Säkra molntjänster kommer inte av sig själv

Det är en mycket vanlig missuppfattning att bara för att du väljer att lägga din information och dina system i molnet så tar leverantören hand om informations- och IT-säkerheten åt dig. Faktum är att de flesta molnleverantörer använder sig av en modell med delat ansvar, vilket innebär att rätt mycket av säkerheten hamnar i verksamhetens knä, precis som förr.

Du får ingenting som du inte har frågat efter. Det du har frågat efter vet du inte om du får förrän du har tittat efter och ser om alla krav du ställer är uppfyllda efter implementationen. Här är några saker du bör se till att både ställa krav på och få på plats.

Center for Internet Security (CIS) har satt ihop rekommendationer i CIS Amazon Web Services (AWS) Foundations benchmark policy som ger vägledning om allmän praxis för de säkerhetskonfigurationer som finns att tillgå via AWS användarkonsol.

Du måste emellertid fortfarande göra din riskanalys för att veta vilka åtgärder som krävs. Här går jag igenom några av de vanligaste hoten och hur vägledningen från CIS och andra i kombination med allmänt säkerhetstänkande hjälper till att förhindra att något händer som inte får hända.

Så vad är det som kan hända?

Nätfiske

Undersökningar visar att 30 procent av alla nätfiskemejl öppnas av mottagaren och att 91 procent av intrången börjar med en nätfiskeattack. För att motverka det, slå på flerfaktorsautentisering (FFA). Särskilt viktigt är det att skydda det så kallade rot-kontot, eftersom det ger tillgång till allt, verkligen allt, utan undantag. Ha övervakning som larmar när rotkontot används och ha olika konton för olika roller och uppgifter. Allmän träning i att upptäcka nätfiskeattacker ska erbjudas alla användare för att minska risken för att de faller för sådana trick.

Lösenordshantering

En vanlig metod för att exponera AWS behörigheter är att bryta sig in på webbplatser från tredje part. En undersökning visar att 55 procent av användarna använder samma lösenord på de flesta, om inte alla, webbplatser. Det där har jag bloggat om tidigare.

Att återanvända samma uppgifter som för ett vanligt kundkonto på Amazon och någon annan webbplats kan riskera att exponera hela molninfrastrukturen. Tillsammans med intrång, är dåliga eller lättgissade lösenord också en riskfaktor. CIS rekommendationer är dessvärre utdaterade, med krav på komplexitet och frekventa byten. Jag pekar hellre på NIST:s nya rekommendationer där den allra viktigaste är att undvika återanvändning av lösenord. Använd ett unikt, långt lösenord för varje sajt och använd en lösenordshanterare. Erbjud användarna utbildning om hur viktigt med är med starka och unika lösenord. Tvinga inte användare till onödiga lösenordsbyten.

Informationsläckage

En annan typ av informationsläckage som har inträffat i AWS är att inloggningsuppgifter har läckt via öppen källkod eller annan dokumentation. I Amazon använder man olika typer av åtkomstnycklar (access keys) som fungerar precis likadant som andra behörighetsuppgifter. Det kan vara så att användaren inte har tränats i att hantera andra typer av nycklar för åtkomst på samma omsorgsfulla sätt som de tränas i att hantera användarnamn och lösenord.

Återigen är rekommendationen att använda FFA och att hantera AWS åtkomstnycklar på samma säkra sätt som man (förhoppningsvis) hanterar lösenord. Hårdkoda aldrig nycklar och koder in i källkod eller dokumentation och skicka dem aldrig via mejl eller exponera på något annat sätt utanför den egna organisationen.

Nätsäkerhet

Molnmiljön skiljer sig nätverksmässigt inte från den infrastruktur som någon driver själv i en organisation. Det är nödvändigt att begränsa risken för råstyrkeattacker (brute force) genom att förhindra åtkomst till vissa portar från det publika internet. Det är bra att ha övervakning och loggar även här. Normal grundläggande nätsäkerhet måste finnas på plats och alla allmänt tillgängliga rekommendationer för praxis om nätsäkerhet ska tillämpas, även i molnet.

Försvar på djupet är värt det extra arbete som krävs i underhåll av brandväggsregler. Vitlista eller svartlista saker för att begränsa åtkomst och exponering, kör antivirus och övervakning på de virtuella maskinerna, genomför granskningar för att hitta svagheter innan angriparen gör det. Det kan också finnas anledning att använda någon form av intrångsdetektering för att upptäcka och stoppa angripare tidigt.

Och förhåll er till Owasp 10 på samma sätt som en jurist förhåller sig till lagboken. Se till att ni förstår och agerar efter det som sägs där.

Med det på plats kan ni sova gott även i molnet.

Etiketter: , Foto: Cloud computing av Damien Pollet (CC BY-SA)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Frivilligt

Kommentarer

Ingen har kommenterat artikeln ännu.