IT-sikkerhet på tvers av ulike skytjenester
IT-sikkerhet er ikke noe du ser på i etterkant, men som en kontinuerlig del av all skybasert tjenesteutvikling.
IT-sikkerhet må bli ivaretatt helhetlig i hybride skytjenester, det vil si på tvers av private og offentlige skytjenester (public cloud som AWS eller Azure). I praksis innebærer dette at et helhetlig sikkerhetsregime blir fulgt, både ved store og små implementeringer av tjenester.
IT-sikkerhet bør være en integrert del av bedriftskulturen generelt og applikasjonsutviklingskulturen spesielt.
Flere av de største, offentlig kjente tilfellene hvor IT-sikkerheten har sviktet skyldes noe så banalt som at en medarbeider har åpnet et vedlegg med ukjent innhold, eller at brukernavn og passord er gjettet eller kommet på avveie.
Derfor bør IT-sikkerhet stå på dagsorden for alle, med regelmessige påminnelser. I forhold til utvikling av kode og tjenester, må dette skje innenfor et utviklingsregime hvor tilretteleggingen er gjort grundig fra første stund.
Hvilke brukere som skal ha hvilke roller er for eksempel et element i dette – det sier seg selv at ikke alle skal ha samme tilgang til systemene, enten de er brukere eller systemeier eller -administrator.
Basefarm har i over 20 år vært driftspartner og rådgiver for kunder med samfunns- og virksomhetskritiske applikasjoner. Å bygge opp IT-sikkerhet proaktivt fra bunnen av er en del av tjenestetilbudet vårt.
Én viktig erfaring er at IT-sikkerhet bør være mest mulig konsistent og dermed forutsigelig på tvers av ulike skyplattformer enten det er en privat skytjeneste som Basefarm Cloud eller offentlige skytjenester som AWS, Azure eller GCP (Google Cloud Platform). Hvis folk lurer eller husker feil, kan det oppstå sikkerhetsbrister. Konsistent IT-sikkerhet motvirker dette.
Ved større implementeringer er det viktig å lage god dokumentasjon og følge forhåndsdefinerte prosedyrer. Ved mindre implementeringer må dokumentasjon oppdateres. Dersom ny programvare eller infrastrukturbruk blir implementert – noe det da ikke foreligger rutiner for – må dette bli gjennomgått før implementering.
IT-sikkerhet i driftsmiljø dekker kodevedlikehold (patching) og sikkerhetsovervåking. Basefarm har dette tydelig definert i Basefarm Platform Operations og SOC (Security Operations Center).
Kodevedlikehold/patching
Patching er et av områdene det syndes mye om. Patching handler om oppdatering av programvare. Mange uønskete hendelser er oppstått som følge av manglende patching.
Det er viktig at patching blir gjennomført når for eksempel applikasjonsleverandører gjør disse tilgjengelig. Dette betyr imidlertid ikke at du uten videre skal klikke «installér». Patcher kan gjelde sikkerhet og funksjonalitet.
Sikkerhetspatching må gjennomføres i henhold til IT-sikkerhetsregimet i virksomheten og da i utgangspunktet blir implementert.
Funksjonspatching bør ikke nødvendigvis gjennomføres ut i fra et IT-sikkerhetsperspektiv, da dette kan bringe nye problemstillinger med seg, som for eksempel om infrastrukturen er konfigurert eller har kapasitet for patchingen.
Sikkerhetsovervåking
Enten tjenestene er i privat eller offentlig sky (public cloud), må de overvåkes kontinuerlig fordi små og store hendelser kan skje døgnet rundt.
Ved å gripe fatt i små hendelser tidlig, kan større IT-sikkerhetsutfordringer bli avverget. Dette gjelder både fiendtlige angrep og systemtekniske forhold knyttet til komponenter i infrastrukturen, nettverk, opprettholdelse av funksjonalitet.
Hva bør jeg huske på når det gjelder IT-sikkerhet? Her er en viktig liste.
1. Flerfaktorautentisering. Glem å bruke bare brukernavn og passord. En tredje faktor må være på plass som en sms, verifisering med app eller kode fra sikkerhetskort.
2. Brukerroller. Ulike brukere har ulike behov. Gi tilgang ut i fra dette. En vanlig bruker må ikke få samme tilgang som systemets eier.
3. Sikkerhetspatching. Hold systemene sikkerhetsmessig oppdatert. Tenk deg om før du oppdaterer funksjoner, da feil her kan innvirke på sikkerheten
4. Tilgangsrevisjon. Folk kommer, går og bytter roller. Ikke glem å slette eller endre brukerroller.
5. Endringslogger. Logg endringer som blir gjennomført. Av hva, hvorfor og av hvem.
6. Logganalyse. Du kan logge hva IT-systemer gjør. Men, hva viser loggene? Sett opp logging og -analyse fra første stund. Kunstig intelligens og maskinlæring er viktige stikkord.
7. Infrastruktur. Sett opp IT-systemets maskinvare og programvare (såkalt infrastruktur) riktig.