Datasikkerhet er en prioritet for alle organisasjoner. Ikke minst når det gjelder skylagring. Her får du vite mer om avanserte sikkerhetstiltak som kryptering, rollebasert tilgangskontroll, regeloverholdelse og andre tiltak som beskytter dataene dine i skylagringsmiljøer. Du får også gode råd om hvordan du finner ut om en skyleverandør holder et høyt sikkerhetsnivå.
Sikkerhet i skylagring – kryptering, tilgangskontroll og samsvar
Skylagring er en enkel, fleksibel og kostnadseffektiv måte for bedrifter å håndtere dataene sine uten å måtte investere i eller vedlikeholde den nødvendige IT-infrastrukturen selv. Siden skylagring innebærer at dataene dine lagres hos skyleverandøren din i stedet for lokalt, er det viktig at du vet hvilke sikkerhetstiltak som kan brukes for å beskytte dataene dine i skyen. Her kan du lære mer om kryptering, rollebasert tilgangskontroll, samsvar og andre viktige sikkerhetsaspekter som hjelper deg å velge en sikker løsning for skylagring.
Kryptering for å beskytte data ved lagring i skyen
Den mest vanlige sikkerhetsrisikoen ved all form for datalagring og -behandling er at noen uautoriserte personer får tilgang til bedriftens data, for eksempel ved et datainnbrudd. I dag skjer det
innbruddsforsøk mot bedrifter hver 11. sekund globalt sett. Den viktigste sikkerhetstiltaket mot at data blir stjålet eller manipulert er kryptering. Dette innebærer at originaldataene konverteres til en ulæselig kode ved hjelp av en krypteringsalgoritme og en krypteringsnøkkel. Selv om noen uautoriserte personer skulle få tak i dataene ved et innbrudd, er de ubrukelige fordi krypteringen sørger for at bare brukere med riktig nøkkel eller autentisering kan dekryptere og lese dataene.
Når det gjelder å beskytte data i skylagring, finnes det to metoder: Kryptering i hvile og under overføring. Kryptering i hvile betyr at dataene er beskyttet på den serveren eller enheten der de er lagret. Krypteringsteknikker som AES (Advanced Encryption Standard) og RSA gjør dataene på serveren uleselige for alle som ikke har riktig nøkkel, noe som beskytter mot datatyveri. Kryptering under overføring krypterer data når de overføres mellom cloud-tjenestens servere og brukerens enhet. Denne beskyttelsen skjer vanligvis via protokoller for sikker overføring som TLS (Transport Layer Security) og HTTPS. Dette forhindrer såkalte man-in-the-middle-angrep, hvor angripere prøver å få tilgang til data i nettverkstrafikken.
De fleste av dagens leverandører av skylagring bruker kryptering både i hvile og under overføring for å sikre et høyt nivå av datasikkerhet. I tillegg er dataene på serverne beskyttet med sikkerhetsmetoder som brannmurer som hindrer trafikk fra uautoriserte steder, nettverksovervåking som kontrollerer mistenkelig aktivitet, samt fysiske sikkerhetstiltak som perimeterbeskyttelse, alarmsystemer og streng tilgangskontroll som sikrer at kun autoriserte personer har tilgang til serverne.
Rollebasert tilgangskontroll begrenser tilgangen til data lagret i skyen
Rollbaserad åtkomstkontroll (RBAC) er en sikkerhetsmetode som beskytter data lagret i skyen ved å organisere og begrense tilgangen til skyressursene. Som navnet tilsier, er tilgangen basert på roller i stedet for individuelle rettigheter. I praksis betyr dette at hver brukers tilgang til ressurser og funksjoner er basert på hvilken rolle brukeren har i organisasjonen. For eksempel kan visse roller bare ha tilgang til å lese visse data som er relevante for deres arbeidsoppgaver. Det betyr at en utviklerrolle kan ha tilgang til å opprette og endre data, mens en administratorrolle har tilgang til å opprette, endre og slette data samt endre andre brukeres tilgang.
Denne typen tilgangskontroll begrenser hvem som har tilgang til skylagringen, noe som reduserer risikoen for uautorisert inntrenging og datalekkasjer. RBAC beskytter også mot problemer som kan oppstå på grunn av den menneskelige faktoren, for eksempel feilaktige endringer som skjer ved en feiltakelse. På denne måten bidrar rollbasert tilgangskontroll også til forbedret håndterbarhet med mer effektiv kontroll over dataene.
Bruk av rollebasert tilgang er et viktig tiltak for å oppfylle sikkerhetsstandarder som GDPR og ISO 27001. Dette gjelder spesielt hvis tilgangskontrollen har sterke autentiseringsmetoder som multifaktorautentisering eller biometrisk pålogging.
Regulatory compliance for cloud storage
Sikkerhetsstandarder som GDPR og ISO 27001 spiller en viktig rolle i å opprettholde høy sikkerhet ved skylagring. Personvernforordningen GDPR (General Data Protection Regulation) er en av verdens strengeste sikkerhetslovgivninger og skal sikre at individers rettigheter til personvern respekteres. GDPR påvirker sikkerheten i skylagring blant annet ved at forskriften stiller krav til databeskyttelse og kontroll mot uautorisert tilgang, kryptering, mekanismer for å oppdage og rapportere datainnbrudd, samt krav til transparens og datasuverenitet.
ISO 27001 er en internasjonalt anerkjent standard for databeskyttelse og sikkerhet som spesifiserer kravene til informasjonssikkerhet. En leverandør av skytjenester som er sertifisert i henhold til ISO 27001, kan vise at det finnes sikkerhetstiltak for å identifisere, vurdere og håndtere sikkerhetsrisikoer knyttet til skylagring. ISO-standarden stiller blant annet krav til tilgangskontroll, kryptering, hendelseshåndtering og beskyttelse mot fysiske trusler. Tilleggsstandarden ISO 27017 fokuserer i tillegg på sikkerhetsspesifikke retningslinjer for nettopp skylagring. Blant annet hvilke ansvarsområder som faller på leverandør respektive kunde, og hvilke spesifikke risikoer som er knyttet til skybaserte tjenester.
Leverandører av skylagring som følger GDPR og er ISO 27001-sertifiserte, er forpliktet til å opprettholde og forbedre sikkerheten ved skylagring ved å beskytte data og håndtere risiko. På denne måten er regeloverholdelse et kvalitetsmerke for høy datasikkerhet ved skylagring.
Viktige ting å tenke på når det gjelder sikkerhet i skylagring
I begynnelsen var det skepsis mot sky-tjenester på grunn av bekymring for at skyen ikke kunne tilby tilstrekkelig datasikkerhet. Sannheten er imidlertid at dagens cloud-leverandører ofte har tilgang til mye bedre datasikkerhet enn de fleste andre bedrifter, siden cloud-leverandører jobber spesifikt med datalagring og overføring. Derfor kan de ofte tilby høyere sikkerhet enn et lokalt system. Dette gjelder for eksempel også datasikkerhet knyttet til sikkerhetskopiering, brannbeskyttelse og beskyttelse mot andre katastrofer, innbrudd eller strømbrudd. Det er imidlertid viktig at du som vurderer å bruke sky-tjenester, undersøker hvordan en leverandør arbeider med sikkerheten i sine skylagringstjenester. Det kan du gjøre ved å:
- Sjekk leverandørens regeloverholdelse og sikkerhetssertifiseringer. For eksempel GDPR og ISO 27001.
- Finn ut hvor dataene lagres, i Sverige, innenfor EU eller utenfor Europa? Det påvirker hvilke regler som gjelder for personvern.
- Gå gjennom hvordan leverandøren krypterer data i hvile og under overføring. Hvilke protokoller brukes, hvem har kontroll over krypteringsnøklene, og er det ende-til-ende-kryptering mellom avsender og mottaker?
- Bruker leverandøren rollebasert tilgangskontroll og multifaktorautentisering? Logger leverandøren tilgang og handlinger slik at eventuell mistenkelig aktivitet kan spores?
- Hvordan er leverandørens håndtering av hendelser og respons?
- Hvordan er den fysiske sikkerheten? Hvordan håndteres fysisk tilgang, driftsavbrudd, katastrofer, tjenester og lagring i skyen?
- Er det mulig å skalere tjenestene og lagringen i skyen uten at sikkerheten påvirkes?
- Hvilke retningslinjer og referanser har leverandøren når det gjelder datasikkerhet?
- De fleste skytjenester har brukerinnstillinger for tilgangskontroll. Finn ut hvordan du selv kan kontrollere hvor mye andre skal få vite om kontoen din. Lag gjerne en egen sikkerhetspolicy for hvordan dere skal håndtere tilgang og databeskyttelse.
Slik beskytter Binero dine data ved skylagring
Våre sky-tjenester er designet for å støtte rask utvikling uten å gå på akkord med sikkerhet eller dataintegritet. Enten du ønsker å bruke egne servere gjennom eller kjøre applikasjonene dine i en publika sky, har vi sikre og ukompliserte svenske sky-tjenester som utgår fra vårt miljøtilpassede datasenter i Vallentuna. Det betyr at alle data som lagres hos oss kun behandles i Sverige og er underlagt svensk lovgivning og GDPR. Vår ISO 27001-sertifisering garanterer at vi oppfyller de høyeste standardene for informasjonssikkerhet.
Vi kan også tilby enda sterkere IT-sikkerhet gjennom vårt Network Operations Center (NOC). Der overvåker vårt dedikerte personale nettverkene og ressursene dine i sanntid, slik at de raskt og effektivt kan håndtere hendelser samt identifisere og løse potensielle problemer før de påvirker virksomheten din.
Kontakt oss hvis du vil vite mer om IT-sikkerhet ved skylagring!