Molnsäkerhet är ett delat ansvar för säkerheten mellan molnleverantören och organisationen. Organisationen är dock alltid ytterst ansvarig för att säkra sina egna data. Det handlar om att säkra data, applikationer och infrastruktur som är relaterade till detta – inklusive policyer, teknik och kontroller.
Molnbaserade applikationer och data som följer med dem sprids allt mer i olika miljöer för att förbättra organisationens flexibilitet och för att minska kostnaderna. Dessa miljöer inkluderar privata moln, offentliga moln (hybrid eller dedikerad) och mjukvara som en tjänst (SaaS) – alla typer av applikationer ger sina egna unika fördelar men också utmaningar kring säkerheten.
Oron som finns för exponering av data har gjort molnsäkerhet prioriterad. Utmaningen har blivit att förhålla sig till organisationens behov av flexibilitet, samtidigt som man förbättrar säkerheten för applikationer och säkra datat när det rör sig mellan de olika molnen. Att få synlighet och förhindra attacker som försöker ta ut viktig data, både från en extern plats och genom en lateral attack, blir avgörande på alla delar där applikationerna och datan finns.
Det finns ett antal olika grupper inom en organisation som kan vara ansvariga för molnsäkerhet: nätverksteamet, säkerhetsteamet, applikationsteamet, efterlevnadsteamet eller infrastrukturteamet. Molnsäkerhet är dock också ett delat ansvar mellan molnleverantören och organisationen.
Organisationen ansvarar för alla aspekter av säkerhet för molnet eftersom det finns i ett eget datacenter. Detta inkluderar fysiska nätverk, infrastruktur, hypervisor, virtuellt nätverk, operativsystem, brandväggar, serverkonfiguration, identitets- och åtkomsthantering, etc. Företaget äger också data och all säkerheten för datat.
I publika moln, såsom AWS® eller Microsoft® Azure ™, äger molnleverantören infrastruktur, fysiska nätverk och hypervisor.
Leverantören äger appalikationer, virtuellt nätverk, accessen till miljön/konton och datat. Publika moln är lämpligt säkra för många typer av arbetsbelastningar, men är inte rätt för allt, främst för att de saknar isolering av privata moln. Publika moln stöder multitenancy, vilket innebär att ni “hyr” datorkraft (eller lagringsutrymme) från molnleverantören tillsammans med andra “hyresgäster”. Varje hyresgäst undertecknar en SLA med molnleverantören som dokumenterar vem som är ansvarig och för vad. Det är ungefär som att hyra ett fysiskt utrymme från en hyresvärd. Hyresvärden (molnleverantören) lovar att underhålla byggnaden (molninfrastruktur), hålla nycklarna (åtkomst) och i allmänhet hålla sig borta från hyresgästen (integritet). I gengäld lovar hyresgästen att inte göra något (t.ex. köra program utan säkerhet) som skulle skada byggnadens integritet eller störa andra hyresgäster. Men ni kan inte välja era grannar, och det är möjligt att det kan sluta med att en granne som släpper in något skadligt. Medan molnleverantörens infrastruktursäkerhetsteam tittar på ovanliga händelser kan smygande eller aggressiva hot – som skadliga DDoS-attacker – fortfarande påverka andra hyresgäster negativt.
Lyckligtvis finns det vissa branschaccepterade säkerhetsstandarder, regler och kontrollramar. Ni kan även isolera er i en miljö med flera hyresgäster genom att distribuera ytterligare säkerhetsåtgärder (som kryptering och DDoS-begränsningstekniker) som skyddar arbetsbelastningar från en komprometterad infrastruktur. Om det inte räcker kan ni släppa “molnåtkomstmäklare” för att övervaka aktivitet och genomdriva säkerhetspolicyer för företag med låg risk. Även om allt detta kanske inte är tillräckligt för industrier som arbetar under strikta regler för integritet, säkerhet och efterlevnad.
Software-as-a-service (SaaS) är en on-demand molnbaserad programvaruleveransmodell som gör det möjligt för organisationer att prenumerera på de applikationer de behöver utan att host:a dem internt. SaaS är en av flera kategorier av molnabonnemangstjänster, inklusive plattform-som-tjänst och infrastruktur-som-tjänst. SaaS har blivit allt populärare eftersom organisationer inte behöver köpa servrar, annan infrastruktur eller ha en intern supportpersonal. Istället är en SaaS-leverantör värd och tillhandahåller SaaS-säkerhet och underhåll till sin programvara.
SaaS-leverantörer är huvudsakligen ansvariga för säkerheten på sin plattform, som inkluderar fysisk säkerhet, infrastruktur och applikationssäkerhet. Dessa leverantörer äger inte kundinformationen eller tar ansvar för hur kunderna använder applikationerna. Exempelvis ansvarar organisationen för säkerhet som skulle förhindra och minimera risken för skadlig kod att filtrera ut data eller oavsiktlig exponering.
När organistionen övergår från privat till offentlig moln eller till SaaS-applikationer, övergår mer av ansvaret för att säkra applikationer och infrastruktur till molnleverantören. Oavsett vilken plattform som används kommer företaget emellertid alltid att ansvara för säkerheten för sina egna data.
Även om molntjänsteleverantören garanterar mycket, så är det ändå mycket viktigt att en organisation har rätt verktyg på plats för att hantera och säkra riskerna effektivt för att hålla sitt data säkert. Dessa verktyg måste ge synlighet i aktiviteter inom SaaS-applikationen och detaljerad analys av användningen för att förhindra dataförluster och säkerställa efterlevnad av uppsatt policy.
Verktyg kan exempelvis omfatta iintelligenta policykontroller för att säkerställa säkerhetsnivå och process för karantänsättning om en incident inträffar och Threat intelligence information i realtid på kända och okända hot som upptäckts.