Säkerhet i molnet är alltmer viktigt när företag börjar inse riskerna med att företag använder molntjänster. Säkerhetsproblem används som argument för att hålla organisationer utanför molnet. Idag är säkerhet en av de viktaste försäljningsargumenten för företag som säljer molntjänster.
Vad är molnet?
Molntjänster har ett brett användningområde och kan användas för att lagra information på ett smidigt och lönsamt sätt.
Introduktion till cloud:
Definitionen på vad som menas med molntjänsterenligt Nationalencyclopedin: “molnet, datamolnet, datormolnet, externt serverutrymme för datortjänster som är tillgängliga via Internet från enskilda datorer”. Exempel på datortjänster som kan användas inom molnet är datafilslagring, applikationer och program. När dessa datortjänster körs på Internet utgör de tillsammans så kallade molntjänster”.
Varför används molntjänster?
Anledningen att man kör molnlösningar är ofta ekonomiska eftersom företagen inte satsar på sin egna infrastruktur. Framgångsrika cloudtjänster är också ofta enkla att använda dvs användarvänliga – annars hade de inte varit framgångsrika.
Olika typer av moln?
Allt fler företag väljer en multi-cloud strategi för att minska risken och ge mer flexibilitet. Samtidigt behövs fler leverantörer och satsa mer på utbildning eftersom teamen måste lära sig flera plattformar. Företag kommer behöva kartlägga sina behöv för att utvärdera vilka lösningar som de ska använda sig av. Detta behöver göras tillsammans med de olika avdelningarna så att IT-avdelningen inte blir en stopp kloss i företagets innovation och digitala utveckling.
Privat moln
Ett privat moln är avsett för användning av en specifik organisation. Det är endast denna organisationen som ska ha tillgång till molnet och det som lagras i det. Molnet kan styras av organisationen eller en 3:e part eller en kombination av dessa.
Publikt moln
Publika moln och dess infrastruktur kan vara tillgängligt för allmänheten eller en större industriell organisation. Molnet kan ägas, styras och hanteras av exempelvis ett företag, organisation, myndighet, skola eller en blandning av dessa.
Samhällsmoln
I ett så ”samhällsmoln” kan en bestämd grupp bestå av flera organisationer som använda sig av molnet. Denna typen av moln används av organisationer med samma krav kring molnets uppbyggnad, exempelvis när det gäller säkerhetskrav eller policies. Ett samhällsmoln styrs och hanteras av en tredje part, en eller flera organisationer inom den bestämda gruppen eller en kombination av dessa.
Hybridmoln
Hybridmoln består av en kombinationen av två eller flera publika, privata eller samhällsmoln. Infrastrukturen är anpassad beroende på vilka kombinationer som används. De respektive molnen kvarhåller sina unika egenskaper och tillsammans ses dessa kombinationer som en enhet som utgör ett hybridmoln.
Hybrid miljöer skapar också komplexitet och en lösning som de flesta företag har. Företag kommer jobba aktivt med att lösningarna ska fungera sömlöst med program mellan olika plattformar. Att de olika lösningarna har inbyggd säkerhet från början kommer bli allt vanligare vid kravställningarna.
Går det att leva utan de stora IT-jättarna?
Det finns många anledningar till att de stora IT-jättarna är dominerande och skapat sig monopol kring cloud tjänster. De har under många år investerat i en omfattning som traditionella företag har svårt att matcha då dessa har helt andra affärsmodeller. De stora leverantörerna kan också aggregera och använda data för att identifiera och hantera cyberhot. Effektiv maskininlärning kräver massiva mängder av data och ingen har till gång till mer data än leverantörerna av molntjänster.
De stora jättarna Amazon, Facebook, Google, Apple och Microsoft är alla molnbaserade och i extremt svårt att inte använda sig i sitt dagliga liv. Reportern Kashmir Hill utförde testet att leva några veckor utan de stora företagens cloudlösningar genom att blocka dem genom en VPN. Det visade sig betydligt svårare än väntat speciellt tjänster som Amazon Cloud som används av flera andra företag.
De stora it-jättarna och den amerikanska underrättelsetjänsten
Amerikanska underrättelsetjänsten har ingångar hos samtliga IT-jättar i Sillicon Valley vilket innebär att företagens cloudlösningar potentiellt kan användas för industriellt spionage. Amazon har utvecklat GovCloud som är en kommersiell molntjänst till den amerikanska underrättelsetjänsten. Flera underrättelsetjänster som NSA och FBI har utvecklat tekniker för att använda Facebook som ett övervakningsverktyg.
Google har en säljkår i Washington-området för att kunna anpassa sina tekniska produkter till behov hos militären, myndigheter och underrättelsetjänsten. Google har kontrakt för att tillhandahålla sökning och geospatial information till den amerikanska regeringen och haft partnerskap med NSA.
Microsoft Office 365
Office 365 är Microsoft molntjänst och alltfler företag byter ut Microsoft Exchange mot Exchange Online och Office 365. Ett företag som har lösningar för Microsoft Office 365 är Mimecast som har en centralt hanterad molnlösnining som komplement till Office 365. Programmet har ett utökat skydd mot riktade nätfiskeangrepp.
Juridiska regler som reglerar molntjänster
Nya lagar som GDPR i Europa och US Cloud Act som gäller i alla länder innebär stora risker för företag att skydda sina företagshemligheter eler få dryga böter.
Cloud security act är till viss del den amerikanska motsvarigheten till GDPR men istället för att skydda användarnas privacy och integritetet har de fokuserat att få tillgång till information. Lagstiftningen skapar stora problem för EU företag som vill använda amerikanska molntjänster som gör det möjligt för FBI och andra amerikanska myndigheter att gå in i vilken server som helst även om den är i Europa.
Cloud security act innebär att amerikas brottsbekämpande myndigheter kan kräva att data och e-post uppgifter överlämnas om de lagras av ett amerikanskt företag, oavsett var i världen uppgifterna lagras. Detta får allvarliga konsekvenser för EU-organisationer som använder offentliga molntjänster men även kring sociala medier som Facebook, Linkedin och Google.
Cloud security act handlar om att få tillgång till data som kan gömmas runt om i världen i molnet och dra nytta av olika jurisdiktioner och lagar. GDPR är dess motsats och handlar om dataskydd och individuella integritetsrättigheter och tvingar företag som bearbetar uppgifter om EU-medborgare att vara mycket mer försiktiga med dessa data.
Icke sanktionerade molntjänster
Det finns nya begrepp som Shadow IT vilket innebär att anställda i hemlighet använder molntjänster som inte är sanktionerade av företaget.
Servicemodeller för moln
- Mjukvara-som-service (SaaS)
- Plattform-som-service (PaaS)
- Infrastruktur-som-service (IaaS)
- Antivirus som molntjänst (Cloud-AV)
Molntjänster inom IT-säkerhetsområdet
Introduktion och syftet med Cloud Controls Matrix. CSA’s Cloud Controls Matrix (CCM), är en del av CSA’s GRC Stack toolkit som används både av de som säljer cloudtjänster och cloud kunder samt cloud editors. CCM ser till att man följer grundläggande principer och krav för molnsäkerhet som ingår i relevanta säkerhetsstandarder och lagstiftningar.
Bland intressanta molntjänster och företag iinom säkerhetsområdet enligt en artikel i Business Insider finns olika cloud management lösningar.
- Adallom Cloud Application Security Platform
- Alert Logic Cloud Defender
- Bitglass Enterprise Edition (BEE) jobbar med förhindra dataläckor (dataleak prevention) från data på 3:e partsdata och mobiltelefoner
- Elastica CloudSOC Platform
- FireLayers Secure Cloud Gateway (SCG)
- Illumio säkrar molntjänster med Adaptive Security Platform (ASP)
- iSheriff Cloud Security
- Lumeta Enterprise Situational Intelligence (ESI)
- Netscope – jobbar med shadow IT
- Puppet.com – jobbar med cloud management och automatiserar moderna data centers.
- Okta hanterar lösenord
- Avanan
- Vaultive
- Hexatier
- Cloudlock
- Cato Networks
- Skyformation
- Forty Cloud
- Securigo
- Sookasa
- Skyhigh Network som jobbar med shadow IT
- SumoLogic- hjälper IT-avdelningar med att identifiera problem som de inte visste att de hade
