Publicerad: 18 mars 2024 / Uppdaterad: 23 oktober 2024
Kategori: Perspektiv
I diskussionen om den så kallade molnfrågan hävdas ibland att det är säkrare att ha sin data hos amerikanska molntjänstleverantörer.
Frågan är dock – säkrare än vad?
Säkrare än ett lågprioriterat serverrack i källaren? Högst troligen. En låg ribba är lätt att ta sig över. Man kan nästan förnimma hur spindelnät och vattenläckor smyger sig på i den mytomspunna serverkällaren.
Lyckligtvis ser alternativen i verkligheten i de flesta fall annorlunda ut. Både vad gäller eventuell egen drift, men särskilt de valmöjligheter som finns på marknaden för att köpa molntjänster av leverantörer.
Cleura och många andra bolag erbjuder molninfrastruktur som tjänst (IaaS) men också plattform som tjänst (PaaS) i konkurrens med Azure, AWS och Google Cloud. Cleura gör detta från sina datacenterregioner i Sverige och Tyskland.
Verksamheter kan alltså ta sig till molnet – med drift hos en extern tjänsteleverantör – utan att lägga sin data i en amerikansk molntjänst som tillhandahålls av en amerikansk molntjänstleverantör.
Alternativet till amerikanska molntjänster: OpenStack-baserade moln
Vi på Cleura, och många med oss, använder plattformen OpenStack för att leverera molninfrastruktur. Idag kan du få OpenStack-baserade publika molntjänster levererade från över 180 datacenter världen över.
OpenStack skapades av det amerikanska hostingbolaget Rackspace och den amerikanska rymdmyndigheten NASA.
Teknik med amerikanska rötter, alltså.
Rackspace och NASA upptäckte att de på var sitt håll hade byggt molnkomponenter som kompletterade varandra. De bestämde sig för att sammanfoga projekten och skapade vad som bäst kan liknas vid en ersättare till AWS.
De som var med när det begav sig har berättat att projektet tidigt kunde ha fallit i bitar. Svårigheterna tycktes oöverstigliga, och en amerikansk senator försökte enligt uppgift rentav sätta stopp för projektet. Senatorn var rädd att automatiserad molndrift med OpenStack skulle leda till färre arbetstillfällen i delstatens datacenter. NASA:s byråkrati var också ett hinder.
Projektet blev emellertid en framgång emot alla odds. Den som vill förjupa sig kan läsa tidningen Wires spännande reportage The Secret History of OpenStack, the Free Cloud Software That’s Changing Everything.
OpenStack bygger på samverkan
OpenStack är speciellt därför att det bygger på samverkan – inte bara mellan Rackspace och NASA utan mellan verksamheter världen över. Genom att Rackspace och NASA släppte OpenStack med öppen källkod-licens kunde nämligen alla bidra med förbättringar.
Ingen behöver heller be någon om tillåtelse för att använda OpenStack, eller betala någon licensavgift.
Hundratals företag som använder eller förlitar sig på OpenStack bidrar ändå med kod, ekonomiskt stöd eller på annat sätt. OpenStack kan liknas vid en allmänning som användarna vårdar och omhändertar. Skillnaden mot en jordplätt är att OpenStack blir mer värdefullt för alla i takt med att fler använder lösningen och deltar i gemenskapen. OpenStack har därigenom blivit ett av världens mest framgångsrika öppen källkod-projekt.
Tack vare OpenStack kan europeiska och svenska molntjänstleverantörer som Cleura erbjuda infrastruktur som tjänst (IaaS) till verksamheter som behöver följa GDPR och andra regelverk. Det är rena, skalbara molntjänster som bland annat tillhandahålls från Cleuras datacenterregioner i Stockholm, Karlskrona och Frankfurt.
OpenStack-projektets hem är sedan länge stiftelsen OpenInfra Foundation. Stiftelsen säkerställer att projektet förvaltas och utvecklas för gemenskapens bästa, utan att blidka något enskilt företags särintresse.
Förutom OpenStack är stiftelsen värd för näraliggande projekt inom bl.a. AI/maskinlärning, CI/CD, containers och edge computing.
Cleura är guldmedlem i OpenInfra Foundation och är representerad i den rådgivande styrelsen för OpenInfra Europe.
Säkerheten hos amerikanska molntjänster
En återkommande refräng är att amerikanska molntjänstleverantörer ägnar stora personalresurser åt säkerhet. Det säger emellertid inte mycket om vilka resultat som uppnås.
Används personalresurserna effektivt? Måste de städa upp i efterhand på grund av ett högt utvecklingstempo som lett till säkerhetsmissar? Tillkommer nya funktioner i en takt som ökar attackytan till men för säkerheten? Belastas koden av gammal teknisk skuld som kräver extra mycket ansträngning ur säkerhetssynpunkt?
Har lösningen en så stor kundbas att antagonister ser den som ett särskilt attraktivt mål?
Det framstår som logiskt att ju fler som använder en standardiserad molnlösning, och ju känsligare data som hanteras i molnlösningen, desto mer intressant blir det för antagonister att leta efter säkerhetshål. En och samma sårbarhet kan ju då användas mot fler eller känsligare måltavlor. Fullt naturligt att en leverantör av en sådan lösning måste lägga mer resurser på säkerheten.
Dessutom riskerar en driftstörning hos leverantören drabba många verksamheter samtidigt.
Här kan nämnas att Google har pekat ut dominansen hos en av sina konkurrenter som ett särskilt stort säkerhetsproblem, inte minst för offentlig sektor.
Företaget i fråga har också misslyckats med att upprätthålla sin egen interna säkerhet, och uppgav i januari 2024 att ryska hackare stulit interna meddelanden och filer från både ledningsgrupp och anställda som arbetar med cybersäkerhet och rättsliga frågor. Intrånget visade sig senare vara mycket värre än vad som först var känt.
Konkurrenter till företagets affärsområde inom säkerhet riktar också hård kritik. Ur en artikel från GovInfoSecurity:
”Any way you cut it, the threat is very real and very serious, and the prevailing view across the national security community seems to be that [the vendor] is hanging on by a thread,” said Krebs, who served as the first director of the U.S. Cybersecurity and Infrastructure Security Agency. ”These continued incidents pose a significant risk to companies that rely on [the vendor’s] systems and are driving executives in government and industry alike to reevaluate their dependence on [the vendor’s] systems.”
Men det är inte bara konkurrenter till företaget som har haft synpunkter.
I april 2024 publicerade USA:s departement för inrikes säkerhet en rapport som beskrev ”en kaskad av säkerhetsmisslyckanden hos [leverantören]” och att ”[leverantörens] säkerhetskultur var otillräcklig”.
”Under denna granskning identifierade styrelsen en rad operativa och strategiska beslut hos [leverantören] som sammantaget pekar på en företagskultur som nedprioriterade både investeringar i företagssäkerhet och rigorös riskhantering”, står det bland annat i rapporten.
Styrelsen som tog fram rapporten bestod av tjänstemän från myndigheter och näringsliv, bland annat från departementet för inrikes säkerhet, justitiedepartementet, försvarsdepartementet, NSA, FBI och andra.
Dessutom har BSI, den tyska federala myndigheten för informationssäkerhet, ställt frågor till samma molntjänstleverantör utan att få tydliga svar. Saken gällde leverantörens användning av så kallad dubbelnyckelkryptering (DKE). Genom att använda två nycklar, varav den ena alltid finns kvar hos kunden, är DKE avsett att förhindra dataläckage i särskilt säkrade miljöer.
Efter en särskilt allvarlig incident hos leverantören gav emellertid leverantören så oklara besked att BSI inte kunde avgöra om hotaktören ändå hade kommit åt data i klartext. ”Inte ens efter upprepade förfrågningar och hot om rättsliga åtgärder lämnade Microsoft den begärda informationen. Därför använder BSI nu de rättsliga instrument som står till dess förfogande, förklarar en talesperson för BSI”, rapporterar heise Security.
Säkerhet är inte lätt, men en mångfald av granskare gör det lättare
Säkerhet är inte lätt. Vi kan utgå ifrån att alla lösningar som blir tillräckligt stora eller betydelsefulla blir attraktiva mål för antagonister som letar efter säkerhetshål. Vi lyfter inte den här frågan för att peka finger åt en enskild leverantör, utan för att påvisa att en utomordentligt hög säkerhetsnivå inte nödvändigtvis följer automatiskt av att ett enskilt företag lägger stora personalresurser på säkerhet.
Med amerikanska rötter och bidrag från världen över, är en fördel med OpenStack att källkoden finns fritt tillgänglig. Tusentals organisationer använder OpenStack och tusentals personer bidrar till utvecklingen. Den utbredda användningen och deltagandet blir en fördel genom att källkoden utsätts för mångas ögon och perspektiv. Vill någon låta göra en oberoende säkerhetsgranskning av en viss del av koden, eller penetrationstesta en viss implementering, så är det fullt möjligt. För projektet skapar det ett värde för samtliga användare eftersom det bidrar till att identifiera och täppa till säkerhetshål.
Ägg i samma korg
En verksamhet kan minska sin sårbarhet genom att sprida sina ägg i flera korgar, istället för att lägga all data i samma amerikanska molntjänster som nästan alla andra använder. Dessutom minskar sårbarheten på samhällsnivå, eftersom ett säkerhetshål inte kan drabba stora delar av samhället samtidigt.
Dessutom tillkommer ytterligare ett perspektiv på säkerhet: att amerikanska myndigheter får åtkomst till den data som hanteras i amerikanska molntjänstleverantörer. Det kan vara ett hot mot såväl företagshemligheter som sekretessbelagd information och den personliga integriteten. Vi har skrivit mer om hotet från sådan åtkomst i rapporten Vad din verksamhet behöver veta om det tredje adekvansbeslutet.
Ett djupt beroende till en enskild leverantör på nationell nivå kan rentav undergräva ett lands självständighet. I Danmark har exempelvis motsvarigheten till SKR lobbat till regeringen att ändra i dansk lag för att låta Google använda skolbarns personuppgifter för att förbättra sina molntjänster. En del kommuner såg sig inte ha något annat val än att använda Googles lösningar för skolan, samtidigt som Google vill använda skolbarnens personuppgifter för dessa syften.
En av OpenStacks fördelar är att verksamheten inte blir beroende av en viss leverantör. Om verksamheten bedömer att en befintlig leverantör av OpenStack-baserade tjänster inte ger tillräckligt bra support, inte hanterar säkerheten tillräckligt bra eller inte håller konkurrenskraftiga priser, så är det fullt möjligt att migrera till en annan leverantör som tillhandahåller väsentligen samma infrastrukturtjänst.
Det här skapar en intressant paradox: ju lättare det är för kunden att lämna, desto större är sannolikheten att kunden frivilligt väljer att stannar kvar. Det beror på att leverantören får starka incitament att vara lyhörd mot sina kunder och leverera en säker och tillförlitlig tjänst till konkurrenskraftiga priser och villkor.
Sammanfattningsvis om amerikanska molntjänster
- Stora resurser i sig garanterar inte hög säkerhet. Resurserna behöver också användas effektivt och utvecklingen behöver ske på rätt sätt.
- Det finns alternativ till amerikanska molntjänster: molntjänsten Cleura Compliant Cloud, till exempel.
- Cleura och många andra molnbolag säljer infrastruktur som tjänst (IaaS) baserat på OpenStack, ett av världens mest framgångsrika öppen källkod-projekt.
- Genom att OpenStack är öppen källkod uppnås flera fördelar ur säkerhetssynpunkt:
- Utvecklingen sker transparent med den neutrala stiftelsen OpenInfra Foundation som hemvist. Det gör att alla kan följa att ny kod granskas enligt överenskomna rutiner på ett säkert sätt.
- Den som vill låta säkerhetsgranska koden eller penetrationstesta en viss uppsättning och konfiguration kan göra det.
- Allt annat lika ger fler ögon på koden bättre förutsättningar för att säkerhetshål upptäcks.
- Eftersom det finns många leverantörer av OpenStack-baserade moln, både i Sverige och i Europa, kan missnöjda verksamheter byta leverantör. Förmånliga priser, stöttning med molnarkitektur och andra fördelar är inte endast förunnat potentiellt nya kunder. Varje leverantör har starka incitament att stötta befintliga kunder över tid genom att leverera en kvalitetstjänst med hög säkerhet till konkurrenskraftiga priser. En leverantör med kunder som har svårt att lämna tjänsten ställs däremot inte till svars av marknadskrafterna. Det ökar sannolikheten att leverantören höjer priserna för befintliga kunder och stagnerar, även när det gäller säkerhet.
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.
Relaterade resurser
