Sky: trussel eller trygghet?

av Truls Vaagan - Agency Director og ansvarlig for Sopra Sterias RightCloud-portefølje | minutter å lese

Kan skytjenester være med på å redusere risikoen i de digitale sikkerhetsutfordringene som mange virksomheter står ovenfor – eller hadde vi vært tryggere uten? 

I Lynskarp-webinaret «Sky: Trussel eller trygghet?», presenterte Sopra Sterias skyevangelist Marius Sandbu, hva som må til for å sørge for nødvendig sikkerhet på de skytjenestene vi tar i bruk. Risikoene og sårbarhetene han presenterte er vel så gjeldende også for virksomheter som bruker «tradisjonelle» datasenter-løsninger, enten hos driftsleverandør eller i egne datasentre.

Min påstand er at, rent teknisk, så er de store skyleverandørene (Google, AWS, Microsoft) sine skyløsninger mye sikrere enn det noen norske driftsselskaper kan tilby. Utfordringen er dermed ikke skyleverandørenes løsninger, men hvordan de blir implementert og konfigurert, og hvordan vi unngår menneskelige feil. 

I hovedsak så er det tre områder som gjør at tjenestene er utsatt og innebærer en risiko for virksomheter:  

  1. Ransomware  
  2. Feilkonfigurerte tjenester
  3. DDoS-angrep (distribuert tjenestenektangrep) 

Ransomware er kjent for de fleste og innebærer økt oppmerksomhet både fra sluttbrukere, men også IT-avdelingen og skyleverandørene. Selv om skyleverandørene isolert sett sørger for ekstremt trygge løsninger både på IaaS (Infrastructure as a Service), PaaS (Platform as a Service) og SaaS (Software as a Service), så er det lett å glemme å ta trusselbildet alvorlig, og bare lene seg tilbake. Daglig blir norske virksomheter bombardert med angrep på ulike fronter, og kun et fåtall av angrepene er kjent for «folk flest». Angrepene skjer ofte, og hvis noen klikker på en lenke i en e-post, kan angriperne ha fått full kontroll, infisert og kryptert virksomhetens data innen få timer. 

Feilkonfigurerte tjenester (manuelle feil) utgjør også en stor sikkerhetsrisiko når virksomheter tar i bruk skytjenester. Her kan angripere typisk gjennomføre såkalte «brute force»-angrep med brukernavn og passord mot tjenester som ikke har to-faktorautentisering eller enkelt finne andre åpne innganger hvis virksomheten ikke har fulgt skyleverandørens beste praksis. Dette kan være knyttet til for eksempel nettverk, servere, tilganger, policies og lignende.  

En ny utfordring som dukker opp med skytjenestene er farten på endring og nye tjenester som skyleverandørene kommer med. De siste årene har det vært en økning på cirka 30 prosent år for år, noe som betyr flere tusen nye tjenester hvert år. Dette sørger for at det er vanskelig for virksomheter å forstå og sette seg inn i sikkerheten knyttet til disse tjenestene. Noen ganger kan også ønsket om å ta i bruk ny funksjonalitet, gå foran behovet om å sikre tjenestene som tas i bruk. Det er derfor veldig viktig at virksomhetene gjør kontinuerlig vurdering av sikkerheten på skytjenestene som tas i bruk, samt sørge for å følge skyleverandørens anbefalinger om konfigurasjon og bruk. 

DDoS-angrep (distribuert tjenestenektangrep) er en tredje sikkerhetsrisiko som virksomheter veldig ofte rammes av. I motsetning til ransomware, hvor hensikten er å få tilgang til, ødelegge eller tilgjengeliggjøre sensitiv data, er hensikten med et DDoS å lamme nettsider, servere, nettverk eller tjenester på en slik måte at de ikke kan brukes. I sommer ble det hittil største DDoS-angrepet målt til 17 millioner forespørsler per sekund, noe som lammer alle tjenestene som blir angrepet. 

Selv om teknologien som benyttes med skytjenester er annerledes enn i et tradisjonelt datasenter og angrepsmåtene er annerledes, så er slike angrep allikevel ikke noe nytt. Selv tradisjonelle datasentre må ha riktig sikkerhet på både teknologi og rutiner. Den største forskjellen fra bare noen få år siden, er omfanget og frekvensen av trusselen: Antallet angrep øker drastisk år for år.  

Fordelen med offentlige skytjenester er at sikkerhetsløsningene er veldig tilgjengelige, både innebygde fra skyleverandøren og tredjepartsløsninger. De store skyleverandørene har også flest (og mange av de beste?) sikkerhetsekspertene med på laget. Microsoft har for eksempel over 3 500 sikkerhetseksperter som kontinuerlig jobber med å sikre kundenes løsninger og videreutvikle sikkerhetsløsningene. Tradisjonelle datasenter og klient-løsninger har ofte ikke like oppdaterte sikkerhetsløsninger, arkitekturen kan være gammel og tilgangsstyring er ofte ikke veldig sikker, ofte uten flerfaktorautentisering. 

Min påstand er derfor at det er enklere og billigere å sikre løsningene ved å ta i bruk offentlige skytjenester enn å oppgradere en gammel datasenterløsning. Det forutsetter at tjenestene brukes på riktig måte. Noen overordnede prinsipper som bør følges: 

  • Zero-trust-arkitektur: ikke stol på noen! 
  • Sørg for sikkerhet også i applikasjonslaget, ikke bare infrastrukturlaget (IaaS)
  • Konstant sikkerhetsovervåking og backup bak definerte sikkerhetsmekanismer
  • Rollebasert tilgangskontroll (brukere og utviklere må kun ha tilgang til det de trenger)
  • Sørg for transparens/synlighet (for sikkerhetsteamet) på logger og hendelser i alle lag
  • Multifaktorautentisering på alle tjenester, med minimum tofaktorautentisering
  • Opplæring av ansatte: fokusér på sikkerhet og fornuft (for eksempel knyttet til ransomware via e-post-phishing)
  • Ha et fornuftig passordregime (for strengt regime er like skadelig som for enkelt)
  • Benytt kontinuerlig oppdaterte plattformtjenester der det er mulig 

Følger du alle disse punktene bør du ha et godt grunnlag til å føle deg sikker på dine skytjenester.  

 

Vil du snakke med oss om sky?

 

Se webinaret "Sky: Trussel eller trygghet"

 

Se de andre tre webinarene i serien.

 

 

Search
Se alle blogginnleggene våre