneste, opp til der skillet går til deg som kunde. Du som kunde kan legge mye på toppen, som alltid vil være ditt ansvar. Dette kan være nettverk, brannmur, servere, applikasjoner, tjenester og data. Det er derfor viktig at du som kunde tar eierskap for dette, og validerer dette regelmessig
  • Sikkerhet på epost som mottas og sendes
    • Dette har alltid vært i kundens egen interesse. Hva leverer skyleverandøren? Er det like godt? Er det godt nok? Burde man se på markedet for funksjoner og tjenester som kanskje er bedre?
  • Patching og oppgradering av OS og applikasjoner
    • SaaS: Fint, leverandøren fikser. IaaS og PaaS: Varierende i hvilken grad leverandøren kan fikse. Dette er naturligvis også viktig å ha med i tankene før man går til skyen. Hvor mye sparer man egentlig? Løsninger må fortsatt driftes forsvarlig.
 

Hva kan vi i Data Equipment hjelpe til med på disse områdene?

  • Data Equipment er partner av Cloud Security Alliance. CSA har CAIQ og CCM som er verktøy for kvalitetskontroll av leverandør av tjenesten, samt kvalitetskontroll av etablert tjeneste. 
  • Innsyn i data som legges i Office 365, Box, Dropbox, Google Drive, etc
    • Data Equipment kan bistå ved hjelp av Palo Alto Networks Aperture, ved at alle data analyseres,. Det synliggjøres hvem som eier dataene, historikk på bevegelse, hvem har tilgang osv.
  • Tilgangskontroll til data og systemer
    • Data Equipment forhandler Duo Security, som fungerer som et nav for alle dine tjenester med tanke på sikker tilgangskontroll, på et sted. Man får brukeradminstrasjon et sted, app-basert godkjenning, token-basert godkjenning og U2F.
    • Alle skytjenester etableres med tre ting: brukernavn, passord og kredittkort. Mange har ikke etablert skikkelige passord på master-kontoene/service-kontoene og har heller ingen rutiner for å sjekke hvor disse er i bruk, eller at passordene byttes. Det er også en utfordring at svært få selskaper ikke har kontrollsjekker som ser om kontoene oppfører seg korrekt . Dette kan vi hjelpe til med med ved bruk av Thycotic Secret Server, Privileged Behavior Analytics og Privilege Manager.
  • Sikkerhet på systemene - kvalitetskontroll
  • Sikkerhet på e-post som mottas og sendes
    • Data Equipment har først og fremst kompetanse rundt e-post, for å hjelpe kunden med anbefalinger fra NSM og Difi rundt SPF og DMARC. Men minst like viktig har vi partnerskap med Proofpoint, en markedsleder innenfor helhetlig e-postsikkerhet. Dette fungerer utmerket med tjenester som f.eks Office 365, for synlighet, rapportering, kontroll og sikkerhet. 
  • IaaS- og PaaS-sikkerhet
    • De aller fleste har en eller flere SaaS-tjenester. Det er det aller enkleste. IaaS og PaaS er litt mer omfattende, men mange har dette i form av Azure, Amazon Web Service eller Google Cloud Platform. 
    • IaaS og PaaS vil ha behov for en brannmur, noe Data Equipment og Palo Alto Networks kan bidra med via en virtualisert brannmur, som er ansett som markedet beste. Husk: «There is no cloud, it’s just someone else’s computer”. GDPR sier du skal ha “state of the art”. Mange går til skyen uten brannmur, men benytter Access Control Lists (ACL), fra skyleverandøren, og skaper en sikkerhetsmodell som tar deg 15-20 år tilbake.
    • Palo Alto Networks har i tillegg RedLock, et verktøy som gjør et par viktige ting:
      • Compliance: verktøyet vil gi deg synlighet, rapportering og kontroll rundt oppsett og sikkerhet i selve tjenesten, som f.eks administratortilgang, S3-sikkerhet i AWS, osv.
      • Innsyn i data som kommuniserer i skyen er naturligvis også veldig viktig for kontroll og sikkerhet, noe du vil oppnå med verktøy som dette.


For å forklare sammenstillingen på en annen måte:

pizza

Så, det er viktig å være klar over hvilke elementer man må tenke på i forbindelse med etablering av tjenester i skyen, samt hvilke tiltak man må gjøre for å kunne ha det trygt i skyen. Vi i Data Equipment stiller naturligvis opp for å diskutere de forskjellige elementene med dere, med alt fra ledelse til utøvende tekniske ressurser. Ønsker du å snakke med oss er det bare å ta kontakt.
Relaterte tema: Palo Alto Networks Skysikkerhet Sikkerhetstjenester
Øystein Kaldhol

Skrevet av Øystein Kaldhol

Senior Network Security Engineer

Sorter etter kategorier

Se flere kategorier

Meld deg på vårt nyhetsbrev