Slik kan norske bedrifter lettere unngå de nye sikkerhetsproblemene

Etterhvert som bedrifter flytter sine IT-løsninger ut i skyen, er det ikke mange vanlige servere igjen å drifte og sikre. Men selv om skytjenester kan være sikrere enn å ha ansvar for egen maskinvare, er mange IT-ledere i Norge ennå litt varsomme når de handler skytjenester. For i skyen møter man nye problemstillinger og nye trusler dersom sikkerheten skal ivaretas, og det krever spesialkompetanse som ikke alle virksomheter har tilgjengelig i dag.

– Det er ofte det første spørsmålet som stilles til oss under en samtale med en ny kunde, sier Morten Forfang, som er fagdirektør i Computas. – Hvordan sikkerhet håndteres, og hvordan den kan følges opp.

De kundene er ikke alene, for i en undersøkelse som Norstat nylig har gjennomført på vegne av Computas blant 400 norske virksomheter, viser det seg at en tredjedel er bekymret for sikkerheten i skyen.

– Å endre vaner er ikke lett for noen, heller ikke IT-folk, sier Forfang.

En av omstillingene som mentalt må gjøres, er å endre sikkerhetstankegang fra å lage ugjennomtrengelige skall for sikkerhet, til å tenke sikkerhet som en innebygget del av alle applikasjoner og grensesnitt. Det øker behovet for kjennskap til innmaten i skyplattformen og erfaring med utvikling av systemer og applikasjoner. Eller fortalt med andre ord, det er forskjell på å kjøpe tjenestene direkte fra plattformleverandører som Microsoft og Google, og å kjøpe dem gjennom en spesialisert partner som har oversikt over tjenestene og hvordan de fungerer.

– Sikkerhetsfeltet er alltid i kontinuerlig utvikling, det dukker opp nye trusler og nye forsvar hele tiden. Skal man følge med på det, kreves det mye tid og spesialkompetanse. Men virksomheter kan ikke overlate alt sikkerhetsansvaret til plattformleverandøren, for mange av sikkerhetsutfordringene oppstår gjerne i det man bygger en applikasjon eller gjør en integrasjon, sier Forfang.

For å løse akkurat disse utfordringene, kan man sette opp strikte standarder og forsøke å følge disse etter beste evne, eller man kan få hjelp av en partner som er godt plantet med begge ben i skyverdenen.

– For skytjenester kan  listen med standarder og krav bli svært lang, og forutsetter at man har tilstrekkelig innsikt i hvordan plattformen fungerer. Slikt tar verdifull tid og ressurser vekk fra hovedoppgaven: å konstruere en best mulig tjeneste for brukerne sine, sier Forfang.

Revisjon og konsepter sikrer skyen

Så hva kan en fersk, eller kanskje til og med erfaren, skykunde forvente seg når de skal utvikle tjenestene?

– Det viktigste er at en får klarhet i hva det er viktigst å sikre, hva som er godt nok, og så jobbe som en likeverdig partner med våre kunder for å sørge for at de tingene vedvarer å være sikret i det daglige, praktiske arbeidet. Det kan høres omstendelig ut, men vår erfaring tilsier noe annet. For sikkerhetsarbeid i Computas, og spesielt arbeid med sky og moderne programvareutvikling så er det snakk om å automatisere mye av sikkerhetsmekanikken. Det gjør at det over tid blir mindre omstendelig og at menneskelige feil spiller en mindre rolle.  Den evalueringen legger grunnlaget for å lykkes med et sikkert prosjekt, og vil åpenbart spare virksomheten for mye tid og trøbbel senere, sier Forfang.

Rammeverket han sikter til, er noe Computas har utviklet basert på Kubernetes’ 4C-modell – og egen erfaring.

– Så vi tok 4C-modellen og gjorde den to hakk bedre. Vi kaller vår modell 6C, sier han med et smil.

– Modellen tar utgangspunkt i hvilke aspekter av arkitekturen en må jobbe med å sikre. Dette kan være basis sky-infrastruktur, hvordan et cluster er sikret eller om avhengigheter for en container er sikret. Dette er ganske overlappende med Kubernetes’ 4C modell. En av de tingene vi la til er hvordan prosessen er lagt opp. At en samtidig som en bygger og setter i produksjon sørger for at noe vedvarer å være sikkert. Man tester og kvalitetssikrer. At det i praksis er samsvar mellom sikkerhetskrav og utførelse. For å minimalisere muligheten for menneskelige avvik, så er automatisering et annet viktig punkt vi i Computas legger vekt på.

– Oppsummert handler det om å sikre alt i Core, Chain, Cluster, Container, Code og Components. Vi skal ikke gå så mye i dybden på det akkurat nå, men det handler om å sikre alt fra personellrutiner til maskinvare til kjeden av eksterne leverandører, sier Forfang.

Verdifull erfaring fra system- og applikasjonsutvikling

Hos Computas har de ansatte vært med på hele historien i programvareutvikling. De har allerede flere års erfaring med å hjelpe sine kunder i offentlig og privat sektor med å flytte og utvikle løsninger i skyen, og har spesialister på både Microsoft Azure, Google Cloud og AWS. 

– Det å sikre programvare i skyen sammenfaller mye med å sikre ting på egne servere. En må sikre på alle stadium og på alle komponenter, og sikre best der det teller mest. Samtidig må det gjøres på en repeterbar, kostnadseffektiv og varig måte uten at det blir et ork for kunden. Her opplever vi at Computas er en verdifull skypartner, fordi vi har erfaring med hele prosessen og kjenner plattformene, avrunder han.