Cloudsikkerhed kalder på gode sikkerhedsdyder og en stram governance-struktur

Er det lige så sikkert at drive sin it i skyen, som det er at drive det i et traditionelt datacentermiljø? Det spørgsmål bliver til stadighed diskuteret blandt eksperter, leverandører og sikkerhedsansvarlige.

“Mit korte svar er, at ja, det er ligeså sikkert at drive sin it i skyen. For mange private og offentlige virksomheder vil det endda være mere sikkert. Dels fordi cloudleverandøren står for vedligehold og sikkerhedsopdatering af løsningen, og dels fordi en cloudleverandør bruger flere ressourcer på at udvikle sikkerhedsfunktionalitet, end de fleste virksomheder nogensinde kommer til,” siger Anders Ahlgreen Pedersen, Manager of Security and Network i KMD.

Gamle og nye sikkerhedsdyder

Han understreger dog, at øget sikkerhed ikke automatisk følger med, bare fordi man lægger sine løsninger i skyen. 

Der er stadig brug for de klassiske sikkerhedsdyder internt i virksomheden. Det vil sige, at virksomhedens sikkerhedsansvarlige selv skal sørge for at beskytte den eksisterende infrastruktur såsom endpoints, netværk og e-mails. De fleste sikkerhedsbrud på cloudløsninger sker ikke gennem tekniske sårbarheder i platformen, men ved at cyberkriminelle udnytter menneskelige sårbarheder, overtager en medarbejders konti og derfra tilgår virksomhedens data.

Den nye opgave for sikkerhedsansvarlige i et cloudbaseret setup består i at integrere virksomhedens sikkerhedspolitik med de sikkerhedsfeatures, cloudleverandøren stiller til rådighed. Hvis en udvikler eksempelvis er i gang med at udvikle en ny virksomhedsapplikation i skyen, skal der på forhånd være defineret en politik, der eksempelvis sikrer, at serveren er nedlåst og ikke har adgang til internettet.

Opbygningen af en god governance-struktur

Det leder hen til opbygningen af en god governance-struktur. For udover at holde både gamle og nye sikkerhedsdyder i hævd kræver et helt eller delvist cloudbaseret it-miljø også, at der er etableret en række processer, som styrer og monitorerer sikkerheden på tværs af it-miljøet.

Hvordan skal identitetsstyring eksempelvis foregå? Hvordan skal løsningerne hente logs fra applikationer, netværk, containere osv.? Hvad skal der ske, i det øjeblik virksomheden bliver ramt af et angreb – hvem skal kontaktes, og hvilken handleplan træder i kraft? 

“Svarene på de spørgsmål skal være indarbejdet i en række faste processer, så man har det fulde overblik,” siger Anders Ahlgreen Pedersen.

Én management-løsning

Det kan umiddelbart lyde som en uoverskuelig opgave. Men det behøver det ikke at være. Faktisk findes der management-værktøjer på markedet, der er skræddersyet til håndtering af sikkerhed, governance og compliance i et hybrid cloudmiljø, hvor man binder legacy-systemer, on premise-installationer og håndteringen af flere forskellige clouds sammen i én central styringsfunktion.

Det bringer os tilbage til 1000-kroners spørgsmålet om, hvorvidt man kan få mere og bedre sikkerhed i skyen sammenlignet med traditionelle driftsetups.
Teknisk set ja. I skyen er der asset management-værktøjer, overbliksværktøjer, audit logging, tofaktor-sikkerhed, redundans, firewalls og meget andet bygget ind i en cloudplatform, som automatisk bliver opdateret, patchet og vedligeholdt.

Men alt det har ingen værdi, hvis der ikke er nogen, der ved, hvordan man udnytter cloudteknologierne og har en cloudbaseret sikkerheds- og governance-strategi for at gøre det struktureret.