Allt fler applikationer har de senaste åren flyttats till molnet istället för att köras och underhållas lokalt. Men hur fungerar det egentligen, och är molnet tillräckligt säkert? I denna blogg går vi igenom hur molnsäkerhet fungerar och tipsar om saker att tänka på.
Många företag och organisationer har flyttat sina applikationer och data till molnet istället för att ta på sig kostnaden för hårdvara och att köra samt underhålla applikationer lokalt själva. Andra hanterar sina data i lokala system, men lagrar sina säkerhetskopior i molnet. Oavsett vilket tillvägagångssätt man väljer kan frågor kring molnbaserad säkerhet uppstå.
Vad är molnsäkerhet?
Molnsäkerhet är en uppsättning policyer, metoder och tekniker utformade för att skydda infrastrukturen, data och applikationer som används i molnet oavsett om det är ett privat, offentligt eller hybridmoln. Syftet är att skydda de data som finns i molnet, vilket innefattar:
- Skydd mot stöld, obehörig radering och dataläckage
- Skydd mot cyberattacker och obehörig åtkomst
- Trygghet och säkerhet för att stödja regelefterlevnad
Molnsäkerhet autentiserar också rollbaserad åtkomst och kan konfigureras för att möta organisationers olika behov. För att säkerställa det bästa molnskyddet behöver ditt företag ha ett nära samarbete med molnleverantören, som kan skräddarsy säkerheten utifrån företagets behov.
Datasäkerhet i molnet kontra datasäkerhet lokalt
Företag kan välja att säkerhetskopiera och skydda sina data lokalt, i molnet eller genom att kombinera båda. Företag och organisationer kan exempelvis tillämpa något av följande scenarion:
- Scenario 1: Ni kör hela IT-processen på ett lokalt system och säkerhetskopierar datan i ett datacenter på plats. Detta kräver datasäkerhet på plats.
- Scenario 2: Ni kör hela IT-processen på ett lokalt system och säkerhetskopierar data i ett privat eller offentligt moln. Om det är ett privat moln måste data i molnet säkerhetskopieras och interna IT-experter måste anställas för att hantera den privata molninfrastrukturen.
- Scenario 3: Ni använder molnbaserade SaaS-applikationer och säkerhetskopierar dina data till annat offentligt moln eller till ett lokalt system.
Oavsett vilken strategi för säkerhetskopiering ditt företag väljer är det viktigt att följa 3-2-1 regeln för säkerhetskopiering. Anledningen?
- I scenario 1 kan till exempel naturkatastrofer eller lokala bränder förstöra era lokala system och säkerhetskopior. Cyberbrottslingar kan attackera era slutpunkter och alla enheter som är anslutna till företagets nätverk, inklusive säkerhetskopior på plats. Lokala säkerhetskopior kan vara ett bekvämt återställningsalternativ, men är sårbara för lokal dataförlust. Därför bör du ha ytterligare en till säkerhetskopia som lagras utanför företaget, exempelvis i molnet.
- I scenario 2 säkerställer en andra säkerhetskopia, lagrad utanför platser och isolerad från ditt nätverk, att data överlever alla hot mot dina lokala slutpunkter, nätverk eller säkerhetskopior. Säkerhetskopiering till molnet är bekvämare, konsekvent och säkrare än att transportera enheter med säkerhetskopieringsfiler utanför platsen. En lokal säkerhetskopia är också nödvändig för redundans och snabbare återställning om vald data skulle behöva återställas.
- I scenario 3 är det viktigt att komma ihåg att SaaS-leverantören endast ansvarar för att se till att deras infrastruktur är tillgänglig. Detta innebär att även om den säkrar sin infrastruktur för att möta servicenivåavtal (SLA) säkrar den inte ditt företags data. Att säkerhetskopiera och återställa företagets data ansvarar ditt företag för.
Vikten av integritet i molnet
Datasäkerhet i molntjänster är lika viktig som datasäkerhet för dina lokala system. Under de tidiga dagarna av molntjänster var många företag ovilliga att flytta sina applikationer till molnet av rädsla för dataförlust och dataläckage. Molnleverantörer har dock ofta bevisat att deras procedurer för övervakning av molnsäkerhet håller data privat och säker. De är till och med ofta säkrare än säkerheten i många lokala system – särskilt om det handlar om ett litet eller medelstort företag. Leverantörer av molnlösningar har en fördel här eftersom de kan anställa kvalificerad säkerhetspersonal och betala dem därefter. Du eller ditt företag är dock fortfarande ansvariga för att se till att de säkerhetsåtgärder som tillhandahålls av molnleverantören är korrekt konfigurerade. En artikel från Gartner har fastslagit att:
“Utmaningen är inte själva molnets säkerhet, utan policyerna och teknikerna för säkerhet och kontroll av tekniken. I nästan alla fall är det användaren, inte molnleverantören, som inte hanterar kontrollerna för att skydda en organisations data”.
Hur fungerar molnsäkerhet?
Det finns ett antal tekniker, policys och procedurer som molnleverantören bör använda för att säkerställa säkerheten för data som lagras i molnet. Vid val av molnleverantör bör endast de som baserar sina säkerhetspolicys och procedurer på allmänt accepterade internationella säkerhetsstandarder och tar hänsyn till lokala bestämmelser övervägas.
Sådana internationella standarder kan vara exempelvis ISO 27001 och en lokal uppsättning regler som skulle behöva beaktas kan bland annat innefatta GDPR.
Följande är en lista över andra tekniker och metoder som din organisation bör följa och/eller leta efter hos en molnleverantör:
- Datakryptering: Ditt företag bör kryptera sin data redan innan ni skickar den till molnet, med en stark kryptering som AES 256. Företaget ställer in kryptering och endast behöriga användare inom företaget kan komma åt den. Molnleverantören ska inte kunna se er data då den lagras i krypterad molnlagring.
- Säker kommunikation: Metadata ska vara krypterad och all ledningskommunikation mellan era system och leverantörens moln ska ske över säkra kanaler med SSL-kryptering. Detta innebär att alla aspekter av dina data är säkra hela tiden.
- Webbapplikationsbrandvägg: Leverantören bör använda en webbapplikationsbrandvägg (WAF) som ger omedelbart skydd mot SQL-injektion, cross-stite scripting, obehörig resursåtkomst, fjärrfillinkludering och andra QWASP-hot (Open Web Applikation Security).
- Datacentersäkerhet: Det fysiska datacentret måste vara mycket säkrat med höga stängsel, säkerhetspersonal dygnet runt och videoövervakning med 90 dagars arkivering. Biometriska handgeometriska skanningar och närhetsnyckelkort bör också krävas för åtkomst.
- Datacentertillgänglighet: Molnleverantörens infrastruktur måste uppfylla SLA:er med hög tillgänglighet genom att upprätthålla redundant infrastruktur för att minimera driftstopp och eliminera enskilda felpunkter. Vidare ska strömförsörjningssystemen i datacentret garantera en oavbruten strömförsörjning för hela infrastrukturen, dygnet runt. Automatisk avbrottsfri strömförsörjning skyddar mot överspänningar vid byte av kraftledningar och ger strömstöd vid byte till dieselgeneratorer. Datacentren bör också drivas av minst två oberoende strömkällor.
- Regelbundna säkerhetskopieringar: Molnleverantören måste utföra regelbundna säkerhetskopieringar enligt ett överenskommet schema för att säkerställa att dina data är skyddade även i händelse av ett större avbrott.
- Professionellt förhållningssätt: Leverantören bör också ha implementerat en strikt sekretesspolicy, affärsetik och uppförandekod för alla anställda. Detta inkluderar bakgrundskontroller, sekretessavtal och principerna för åtskillnad av arbetsuppgifter, behov av kunskap och minst privilegierad tillgång. Dessa är nödvändiga för att skydda mot illvilliga eller oavsiktligt farliga handlingar från insiders. Strikt åtkomstkontroll, multifaktorsautentisering och omfattande aktivitetsinloggning säkerställer att endast lämpade personer har tillgång till känsliga system.