Fler och fler företag väljer att lägga sina tjänster hos publika molnleveratörer. Anledningarna kan vara många men det vanligaste är att det går snabbt att komma igång med, det förenklar skalbarheten och driftsäkerheten.
Då molnleverantören ofta står för den grundläggande IT-säkerheten så är det upp till administratören att konfigurera och hantera sina molnresurser på ett säkert sätt. Det är i det sistnämnda läget det kan vara värdefullt att utföra en molnsäkerhetsgranskning genom att låta en säkerhetsleverantör som Shelltrail hjälpa till med expertkompetensen.
Hur utförs en molnsäkerhetsgranskning?
Det vanligaste utgångsläget för en molnsäkerhetsgranskning är att via ett Read-only eller Security Audit-konto granska resurserna i molnmiljön och verifiera att inga misstag återfinns i infrasrtukturens uppsättning eller konfiguration.
Några av de områden som granskas i en molnsäkerhetsgranskning är:
- Behörighetstilldelning
- Hantering av privilegierade konto
- Exponerade resurser
- Bästa praxis
- Segmentering
- Kryptering av data
Shelltrail’s säkerhetstestare har flera års erfarenhet av att granska de större molnlevenratörerna på marknaden och via certifieringar utfärdade av både Amazon AWS och Microsoft Azure har Shelltrail även bevis på kunskap inom domänen.
Oftast brukar en analys av molnmiljön inkluderas vid ett webbapplikationstest när denna är driftsatt i en publik molnmiljö. Anledningen till kombinationen av webb- och molngranskning är att detta ger ett bättre skydd på djupet. Normalt sett tar testet ett par dagar att utföra, men detta är beroende på storeleken av molninfrastrukturen.
Shelltrails vana att arbeta med olika molnleverantörer gör att vi har erfarenhet att utföra test och följa respektive molnleverantörs regler för säkerhetsgranskningar.
Varför bör moln-miljön testas?
Det finns en så kallad Delad Ansvarsmodell hos de olika molnleverantörerna, exempelvis Microsoft Azure samt Amazon AWS. Detta innebär att ansvaret ligger hos administratören för vissa säkerhetsaspekter, beroende på driftsättningstyp (Saas, PaaS, IaaS).
Fler anledningar kan vara: krav från kunder eller leverantörer, kundförtroende och rykte, regulatoriska krav eller verifiering av nuvarande säkerhetsläge.
Vid avslutat uppdrag
Vid avslutat uppdrag så sker en avrapportering där Shelltrail’s säkerhetsexperter går igenom hela rapporten vilket inkluderar att alla brister presenteras i sin helhet. Rapporten inleds med en högnivå-sammanfattning där betoning av risker prioriteras över tekniska analyser. Inom ett par dagar efter avslutat uppdrag levereras normalt sett rapporten i sitt slutgiltliga format.