Gøran art_

Hvem har ansvar for hva når du går til skyen?

Du som kunde har ihvertfall alltid ansvar for datasikkerheten din.

Noen er redde for å gå til skyen. Noen skal gå «all in» i skyen. Noen sier at skyen er farlig og usikker. Noen sier at man skal til skyen for å oppnå god sikkerhet. Alt dette er forsåvidt riktig.

Det viktigste for deg som kunde, er kunnskap. Hva er skyen? Hvilke varianter av tjenester har man i skyen? Hvilken skyleverandør skal jeg velge for de forskjellige tjenestene jeg vurderer å sette ut? Hvilket ansvar får jeg som kunde i de forskjellige løsningene jeg kan velge fra en leverandør? Hvilket ansvar har skyleverandøren? Det er stor forskjell på IaaS, PaaS, SaaS, og flere andre, som IDaaS, BaaS, og https://en.wikipedia.org/wiki/As_a_service.

Men en ting er helt sikkert... sikkerheten til dataene er alltid ditt ansvar. 

 

Artikkelen "Mange tror leverandøren har hele ansvaret når det går galt. Det får ekspert til å rope varsko" i Digi 1. mars, omtaler ansvarsfordeling når man går til skyen. Den gang man hadde alt i eget datasenter var det ingen tvil, da visste man at man hadde alt ansvar selv:

  • Innsyn i dataene. Hvem eier dataene? Hvem har tilgang til dataene?
  • Backup av data
  • Tilgangskontroll til data og systemer
  • Sikkerhet på systemene. Kvalitetskontroll
  • Sikkerhet på epost som mottas og sendes
  • Patching og oppgradering av OS og applikasjoner

 

Men så skal man til skyen. Noen tenker tjenester og funksjoner, mens andre tenker «all in». Her er det veldig viktig å trå varsomt, ellers kan man tråkke skikkelig feil. En ting er kostnaden, men en annen og veldig viktig ting her er sikkerheten. Tenk alltid sikkerhet først. Tenk så sårbarhet, kostnad, verdi, osv. 

Hvilke typiske løsninger snakker vi om med tanke på «å gå til skyen»? Og hva er forskjellen når man går til skyen? Her kommer ansvarsfordeling inn, og den er ulik ettersom hvilken skyløsning man velger.

 

  Gøran art1_

 

Noen presenterer det slik:

Gøran art2

 

Det er en ting som aldri vil endre seg, og det er sikkerhetsansvaret for egne data. Dette vil alltid ligge på kunden. Gartner synliggjør dette veldig fint. Etter å ha googlet mange forskjellige leverandører for denne typen oppstilling, viser det seg vanskelig å finne noen som synliggjør det øverste punktet, nemlig data. Fra et salgsståsted, er ikke dette vanskelig å forstå, da dette naturligvis vil starte en ny prosess hos kunden, som helt sikkert vil forsinke salg. Synliggjøring av dette vil starte interne prosesser, som inkluderer sikkerhetsvurderinger, sårbarhetsvurderinger, risiko, osv. For dette er og burde være veldig viktig for kunden. Hvilken avtale skriver man med en leverandør? Hvor går grensen for ansvar? Hvem har ansvar for hva?

 

Her er fremstillingen til Gartner, som inneholder nettopp «data»:

Gøran art3

 

Så. Går man til skyen, hva med følgende?

  • Innsyn i dataene. Hvem eier dataene? Hvem har tilgang til dataene?
    • Dataene ligger på toppen av tjenesten, og tilgangen kontrolleres av deg som kunde, med policy definert av deg som kunde. Synlighet på dataer, er noe man ofte ikke får ut av et produkt fra skyleverandøren, og ser man ikke, kan man naturligvis heller ikke kontrollere.
  • Backup av data. Ikke for backup’ens del selvfølgelig, men for å sikre drift og sikkerhet.
    • Her er du som kunde ansvarlig. Får du dette i tjenesten, eller er dette noe du må ta ansvar på selv?
  • Tilgangskontroll til data og systemer
    • Ulike data og systemer, har forskjellige kritikalitets og sensitivitets nivåer. Synlighet og kontroll av bruker er alltid viktig. Noen ganger ønsker man kanskje multifaktor autentisering. Dette er kundens eget ansvar, både med tanke på administratortilgang, og brukere forøvrig.
  • Sikkerhet på systemene. Kvalitetskontroll
    • En tjenesteleverandør har som oftest sikkerhet og kvalitetsansvaret for sin tjeneste, opp til der skillet går til deg som kunde. Du som kunde kan legge mye på toppen, som alltid vil være ditt ansvar. Dette kan være nettverk, brannmur, servere, applikasjoner, tjenester og data. Det er derfor viktig at du som kunde tar eierskap for dette, og validerer dette regelmessig
  • Sikkerhet på epost som mottas og sendes
    • Dette har alltid vært i kundens egen interesse. Hva leverer skyleverandøren? Er det like godt? Er det godt nok? Burde man se på markedet for funksjoner og tjenester som kanskje er bedre?
  • Patching og oppgradering av OS og applikasjoner
    • SaaS: Fint, leverandøren fikser. IaaS og PaaS: Varierende i hvilken grad leverandøren kan fikse. Dette er naturligvis også viktig å ha med i tankene før man går til skyen. Hvor mye sparer man egentlig? Løsninger må fortsatt driftes forsvarlig.
 

Hva kan vi i Data Equipment hjelpe til med på disse områdene?

  • Data Equipment er partner av Cloud Security Alliance. CSA har CAIQ og CCM, verktøy for kvalitetskontroll av leverandør av tjenesten, samt kvalitetskontroll av etablert tjeneste 
  • Innsyn i data som legges i Office 365, Box, Dropbox, Google Drive, etc
    • Data Equipment kan bistå ved hjelp av Palo Alto Networks Aperture, ved at alle data analyseres, det synliggjøres hvem som eier dataene, historikk på bevegelse, hvem har tilgang, osv
  • Sikring av tilgjengelighet for data
    • Data Equipment forhandler Rubrik, som kan kjøre backup av Office 365, som en SaaS tjeneste, men også av servere og tjenester som kjører på IaaS og PaaS
  • Tilgangskontroll til data og systemer
    • Data Equipment forhandler Duo Security, som vil fungere som et nav for alle dine tjenester med tanke på sikker tilgangskontroll, på et sted. Bruker adminstrasjon et sted. App-basert godkjenning. Token-basert godkjenning. U2F
    • Alle skytjenester etableres med 3 ting: Brukernavn, passord og kredittkort. Mange har ikke etablert skikkelige passord på master-kontoene/service-kontoene og har heller ingen rutiner for å sjekke hvor disse er i bruk, eller at passordene byttes. Det er også en utfordring at svært få selskaper ikke har sjekker som ser om kontoene oppfører seg korrekt . Dette kan vi hjelpe til med med ved bruk av Thycotic Secret Server, Privileged Behavior Analytics og Privilege Manager.
  • Sikkerhet på systemene. Kvalitetskontroll
    • Data Equipment er CIS partner, Center for Internet Security, og har igjennom dette kompetanse samt tilgang til verktøy for systematisk arbeid med helhetlig sikkerhet.
    • Data Equipment er samarbeidspartner med CSA, Cloud Security Alliance, som har til oppgave å hjelpe kunder på veien til skyen, samt sikkerhet når man vel er i skyen
  • Sikkerhet på epost som mottas og sendes
    • Data Equipment har først og fremst kompetanse rundt epost, for å hjelpe kunden med anbefalinger fra NSM og Difi rundt SPF og DMARC. Men minst like viktig har vi partnerskap med Proofpoint, en markedsleder innenfor helhetlig epostsikkerhet. Dette fungerer utmerket med tjenester som f.eks Office 365, for synlighet, rapportering, kontroll og sikkerhet. 
  • IaaS og PaaS sikkerhet
    • De aller fleste har en eller flere SaaS tjenester. Det er det aller enkleste. IaaS og PaaS er litt mer omfattende, men mange har dette, i form av Azure, Amazon Web Service eller Google Cloud Platform. 
    • IaaS og PaaS vil ha behov for en brannmur, noe Data Equipment og Palo Alto Networks kan bidra med via en virtualisert brannmur, som er ansett som markedet beste. Husk: «There is no cloud, it’s just someone else’s computer”. GDPR sier du skal ha “state of the art”. Mange går til skyen uten brannmur, men benytter ACL, Access Control Lists, fra skyleverandøren, og skaper en sikkerhetsmodell som tar deg 15-20 år tilbake.
    • Palo Alto Networks har i tillegg RedLock, et verktøy som gjør et par viktige ting:
      • Compliance. Verktøyet vil gi deg synlighet, rapportering og kontroll rundt oppsett og sikkerhet i selve tjenesten, som f.eks administratortilgang, S3 sikkerhet i AWS, osv.
      • Innsyn i data som kommuniserer i skyen er naturligvis også veldig viktig for kontroll og sikkerhet, noe du vil oppnå med verktøy som dette.

 

 

For å forklare sammenstillingen på en annen måte:

Gøran art4_

 

 
Så, det er viktig å være klar over hvilke elementer man må tenke på i forbindelse med etablering av tjenester i skyen, samt hvilke tiltak man må gjøre for å kunne ha det trygt i skyen. Vi i Data Equipment stiller naturligvis opp for å diskutere de forskjellige elementene med dere, med alt fra ledelse til utøvende tekniske ressurser.