Säkerhet Genom AWS

Säkerhet Genom AWS

Digitaliseringen genomsyrar hela vårt samhälle. I dagsläget lagrar vi mer data än någonsin och det ökar konstant. Det digitala kan inte längre ses som ett hjälpmedel utan behöver snarare ses som något vitalt och centralt för företag. Även om detta på många sätt är en positiv utveckling, tvingas många företag att uppmärksamma en oerhört viktig aspekt av den digitala framväxten, nämligen säkerhet.

Vi har tidigare i vår kunskapsbas skrivit om fördelarna med molnet när det gäller säkerhet generellt (se "Molnet och känslig data - vad bör man tänka på?"), men vi anser att det är bra att veta mer specifikt hur säkerheten kan se ut hos en molnleverantör. I denna artikel kommer vi därför att diskutera hur AWS, vårt val av molnleverantör, hanterar säkerhetsfrågor.

Bakgrund

Utan att nämna några tekniska aspekter av säkerheten hos AWS, så är det bra att ta ett steg tillbaka och titta historiskt sett hur säkerheten hanterats och vilken vision de har. AWS har alltid prioriterat säkerhet när det gäller molnet och har ett rigoröst säkerhetssystem på plats. De stödjer också fler regelverk än någon annan, vilket innebär att vare sig din data lagras i EU och därmed följer GDPR, eller t.ex. USA där andra regelverk lyds, så kan du vara säker på att din data är trygg och hanteras regelrätt.

Kryptering

AWS använder den första och enda publikt tillgängliga krypteringen som godkänts av National Security Agency, nämligen AES-256. Detta är en 256-bitars symmetrisk kryptering som är nästintill ogenomtränglig. För att saker i perspektiv så använde man i ca 30 år, innan AES (Advanced Encryption Standard) uppfanns, oftast en 56-bitars kryptering, något som visar på hur långt vi har kommit när det gäller krypteringsstandard.

CIA triaden

Detta ska inte förvirras med underrättelsetjänsten CIA, utan står för "Confidentiality, Integrity and Availability", och det är något som AWS följer. Detta är grundläggande principer för ett säkerhetssystem som fungerar lite som vägledning när man utvecklar metoder för att uppnå optimal säkerhet. Här är en snabb överblick över de tre punkterna:

Confidentiality - Förhindra icke-auktoriserad tillgång och missbruk. Det kan handla om utomstående intrång men också att viss information enbart ska kunna åtkommas av vissa personer på företaget. Exempel på metoder för detta inkluderar lösenord och andra former av auktoriseringsprocesser.

Integrity - Säkerställer att information inte kan ändras eller manipuleras av icke-auktoriserade. Det kan vara av utomstående men också på grund av en servercrash t.ex. Information ska, med andra ord, alltid kunna återskapas till sitt ursprungliga tillstånd.

Availability - Även om datan är konfidentiell och uppföljer integritetskraven, så är det också extremt viktigt att auktoriserade användare har oavbruten tillgång till informationen. Kort och gott måste saker fungera som de ska, när de ska.

AWS fyra egna säkerhetsprinciper

Utöver CIA triaden, som är mer grundläggande principer de flesta leverantörer strävar efter att uppnå, har AWS fyra egna principer som de följer. Dessa principer garanterar att ert företag uppnår den nivå säkerhet ni efterfrågar. Här är en snabb överblick över principerna:

Prevent - Detta handlar om att definiera vilka som är auktoriserade att åtkomma viss information och se till de nödvändiga brandväggarna och processerna finns på plats för att neka åtkomst åt icke-auktoriserade.

Detect - Genom att övervaka hela säkerhetssystemet samt genom att använda av AI för att upptäcka suspekta avvikelser skapar AWS ett skydd från skadlig och icke-auktoriserad datatrafik.

Respond - AWS använder sig av automatiserad respons till situationer relaterade till säkerhet. Med andra ord låter man ett system svara på händelser i realtid för att bedöma unikheten och känsligheten av situationen. Fördelen med detta är att de anställda inte behöver hantera notiser av mindre vikt utan kan i stället lägga sitt fokus på de händelser som är känsligare och mer svårhanterliga.

Remediate - AWS använder sig av automation här med för att svara på och åtgärda situationer i realtid. I normala fall behöver en IT-ansvarig gå in och manuellt åtgärda problem eller komma på en lösning. Ifall detta är något man föredrar, så kan man självklart välja att inte använda sig av automation i dessa fall.

Säkerhet - ett måste i dagens samhälle

I takt med att vi rör oss mer och mer mot ett totalt digitaliserat samhälle där all information lagras digitalt, så ställs höga krav på hur vi hanterar all data. AWS har historiskt sätt haft säkerhet som en prioritet och har dessutom lyckats bra med detta. De har en genomtänkt säkerhetsstrategi på plats som är både tydlig och flexibel utifrån kundens specifika behov. Detta är en stor anledning varför vi på Altostruct har valt att ställa oss bakom AWS som leverantör.

Säkerhet gällande data är inte längre något som kanske är "bra att ha": Det är ett måste. Tveka inte att höra av er till oss ifall ni vill diskutera er säkerhet med oss och ta reda på vad den bästa möjliga lösningen för er är!