Blogg

Delt ansvar i Atlassian Cloud

Atlassian Cloud: sikkerhet – et delt ansvar

Ved å bruke skytjenester godtar bedriften din å dele ansvaret med leverandøren bak tjenesten, i dette tilfellet Atlassian. Atlassian tar ansvar for de harde verdiene, dvs. selve hostingen av infrastrukturen som produktene kjører på (blant annet Jira og Confluence), mens du og de ansatte i bedriften din tar et felles ansvar for de myke verdiene ved å sørge for at produktene brukes på riktig måte.

I dette blogginnlegget ønsker vi å tydeliggjøre Atlassians ansvar, samt hva som forventes av deg som kunde. Når du har lest dette, håper vi at du har fått større forståelse av

  • hvilket ansvar du har, og hvilket ansvar Atlassian har når du bruker skytjenestene deres
  • hva du må være bevisst på for å styre potensielle risikoer
  • hva Atlassian gjør for å levere sikre tjenester i en offentlig sky

Atlassians syn på delt ansvar

Fra det tidspunktet bedriften din begynner å bruke Atlassians skytjeneste, har den et delt ansvar, dvs. at den forventes å ta ansvar for de aspektene den kan kontrollere. Vi snakker naturligvis om de myke verdiene vi nettopp har nevnt, noe som omfatter håndtering av informasjon. Når du bruker applikasjonene, tar du ansvar for at virksomheten din oppfyller de kravene loven stiller, derfor er det avgjørende at du forstår hvordan bedriftens risikoprofil ser ut basert på hvilken bransje den tilhører. Et viktig steg for å forstå hva du bør gjøre, er å sette deg inn i verktøyenes ulike aspekter, noe vi skal forklare her.

Bildekilde (last ned pdf): Atlassian

Ansvar for brukeradministrasjon, retningslinjer og etterlevelse

Vi begynner med å se nærmere på det aller mest grunnleggende for å skape en sikker hverdag i en skytjeneste, nemlig brukere og brukeradministrasjon. Det er egentlig bare én vei videre når det gjelder brukeradministrasjon, og den kan brytes ned i tre trinn: (1) verifisere domenet, (2) ta eierskap over brukerbasen og (3) installere Atlassian Access. Vi har tidligere skrevet en blogg om nettopp dette temaet, der du kan lese mer om hvordan du går frem.

I tillegg til disse tre trinnene som gir bedre sikkerhet og oversikt, bør du utarbeide retningslinjer for bruk av plattformen som er i tråd med virksomhetens etterlevelseskrav. Det er her retningslinjer og etterlevelse kommer inn i bildet.

Så snart et slikt regelverk er på plass, er bedriften din klar – et feilfritt miljø der brukerne kan blomstre …

Men fullt så enkelt er det jo ikke. Det er en ting å utarbeide retningslinjer, noe helt annet er det å få brukerne til å følge dem. Derfor er det viktig å gi brukerne kontinuerlig opplæring i sikker håndtering av informasjon. Etterlevelseskrav bør være en sentral del av bedriftens DNA, og i en ideell verden har brukerne full oversikt over klassifisering av informasjon og hva som kan lagres i offentlige skytjenester.

Til tross for alle anstrengelser vil den menneskelige faktoren før eller senere komme inn i bildet, og nettopp derfor bør det være et rammeverk på plass for å styre risiko. Hvis bedriften din ikke har en strategi for dette i dag, bør du begynne å utforme en nå.

Ansvar for Marketplace-apper og informasjon

Et annet kritisk aspekt av den totale sikkerheten i bedriftens Atlassian-miljø er Marketplace-apper. Mange er ikke klar over konsekvensene av å installere apper. Marketplace-apper har fordeler som gir en enklere og mer skreddersydd plattform, og vi vil gjerne forklare hva det innebærer rent sikkerhetsmessig når du installerer en app fra en tredjepartsleverandør i Atlassian Cloud.

Først og fremst bør du være klar over at Atlassian ikke tar ansvar for hvilke tredjepartsleverandører du velger å benytte; det er kundens ansvar å kontrollere at slike leverandører er seriøse. I praksis er det mulig for hvem som helst å bygge, hoste og publisere applikasjoner på Atlassian Marketplace. Atlassian foretar en gransking når en leverandør søker om å publisere en ny app på Marketplace, men gir ingen garantier for at leverandøren er seriøs.

Det er med andre ord opp til deg å forsikre deg om at appen er legitim. Det finnes noen kjappe triks for å kontrollere dette:

  • Staff Pick: Kontroller at appen har merkingen «Staff Pick». Dette er det høyeste nivået av anerkjennelse, ettersom Atlassian selv bruker eller har brukt applikasjonen.
  • Produktanmeldelser: Gir en tydelig pekepinn på hvor godt applikasjonen fungerer, og dermed hvor seriøs leverandøren er. Her må du ikke bare kontrollere antall stjerner, men også antall anmeldelser.
  • Marketplace Trust Program: Den tydeligste faktoren er Trust-programmet. Det viser om appleverandøren er åpen og tillitvekkende, og oppfyller de strenge kravene Atlassian stiller. Programmet består av tre nivåer, som forklart under:
    • Samtlige apper: Alle apper på Marketplace lever opp til kravene som Atlassian stiller for å kunne selge appen. Appen har blitt gransket av Atlassian, men dette er ingen garanti for at appen er legitim.
    • Cloud Security Participant:  Leverandøren av appen har tatt ytterligere steg for å sikre appen gjennom å bland annet gjennomføre et selvvurderingstest i sikkerhet. Man kan også delta i Atlassians ”bug bounty program”.
    • Cloud Fortified: De sikreste, og mest seriøse appene er merket ”Cloud Fortified”. Appleverandørene tar sikkerheten på største alvor og dere kan vaere sikker på at de følger strenge regulatoriske krav.

Selv om de ovennevnte indikatorene ser bra ut, anbefaler vi å ta kontakt med appleverandøren for å kontrollere at vedkommende oppfyller vilkårene til bedriften din. Noen apper bruker egne servere til å håndtere data, og det er dermed ikke sikkert at informasjonen din havner på riktig sted, selv om appen er merket med Staff Pick eller Cloud Fortified.

Når det gjelder informasjon, som er siste ledd i det delte ansvaret, mener vi informasjon som lagres i de ulike verktøyene. Bedriften din er selv ansvarlig for at alle data som lastes opp i miljøet, følger lovpålagte krav. Ikke håndter sensitive data i bedriftens verktøy med mindre det er absolutt nødvendig. Alle andre sikkerhetstiltak spiller liten rolle hvis du ikke klarer å kontrollere dette aspektet.

Brukerne kontrollerer sikkerheten

“Through 2025, 99% of cloud security failures will be the customer’s fault.” –
Kilde: Gartner: Is the cloud secure?

Det vi ønsker å få frem i denne bloggen, er at du bør ha mye fokus på brukerne dine – som er det svakeste leddet når det gjelder sikkerhet i en skytjeneste. Det er ikke mulig å kontrollere den menneskelige faktoren fullt ut, derfor er en sikkerhetshendelse noe bedriften din bør forvente og forberede seg på. Vi har spesifisert noen aspekter som det er klokt å være forberedt på:

  • avsløring av brukeropplysninger
  • bruk av stjålne brukeropplysninger
  • man-in-the-middle-angrep
  • endepunktsikkerhet
  • skadelige Marketplace-apper
  • phishing eller falske nettsider

Det kan være vanskelig å vite hvordan man skal kontrollere alle disse sårbarhetene. Det enkle svaret er at det ikke er mulig å kontrollere dem fullt ut, men du kan relativt enkelt skape en mye sikrere plattform ved å installere Atlassian Access og dermed få kontroll over pålogginger. Du er dessuten ikke helt overlatt til deg selv, ettersom Atlassian selv har sikkerhetsmekanismer på plass for å overvåke potensielle ondsinnede angrep.

Avslutningsvis

Det er ikke noe fasitsvar på veien videre i form av tips eller triks. Alle organisasjoner har av naturlige årsaker ulike rutiner for sikkerhet generelt. Kanskje vil du ha nytte av en allerede velutviklet sikkerhetsstrategi med tydelige retningslinjer, eller kanskje blir du nødt til å finne en helt ny løsning. Uansett hva du velger, anbefaler vi disse trinnene.

Raske tiltak

  • Verifiser bedriftens domene og ta godt vare på Atlassian-kontoene.
  • Installer Atlassian Access og konfigurer SSO (hvis det er støtte for IdP), ellers anbefaler vi å slå på 2FA.
  • Konfigurer autentiseringspolicyer for ulike brukerkontoer.

Langsiktige tiltak

  • Gå gjennom bedriftens Atlassian-produkter og lukk eventuelle sikkerhetshull.
  • Utarbeid og lanser en brukermanual, sørg for at brukerne forstår sikkerhetsaspektene knyttet til bruk av produktene.

Hvis bedriften din klarer å iverksette disse raske tiltakene, har du allerede kommet et godt stykke på vei. Policyer og etterlevelse er langsiktige tiltak som må gå hånd i hånd med bedriftens generelle retningslinjer. Uansett hvor bedriften din står i dag, har Stretch svarene på alle sikkerhetsspørsmål du måtte ha om Atlassian. Kontakt oss hvis du lurer på hvordan du skal ta neste steg mot en sikrere Atlassian Cloud-strategi.

Del dette innlegget