I skyggen av dette fokuset har mange sikkerhetseksperter påpekt en rekke utfordringer ved å ta i bruk offentlige skyløsninger levert fra utenlandske aktører. Som alt annet er det ikke noe binært total-svar på om det er et godt eller dårlig valg, sikrere eller mindre sikkert, billigere eller dyrere.
For å kunne besvare det spørsmålet må hver enkelt virksomhet se på sine behov og vurdere hvordan de best kan løses. Det som derimot er sikkert er at å flytte virksomheten sin ut i skyen er et paradigmeskifte i hvordan vi jobber, og at det nettopp er sikkerhet som gjør at du faktisk kan flytte ut i skyen.
Så når vi har bestemt oss for å gå i skyen er det viktig å huske på at det til syvende og sist er vi selv som kunder som sitter med det endelige ansvaret for sikkerheten på våre systemer, og da skal man være klar over truslene og scenariene man står overfor.
Her er 12 trusler du må ta høyde for når du skal ut å fly blant luftslottene.
1. Dine ansatte
Har man i mange år jobbet med drift og utvikling innenfor sikre soner uten direkte tilgang til internett så sitter man muligens med noen vaner man ikke kan ta med seg til skyen. Skyen er et paradigmeskifte for drift og utvikling. Ikke bare er data eksponert på en helt annen måte, som legger nye krav til hvordan de skal sikres, men systemene rundt og lagringsrutiner kan være mer sårbare ved feil bruk og feil konfigurasjoner.
Det har vært mange historier de senere årene hvor S3 buckets har blitt lagt åpne på nettet, at utviklere har publisert nøkler og sertifikater i systemer med manglende tilgangsstyring. Dette har gjort at data har kommet på avveie, data har blitt manipulert eller slettet, trusselagenter har lastet opp malware eller dyre skøyerstreker som å makse opp en virksomhets bruk av ressurser.
Det er uhyre viktig at de ansatte får nødvendig opplæring i hvordan man jobber mot offentlige skyløsninger. Både teknisk, men også holdningstrening kan være nødvendig.
2. Tillitt
Den største utfordringen rundt skyløsninger er at du oppbevarer det helligste av det hellige for din virksomhet hos en annen virksomhet, som kanskje ligger i utlandet og potensielt er underlagt andre lover og regler enn våre. Skyleverandøren har både fysisk og virtuell tilgang til dine data og systemer, og kontrakter er bare ord på papir. Det er umulig å komme seg unna denne trusselen.
Her må man velge seg en partner og stole på den. Man kan også gjøre tekniske tiltak på løsningene sine som støtter opp under tilgangbegrensning og minsker angrepsflaten.
Les mer: 8 risikoer ved å benytte Github eller andre kodehus
3. Fysisk tilgang
De fleste skyleverandørene er av en slik størrelse at det kan være komplisert, eller veldig dyrt, å få på plass en avtale med navngitte ansatte hos skyleverandøren som har tilgang til dine systemer og data.
Det de derimot bør ha på plass er en detaljert dokumentert strategi rundt sin daglige praksis. Denne bør kunder be om innsyn på for å kunne verifisere at skyleverandøren, eller deres underleverandører, har rutiner for trusler rundt fysisk tilgang.
4. Vendor Lock-In
Hver skyleverandør har sin funksjonalitet og sin egen måte å gjøre ting på. Dette kan gjøre det utfordrende å migrere fra en skyleverandør til en annen på en enkel og billig måte. Jo flere funksjoner fra skyen du inkorporerer i dine systemer, jo vanskeligere blir det å forlate din valgte partner. På den andre siden, jo færre funksjoner du inkorporerer jo flere løsninger må du levere selv, og de vil sannsynligvis ikke være like gode som de du kunne kjøpt ferdig.
Tar du i bruk skyen så må du belage deg på vendor lock-in. Skal du få mest for pengene og best sikkerhet rundt systemene så er det løsningene levert fra skyleverandør som fungerer best. Vi anbefaler derfor å bruke de. Det er sjelden at virksomheter i Norge har ressurser nok til å kunne utvikle bedre løsninger enn f.eks. GCP eller AWS. Det beste du kan gjøre her er å lage en meget detaljert kravspesifikasjon og velge den skyleverandøren som leverer best på dine behov. Det å gå til skyen med en plan om at du skal forlate skyen eller migrere raskt kan fort skape flere risikoer enn fordeler.
Last ned vår guide der sikkerhetsekspert Even Lysen gjennomgår hvordan du kan utføre sikkerhetstesting gjennom hele utviklingsløpet.
5. Compliance
Som kunde kan man være underlagt lovbestemte krav om tilgang til data og systemer, hvor data kan og ikke kan lagres, hvordan sensitive data skal oppbevares og arbeides med og så videre.Det er kundens ansvar å be skyleverandører legge frem dokumentasjon som beviser at de er sertifisert innenfor anerkjente sikkerhetsmetodikker eller jobber i tråd med lover og forskrifter. Altså, kunde må validere om skyleverandører kvalifiserer som leverandør basert på juridiske krav (eks: GDPR).
6. Logisk vs. Fysisk Separasjon
Skal kundens systemer kjøre på hardware som deles med andre kunder, eller skal de kjøre på egen dedikert hardware, altså fysisk separert fra andre kunders systemer. Siste valget er naturligvis det tryggeste, men det er også det klart dyreste. Det er heller ikke sikkert at skyleverandøren kan tilby alle tjenester på fysisk separerte miljøer.
De siste årene har det blitt oppdaget flere sårbarheter i hardware som kan lede til at en bruker av en skytjeneste kan få innsyn i en annen kundes systemer. Meltdown og Spectre er to av de mer utfordrende sårbarhetene som har kommet for skyleverandører. Dette er sårbarheter som finnes i nesten alle CPUer som er utviklet de siste 20 årene.
Som kunde er det viktig at man har oversikt over hvordan skyleverandøren utfører hendelseshåndtering, varsling, dokumentering og kommunisering rundt sikkerhetsrelaterte hendelser.
7. Least-Privilege
Videre fra punktet over bør sikkerhetsstrategien til skyleverandøren tydelig utdype at de følger et least-privilege regime. Det betyr at de ansatte skal aldri ha mer tilgang enn det de trenger for å utføre sine arbeidsoppgaver.
Denne beste-praksisen gjelder også kundens egne ansatte som skal jobbe på skyløsningene.
8. Logging
Det er viktig å skille mellom applikasjonslogger som kunden selv har tilgang til, og skyleverandørens infrastrukturlogger som kunden oftest ikke har tilgang til. Hvordan logger skyleverandøren hendelser på kundens systemer, hvor sendes logger, hvordan beskyttes logger og hvem har tilgang til de?
Kunder bør få en beskrivelse av skyleverandørens logger på infrastrukurnivå for å avgjøre om det er tilstrekkelig. Logger er noe av det viktigste beviset i etterforskningsarbeid rundt sikkerhetshendelser, og det er derfor viktig å få det bekreftet at skyleverandøren tar logg-integritet på alvor. Loggene bør være på egendefinert format, være på milisekundnivå og hver loggmelding bør ha en checksum og GUID. De sistnevnte kravene til logging gjelder forsåvidt like mye for kundens egne applikasjonslogger.
9. DDoS angrep
Ved å flytte ut i skyen så øker du din angrepsflate, synlighet og tilittssirkel. DDoS (Distributed Denial of Service angrep – hindre tjenester å fungere ved å bruke opp systemets ressurser) angrep er fortsatt populært, og er man i skyen kan dette raskt påvirke din virksomhet selv om det er naboen din som er angrepet.
De største aktørene på markedet er godt skodd for dette, men mindre aktører kan få utfordringer. Samtidig begynner også DDoS angrep å ta i bruk skyen selv for å kunne raskt skalere opp når de utfører et angrep.
Skyleverandøren bør kunne legge frem dokumentasjon på hvordan de håndterer slike angrep for å kunne levere på din virksomhets SLA krav.
10. Malware
Skyleverandører er naturlige mål for trusselagenter ettersom de har data fra så mange virksomheter, både store og små, private og offentlige. En trusselagent kan også bli kunde hos skyleverandørene og laste opp egne sårbare applikasjoner i håp om å misbruke de for å gå etter andre kunder (ref. Meltdown og Spectre).
Les mer: De 10 mest populære malware-teknikkene for dagens digi-skurker
11. Naturkatastrofer
Ved første øyekast er det lett å dra på smilebåndet når man leser naturkatastrofer som en trussel, men skyleverandører er datasentere på like linje som gamle. Selv om de kanskje er bedre beskyttet, både fysisk og virtuelt for trusselagenter, så trenger de fortsatt strøm, nettverk, bygninger og vedlikehold. Det er ikke uvanlig at moder natur lar det blåse litt kraftigere eller regne litt mer til tider, og slike hendelser kan ta ut strøm, forårsake fysisk skade eller hindre fysisk tilgang til bygg. Vi skal ikke lenger tilbake enn 6 Juni i 2019 hvor visse veier i Oslo plutselig lå under 70 centimeter vann, og lynet tok strømmen fra 35 000 husstander.
Skyleverandører tar høyde for klima ved utbygging av sine datasenter, men naturen gir ingen garantier. De fleste store skyleverandørene benytter alternative strømtilførseler som egne aggregat, muligheten til å migrere tjenester og data, og sist, men ikke minst, omfattende backup-og-restore systemer.
Det er viktig at alle slike detaljer er godt dokumentert i avtaler mellom skyleverandør og kunde. Alle garantier koster penger, og det kan være lavere priser for mindre sikring eller at man godtar lenger ventetid før tjenester er 100% oppe igjen. Det kan være egne klausuler som gjelder spesifikt ved naturkatastrofer og lokasjon av datasenter og kunde.
12. Backup-and-Restore rutiner
Som nevnt i forrige punkt så kan det være store forskjeller i kvalitet og ventetid vedrørende gjenreisning av tjenester og data. SLA krav er som vanlig på plass og tidlig diskutert, men det som mange glemmer er hvordan backup lagres, hvem skal ha tilgang, og ved utskiftning av hardware som kan inneha spor av kundenes data, hvordan garanteres at data ikke kommer på avveie.
Det anbefales at kunde får garantier dokumentert og signert i avtalen hvilken prosess skyleverandøren benytter for destruering av hardware som kan inneha spor av kundens data, og geografiske begrensninger på hvor skyleverandør lagrer data og backup kopier.
Hvordan utføre sikkerhetstesing gjennom hele utviklingsløpet?
Last ned vår guide der sikkerhetsekspert Even Lysen gjennomgår hvordan du kan utføre sikkerhetstesting gjennom hele utviklingsløpet.