1. Har skytjenester god sikkerhet?

Det er ikke et entydig svar på det. Bruk av skytjenester kan for mange være et godt valg som gir god sikkerhet. Skyløsninger er ofte basert på moderne teknologi med innebygde sikkerhetsmekanismer og leverandørene har kapasitet til nødvendig vedlikehold. Kjøp av slike tjenester kan være bedre enn å utvikle og vedlikeholde de selv «in house». Alle virksomheter må imidlertid være bevisst hva de tjenesteutsetter og hvilken risiko det innebærer.

Er tjenesten din utviklet for skyen (cloud native) eller er det en eksisterende tjeneste som er tilpasset et nytt liv i skyen? For sistnevnte vil en applikasjon eller et IKT-system med sårbarheter og annen teknisk gjeld ikke bli sikrere eller bedre av å flyttes til skyen. Ofte blir den enda mindre sikker. Se for øvrig også svar på spørsmål 2.

Les mer i temarapporten Sikkerhetsfaglige anbefalinger ved tjenesteutsetting.

2. Hvem er ansvarlig for sikkerheten i en skytjeneste?

Virksomheten selv har alltid sikkerhetsansvar uansett hvem som kjører tjenesten, hvor tjenesten kjører og hvem som drifter tjenesten. Ansvar tilhører egen virksomhet enten det benyttes eksterne skytjenesteleverandører eller om det er en «on-prem»-løsning.

Oftest tar leverandøren et begrenset ansvar for sikkerheten. Det kan skilles mellom «security of the cloud» (leverandørens plattform/tjenesteleveranse) og «security in the cloud» (kundens bruk). Det siste er kunden som regel ansvarlig for alene. Vi sier at skytjenesteleverandøren og kunden har et «delt ansvar» for sikkerheten, og som kunde må du i hvert tilfelle avklare hvor grensen går mellom hvilke oppgaver du skal løse og hvilke oppgaver skytjenesteleverandøren har tatt på seg (men som fremdeles er ditt ansvar).

Det blir for eksempel mange av de samme sikkerhetstiltakene for kunden uansett om en server er plassert i egne lokaler («on-prem») eller om den kjører som en virtuell server hos en leverandør. Det betyr i praksis at en virtuell server som kjører i en leverandør-sky, i de fleste tilfeller må sikres av kunden med for eksempel: tilgangskontroll til serveren, herding av serveren, programvedlikehold og patching av serveren, dataflyt til og fra serveren (sone-plassering for serveren) samt andre sikkerhetstiltak. Se Grunnprinsipper for IKT-sikkerhet for flere relevante sikkerhetstiltak. 

Kjøper virksomheten en skybasert applikasjonstjeneste (SaaS) som for eksempel epost-tjeneste, regnskap, eller saksbehandling, har kunden som regel færre muligheter når det gjelder sikkerhetstiltak. Kunden må likevel gjøre valg basert på ønsket bruk og basert på hva slags data tjenesten skal behandle. SaaS-leverandørene kan ha sikkerhetsfunksjonalitet som kunden kan velge, for eksempel alternativer for tilgangskontroll. 

Les mer i Veileder i sikkerhetsstyring

3. Hva må vurderes først med hensyn til sikkerhet og mulig tjenesteutsettning?

Valg av leverandørmodell og tjenesteutsetting av IKT-tjenester er en viktig strategisk del av virksomhetsstyringen. Virksomhetens styre eller leder bør sørge for en godt forankret prosess for alle berørte parter i virksomheten. Når en beslutning om tjenesteutsetting tas, bør den baseres på risikovurderinger som beskriver tjenesteutsettingens påvirkning på hele virksomheten, herunder leveranseevne, IKT-portefølje, økonomi og behov for kompetanse. 

Les mer i Sikkerhetsfaglig anbefalinger ved tjenesteutsetting og NSM GP 2.0

4. Vi vurderer å kjøpe tjeneste X fra leverandør Y. Hvordan skal vi vite at det er sikkert nok?

Alle seriøse skytjenesteleverandører har en omfattende vurdering av sikkerheten som er gjennomgått av en eller flere tredjeparts revisjonsvirksomheter, og dette er ofte grunnlaget for en eller flere sertifiseringer. Dette er opplysninger kunder og potensielle kunder kan få innsyn i for å vurdere sikkerhetsnivået til en skytjenesteleverandør.

Om en tjeneste er «sikker nok» er avhengig av flere ting, blant annet hva slags data tjenesten skal håndtere, hvilken verdi denne dataen har for virksomheten og eventuelt for andre og hvordan tjenesten skal benyttes. 

Vi opplever stadig at virksomheter presenterer mulig løsning/tjeneste som de vurderer å kjøpe før man har gjort en risikovurdering basert på eget behov, bruksmønster og risikoapetitt. Dette er en uheldig rekkefølge. Verdivurdering og risikovurdering bør gjøres først, før man vurderer ulike (konkrete) løsninger. Les mer om risikovurdering i Veileder i sikkerhetsstyring og Håndbok i beskyttelse av skjermingsverdig ugradert informasjonssystem.

5. Vi erfarer er at mange bare har vurdert konfidensialitet og ikke integritet og tilgjengelighet. Alle tre bør som et minimum hensyntas i en risikovurdering. Hva bør kreves av leverandørene?

Virksomhetsspesifikke krav er ofte ikke lett å få gjennomslag for hos en skytjenesteleverandør. Man får tilbud om «sky-pakke» A, B eller C med noen standardiserte tilpasninger knyttet til en standard kontrakt. Virksomheten selv må sette seg inn i hva som inngår i løsningen, og spesielt det som IKKE inngår i løsningen fra sky-leverandør. I mange tilfeller kan, og bør, kunden benytte tilleggs-sikkerhetsfunksjonalitet der denne tilbys av skytjenesteleverandøren. Hvorvidt tilleggs-sikkerhetsfunksjonaliteten som tilbys er de viktige og riktige risikodempende tiltakene virksomheten bør kjøpe, eller om virksomheten må (og kan) implementere ytterligere (egne) tiltak, må vurderes.

6. Skytjenesteleverandøren hevder at «alt blir kryptert». Hva innebærer det og er det sikkert nok?

Flere skytjenesteleverandører tilbyr kryptering. Ved å kryptere informasjon (dine data) med en nøkkel, sikrer man at kun de som har tilgang til nøkkelen får tilgang til informasjonen. Sikring av kryptonøkler er en absolutt forutsetning for å ivareta konfidensialitet og integritet. Nøkkelforvaltning er dermed svært viktig og kan håndteres av:

1. Skytjenesteleverandøren
2. En tredjepart
3. Virksomheten selv

Hvilket forvaltningsregime du velger vil avhenge av en rekke faktorer (kompetanse, ressurser osv.). 

Nytten av kryptert «data i ro» må vurderes av virksomhetens behov for kontroll og beskyttelse. I tillegg bør det vurderes hvilke trusselaktører man er bekymret for. Slik kryptering er ofte et godt sikkerhetstiltak mot eventuelle utro tjenere blant ansatte hos skytjenesteleverandøren, samt mot trusselaktører generelt.

Kryptering som utføres i selve datasenteret til leverandøren er ikke en beskyttelse mot leverandøren sin handlinger som virksomhet. Det betyr at hvis leverandøren blir beordret av sitt lands myndigheter til å utlevere kundens data, så er det ikke store tekniske hindre for slik utlevering. Dette gjelder om krypteringen av kundens data og tjenester skjer med kunde-generert nøkkel eller med leverandør-generert nøkkel. Mulige juridiske forhold eller politiske hindringer for slik utlevering omtales ikke her.

Det er viktig å presisere hva som menes med «alt blir kryptert»: Din virksomhets data må beskyttes i ro (lagret), i transitt (nettverk) og i bruk (prosess). Sikringsmekanismer i alle tre tilstander bør påses, og her er kryptering en vesentlig og helt naturlig bestanddel. 

Se også NSM Cryptographic Recommendations.

7. Kan en skytjenesteleverandør få tilgang til og hente ut kryptert data?

Ja. Moderne sky-plattformer kan forenkles etter følgende lagoppdeling:

  • Lag 4: Selve tjenestene til/for kundene

  • Lag 3: Virtuelle datamaskiner og/eller kontainere samt støttefunksjoner

  • Lag 2: Nederste programvarelag: hyperevisorer og firmware

  • Lag 1: Fysisk maskinvare, fysiske servere, fysisk nettverk, fysisk lagring

Det første laget er maskinvare (Lag 1). På maskinvaren kjører en hypervisor som er programvare som muliggjør virtualisering (Lag 2). Både maskinvaren og hypervisoren er som regel under kontroll av leverandøren. 

Lag 3 og 4 kjører forskjellige programvare-baserte lag som helt eller delvis styres av kundene. Dette avhenger av leveransemodellen til skytjenesteleverandøren. Deler av lag 3 og 4 kan beskyttes ved bruk av kryptering. 

Krypteringsnøkkelen vil ligge i minnet til den aktuelle virtuelle maskinen til kunden (Lag 3). Siden skytjenesteleverandøren kontrollerer den underliggende arkitekturen (maskinvaren og hypervisoren) kan en (av flere) metoder for dataavlesning være å kopiere krypterings-nøkkelen fra minnet. Har man tilgang til krypteringsnøkkelen, har man tilgang til de krypterte data. 

Med dagens DevOps-metoder (metodikk for drift og utvikling) så kan en «midlertidig sikkerhetsoppdatere» for eksempel hypervisorene med slike kapabiliteter. Dette er svært vanskelig/umulig for en kunde å oppdage. For de fleste er denne problemstillingen ikke viktig eller relevant, men enkelte virksomheter må være oppmerksomme på at dette er teknisk mulig og at det er en iboende risiko som det må tas høyde for i vurderingen om det skal tjenesteutsettes. 

Maskinvareleverandørene har utviklet funksjonalitet i prosessorene i de fysiske serverne som skulle sikre kunden mer kontroll over sine data. Det forutsatte kunde-dedikerte fysiske servere. Slik funksjonalitet (for eksempel Intel SGX) har vist seg å ha en rekke sårbarheter.

8. Er det sikrere hvis tjeneste kjører på norsk territorium?

Nei, ikke nødvendigvis. Hvis tjenester kjører 100 % i Norge og driftes 100 % fra Norge er tjenesten under nasjonal kontroll, men tjenesten kan være like sårbar for uønskede hendelser som om den blir levert fra utlandet. 

I noen tilfeller tilbyr leverandøren at skytjenesten blir levert fra Norge/Skandinavia. Men som oftest blir hypervisor-laget driftet fra et annet land. Da har man potensielt samme sårbarhet som er omtalt i spørsmålet over (kopiering av nøkler fra minnet). 

En variant av problemstillingen er at tjenesten kjører 100 % i Norge, men opplysninger om tjenestens brukere lagres utenfor Norge (på grunn av IAM-løsning eller fordi enkelte brukere har tilgang til andre tjenester osv.).

9. Hvilke sikkerhetsmessige forskjeller er det mellom «sky» og «on-prem»?

Det er to sikkerhetsmessig prinsipielle forskjeller som nevnes her. 

For det første: Dataavlesning innebygget i «tradisjonell» programvare har større sannsynlighet for å bli oppdaget da dette kan oppdages av alle kundene av programvaren samt av sikkerhetsforskere. En slik risiko var trusselaktører varsom med å ta, med mindre man kunne få inn en spesialtilpasset («tuklet med») programvare i offerets leverandørkjede (ofte uten kjennskap fra leverandøren). 

Med moderne skytjenester så blir det svært vanskelig å oppdage dataavlesning som er plassert i programvarekode som kan være unik per kunde og som kan være midlertidig. 

For det andre: Når kundens tjeneste kjører i et datasenter man ikke selv kontrollerer, blir det svært vanskelig, nærmest umulig, å monitorere for uønsket datatrafikk fra kundens tjenester ut av datasenteret. 

10. Hvor sannsynlig er slike trusler nevnt ovenfor og trenger min virksomhet å ta stilling til de?

NSM kjenner ikke til eksempler på at for eksempel data-avlesningen nevnt over har forekommet. Men vi har pekt på at det rent teknisk er mulig å gjennomføre og kan være vanskelig å oppdage. Virksomheten må selv ta stilling om man kan ta risikoen med slike trusler mot sine tjenester.

Virksomheten må selv ta stilling til om det er viktig å ha god nasjonal kontroll på tjenestene sine. I overnevnte punkter er fokuset på konfidensialitet (risiko for dataavlesning), men man må òg vurdere behov for nasjonal kontroll mht. integritet (risiko for manipulasjon) og tilgjengelighet.

11. Har sky-leverandørene god tilgjengelighet på sine tjenester?

Ja. De fleste leverandørene har god tilgjengelighet på sine tjenester. Dette forutsetter fungerende nettverk frem til skytjenesteleverandøren (og eventuelle underleverandører). De store skytjenesteleverandørene i dag har et CDN (Content Delivery Network) som en integrert del av sky-infrastrukturen som sikrer god tilgjengelighet.

Det forutsetter også at det ikke forekommer en force majeur à la internasjonale/nasjonale kriser, større naturkatastrofer, m.m. som gjør at du som kunde blir ned/bortprioritert av skytjenesteleverandøren — eller av myndigheter som styrer over skytjenesteleverandøren for å prioritere sine nasjonale behov.

12. Bør jeg unngå lock-in ved bruk av skytjenester?

Ja, det kan være ulemper ved å bli låst til en leverandør («lock-in»). Søk heller løsninger som er åpne og standardbaserte og minst mulig skytjenesteleverandør-avhengig.

Å ha størst mulig tjenestemobilitet inkluderer å kunne flytte virtualiserte/cloud native applikasjoner mellom datasentre/tilgjengelighetssoner i valgte kommersielle sky, mellom kommersielle skyer samt mellom konkurrerende produkter for virtualisering og cloud native, da fortrinnsvis ved at man sverger til utbredte åpne løsninger og standarder. 

Du bør ha en klar exit-strategi, både for tjeneste som kjører i skyen og dataene som lagres i skyen. Stor grad av tjenestemobilitet forenkler dette.