Atlassian Cloud säkerhet – ett delat ansvar

Genom att använda molntjänster går ni med på att dela ansvaret med leverantören bakom tjänsten, i det här fallet Atlassian. Atlassian tar ansvar för dom hårda värdena såsom själva hostingen av infrastrukturen som produkterna körs på (bl.a. Jira och Confluence), medan ni tar ett gemensamt ansvar för mjuka värden genom att se till att produkterna används på rätt sätt.

I det här blogginlägget har vi siktet inställt på att förtydliga Atlassians ansvar, samt vad som förväntas av er som kund. När du har läst klart hoppas vi att du ska få en bättre förståelse för:

• Vilket ansvar ni har och vilket ansvar Atlassian har när ni nyttjar deras molntjänster
• Vad ni behöver vara medvetna om för att hantera potentiella risker
• Vad Atlassian gör för att leverera säkra tjänster i public Cloud

Atlassians syn på delat ansvar

Från det att ni börjar nyttja Atlassians molntjänst så äger ni ett delat ansvar, d.v.s. ni förväntas ta ansvar för dom aspekter ni kan kontrollera. Vi pratar såklart om dom mjuka värdena vi nyss nämnde vilket innefattar hanteringen av information. När ni använder applikationerna så tar ni ansvar för att er verksamhet möter dom regulatoriska krav som ställs, därav är det av högsta vikt att ni förstår hur er riskprofil ser ut givet den bransch ni befinner er i. Ett vitalt steg för att förstå hur ni bör agera är att sätta er in i de olika aspekterna av verktygen, något vi ska försöka klargöra här.

Bildkälla (ladda ner pdf): Atlassian

Ansvar för användarhantering, policy och efterlevnad

Vi börjar med att titta närmare på den absolut främsta aspekten för att skapa en säker tillvaro i en molntjänst, nämligen användare och användarhantering. Det finns egentligen bara en väg framåt när det kommer till användarhantering och den kan brytas ner i tre steg, det är att (1) verifiera din domän, (2) ta ägandeskap över din användarbas och (3) installera Atlassian Access. Vi har tidigare skrivit en blogg om just det här ämnet, du kan läsa mer om hur du går till väga här.

Utöver dessa tre steg som införlivar bättre säkerhet och ordning och reda så bör ni börja formulera en policy för plattformens användande som ligger i linje med er verksamhets efterlevnadskrav. Det är här Policy och efterlevnad kommer in i bilden.

Så fort ni tagit fram detta regelverk så är ni klara – en felfri miljö där användarna kan frodas…

Riktigt så enkelt är det ju inte. Det är såklart en sak att ta fram riktlinjer och en helt annan sak att få användarna att jobba enligt dessa, därför är det viktigt att kontinuerligt utbilda användarna i säker hantering av information. Efterlevnadsvillkor bör vara en vital del av en organisations DNA, och i den bästa av världar så är användarna helt medvetna om klassificeringen av informationen och vad som får befinna sig på publika molntjänster.

Trots era ansträngningar så kommer den mänskliga faktorn i spel förr eller senare och det är just därför ett ramverk bör finnas tillgängligt för att hantera riskerna. Om ni inte har en strategi idag så gör ni bäst i att börja fila på en.

Ansvar för Marketplace Appar och information

En annan kritisk aspekt av den totala säkerheten i er Atlassian-miljö är Marketplace appar. Många känner inte till implikationerna med att installera appar. Marketplace appar har styrkor som ger smidigare och mer anpassad plattform och vi vill dela med oss vad det innebär säkerhetsmässigt nar man installera en app från tredjepartsleverantörer i Atlassian Cloud.

Först och främst så bör ni känna till att Atlassian inte tar ansvar för vilka tredjepartsleverantörer ni väljer att anlita, det är kundens eget ansvar att kontrollera och säkerställa att dessa leverantörer är seriösa. I praktiken är det möjligt för vem som helst att bygga, hosta och publicera sina applikationer i Atlassian Marketplace. Atlassian genomför en granskning när en leverantör ansöker om att publicera en ny app till Marketplace, men Atlassian lämnar inte garantier för att leverantören är legitim.

Det är med andra ord upp till er att säkerställa att appen är legitim. Det finns några snabba knep för att kontrollera detta som vi vill dela med oss av:

• Staff Pick: Kontrollera om appen har märkningen “Staff Pick” på sig. Detta är den högsta nivån av erkännande då Atlassian själva använder eller har använt applikationen.
• Recensioner: Ger er en klar indikation på hur väl applikationen fungerar och således även hur legitim leverantören är. Kontrollera inte bara antalet stjärnor, utan även mängden recensioner.
• Marketplace Trust Program: Den tydligaste faktorn är trust-programmet. Den talar om ifall app leverantören har engagerat sig i transparens och lever upp till dom tuffa kraven Atlassian ställer. Programmet består av tre nivåer enligt nedan:
  • Samtliga appar: Alla appar på marketplace lever upp till skallkravet Atlassian ställer på dom för att få sälja appen. Appen har blivit granskad av Atlassian, men detta är ingen garanti för att appen är legitim.
  • Cloud Security Participant: Leverantören bakom appen har vidtagit extra steg för att säkra upp appen genom att bland annat genomföra ett självbedömningstest i säkerhet. Man deltar eventuellt även i Atlassians “bug-bounty program”.
  • Cloud Fortified: Dom säkraste, och mest seriösa apparna bär märkningen Cloud Fortified. Dessa appleverantörer tar säkerheten på största allvar och ni kan vara säkra på att dom följer strikta regulatoriska krav.

Även om ovanstående indikatorer ser kanon ut så rekommenderar vi er att ta kontakt med app leverantören för att säkerställa att dom lever upp till era villkor. En del appar använder egna servrar för att hantera er data, och det är således inte säkert att er information hamnar på rätt kontinent bara för att appen är märkt med Staff Pick eller Cloud Fortified.

Gällande information, som är det sista av de delade ansvaren, så syftar Atlassian till den information som lagras i de olika verktygen. Ni är ytterst ansvariga för att se till att all data som laddas upp i miljön följer era regulatoriska krav. Hantera inte känsliga data i era verktyg om inte absolut nödvändigt. Alla andra säkerhetsåtgärder spelar mindre roll om ni inte lyckas kontrollera denna aspekt.

Era användare kontrollerar säkerheten

“Through 2025, 99% of cloud security failures will be the customer’s fault.” –
Källa: Gartner: Is the cloud secure?

Vad vi säger genom den här bloggen är att ni bör lägga mycket fokus på era användare – den största svagheten vad beträffar säkerhet i en molntjänst. Det går inte att kontrollera den mänskliga faktorn fullt ut och därför är en olycka något att förvänta sig och förbereda sig inför. Vi har specificerat några aspekter som kan vara bra att vara förberedd på:

• Gissning av användaruppgifter
• Återanvändning av stulna användaruppgifter
• Man-in-the-middle attacker
• Slutpunktssäkerhet
• Skadliga Marketplace appar
• Phishing eller fake sajter

Det kan vara svårt att förstå hur man ska kunna kontrollera alla dessa sårbarheter. Det enkla svaret är att det inte går att kontrollera fullt ut, men ni kan relativt enkelt skapa en mycket säkrare plattform genom att installera Atlassian Access och således kontrollera inloggningar. Ni är dessutom inte helt utelämnad då Atlassian själva har säkerhetsmekanismer på plats för att övervaka potentiella skadliga attacker.

Avslutningsvis

Det finns ingen specifik väg framåt i form av tips eller tricks. Alla organisationer har av naturliga skäl olika positioner kring säkerhet som helhet. Ni kan eventuellt gynnas utav en redan välutvecklad säkerhetsstrategi med tydliga riktlinjer, eller så blir ni tvungna att uppfinna hjulet. Oavsett position så rekommenderar vi dessa steg.

Snabba åtgärder

• Verifiera er domän och omhändertag Atlassian konton.
• Installera Atlassian Access och konfigurera SSO (om stöd finns för IdP); annars rekommenderar vi er att slå på 2FA.
• Konfigurera autentiseringspolicys för olika typer av användarkonton.

Långsiktiga åtgärder

• Granska era Atlassian-produkter och stäng eventuella säkerhetshål.
• Skapa och lansera en användarmanual, se till att användare förstår säkerhetsaspekterna av att använda produkterna.

Om ni lyckas lösa dessa snabba åtgärder så är ni en bra bit på vägen. Policy och efterlevnad är långsiktiga initiativ som skall gå hand i hand med företagets generella riktlinjer. Oavsett vilken position ni befinner er i så har Stretch svaren på era frågor om säkerhet beträffande Atlassian. Kontakta oss om du funderar på hur ni ska ta nästa steg mot en säkrare Atlassian Cloud-strategi.