Skyen virker nem at bruge og styre, men den er i konstant forandring med features, der kommer og går.
Nem adgang skaber også huller i sikkerheden. De almindelige cybersikkerhedsrisici gælder også for cloud-miljøet; phising, password spraying, brute force og DDoS angreb og orme er også lige så udbredt i cloud-miljøer. Risikoen øges dog markant i skyen, da en fjendtlig indtrængen vil kunne få adgang til hele virksomhedens data.
IAM-faldgruber
I opstartsfasen gives der rask væk omfattende adgangsrettigheder til dem, der skal oprette projekter og skabe deres miljø i skyen. Man ender hurtigt med flere konti og abonnementer – og de skal alle sikkerhedskontrolleres.
Mange virksomheder overser, at omstillingen til skyen også påvirker de forskellige afdelingers sikkerhedsbehov og styringsmuligheder – så man skal virkelig have styr på sin IAM (Identity & Access Management).
Et kedeligt eksempel var en virksomhed, der overførte sine lokale adgangsrettigheder fra on-premise til skyen - uden at tjekke dem. De fik sig lidt af en overraskelse, da der var 400 slutbrugere og 110 administratorer!
Også hvis du har givet underleverandører adgang til dit cloud-miljø, skal du sikre, at adgangen til skyen inddrages øjeblikkeligt, hvis ansættelsen hos underleverandøren ophører.
Når man arbejder i skyen uden tilstrækkelig viden og indsigt, kommer der overraskelser.
De forskellige konti-ejere kan nemt komme til at lave uhensigtsmæssige ændringer, som it ikke kan se - f.eks. kan konti-ejeren nemt tilføje eller fjerne en favoritfeature, og det hele føles intuitivt, men ændringen kan have andre konsekvenser end forventet.
Er din sikkerhedspolitik tilpasset skyen?
En sikkerhedspolitik er bydende nødvendig, især hvis din virksomhed har en hybridløsning. Og selvom din sikkerhedspolitik er tilpasset skyen, vil dens retningslinjer og standarder hurtigt være forældede på grund af opdateringer og tilpasninger fra service provideren.
En af de vigtigste årsager til manglende compliance er fejl i konfigurationen. Alt for ofte afspejler standardindstillingerne i sikkerhedsprofilen ikke det ønskede sikkerhedsniveau – eller der er foretaget ændringer, der har haft en utilsigtet effekt på andre områder. Når din virksomhed er veletableret i skyen, er der således en stor sandsynlighed for, at konfigurationen skrider.
Arbejder it i blinde?
Typisk bliver virksomheden ikke opmærksom på huller i sikkerheden før en audit for cybersikkerhed har fundet sted.
Skyen styres nemlig af service provideren, så der er ikke adgang til alle konfigurationerne, indstillingerne og data. Denne mangel på synlighed er den største udfordring, som mange it-afdelinger har i forhold til sikkerhed i skyen.
Det er svært at følge it-sikkerhedspolitikken, når du ikke kan se, hvad der foregår i dit cloud-miljø.
I behøver ikke lære på den hårde måde
Faldgruberne er dog ikke umulige at undgå og derfor har vi udarbejdet en Whitepaper med en tjekliste over de ting, I som virksomhed og du som it-ansvarlig bør tage højde for i skyen.
Læs mere her: https://www2.nixu.com/da/cloud
