Cloud-sikkerhed er en disciplin inden for cybersikkerhed, som er dedikeret til sikring af cloud computing-systemer. Det indebærer at holde data fortrolige og sikre, på tværs af onlinebaserede infrastrukturer, applikationer og platforme. Sikringen af sådanne systemer kræver en indsats fra cloud-udbyderne og de kunder, der bruger dem. Og det gælder alt fra enkeltpersoner til små eller mellemstore virksomheder og koncerner.
Cloududbyderne hoster tjenester på deres servere, gennem konstante internetforbindelser. Fordi deres forretninger er dybt afhængige af kundernes tillid, bruger de diverse former for cloud-sikkerhed til at sikre deres fortrolige kundedata med. Cloud-sikkerheden hviler dog også på kundens skuldre. Derfor er det afgørende at forstå begge sider, for at få en sund løsning på cloud-sikkerheden.
Grundlæggende består cloud-sikkerhed af følgende kategorier:
Cloud-sikkerhed kan godt ligne klassisk IT-sikkerhed, selvom det faktisk kræver en anden tilgang. Før vi går dybere ned i det, skal vi først forstå, hvad cloud-sikkerhed går ud på.
Cloud-sikkerhed dækker teknologi, protokoller og bedste praksis, der beskytter cloud computing-miljøer, som er applikationer, der kører i skyen, og data, der opbevares i skyen eller clouden. Sikringen af cloud-tjenesterne begynder med forståelsen af det, der præcist skal sikres, samt aspekterne af det system, der skal styres.
Generelt varetages udviklingen af backendens sikkerhed af cloud-tjenesternes udbydere. Bortset fra valget af en sikkerhedsbevidst udbyder, skal kunderne primært fokusere på korrekt konfiguration af tjenesten og sikre brugsvaner. Derudover skal kunderne sørge for, at netværket og slutbrugernes hardware er sikret korrekt.
Cloud-sikkerhedens fulde omfang er designet til at beskytte følgende ting, uafhængigt af dit ansvar:
Når det gælder cloud computing, kan tingenes ejerskab variere en hel del. Det forplumrer i nogen grad omfanget af kundens sikkerhedsansvar. Da sikringen af skyen eller clouden afhænger af, hvem der styrer hvilken komponent, er det vigtigt at forstå, hvordan disse typisk grupperes.
Grundlæggende sikres cloud computingens komponenter fra to vinkler:
1. Cloud-tjenesterne tilbydes af tredjepartsudbydere, som moduler, der bruges til at skabe cloudmiljøet med. Afhængigt af tjenestens type, styrer man en vis del af komponenterne inde fra tjenesten:
2. Cloud-miljøer er implementeringsmodeller, hvor en eller flere cloud-tjenester opretter et system til slutbrugere og organisationer. De segmenter håndterer ansvaret for administrationen - herunder sikkerheden - mellem kunder og udbydere.
De cloud-miljøer, man bruger pt., er:
Når man kigger på det fra dette perspektiv, forstår man bedre, at cloud-baseret sikkerhed kan være lidt anderledes, baseret på typen af det cloudområde, som brugerne arbejder i. Men effekten mærkes både af de individuelle kunder og organisationerne.
Hver clouds sikkerhedsforanstaltninger søger opnå en eller flere af følgende:
Datasikkerhed er den del af cloud-sikkerheden, der involverer den tekniske del af trusselforebyggelsen. Værktøjer og teknologier giver udbydere og kunder mulighed for at sætte barrierer ind mellem adgangen til og synligheden af følsomme data. Der er kryptering et af de mest effektive værktøjer, der findes. Kryptering forvrænger (krypterer) data, så de kun kan læses af dem, der har krypteringsnøglen. Hvis dine data går tabt eller stjæles, vil de være helt ulæselige og meningsløse. Beskyttelse af dataoverførsel virker som virtuelle private netværk (VPN'er), fremhæves også, når det gælder cloud-netværk.
Identitets- og adgangsstyring (IAM) vedrører de adgangsrettigheder, der tilbydes brugerkontiene. Administration af godkendelser og godkendelse af brugerkonti er også omfattet af dette. Adgangskontrol er afgørende for at begrænse brugere - både legitime og ondsindede - fra at tilgå og kompromittere følsomme data og systemer. Adgangskodeadministration, flerfaktor-godkendelse og andre metoder er en del af IAM.
Governance fokuserer på politikker til trusselforebyggelse, registrering og afbødning. Hos SMV'er og større virksomheder, kan komponenter, som viden om trusler, hjælpe med at spore og prioritere trusler mhp. at beskytte vigtige systemerne omhyggeligt. Selv individuelle cloudkunder kan drage fordel af at værdsætte sikre politikker for brugeradfærd og -træning. Det gælder primært i organisationernes miljøer, selvom regler for sikker brug og respons på trusler kan være nyttige for enhver bruger.
Datalagring (DR) og planlægning af forretningskontinuitet (BC) involverer tekniske gendannelsesforanstaltninger i tilfælde af katastrofale datatab. Det centrale i enhver DR- og BC-plan er metoderne til dataredundans, som fx sikkerhedskopier. Derudover kan det hjælpe at have tekniske systemer, der sikrer uafbrudt drift. Rammer til test af sikkerhedskopiernes gyldighed og detaljerede gendannelsesinstruktioner til medarbejderne er lige så værdifulde, som del af en grundig BC-plan.
Juridisk compliance handler om at beskytte brugernes privatliv, jfr. de lovgivende organer. Regeringerne fokuserer på vigtigheden af at beskytte private brugeres oplysninger mod at blive udnyttet til andres fortjeneste. Derfor skal organisationer følge en række regler for at overholde disse politikker. En metode er brugen af datamaskering, som tilslører dataenes identitet via krypteringsmetoder.
Traditionel IT-sikkerhed har oplevet en enorm udvikling pga. overgangen til cloud-baseret computerbrug. Selvom cloud-modellerne giver større bekvemmelighed, kræver den konstante forbindelse nye overvejelser, når det gælder om at sikre alt. Cloud-sikkerhed, som en mere moderne cybersikkerhedsløsning, adskiller sig fra ældre IT-modeller på nogle få måder.
Datalagring: Den største forskel er, at de ældre IT-modeller var ekstremt afhængige af lokal datalagring. Organisationerne har for længst fundet ud af, at det er dyrt og langsommeligt at bygge alle IT-rammerne internt for at opnå detaljerede, brugerdefinerede sikkerhedskontroller. Cloud-baserede rammer har reduceret omkostningerne til udvikling og vedligeholdelse af systemerne, men til gengæld også fjernet også en vis kontrol fra brugerne.
Skaleringshastighed: På samme måde, kræver cloud-sikkerheden unik opmærksomhed, når organisationens IT-systemer skaleres. Cloud-centreret infrastruktur og apps er meget modulære og hurtige at mobilisere. Selvom den evne holder systemerne ens og tilpasset de organisatoriske ændringer, giver det anledning til bekymring, når en organisations behov for opgraderinger og bekvemmelighed overgår dens evne til at holde sig ajour med sikkerheden.
Slutbrugernes systemgrænseflader: Både organisationernes og de individuelle brugeres cloud-systemer interagerer også med mange andre systemer og tjenester, der skal sikres. Adgangstilladelserne skal vedligeholdes, lige fra slutbrugerens enheder til diverse softwares og netværk. Samtidig skal udbyderne og brugerne være opmærksomme på de sårbarheder, de kan skabe via usikre opsætninger eller deres adfærd, når de tilgår systemerne.
Nærhed til andre netværksdata og -systemer: Eftersom cloud-systemer udgør en konstant forbindelse mellem cloud-udbyderne og deres brugere, kan det enorme netværk også kompromittere udbyderen selv. I disse netværkslandskaber, kan en enkelt sårbar enhed eller komponent udnyttes til at inficere resten med. Cloud-udbyderne udsætter sig for trusler fra de mange slutbrugere, som de interagerer med, uanset om de leverer datalagring eller andre tjenester. Der hviler også et yderligere ansvar for netværkets sikkerhed på de udbydere, der ellers leverer produkter, som udelukkende lever på slutbrugernes systemer, i stedet for deres egne.
Det, at løse de fleste cloud-sikkerhedsproblemer, betyder, at brugerne og cloud-udbyderne - både i de personlige og virksomhedernes miljøer - begge skal agere proaktivt med hensyn til deres egne roller ift. cybersikkerheden. Den tostrengede tilgang betyder, at brugerne og udbyderne i fællesskab skal adressere:
I sidste ende skal cloud-udbydere og -brugere bruge gennemsigtighed og ansvarlighed for at sikre, at begge parter holdes sikre.
Hvad er sikkerhedsproblemerne ved cloud computing? Hvis du ikke kender dem, hvordan skal du så iværksætte de passende foranstaltninger? Når alt kommer til alt, kan en begrænset cloud-sikkerhed udsætte brugere og udbydere for alle mulige former for trusler mod cybersikkerheden. Nogle af de typiske trusler mod cloud-sikkerheden er:
Den største risiko ift. clouden eller skyen er, at der ikke er nogen ydre afgrænsning. Traditionel cybersikkerhed fokuserer på at beskytte den ydre afgrænsning, men cloud-miljøer er ekstremt forbundne, hvilket betyder, at usikre API'er (applikationers programmeringsgrænseflader) og kapringer af konti kan udgøre reelle problemer. Når specialister i cybersikkerhed møder sikkerhedsrisici i forbindelse med cloud computing, skifter de til en datacentrisk tilgang.
Indbyrdes forbindelser udgør også problemer for netværk. Ondsindede aktører bryder ofte ind i netværkene via kompromitterede eller svage legitimationsoplysninger. Når hackerne tiltvinger sig adgang, ofte gennem kompromitterede eller svage legitimationsoplysninger, kan de let udvide og udnytte dårligt beskyttede grænseflader i skyen til at finde data via forskellige databaser eller knudepunkter. De kan endda bruge deres egen cloud-servere som destinationer, hvortil de kan eksportere og gemme alle de stjålne data. Sikkerheden skal ligge i skyen – den skal ikke bare beskytte adgangen til dine cloud-data.
Tredjeparts lagring af dine data og adgangen via internettet udgør også individuelle trusler. Hvis disse tjenester af én eller anden grund afbrydes, kan din adgang til dataene gå tabt. Fx kan en afbrydelse telefonens netværk betyde, at du ikke kan tilgå skyen på et vigtigt tidspunkt. Strømafbrydelser kan også påvirke datacentret, hvor dine data ligger gemt, muligvis med permanent tab af data.
Sådanne afbrydelser kan få flere langsigtede konsekvenser. En nylig strømafbrydelse på en af Amazons cloud-anlæg medførte, at nogle kunder mistede deres data, da servernes hardware blev beskadiget. Det er et godt eksempel på, hvorfor du bør have lokale sikkerhedskopier af (mindst) dine vigtigste data og applikationer.
I 1990'erne lå alle forretnings- og personoplysninger lokalt - lige som sikkerheden også var lokal. Dataene lå på en PC's interne lager derhjemme eller på virksomhedens servere, hvis man arbejdede for en virksomhed.
Den nye cloud-teknologi tvang alle til at revurdere deres cybersikkerhed. Dine data og applikationer kan flyde mellem lokale og eksterne systemer - og kan altid tilgås via internettet. Hvis du bruger Google Docs på din smartphone eller benytter Salesforce-software til at administrere dine kunder med, kan de data ligge hvor som helst. Derfor er det også vanskeligere at beskytte dem nu, end dengang, hvor det kun var et spørgsmål om at forhindre uønskede brugere i at få adgang til dit netværk. Cloud-sikkerhed kræver en vis tilpasning af tidligere IT-procedurer, og er blevet stadig vigtigere af to primære årsager:
Desværre er de ondsindede aktører godt klar over værdien af de cloud-baserede mål og fokuserer i stigende grad deres ressourcer på at udnytte dem. Selvom mange cloud-udbydere klarer mange sikkerhedsopgaver for deres kunder, administrerer de ikke alt. Det tvinger selv ikke-tekniske brugere til at uddanne sig mht. cloud-sikkerhed.
Når det er sagt, står brugerne ikke alene med ansvaret for skyens sikkerhed. Når man er opmærksom på omfanget af sine sikkerhedsopgaver, bidrager det til, at hele systemet bliver langt mere sikkert.
Der er indført en række love, som beskytter slutbrugerne mod salg og deling af deres følsomme data. General Data Protection Regulation (GDPR) og Health Insurance Portability and Accountability Act (HIPAA), som begge søger at beskytte privatlivets fred, hvilket begrænser, hvordan data må gemmes og tilgås.
Man bruger metoder til identitetshåndtering, som fx datamaskering, til at adskille identificerbare egenskaber fra brugernes data for at overholde GDPR. For at overholde HIPAA, skal organisationer, som fx arbejder med sundhed og helbred, sørge for, at deres udbydere også opfylder deres ansvar mht. at begrænse dataadgang.
CLOUD-loven pålægger cloud-udbyderne deres egne juridiske begrænsninger, potentielt på bekostning af brugernes fortrolighed. Amerikansk, føderal lov tillader nu håndhævelse af loven på føderalt niveau mhp. at kræve udlevering af data fra cloud-udbydernes servere. Selvom det betyder en mere effektiv efterforskning, kan det også omgå visse rettigheder mht. privatlivets fred og medføre potentielt magtmisbrug.
Heldigvis er der meget, du kan gøre for at beskytte dine egne data i clouden eller skyen. Lad os kigge på nogle af de populære metoder.
Kryptering er en af de bedste måder at sikre dine cloud computing-systemer på. Der findes flere forskellige måder at bruge kryptering på, som fx tilbydes af en cloud-udbyder eller en separat leverandør af sikkerhedsløsninger til skyen:
Inde i skyen, er der større fare for at dataene kan opfanges, når de flytter sig. Når de bevæger sig fra en lagerplads til en anden eller overføres til din lokale applikation, er de sårbare. Derfor er end-to-end kryptering den bedste skysikkerhedsløsning til vigtige data. Takket være end-to-end kryptering, kan din kommunikation aldrig tilgås af udenforstående, uden din krypteringsnøgle.
Du kan enten kryptere dine data selv, før du gemmer dem i skyen, eller du kan bruge en cloud-udbyder, der krypterer dine data som en del af tjenesten Hvis du kun bruger skyen til at gemme ikke-følsomme data i, som fx firmalogoer eller videoer, kan end-to-end kryptering godt virke lige i overkanten. Omvendt, er det afgørende, når det gælder økonomiske, fortrolige eller kommercielt følsomme oplysninger.
Når du bruger kryptering, skal du huske, at sørge for en sikker administration af dine krypteringsnøgler. Opbevar en sikkerhedskopi, og lad være med at gemme den i skyen. Det kan også være en god idé at ændre dine krypteringsnøgler regelmæssigt. Dermed kan du skifte dem ud, og låse systemet, hvis nogen får adgang til dem.
Konfiguration er en anden stærk praksis inden for cloud-sikkerhed. Mange brud på cloud-dataenes sikkerhed skyldes basale sårbarheder, som fx fejl i konfigurationen. Når du undgår dem, øger du din cloud-sikkerhed markant. Hvis du ikke føler dig tryg ved at gøre det selv, kan du overveje at bruge en separat leverandør af cloud-sikkerhedsløsninger.
Her er et par principper, du kan følge:
Basaletip til cybersikkerheden bør indgå i enhver cloud-implementering. Selvom du bruger skyen, bør du aldrig ignorere diverse standardpraksisser vedrørende cybersikkerhed. Derfor er det værd at overveje følgende, hvis du vil være så sikker som muligt på nettet:
Sikkerhedsrisici ifm. cloud computing kan påvirke alle, lige fra virksomhederne til de enkelte brugere. Forbrugerne bruger fx skyen til at gemme og sikkerhedskopiere filer i (via tjenester som Dropbox), til tjenester som e-mail- og office applikationer eller til at udfylde skatteformularer og regnskaber med.
Det kan også være en fordel at overveje, hvordan du deler dine cloud-data med andre, især hvis du arbejder som konsulent eller freelancer. Selvom fildeling på Google Drive eller andre tjenester kan være en nem måde at dele arbejdet med kunderne på, skal du altid sørge for, at du administrerer tilladelserne korrekt. Alt andet lige, vil du gerne sikre dig, at dine forskellige kunder ikke ser hinandens navne eller mapper eller kan ændre i den andres filer.
Husk, at mange af de typiske tjenester, som opbevarer data i skyen, ikke krypterer dataene. Når du vil beskytte dine data med kryptering, skal du selv bruge en krypteringssoftware til at gøre det med, før du overfører dataene. Derefter giver du dine kunder en nøgle – så de kan læse filerne.
Sikkerhed bør være et af de vigtigste punkter, som man skal overveje, når man vælger sin cloud-sikkerhedsudbyder. Din cybersikkerhed ikke længere bare dit eget ansvar: virksomhederne, der sælger cloud-sikkerhed, skal gøre deres del til at skabe et sikkert cloud-miljø - og dele ansvaret for datasikkerheden.
Desværre vil firmaerne næppe give dig tegningerne til deres netværkssikkerhed. Det ville svare til, at banken gav dig oplysningerne om deres boks - med koden til pengeskabet.
Når du får de rigtige svar på nogle grundlæggende spørgsmål, øger det tilliden til, at dine cloud-aktiver er sikre. Derudover vil du være mere opmærksom på, om din udbyder har adresseret de åbenlyse sikkerhedsrisici ved clouden korrekt. Vi anbefaler, at du stiller din cloud-udbyder følgende spørgsmål:
Du skal også sikre dig, at du har læst din udbyders servicevilkår (TOS). Det er afgørende at gennemgå dem, for at forstå, om du får præcist det, du ønsker og har brug for.
Sørg for at tjekke, om du kender alle de tjenester, din udbyder bruger. Hvis dine filer ligger på Dropbox eller sikkerhedskopieres via iCloud (Apples opbevarings-cloud), kan det fx betyde, at de faktisk opbevares på Amazons servere. Derfor skal du tjekke AWS, samt den tjeneste, du bruger direkte.
Hybride cloud-sikkerhedsløsninger kan være et rigtigt klogt valg for større og mindre virksomhedskunder. De er idéelle for større og mindre virksomhedsapplikationer, da de typisk er for komplekse til personlig brug. Det er også den slags organisationer, der kan udnytte kombinationen af cloudens skalering og tilgængelighed, med lokal kontrol over specifikke data.
Her er et par sikkerhedsfordele ved hybride cloud-sikkerhedssystemer:
Segmentering af tjenester hjælper organisationer med at styre, hvordan deres data tilgås og gemmes. Hvis du fx gemmer mere følsomme data lokalt, mens du lægger andre data, applikationer og processer i skyen, kan det hjælpe dig med at lagdele og placere din sikkerhed korrekt. Derudover kan dataenes adskillelse optimere organisationens evne til at følge de lovbestemte dataregler.
Redundans kan også opnås via hybride cloud-miljøer. Når den daglige drift kører via offentlige cloud-servere, mens systemerne sikkerhedskopieres på lokale dataservere, kan organisationerne holde deres drift kørende, hvis et datacenter sættes offline eller inficeres med ransomware.
Mens visse virksomheder insisterer på at have deres helt egen sky – internettets måde at eje sin egen kontorbygning eller anlæg på – må enkeltpersoner og mindre virksomheder typisk bruge de offentlige cloud-tjenester. Det virker lige som et kontorfællesskab eller en boligblok med hundredevis af lejere. Derfor skal din sikkerhed være din primære fokus.
Når det gælder små til mellemstore virksomheders applikationer, styres cloud-sikkerheden primært af de offentlige udbydere, du bruger.
Der er dog en række foranstaltninger, man kan sætte i værk, for at beskytte sig selv:
Eftersom cloud computing nu bruges af mere end 90 % af de større virksomheder, er cloud-sikkerhed en vigtig del af virksomhedens cybersikkerhed. Private cloud-tjenester og anden omkostningstung infrastruktur kan være idéelle for organisationer på virksomhedsniveau. Man skal dog stadig sikre sig, at IT-afdelingen har styr på at vedligeholde alle netværkenes overflader.
Når det gælder mere omfattende virksomhedsbrug, kan cloud-sikkerheden gøres langt mere fleksibel, hvis man foretager nogle investeringer i infrastrukturen.
Der er nogle vigtige ting, man skal huske på:
Så uanset om du er en individuel bruger, SMV-bruger eller endda cloud-bruger på Enterprise-niveau - er det vigtigt at sikre sig, at netværket og enhederne er så sikre som muligt. Det starter med at få en god forståelse af den grundlæggende cybersikkerhed, på individuelt brugerniveau, og sikre sig, at netværket og alle enhederne beskyttes af en robust sikkerhedsløsning, der er bygget til skyen.
Relaterede produkter:
Relaterede artikler: