Fokus på sikkerhed i AWS – Rapport fra re:Inforce

AWS har netop afholdt sin store sikkerhedskonference i Boston – re:Inforce. I den forbindelse har Kristoffer deltaget som repræsentant for KeyCore, og han blev i den anledning interviewet.

Som Kristoffer udtaler til Version2:

”Hvis man har været vant til at få sine systemer hostet hos en traditionel hostingleverandør, så kan det være svært at vænne sig til den delte sikkerhedsmodel.

Det mener Kristoffer Hansen, AWS Solution Architect, fra det danske cloud consulting firma Keycore.

»Det, jeg ofte ser, er, at der ikke tænkes over compliance og shared responsibility model. Det forstår kunden ikke rigtigt, hvis de har været vant til en hostingleverandører, som traditionelt har sikkerhedsfolk og folk med juridisk indsigt til at sikre, at alting er i orden,« siger Kristoffer Hansen og uddyber:

»En udvikler tænker: Jeg skal have en database, en webserver og nogle lambda-funktioner. De tænker måske lidt applikationslogning, men sjældent compliance. Nu tager kunden og smider deres eksisterende infrastruktur op i AWS, hvor AWS tager hånd om al sikkerheden på deres side, men der hvor kunden selv skal kode, konfigurere, logge, sikre adgangskontrol og følge least privilege-princippet, kan det gå galt. Jeg vil ikke sige 80% af gangene, men over halvdelen af gangene er der ikke tænkt nok over det. Modenhedsgraden er ikke høj nok,« mener Kristoffer Hansen.

Når de automatiske værktøjer ikke er nok, så er der andre muligheder for at etablere god sikkerhedspraksis i skyen. Det er, hvad Kristoffer Hansen og hans kollegaer blandt andet tilbyder via templates til deres kunder.

»Vi laver templates, design for infrastruktur. I stedet for blot at spinne en ny EC2-instans får de en cloudformation template for en sikker VPC Virtual Private Cloud, der blandt andet indeholder en EC2-instans. Vi indtænker sikkerhed, roller og policies i de templates,« siger Kristoffer Hansen, der oplever, at de fleste udviklingshuse kan se fordelene med den slags templates, når konceptet forklares, men at de sjældent selv har etableret praksissen.”

Læs resten af artiklen hos Version2 på:  https://www.version2.dk/artikel/amazon-vil-stramme-sikkerheden-skyen-udvikling-sikkerhed-boer-ikke-adskilles-1088415

Comments are closed.