Innofactor Blogg

Hur du undviker fyra vanliga säkerhetsrisker i Microsoft Azure

Written by Stefan Renberg | 28.6.2019

Även om moln-IT kan vara säkrare än traditionell IT så finns det en rad åtgärder som IT-verksamheten behöver vidta – för att inte utsätta företaget för onödiga säkerhetsrisker. Dels kan IT-verksamheten behöva förhålla sig på ett nytt sätt till ”gamla” säkerhetsrisker. Dels behöver man beakta helt nya hot som uppkommer i användningen av molntjänster. I den här artikeln får du ta del av några säkerhetsrisker kopplade till molnet och vad du behöver göra för att undvika dem.

Moln-IT har kommit starkt och är här för att stanna. Allt fler system blir molnbaserade och i princip vartenda företag är på en molnresa i någon omfattning, oavsett om det är ett strategiskt beslut eller ej. Alla företag som infört Office 365 är till exempel redan ”i molnet”.

Det många inte tänker på är att säkerheten påverkas av det nya sättet att bedriva IT-verksamhet, som molnbaserad IT faktiskt innebär.


Molnet – säkert eller osäkert?
Om man tänker efter är det ganska självklart att en ”öppnare” IT-miljö där system och appar enkelt integreras till varandra, och data lagras på många olika ställen, innebär ökade säkerhetsrisker.

Samtidigt ger molnet stora möjligheter att öka säkerheten på ett sätt som är svårt för företag att göra själva. Microsoft investerar över 1 Miljard USD per år i utveckling av säkerhetsfunktioner, något som kommer samtliga kunder till nytta.

Kontentan är att även om molnbaserad lagring av data i praktiken kan göras mer säker än annan lagring så krävs rätt uppsättning av system, rutiner och processer för att kunna nyttja denna säkerhet.

Så hur ska IT veta vilka åtgärder de behöver ta för att trygga säkerheten och undvika säkerhetsluckor?

Det första är att förstå vilka typer av säkerhetsrisker som finns vid användning av molntjänster

4 typer av säkerhetsrisker
Övergripande finns det fyra huvudkategorier där de allra flesta säkerhetsrisker hör hemma:

  • Risker kopplade till data – medveten eller slumpmässig stöld, modifiering eller radering av data
  • Tekniska fel i mjukvara, hårdvara eller infrastruktur
  • IT-störningar på grund av naturliga eller mänskligt orsakade katastrofer
  • Mänskligt slarv eller handhavandefel i implementering eller drift av system

IT-störningar orsakade av katastrofer är förstås ovanliga och existerar oavsett IT-miljö. Dessa är svåra att förutse och behöver hanteras genom bra incidenthantering och kriskommunikation.

Tekniska fel och handhavandefel minskar ofta med införandet av molnlösningar. Molntekniken tillåter en ökad grad av standardisering i mjukvara, automatisering av rutinuppgifter och att exempelvis installation av applikationer kan ske, utifrån en mall, med bara en knapptryckning. Detta minskar behovet av manuell hantering och därmed antalet tekniska och mänskliga fel.

Säkerhetsrisker kopplade till data är dock ytterst relevant att titta närmare på när vi pratar molnlösningar. Här finns nämligen en mängd hot som bör tas på allvar. Låt oss fördjupa vad dessa hot kan bestå av.

Datarisker – stöld, modifiering och radering
Vissa risker kopplade till data är kända sedan tidigare men kan behöva åtgärdas på nya sätt när plattformar, system och funktioner ligger i molnet. Andra hot är nya och har uppkommit med utvecklingen av ny teknik.

Här är några exempel på hur säkerheten påverkas av att IT-driften sker i molnet:

  • Dataintrång på grund av bristande kontroll över användarkonton, inloggningar och behörigheter. – Genom att användarna blir vana att logga in via webbläsare ökar också risken för phishing och stöld av lösenord. Detta kan motverkas genom t ex tvåfaktorautentisering.

  • Risk för stöld av data – Att lägga data ”utanför” företagets nätverk och väggar ökar naturligtvis risken för stöld om man inte motverkar det med rätt åtgärder som t ex kryptering av databaser.

  • Risk för att medarbetare av misstag raderar data eller läcker data genom osäker surfning – När medarbetare i allt högre grad blandar privata applikationer med företagets, eller använder företagsdatorn för privat bruk, så ökar risken för att säkerhetsproblem de orsakar privat påverkar företagets data. Detta kan motverkas genom t ex ökad styrning av behörighetsnivåer på applikationsnivå eller enhetsnivå.

  • Säkerhetsintrång på grund av att anställda är vårdslösa med sin data, medvetet eller omedvetet – Ökad säkerhet kan paradoxalt nog öka riskerna. Genom att användare upplever säkerhetsfunktionerna som krångliga kan de lockas att gå förbi dem på olika sätt. Till exempel genom att använda privata metoder för filöverföring eller lagring av data.

    Dessa risker kan undvikas genom att fokusera på att skydda data istället för att skydda enheter och genom att öka användarvänlighet för de säkra metoder man inför.

Så här uppnår du fullgod säkerhet
Så hur kan du gå till väga för att säkerställa att du gjort det som behövs för att trygga säkerheten för ditt bolag? Vi rekommenderar följande tre steg:

1 Riskanalys utifrån moln-IT
Drift i molnet gör att risker tillkommer, sannolikheter ändras och värderingen av konsekvenser kan behöva göras om. Genom en riskanalys specifikt kopplad till molnet får du kontroll över risker och kan göra en åtgärdsplan för hur riskerna ska hanteras.

Även om hoten kan vara allvarliga är det sällan rimligt att agera fullt ut på alla tänkbara risker. En vanlig riskmatris ger bra grund för prioritering: Hur stor är risken att scenariot inträffar och hur stor är påverkan om det sker? Att internetuppkopplingen vacklar kan till exempel betyda stora intäktstapp för företag i vissa branscher men få relativt liten konsekvens för andra.

2 Kontroll över identiteter, enheter och data
Identiteter, enheter och data är tre områden som alla företag bör adressera för att kunna hålla god säkerhet i molnlösningar.

Microsofts säkerhetsramverk i Azure har många funktioner för att få kontroll över dessa tre delar. Det krävs med andra ord ett visst grundarbete i form av uppsättning och ibland städning för att få kontroll över säkerheten i dessa tre kritiska områden.

3 Konfigurera säkerhetsapplikationerna
Slutligen finns det en mängd programvara och funktioner i och utanför Microsoft Azure som hjälper dig att höja säkerheten till önskad nivå.
Det kan handla om mjukvara och applikationer för:

  • Single Sign On
  • Multifaktorautentisering
  • Identitetshantering
  • Övervakningsmjukvara för asset management, configuration management och incidenthantering
  • Applikationer som motverkar hot såsom brandväggar, intrångsskydd, anti-spam-mjukvara, antivirusfilter, motverkande av dataförlust, webbsäkerhetsmjukvara, cloud access service broker dvs centraliserad kontroll över säkerhetspolicies vid varje lagring samt delning eller access av data
I Microsoft Azure finns funktioner för dessa och andra aspekter av säkerhet. Vissa funktioner finns redan inbyggda i plattformen utan att du behöver göra något specifikt. Andra delar behöver sättas upp och konfigureras.

Exakt vad som behövs för ert företag är något ni behöver ta reda på och implementera utifrån era behov. Det kan verka komplicerat till en början. Enligt vår erfarenhet är det dock betydligt enklare att upprätthålla en god säkerhet i Microsoft Azure när allt väl är uppsatt – än att bygga en egen säkerhetsmiljö med allt vad det innebär. Detta eftersom du får tillgång till Microsofts kompletta säkerhetsramverk.

Mer information
Vill du veta mer om hur ni tar kontroll över säkerheten i Microsoft Azure och ställa eventuella frågor till våra experter? I så fall tipsar vi om vårt webbinarium ”Så tar du kontroll över säkerheten i Microsoft Azure” som vi kör regelbundet. 

Du kan se det inspelat här: