Blog

Fælles ansvar i Atlassian Cloud

Atlassian Cloud-sikkerhed – et fælles ansvar

Ved at benytte skytjenester accepterer I at dele ansvaret med den leverandør, der udbyder tjenesten, som I dette tilfælde er Atlassian. Atlassian tager ansvar for de hårde værdier såsom selve hostingen af infrastrukturen, som produkterne køres på (bl.a. Jira og Confluence), mens I tager ansvar for de bløde værdier ved at sørge for, at produkterne anvendes korrekt.

I dette blogindlæg fokuserer vi på at tydeliggøre Atlassians ansvar, og hvad der forventes af jer som kunde. Når du har læst det, håber vi, at du har en bedre forståelse af:

  • Hvilket ansvar I har, og hvilket ansvar Atlassian har, når I benytter deres skytjenester
  • Hvad I skal være opmærksomme på for at håndtere potentielle risici
  • Hvad Atlassian gør for at levere sikre tjenester i en offentlig sky

Atlassians syn på fælles ansvar

Fra det øjeblik, I begynder at anvende Atlassians skytjeneste, forventes det, at I tager ansvar for de dele, som I kan kontrollere. Her mener vi de bløde værdier, som vi nævnte ovenfor, hvilket også omfatter håndtering af information. Når I bruger applikationerne, tager I ansvar for, at jeres virksomhed opfylder de gældende regulatoriske krav. Derfor er det meget vigtigt, at I forstår, hvordan jeres risikoprofil ser ud på baggrund af den branche, I driver virksomhed i. Et afgørende skridt i forhold til at forstå, hvordan I bør agere, er at sætte jer ind i de forskellige aspekter af værktøjerne. Det kommer vi nærmere ind på herunder.

Billedkilde (download pdf): Atlassian

Ansvar for brugerhåndtering, politikker og compliance

Vi starter med at se nærmere på det absolut vigtigste aspekt i forhold til at skabe en sikker tilværelse i en skytjeneste, nemlig brugere og brugerhåndtering. Der er egentlig kun én vej frem, når det gælder brugerhåndtering, og den kan deles op i tre trin: (1) verificer dit domæne, (2) tag ejerskab for din brugerbase, (3) installer Atlassian Access. Vi har tidligere skrevet et blogindlæg om netop dette emne, og det kan du læse mere om her.

Ud over at gennemføre disse tre trin, som skaber bedre orden og sikkerhed, bør I også formulere en politik for brug af platformen, som er i tråd med jeres virksomheds compliancekrav. Det er her, politik og compliance kommer ind i billedet.

Så snart I har udarbejdet disse regler, har I et fejlfrit miljø, hvor brugerne kan trives …

Men så enkelt er det bare ikke helt. Én ting er at udarbejde retningslinjer – det er noget helt andet at få brugerne til at følge dem. Derfor er det vigtigt, at I løbende uddanner brugerne i sikker håndtering af informationer. Compliancevilkår bør være en central del af en virksomheds DNA, og i en perfekt verden er brugerne fuldt bevidste om klassificeringen af information, og hvad der må ligge i offentlige skytjenester.

Trods alle jeres anstrengelser vil den menneskelige faktor før eller siden komme i spil, og netop derfor bør der findes rammer for, hvordan man håndterer risici. Hvis I ikke har en strategi i dag, er det en god idé at begynde at lave en.

Ansvar for Marketplace-apps og information

Et andet kritisk aspekt af den samlede sikkerhed i jeres Atlassian-miljø er Marketplace-apps. Mange forstår ikke implikationerne ved at installere apps. Marketplace-apps har styrker, som giver en smidigere og bedre tilpasset platform, og vi fortæller gerne, hvilke sikkerhedsmæssige følger det har, når man installerer en app fra tredjepartsleverandører i Atlassian Cloud.

Først og fremmest bør I være klar over, at Atlassian ikke tager ansvar for, hvilke tredjepartsleverandører I vælger at benytte jer af. Det er kundens eget ansvar at kontrollere og sikre, at disse leverandører er seriøse. I praksis kan hvem som helst skabe, hoste og publicere applikationer i Atlassian Marketplace. Atlassian foretager en granskning, når en leverandør ansøger om at publicere en ny app til Marketplace, men Atlassian stiller ingen garantier for, at leverandøren er legitim.

Det er med andre ord op til jer selv at sikre, at appen er legitim. I kan dog benytte nogle enkle tricks, som vi beskriver herunder:

  • Staff Pick: Kontroller, om appen er mærket med ”Staff Pick”. Det er det højeste niveau af anerkendelse, eftersom Atlassian selv bruger eller har brugt applikationen.
  • Anmeldelser: Giver en tydelig indikation af, hvor godt applikationen fungerer, og dermed hvor legitim leverandøren er. Kig ikke kun efter, hvor mange stjerner den har, men også antal anmeldelser.
  • Marketplace Trust Program: Den tydeligste indikation er trust-programmet. Det viser, om app-leverandøren har engageret sig i transparens og opfylder de strenge krav, som Atlassian stiller. Programmet består af tre niveauer, som du kan se herunder:
    • Apps: Alle apps på Marketplace lever op til kravene fra Atlassian til salg. Appen er blevet gennemgået af Atlassian, men det er ingen garanti for, at appen er legitim.
    • Cloud Security Participant: Leverandøren bag appen har taget ekstra skridt for at sikre appen ved at gennemføre en selvevalueringstest i sikkerhed. Du kan også deltage i Atlassians bug-bounty-program.
    • Cloud Fortified: De mest sikre og seriøse apps bærer Cloud Fortified-mærket. Disse app-udbydere tager sikkerhed meget alvorligt og du kan være sikker på at de følger strenge lovkrav.

Selvom ovenstående indikatorer peger i den rigtige retning, anbefaler vi, at I kontakter app-leverandøren for at sikre jer, at de lever op til jeres krav. En del apps benytter deres egne servere til at håndtere jeres data, og dermed er det ikke sikkert, at jeres informationer havner på det rigtige kontinent, bare fordi appen er mærket med Staff Pick eller Cloud Fortified.

Når det gælder information, som er det sidste aspekt af det fælles ansvar, hentyder Atlassian til de informationer, der gemmes i de forskellige værktøjer. I sidste ende er det jer, der har ansvaret for at sikre, at alle data, der uploades i miljøet, følger jeres regulatoriske krav. Håndter ikke følsomme data i jeres værktøjer, medmindre det er absolut nødvendigt. Alle øvrige sikkerhedstiltag er underordnede, hvis I ikke formår at kontrollere dette aspekt.

Jeres brugere kontrollerer sikkerheden

“Through 2025, 99% of cloud security failures will be the customer’s fault.” –
Kilde: Gartner: Is the cloud secure?

Hovedbudskabet i dette blogindlæg er, at I bør fokusere meget på jeres brugere, som er det svageste led i sikkerheden i en skytjeneste. Den menneskelige faktor kan ikke kontrolleres fuldstændig, og man bør derfor forvente, at der sker uheld – og forberede sig på dem. Vi har specificeret nogle aspekter, som det kan være en god idé at forberede sig på:

  • Nemt at gætte brugeroplysninger
  • Genbrug af stjålne brugeroplysninger
  • ”Man-in-the-middle”-angreb
  • Endpoint-sikkerhed
  • Skadelige Marketplace-apps
  • Phishing eller falske websites

Det kan være svært at forstå, hvordan man skal kunne kontrollere alle disse sårbarheder. Det enkle svar er, at man ikke kan kontrollere det 100 %, men I kan relativt nemt skabe en langt mere sikker platform ved at installere Atlassian Access og på den måde få kontrol over indlogninger. Desuden er I ikke fuldstændig eksponerede, eftersom Atlassian har sine egne sikkerhedsmekanismer til overvågning af skadelige angreb.

Afrunding

Der er ingen specifik vej fremad, som vi kan komme med tips og tricks til. Hver organisation har af naturlige årsager sin egen indstilling til sikkerhed som helhed. Måske er I så privilegerede, at jeres organisation allerede har en veludviklet sikkerhedsstrategi med tydelige retningslinjer, eller også er I nødt til at opfinde den dybe tallerken. Uanset hvor I står, anbefaler vi disse trin.

Hurtige tiltag

  • Verificer jeres domæne, og håndter jeres Atlassian-konti.
  • Installer Atlassian Access, og konfigurer SSO (hvis IdP understøttes); ellers anbefaler vi, at I aktiverer 2FA.
  • Konfigurer godkendelsespolitikker for forskellige typer brugerkonti.

Langsigtede tiltag

  • Giv jeres Atlassian-produkter et eftersyn, og luk eventuelle sikkerhedshuller.
  • Udarbejd og publicer en brugermanual, så brugerne forstår de sikkerhedsmæssige aspekter ved at bruge produkterne.

Hvis I får disse tiltag på plads, er I allerede nået langt. Politikker og compliance er langsigtede initiativer, som skal gå hånd i hånd med virksomhedens generelle retningslinjer. Uanset hvilken position, I befinder jer i, kan Stretch svare på jeres sikkerhedsspørgsmål om Atlassian. Kontakt os, hvis du er usikker på, hvordan I tager det næste skridt mod en sikrere Atlassian Cloud-strategi.

del dette indlæg