• Martin Edelius

Molnet är säkrare än ert eget datacenter - prolog

"Molnet är osäkert."

Ett vanligt argument för att inte använda molnet är att det är osäkert. Oftast går man inte in på detaljer eftersom man inte känner till dem, och ibland rättfärdigas argumentet med att "juristerna" eller "lagen" inte tillåter det. I de absolut flesta fall håller argumentet inte, och när det används som en generell ursäkt för att inte använda moln baseras det på felaktiga grunder.

I den här artikelserien har jag gett min syn på varför det inte är ett problem att alla relevanta molnleverantörer är baserade i USA, jag har beskrivit vad en molnleverantör gör för att skydda er information och varför jag anser att detta innebär att molnet är säkrare än ert eget datacenter, jag har gått igenom de tekniska förmågor molnleverantörerna använder för att skydda er information, och jag har beskrivit vilka möjligheter ni själva har att säkra er information i molnet.

Då serien blev mer omfattande och innehållsrik än ursprungligen planerat sammanfattar jag i denna prolog vad jag skrivit om.

Sammanfattning

I den här serien har jag uteslutande använt mig av referenser och exempel för Microsoft, och ibland specifikt Azure, men utan att i detalj veta hur andra molnleverantörer skyddar er information vågar jag påstå att de tar frågan på högsta allvar.

CLOUD Act används ofta som en orsak till att svenska myndigheter, och ibland andra organisationer inte kan, eller får, lägga sin information i moln som ägs och drivs av företag baserade i USA. Detta argument är i praktiken inte relevant då CLOUD Act inte förändrar vilka rättigheter myndigheter och polisväsen i USA har gällande åtkomst av data lagrad utanför USAs gränser.

Det enda CLOUD Act gör är att den förtydligar och förenklar de processer som krävs för att begära ut denna data. Dessutom får information endast begäras ut i samband med seriös brottslighet, och att informationen faktiskt lämnas ut ens då är osannolikt.

Teorierna att molnleverantörer i USA medvetet samarbetar med amerikanska myndigheter och polisväsen "bakom ryggen" på sina användare är obefogade. Om vi bortser från möjligheten att molnleverantörerna vill göra vad som är moraliskt och etiskt rätt - vilket i ärlighetens namn inte är något vi skall utgå från - skulle det vara förödande för deras vinst om bevis för ett sådant samarbete skulle läcka ut.

Huruvida NSA och andra underrättelsetjänster faktiskt har tagit sig in i AWS, Azure eller Google Cloud Platform har jag av förklarliga skäl ingen som helst aning om, och förmodligen inte heller molnleverantörerna i fråga.

Microsoft jobbar löpande med att kontrollera och utveckla sina olika nivåer av säkerhet, och på grund av sin enorma storlek kan de göra detta på en skala som få kan överträffa eller ens matcha.

De investerar bokstavligen miljarder i sin säkerhet årligen och deras säkerhetsavdelning omfattar 3 500 personer som jobbar dygnet runt med att skydda Microsofts datacenter och tjänster, samt sina kunders information, med hjälp av avancerad AI och machine learning.

Deras ekosystem i form av Windows, Office 365, Azure, Office, med många flera produkter och tjänster gör att de har tillgång till enorma mängder data i form av flera miljarder säkerhetsrelaterade incidenter och mätpunkter per månad. All denna information används kontinuerligt för att lära och utveckla de "intelligenta" skydd Microsoft använder.

Återigen på grund av hur enormt stora Microsofts datacenter och tjänster är kan, och måste, de bygga in en hög nivå av säkerhet för att skydda inte bara sig själva utan även sina kunders information.

Data är krypterad såväl när den skickas som när den lagras, Azure Active Directory är byggd från grunden upp med många lager av isolering, alla virtuella maskiner som körs i Azure är isolerade från varandra på flera sätt, nätverksfunktionalitet är baserad på isolation, och deras datacenter har fem lager av fysisk säkerhet innan någon ens kommer i kontakt med hårdvaran.

Förutom detta genomgår all personal som jobbar med Azure (och Office 365) regelbundna kontroller och utbildningar, ingen personal har åtkomst till er data utan uttryckligt tillstånd från er som kund, ingen personal har administrativ åtkomst utan specifikt godkännande, löpande tester - såväl teoretiska som praktiska - görs av skalskydd och säkerhetsprocesser, och alla incidenter och loggar övervakas dygnet runt.

Ni som kund har dessutom möjligheten att använda ett stort antal funktioner och tekniska förmågor i Azure för att ytterligare säkra er information. En del av dessa kostar pengar, andra ingår utan kostnad. Några är väldigt enkla att aktivera, andra kräver eftertanke och planering.

För att dra maximal nytta av de investeringar Microsoft gör i säkerhet skall ni använda er av PaaS-tjänster, men även om ni väljer att köra IaaS - exempelvis virtuella maskiner - finns det ett flertal sätt för er att säkra upp dessa med förmågor som i vissa fall är unika för molnet.

En genomtänkt identitetshantering utgör fundamentet för fungerande säkerhet och tillsammans med väl implementerade skalskydd och kryptering kan ni som kund skapa en oerhört säker miljö i molnet, och alltid säkrare än ert eget datacenter.

Många av de tekniska förmågor som existerar i Azure går att implementera i ert eget datacenter, men det är bara en del av pusslet. Hur de fysiska datacenter som huserar Azure är byggt, processer och rutiner för hantering av Azure, en säkerhetsbudget på många miljarder kronor, säkerhetssystem baserade på AI och machine learning, samt en gigantisk mängd säkerhetsdata att mata dessa system med är delar av pusslet som ingen annan organisation kan uppbringa.

Det går att bygga ett relativt säkert datacenter i sina egna lokaler men ingen organisation i Sverige kan leverera samma nivå av säkerhet som de stora molnleverantörerna.

Avslutningsvis

Om ni följt med genom hela artikelserien vill jag uttrycka mitt varmaste tack. Även om jag är intresserad av de ämnen jag avhandlar är det till syvende och sist för er skull jag skriver mina artiklar. Min förhoppning är att jag väcker nya tankar och idéer till liv, och kanske till och med utmanar och upprör lite, men för att kunna göra det behövs det läsare som ni.

Tveka inte att kontakta mig, antingen via e-mail, telefon eller formuläret här på hemsidan, om ni är intresserade av att diskutera molnet och säkerhet vidare med mig.

Tack för din tid!

43 visningar0 kommentarer

Senaste inlägg

Visa alla
 

Lindskogsvägen 4, 448 33 Floda

©2019-2020 by Edelius Consulting AB.