Säkerhet i molnet är alltmer viktigt när företag börjar inse riskerna med att företag använder molntjänster. Molntjänster har ett brett användningområde och kan användas för att lagra information på ett smidigt och lönsamt sätt. Men nya lagar som US Cloud act och GDPR innebär stora risker för företagen.
Vad är molnet?
Introduktion till cloud:
Definitionen på vad som menas med molntjänsterenligt Nationalencyclopedin: “molnet, datamolnet, datormolnet, externt serverutrymme för datortjänster som är tillgängliga via Internet från enskilda datorer”. Exempel på datortjänster som kan användas inom molnet är datafilslagring, applikationer och program. När dessa datortjänster körs på Internet utgör de tillsammans så kallade molntjänster”.
Varför används molntjänster?
Anledningen att man kör molnlösningar är ofta ekonomiska eftersom företagen inte satsar på sin egna infrastruktur. Framgångsrika cloudtjänster är också ofta enkla att använda dvs användarvänliga – annars hade de inte varit framgångsrika.
Olika typer av moln?
Allt fler företag väljer en multi-cloud strategi för att minska risken och ge mer flexibilitet. Samtidigt behövs fler leverantörer och satsa mer på utbildning eftersom teamen måste lära sig flera plattformar. Företag kommer behöva kartlägga sina behöv för att utvärdera vilka lösningar som de ska använda sig av. Detta behöver göras tillsammans med de olika avdelningarna så att IT-avdelningen inte blir en stopp kloss i företagets innovation och digitala utveckling.
Privat moln
Ett privat moln är avsett för användning av en specifik organisation. Det är endast denna organisationen som ska ha tillgång till molnet och det som lagras i det. Molnet kan styras av organisationen eller en 3:e part eller en kombination av dessa.
Publikt moln
Publika moln och dess infrastruktur kan vara tillgängligt för allmänheten eller en större industriell organisation. Molnet kan ägas, styras och hanteras av exempelvis ett företag, organisation, myndighet, skola eller en blandning av dessa.
Samhällsmoln
I ett så ”samhällsmoln” kan en bestämd grupp bestå av flera organisationer som använda sig av molnet. Denna typen av moln används av organisationer med samma krav kring molnets uppbyggnad, exempelvis när det gäller säkerhetskrav eller policies. Ett samhällsmoln styrs och hanteras av en tredje part, en eller flera organisationer inom den bestämda gruppen eller en kombination av dessa.
Hybridmoln
Hybridmoln består av en kombinatione av två eller flera publika, privata eller samhällsmoln. Infrastrukturen är anpassad beroende på vilka kombinationer som används. De respektive molnen kvarhåller sina unika egenskaper och tillsammans ses dessa kombinationer som en enhet som utgör ett hybridmoln.
Microsoft Office 365
Office 365 är Microsoft molntjänst och alltfler företag byter ut Microsoft Exchange mot Exchange Online och Office 365. Ett företag som har lösningar för Microsoft Office 365 är Mimecast som har en centralt hanterad molnlösnining som komplement till Office 365. Programmet har ett utökat skydd mot riktade nätfiskeangrepp.
Juridiska regler som reglerar molntjänster
Cloud security act är till viss del den amerikanska motsvarigheten till GDPR men istället för att skydda användarnas privacy och integritetet har de fokuserat att få tillgång till information. Lagstiftningen skapar stora problem för EU företag som vill använda amerikanska molntjänster som gör det möjligt för FBI och andra amerikanska myndigheter att gå in i vilken server som helst även om den är i Europa.
Cloud security act innebär att amerikas brottsbekämpande myndigheter kan kräva att data och e-post uppgifter överlämnas om de lagras av ett amerikanskt företag, oavsett var i världen uppgifterna lagras. Detta får allvarliga konsekvenser för EU-organisationer som använder offentliga molntjänster men även kring sociala medier som Facebook, Linkedin och Google.
Cloud security act handlar om att få tillgång till data som kan gömmas runt om i världen i molnet och dra nytta av olika jurisdiktioner och lagar. GDPR är dess motsats och handlar om dataskydd och individuella integritetsrättigheter och tvingar företag som bearbetar uppgifter om EU-medborgare att vara mycket mer försiktiga med dessa data.
Icke sanktionerade molntjänster
Det finns nya begrepp som Shadow IT vilket innebär att anställda i hemlighet använder molntjänster som inte är sanktionerade av företaget.
Servicemodeller för moln
- Mjukvara-som-service (SaaS)
- Plattform-som-service (PaaS)
- Infrastruktur-som-service (IaaS)
- Antivirus som molntjänst (Cloud-AV)
Molntjänster inom IT-säkerhetsområdet
Introduktion och syftet med Cloud Controls Matrix. CSA’s Cloud Controls Matrix (CCM), är en del av CSA’s GRC Stack toolkit som används både av de som säljer cloudtjänster och cloud kunder samt cloud editors. CCM ser till att man följer grundläggande principer och krav för molnsäkerhet som ingår i relevanta säkerhetsstandarder och lagstiftningar.
Bland intressanta molntjänster och företag iinom säkerhetsområdet enligt en artikel i Business Insider finns olika cloud management lösningar.
- Adallom Cloud Application Security Platform
- Alert Logic Cloud Defender
- Bitglass Enterprise Edition (BEE) jobbar med förhindra dataläckor (dataleak prevention) från data på 3:e partsdata och mobiltelefoner
- Elastica CloudSOC Platform
- FireLayers Secure Cloud Gateway (SCG)
- Illumio säkrar molntjänster med Adaptive Security Platform (ASP)
- iSheriff Cloud Security
- Lumeta Enterprise Situational Intelligence (ESI)
- Netscope – jobbar med shadow IT
- Puppet.com – jobbar med cloud management och automatiserar moderna data centers.
- Okta hanterar lösenord
- Avanan
- Vaultive
- Hexatier
- Cloudlock
- Cato Networks
- Skyformation
- Forty Cloud
- Securigo
- Sookasa
- Skyhigh Network som jobbar med shadow IT
- SumoLogic- hjälper IT-avdelningar med att identifiera problem som de inte visste att de hade
