Public Cloud - datasikkerhed, ansvar og bivirkninger

Klumme: Det er fortsat en udfordring for virksomheder at holde styr på ansvarsfordelingen, når der indgås aftaler med cloud-service leverandører. Læs her, hvordan du kan gribe opgaven an.

19. juli 2018 kl. 11.03

Rasmus Hasenfuss Barner
Cloud security advisor, Improsec

 

Denne klumme er et debatindlæg og er alene udtryk for skribentens synspunkter.

Cloud er forretningsmæssigt attraktiv og har gjort det muligt at være mere omkostningseffektiv, agil og innovativ, hvorfor mange virksomheder vælger helt eller delvist at flytte deres workloads derud. 

Når beslutningen er truffet om ikke at bygge selv, men konsumere i stedet, er antagelsen i mange virksomheder til stadighed, at ansvaret for at sikre data tilhører leverandøren af den konsumerede service. 

Antagelsen er bestemt ikke urimelig, men når alt kommer til alt, kan man ikke outsource sit ansvar. 

Det er fortsat en udfordring for virksomheder at holde styr på ansvarsfordelingen, når der indgås aftaler med cloud-service leverandører. 

Dog er det uomtvisteligt, at det endegyldige ansvar for beskyttelse af virksomhedernes data ligger hos virksomheden selv.

I klummen her berører jeg nogle af virkningerne forbundet med ”udflytningen” til public cloud og disse gælder i udgangspunktet også for eksempelvis Microsoft produkter, så som OneDrive og SharePoint. 

Begge giver mulighed for deling og synkronisering på kryds og tværs, både internt og eksternt. 

Det giver stof til eftertanke i forhold til en række udfordringer skitseret nedenfor. 



Bivirkninger og sikkerhedsproblemer

Virksomheder har sædvanligvis haft styr på og kontrol over data, så længe det har været placeret på interne systemer i egne datacentre. 

Sædvanligvis, eftersom vi bestemt også har set eksempler på det modsatte. Brugen af cloud, og rykket mod selvsamme, er fortsat opadgående, og især public cloud ser ud til at få større opmærksomhed. 

En rapport fra RightScale viser en stigning fra 29 procent i 2017 til 38 procent 2018, altså en forøgelse på otte procent, hvilket indikerer, at virksomhederne prioriterer netop denne type implementeringsmodel sammenlignet med de øvrige. 

Der er bivirkninger forbundet med ”udflytningen” til public cloud.

Bevægelsen fra on-premise til public cloud har desværre haft en del negative konsekvenser og en lind strøm af databrud, hvilket i mine øjne er stærkt bekymrende. 

Jeg står langt fra alene med den bekymring, og i den seneste rapport fra CSA indtager databrud ikke overraskende en velfortjent førsteplads. 

Rapporten er baseret på kvalificeret input fra sikkerhedseksperter der, på baggrund af en spørgeskemaundersøgelse, forsøger at kortlægge og rangere de væsentligste sikkerhedsproblemer i cloud. 



Databrud og politikker

Skrækeksempler er der nok af, og jeg kan i flæng nævne sagerne fra Verizon, Pentagon, Tesla. 

Seneste fine tilfælde kommer fra amerikanske LocalBlox, hvor profildata fra prominente virksomheder som Facebook, Twitter og LinkedIn lå frit tilgængelige. 

Men hvorfor er det, at vi ser et så bekymrende højt antal databrud? 

Cloud-service-leverandører, som eksempelvis Microsoft og Amazon, sørger for at holde virksomheden i hånden med guidelines samt reference arkitektur beskrivelser og gør en dyd ud af at levere ydelser og services, der i udgangspunktet er sikkerhedsmæssigt forsvarlige. 

Til gengæld er det i sidste ende op til virksomheden selv at anvende dem korrekt og på en hensigtsmæssig måde, der så vidt muligt matcher virksomhedens sikkerhedspolitik. 

Hvor nedslående det så end er, så forudser Gartner i en undersøgelse, at slutbrugeren i 2020 selv vil være skyld i 95 procent af sikkerhedshændelserne i cloud (!) 

Her finder vi sandsynligvis en af årsagerne til de mange databrud. 

Et godt og tilbagevendende problem er forekomsten af offentligt tilgængelige Amazon S3 data buckets med mere eller mindre sensitive data (hvem sagde GDPR?). 

Til trods for, at Amazon har ændret standardindstillingerne, når S3 buckets konfigureres, så de ikke som standard står pivåbne, så sker der af uransagelige årsager en ændring af rettighederne – til det dårligere vel og mærke. 

Det kan der være gode grunde til, men i langt størstedelen af de tilfælde, jeg har være vidne til, skyldes det i udgangspunktet manglende agtpågivenhed og uvidenhed om konsekvenserne. 



Løsning – hvor ligger den?

Som virksomhed er det helt afgørende at stille sig selv en række fundamentale spørgsmål til datasikkerheden:

• Hvilken type data har vi?
• Hvor befinder data sig?
• Hvem har adgang til vores data?
• Hvordan anvender og håndtere vi vores data?
• Hvordan sikrer vi vores data ved brug, under transmission og når data er lagret?
• Hvordan tilgår vi, internt og eksternt, samt partnere vores data? 

Når det grundlæggende analysearbejde og politikkerne er på plads, så gælder det først og fremmest om at uddanne virksomhedens medarbejdere i datasikkerhed samt oplyse om tilknyttet risici. 

Rådet her gælder for så vidt almindelige medarbejdere som gruppen, der er udpeget som administratorer for den konsumerede service i cloud. 

Sørg derefter for at implementere en sikker konfigurationsstandard, så der er en ensartethed og konsensus hver gang services benyttes. 

Knyt hertil processer og procedurer for identificering og kontrol af sensitive data. 

For både Microsoft Azure samt Amazon Web Services gælder det, at der allerede eksisterer værktøjer, der kan hjælpe med en sådan opgave. 

Tillid er godt, kontrol er bedre. Derfor gælder det om at indsamle tilstrækkelig loginformation samt etablere monitorering og overvågning til identificering af eventuelle sikkerhedshændelser.