"Molnet är osäkert."

Ett vanligt argument för att inte använda molnet är att det är osäkert. Oftast går man inte in på detaljer eftersom man inte känner till dem, och ibland rättfärdigas argumentet med att "juristerna" eller "lagen" inte tillåter det. I de absolut flesta fall håller argumentet inte, och när det används som en generell ursäkt för att inte använda moln baseras det på felaktiga grunder.

I del ett av den här artikelserien gav jag min syn på varför det inte är ett problem att alla relevanta molnleverantörer är baserade i USA.

I denna del, del två, beskriver jag vad en molnleverantör gör för att skydda er information och varför jag anser att detta innebär att molnet är säkrare än ert eget datacenter.

I del tre kommer jag gå igenom de tekniska förmågor molnleverantörerna använder för att skydda er information och i del fyra kommer jag beskriva vilka möjligheter ni själva har för att säkra er information.

Som vanligt är ni mer än välkomna att komma med tankar, frågor, funderingar och motargument i kommentarerna.

Hur säkert är egentligen molnet jämfört med ert datacenter?

Min expertis är Azure varför jag kommer använda dem som exempel men emellanåt berörs också övriga av Microsofts molntjänster eftersom de inte alltid skiljer på dem. Utan att veta exakt hur AWS och Google skyddar er information är jag dock övertygad om att även de tar dessa frågor på absolut högsta allvar.

Allt eftersom jag beskriver hur Microsoft skyddar sina datacenter, tjänster och er information kommer jag i samband med det specifika område jag avhandlar ställa ett antal frågor till dig som läsare. Se dessa som tankeställare, menade att väcka din nyfikenhet och intresse för ämnet i fråga.

Microsoft har väldigt mycket dokumentation som beskriver allt de gör för att säkra er information, er identitet och era applikationer. Jag har inte för avsikt att analysera allt detta i detalj, men jag kommer däremot lyfta fram vad Microsoft gör för att ni som kund skall kunna känna er trygga med att placera er information i deras molntjänster.

De av er som så önskar kan själva ta del av deras dokumentation gällande säkerhet, sekretess och efterlevnad [1], se alla deras certifieringar [2], eller besöka deras Trust Center [3] som beskriver ämnet mer överskådligt.

Intrångstest

Ett dokument jag vill börja med är en rapport från 2017 som beskriver resultatet av de intrångstester Kratos SecureInfo gjorde mot Azure [4, kräver gratis konto]. Saxat ur rapportens sammanfattning:

Microsoft retained Kratos Securelnfo to perform a Federal Risk and Authorization Management Program (FedRAMP) Penetration Test of the Azure Infrastructure as a Service (IaaS)/Platform as a Sevice (PaaS). FedRAMP requires a penetration test to be used as a primary security testing technique. The effort was performed remotely by members of the Kratos Securelnfo penetration testing team. Additionally, the test activities associated with the physical test vector in Section 7 of this document were performed in-person at each of the respective sites.

Twelve total findings resulted from the testing. These results can be broken down in the following categories:

• Zero (0) High severity findings detected

• Two (2) Moderate severity findings (one of which was determined to be operationally required)

• Ten (10) Low severity findings (two of which were determined to be operationally required)

Den senaste rapporten för samma test (FedRAMP) utfört av samma bolag (Kratos SecureInfo) [5, kräver gratis konto] från 2019 ger följande resultat:

There were zero (0) high, one (1) moderate, six (6) low and six (6) false positive findings identified during the penetration test.

Detta visar dels att Microsoft regelbundet testar Azure, och dels att de åtgärdar de brister som uppkommer.

När lät ni intrångstesta ert datacenter senast? Vad blev resultatet? Vilka åtgärder har ni vidtagit för att rätta till de brister som upptäcktes? När tänker ni testa igen nästa gång?

Driftspersonal

Microsoft är väldigt noga med att den personal som sköter driften av deras tjänster dels lever upp till de krav som ställs på säkerhet och integritet och dels inte har tillgång till din information annat än när det är absolut nödvändigt. Dokumentet "Behind the Scenes: Securing the Infrastructure Powering the Microsoft 365 Service" [6, kräver gratis konto] beskriver i detalj hur detta går till:

It’s important to note that every engineer operating in the datacenter must pass regular mandatory background check and an annual security and privacy training to hold a valid account (and this is just to maintain a basic account that cannot, by default, perform sensitive operations!). Once engineers complete this background check, they go through a rigorous multi-factor authentication system that verifies multiple aspects of their identity before enabling this basic account. We maintain real time identity management systems to enforce this – if an engineer is ever found to be non-compliant (for example, through a lapse in training or through leaving the company), the account is disabled immediately.

The basic account simply gives our engineers the ability to request elevated access if they have a legitimate business need to do so. This access is, in turn, governed by the principle of least privilege. This means that all access is granted within the boundaries of Just-in-Time (JIT), and Just-Enough-Access (JEA) policies. That is, elevated access is only granted at the time of need and only for a fixed duration. Moreover, elevated access only gives the user the ability to perform the specific actions they need, and for a specific scope of service infrastructure. We do not allow global administrative access.

Bilden nedan illustrerar detta flöde:

Hur säkerställer ni att er driftspersonal efterlever de regler, policys och föreskrifter ni satt upp? Hur hanterar ni administrativ access till data i ert datacenter? Hur ofta analyserar ni loggar och accesslistor för att säkerställa att ingen obehörig access har skett eller kan ske?

Det fysiska datacentret

Microsoft bygger sina fysiska datacenter med flera lager av skalskydd och de har en avdelning vars enda jobb är att designa, bygga och skydda dessa datacenter [7].

Följande lager av fysiskt skydd existerar i Microsofts datacenter:

• Accessbegäran och godkännande

• Yttre skalskydd

• Inpassering till byggnaden

• Inuti byggnaden

• På varje våningsplan

Ingen personal som jobbar i dessa datacenter har någon som helst möjlighet att komma åt den information som finns lagrad i datacentret, och endast personal som har orsak att jobba fysiskt med servrarna - exempelvis för att byta ut hårdvara - får tillgång till de rum och burar som servrarna är inlåsta i.

Vill ni ha en glättigare men mer lättkonsumerad översikt av Microsofts datacenter har de producerat ett YouTube-klipp som berör deras fysiska datacenter [8].

Detta klipp nämner att Microsoft investerar över 1 miljard USD (vilket blir 9 821 400 000 SEK med dagens kurs) i säkerhet, något som upprepas även i andra sammanhang [9]. De går dock inte in i detalj på hur denna summa fördelas så exakt hur mycket som går åt till att fysiskt skydda din data och vad som används för säkerhet i andra sammanhang kan jag inte svara på. Oavsett är det enorma summor.

Vilka säkerhetskontroller har ni för att ge access till ert datacenter? Hur säkerställer ni att personal som rör sig i ert datacenter inte har för avsikt att stjäla er information? Hur kontrollerar ni att de endast jobbar med den utrustning de skall jobba med? Vad är er budget för att fysiskt säkra ert datacenter?

Säkerhet på en global skala

En fördel Microsoft, AWS, och Google har som jag inte uttryckligen lyft fram är skalbarheten. Dels måste de göra allting väldigt stort men fördelen med detta är att det blir väldigt effektivt. Ett exempel på detta är Microsofts säkerhetsavdelning.

De har 3 500 anställda som arbetar dygnet runt, 7 dagar i veckan med att säkra upp Microsofts produkter och tjänster. De utvecklar AI och machine learning för att bekämpa allt mer avancerade hot. De analyserar flera miljarder datapunkter i månaden utspritt över hela deras ekosystem [10] som de sedan använder för att träna dessa system med.

Utöver detta jobbar Microsoft enligt principen "Assume breach", direkt översatt till "Antag intrång." Förenklat innebär detta att Microsoft alltid utgår från att deras system är komprometterade på ett eller annat vis, oavsett hur säkra de är. Denna mentalitet driver hur de jobbar med säkerhet, vilket bland annat resulterar i två aktiviteter kallade "Wargames" och "Red Teaming." [11]

Wargame exercises are […] geared to the security response process and personnel of an organization or service dealing with an attack. The intent of wargaming is improving security incident response procedures by engaging personnel from different groups inside Microsoft – from Security to Engineering and Operations.

Detta är inte en skarp övning utan genomförs endast i teorin där en grupp beskriver hur de försöker göra intrång och den andra gruppen beskriver hur de motverkar intrånget. Även om den här typen av övning är nyttig är ger den inte hela bilden varför Microsoft även använder sig av "Red Teaming."

[…] the approach is to test Microsoft Azure and Office 365 systems and operations using the same Tactics, Techniques and Procedures (TTPs) as real adversaries, against live production infrastructure, without the foreknowledge of the infrastructure and platform Engineering or Operations teams.

Den här övningen kan jämföras med en skarp brandövning där endast ett fåtal personer vet om vad som faktiskt händer. Microsofts Red Team är heltidsanställda av Microsoft och deras enda uppgift är att penetrera de skydd Microsoft har satt upp för sina molntjänster. Viktigt att poängtera för den här artikeln är att Red Team aldrig kommer i kontakt med kundinformation.

Microsoft är inte på något vis unika med den här typen av aktiviteter, och det finns med all sannolikhet organisationer i Sverige som genomför den här typen av övningar men det borde vara jämförelsevis få, helt enkelt på grund av att det är dyrt och komplext.

Vilken typ av löpande aktiviteter genomför ni för att testa verkliga intrångsscenarion? Hur ofta går ni igenom era säkerhetsloggar för att aktivt analysera faktiska intrångsförsök?

Avslutningsvis

I nästa del går jag igenom de tekniska förmågor Microsoft använder för att säkra er information. Till dess, tveka inte att kontakta mig, antingen via e-mail, telefon eller formuläret här på hemsidan, om ni är intresserade av att diskutera ämnet vidare med mig.

Tack för din tid!

Källor

1. https://servicetrust.microsoft.com/ViewPage/TrustDocuments

2. https://docs.microsoft.com/en-us/microsoft-365/compliance/offering-home

3. https://www.microsoft.com/en-us/trust-center/?rtc=1

4. https://servicetrust.microsoft.com/ViewPage/TrustDocuments?command=Download&downloadType=Document&downloadId=0c58f34e-16dc-435d-82b3-825cf8764861&docTab=6d000410-c9e9-11e7-9a91-892aae8839ad_Pen_Test_and_Security_Assessments

5. https://servicetrust.microsoft.com/ViewPage/TrustDocuments?command=Download&downloadType=Document&downloadId=77d560f0-7374-45d2-87a2-21e2ab756f7f&docTab=6d000410-c9e9-11e7-9a91-892aae8839ad_Pen_Test_and_Security_Assessments

6. https://download.microsoft.com/download/c/4/5/c45b197e-f0d9-4f40-bd5f-ed8fc7d0cd8c/M365DCSecurityIntro_Whitepaper.pdf

7. https://docs.microsoft.com/en-us/azure/security/fundamentals/physical-security#physical-security

8. https://youtu.be/r1cyTL8JqRg

9. https://azure.microsoft.com/en-us/blog/3-reasons-why-azure-s-infrastructure-is-secure/

10. https://go.microsoft.com/fwlink/?linkid=2036015

11. https://download.microsoft.com/download/C/1/9/C1990DBA-502F-4C2A-848D-392B93D9B9C3/Microsoft_Enterprise_Cloud_Red_Teaming.pdf