Månedens udvalgte: Sikkerhed i cloudtjenester kommer ikke af sig selv

28. april 2021 - Cloudtjenester er blevet en del af næsten alle moderne it-løsninger. De seneste år har cloudtjenester fået kæmpe succes, da de har været med til at understøtte virksomhedernes ændrede behov. Men hvad bør man være opmærksom på? Det kommer Jacob Herbst med nogle bud på i denne Månedens Udvalgte.

Begrebet cloud dækker over en bred pallette af tjenester og teknologier, som alle bygger på konceptet om eksterne computerressourcer og services, som man lejer adgang til – typisk afregnet efter hvor mange eller hvor få ressourcer, man forbruger.

Cloudtjenester kommer i forskellige varianter bl.a. som Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS) eller Infrastruktur-as-a-Service (IaaS). Eksemplerne på cloudtjenester er mange – både dem, vi bruger privat som Facebook og Snapchat og de virksomhedsrettede som ServiceNow, Zoom og Microsoft Office 365.

Cloudtjenester hjælper med at udvide virksomhedens kapaciteter og muligheder på en fleksibel måde, mens de minimerer investering og arbejdsindsats ved at etablere nye it-løsninger. Cloudløsningerne gør dermed virksomhederne mere agile, da de hurtigere kan etablere nye løsninger, hurtigere kan tage ny teknolog i brug og samtidig kun betaler for det, som de rent faktisk bruger. De sidste års globale Corona-pandemi har medvirket til ekstra succes for cloudtjenesterne, da det på glimrende vis har understøttet virksomhederne med hjemsendte medarbejdere, som pludselige havde nogle andre behov.

Flere og flere bruger skyen

Tidligere havde man selv det samlede ansvar for ens it-løsninger og var i fuld kontrol over den samlede teknologistak i form af bl.a. software, hardware og datacenter. Med cloudtjenester er dette ændret, da man nu deler ansvaret med leverandøren af tjenesten. På mange områder er dette en fordel da cloudleverandøren ofte kan gøre tingene bedre og billigere ved at etablere samlede løsninger for mange kunder. Cloudleverandørerne kan eksempelvis investere i store, sikre og effektive datacentre på et niveau og i en kvalitet, hvor normale virksomheder slet ikke kan være med. Samtidig er cloudtjenester designet til at være effektive med stort fokus på bl.a. automatisering, skalering og tilgængelighed og er på mange punkter et paradigmeskift mht., hvordan man laver it-løsninger.

Et andet af udgangspunkterne for cloudløsninger, er at de er designet til at være så tilgængelige som muligt og kunne tilgås fra Internettet. Ulempen kan bl.a. være, at cloudleverandørerne ofte er globale, og det kan være ganske svært at komme i kontakt og dialog med dem.

Da cloudtjenester er så let tilgængelige, bliver de ofte brugt til forskellige former for forsøg og eksperimenter, ligesom det ofte er medarbejdere udenfor it-afdelingen, som tager dem i brug – ofte fordi de oplever, det er nemmere og hurtigere end at skulle gøre det via it-afdelingen. I it-afdelingerne blev cloudtjenester til en start også ofte brugt til eksperimenter, men mange it-afdelinger ser efterhånden cloudtjenester som en væsentlig forlængelse af deres infrastruktur, og rigtig mange virksomheder bruger i dag løsninger som Microsoft Office 365 eller Google Workspace som deres primære kontorapplikationsplatform.

I dag har langt de fleste virksomheder således en strategi for, hvordan cloud skal indgå i deres it-miljø. Nogle anser stadig cloud som værende en for stor risiko og holder sig væk, mens andre har en cloud-native-strategi om, at alt deres it skal afvikles i cloud – og de fleste ligger et sted derimellem.

Hvilke sikkerhedsproblemer kan det medføre?

Med denne udvikling hvor flere og flere anvender cloudtjenester, begynder vi imidlertid også at se sikkerhedshændelser. Organisationen Cloud Security Alliance (CSA) har blandt deres medlemmer, som bl.a. tæller en lang række af verdens største virksomheder, undersøgt, hvor de største cloudsikkerhedsproblemer findes. Undersøgelsen viser ganske interessant, at der ikke længere er nogen særlig mistillid til de grundlæggende cloudteknologier (f.eks. risikoen for denial-of-service-angreb eller den underliggende virtualisering af hardware til mange forskellige kunder), mens hovedparten af de faktiske problemer findes i brugen af cloudtjenesterne.

Nogle af de sikkerhedsproblemer, CSA fremhæver, er bl.a.:

  • Datatab dvs. risikoen for kompromittering af fortrolige eller følsomme data fra cloud services.
  • Fejl i konfigurationen af cloud-services, f.eks. åbne og usikre datalager, forkerte og for mange rettigheder og standard sikkerhedskontroller, der slås fra.
  • Manglende omtanke omkring design og opsætning, f.eks. at løsningen ikke er designet i forhold til de forretningsmæssige krav, og sikkerhed ikke er en del af løsningsdesignet.
  • Manglende kontrol og overblik over adgang, identiteter og nøgler.
  • Kompromitterede brugerkonti, der derefter anvendes til at få adgang til cloud-ressourcer.Dårligt beskyttelse API’er og API-nøgler f.eks. API’er uden passende brugerkontrol eller API-nøgler, der fejlagtigt bliver delt i forbindelse med deling af kildekode eksempelvis på Github.

Få nogle gode råd med på vejen

Når virksomhederne implementerer cloudtjenester, er der desværre tilsyneladende en tendens til ikke at være nok opmærksom på, hvilke opgaver cloudleverandøren løser, og hvilke opgaver virksomheden fortsat er ansvarlig for – altså ansvarsfordeling mellem de to parter. Dette skyldes forskellige forhold bl.a., at cloud-løsninger ofte ubemærket er gledet fra at være en test til at blive et driftsmiljø, at anvendelsen langsomt, men stødt, vokser, eller at dem i organisationen, der står for cloudtjenesten, ikke har den nødvendige sikkerhedsmæssige indsigt.

Dette medfører, at man ofte tror, at cloudleverandøren har et større ansvar for sikkerheden, end de reelt set har. Kigger man som eksempel på en Infrastruktur-as-a-Service (IaaS)-løsning, lejer man reelt set blot plads og kapacitet i en virtuel infrastruktur, dvs. man er fortsat selv ansvarlig for alt lige fra etablering af et ordentlig segmenteret netværksdesign, daglig vedligeholdelse og opdatering af serverne, konfiguration af firewalls, oprettelse af brugere samt daglig overvågning af drift og logfiler – samt incident response skulle man blive ramt af en sikkerhedshændelse.

Selv når man bruger Software-as-a-Service (SaaS)-løsninger, hvor cloudleverandøren varetager de fleste opgaver, har man normalt selv bl.a. ansvaret for oprettelse og nedlæggelse af brugere, hvordan de logger ind – samt naturligvis hvilke data, man lader løsningen behandle. Når disse løsninger bliver kompromitteret, er det som regel et af disse steder, det går galt.

Derfor er det vigtigt at få tænkt sikkerheden ind som en integreret del af brugen af cloudtjenester. Baseret på nogle af de hændelser, vi har oplevet i forhold til cloudsikkerhed, drejer dette sig bl.a. om følgende forhold:

  • Sikkerheden i cloudtjenesterne skal hænge sammen med virksomhedens øvrige sikkerhed. Dvs. det skal sikres, at man kan håndhæve de samme politikker i anvendte cloudtjenester, således at cloudtjenesterne lever op til ens sikkerhedspolitik – altså sikre et konsistent sikkerhedsniveau.
  • Sikkerhed skal være implementeret fra starten af. Dvs. når man går i gang med at etablere cloudtjenester, skal sikkerhedskravene være kendt. Det sker desværre alt for ofte, at et testsystem, hvor der ikke er brugt energi på sikkerhed, mere eller mindre ubemærket glider over i drift, uden de nødvendige sikkerhedsmekanismer så bliver etableret.
  • Da cloudtjenester som udgangspunkt er designet til at være offentlig tilgængelige, er det meget nemt at lave konfigurationsfejl, der eksponerer løsningen for meget. Derfor er det vigtigt løbende at kontrollere, at konfiguration og opsætning er tilpas sikker. Mange cloudtjenester har værktøjer, der kan hjælpe, ligesom der efterhånden findes en række tredjepartsværktøjer, der ligeledes kan hjælpe med at kontrollere, at konfigurationen er, som den skal være i forhold til sikkerhed.
  • I stort set alle cloudtjenester er man selv ansvarlig for brugeroprettelsen og brugeradministrationen. Dette omfatter som regel også opsætning af regler omkring login- og passwordpolitik. Desværre bliver alt for mange cloudtjenester kompromitteret ved, at angriberen får fat i legitime brugernavne og passwords. Dette kan effektiv undgås (eller i hvert fald gøres væsentlig mere besværligt) ved at implementere to-faktor brugervalidering, som alle større cloudtjenester i dag understøtter. Det er særligt vigtigt, at der implementeres to-faktor brugervalidering på konti, der har administrative rettigheder.
  • Endeligt er det vigtigt at være forberedt på, at ens cloudtjenester vil blive forsøgt angrebet og måske kompromitteret. Cloudleverandørerne holder højst basalt øje med sikkerheden i deres cloudtjenester og vil ikke opdage en angriber, der tilgår ens virtuelle servere eller logger ind med gyldigt brugernavn og password. Man er derfor selv nødt til at holde øje efter sikkerhedshændelser i ens cloudløsninger. De fleste cloudløsninger tilbyder gode muligheder for at logge data, men det kræver fortsat, at man gør det.
  • Ligeledes er det vigtigt at være forberedt på at skulle lave incident response i et cloudmiljø, hvilket på nogle områder kræver en anden tilgang, andre metoder og andre værktøjer end i en normal on-premise-løsning. Cloudleverandøren tilbyder kun en stærkt begrænset hjælp, og det er nødvendigt, selv at kunne håndtere denne proces.

Dette er på ingen måde en udtømmende liste over alle de sikkerhedsmæssige overvejelser, tiltag og foranstaltninger, som man bør have fokus på ved anvendelsen af cloudtjenester, men blot nogle af det punkter, hvor vi har set, at det går galt.

Det er vigtigt at understrege, at mange cloudtjenester tilbyder gode og solide sikkerhedsfunktioner, men at der kræves et stykke kvalificeret arbejde for at udnytte dem på den rigtige måde. På den måde er der ikke den store forskel på on-premise og cloudtjenester.