Hur säkert är Atlassian Cloud?

Som ett företag med bas i Europa är det inte alltid lätt att leva upp till alla regulatoriska krav som ställs på en, inte minst när marknaden av SaaS-produkter (Software as a Service) fullkomligt blomstrar med nya smarta lösningar och funktioner. Här har du chansen att antingen ta rollen som pionjär i cloud transformationen eller sätta ner foten och begränsa användningen av public cloud. Vi förstår givetvis att verkligheten är mycket mer komplex än att bara välja sida.

I den här bloggartikeln kommer vi att bena ut vilka säkerhetsaspekter du behöver ta i beaktning och hur ansvarsfördelningen ser ut vad gäller Atlassian Cloud.

Gartner belyser i en av sina artiklar den potentiella konsekvensen av att inte hantera public cloud. Man tror bland annat att 90% av dessa organisationer felaktigt kommer att dela känslig data innan år 2025 om dom inte tillsätter en strategi. Man tror även att fram till 2025, så kommer 99% av säkerhetsrelaterade incidenter att vara kundens eget fel.

GDPR och Atlassian Cloud

GDPR är ett ytterst aktuellt ämne när det kommer till cloud instanser. Det finns en del som tvivlar på om huruvida Atlassian Cloud är ett bra val eller inte när det kommer till GDPR. Ofta handlar det om vart informationen lagras någonstans, och om Atlassian verkligen kan garantera att informationen stannar där vi vill ha den?  

Svaret på den frågan är något komplex, och här är varför; I SaaS-tjänster pratar man om data i två skeden, data at rest, och data in transit. Det förstnämnda innebär den plats där datat lagras när det inte används. Här kan Atlassian precisera vart ditt data skall befinna sig med hjälp av “Data Residency”. När datat inte används är det krypterat på disk med AES-256 kryptering. Det är när datat är i rörelse, s.k. “In transit” som det blir komplicerat.

Illustration av det digitala molnet

Datat behöver kunna förflyttas när det hanteras, det är så SaaS produkter fungerar. När en användare begär information eller utför en handling så skickas informationen i ett anrop till en central funktion som sedan returnerar ett svar. Atlassian kan därför inte garantera att ditt data lever på en och samma yta då miljön bygger på flertalet funktioner som finns utspridda i världen. Det innebär att när du gör ditt anrop så kanske anropet involverar en tjänst som driftas i Atlassians datacenter i USA. Även om Atlassian inte kan garantera att ditt data alltid finns på samma plats så ser dem till att säkra upp informationen när den är i rörelse med hjälp av TLS 1.2 och PFS (Perfect Forward Secrecy).

Men är Atlassians produkt GDPR kompatibelt? Ja, det är den. Atlassian har byggt in flertalet funktioner som tillåter dig fullkomlig kontroll som administratör att radera användardata på förfrågan. Notera dock att det endast avser användardata. Har du exempelvis en service desk där känslig data hanteras i ärenden så måste denna information tas bort manuellt och det ställer istället krav på dig att ansvara för vad det är för information som hanteras i din Jira instans. Vi ska ta en närmare titt på ämnet nedan.

Vill du veta mer om våra tjänster kring Atlassian Cloud?

Ett delat ansvar

Atlassian pratar om att det finns ett delat ansvar. Att du som kund också har ett  ansvar i hur du använder plattformen. Det är viktigt att förstå vilket ansvar som tillfallet respektive part. Atlassians själva tar ansvar för säkerhet, tillgänglighet och prestanda för de applikationer Atlassian tillhandahåller, de system applikationerna körs på och de miljöer inom vilka systemen driftas genom. Det innebär i praktiken att själva förvaltningen av applikationerna hanteras av kunden. Kundansvaret kan därför delas in i fyra områden Användare, Policy och efterlevnad, Tredjeparts appar samt Information och datahantering.

Användare

När vi adresserar det här området så pratar vi i praktiken om användarhanteringen. Ett koncept som går att hantera på många sätt och därmed finns det många säkerhetshot förknippat med det. Se till att fokusera på att bygga en bra strategi kring hur du vill att dina användare skall få tillgång till systemet, antingen automatiskt genom user provisioning, eller genom att att lägga till användare manuellt. Vad som är rätt för dig hänger på hur strukturerad katalogtjänst ni besitter idag, men kan du få till AD-koppling så är det något vi rekommenderar starkt.

Policy och efterlevnad

Det är viktigt att man förstår att olika branscher har olika regulatorer och därmed olika skyldighet enligt svensk lag. Se till att du förstår hur du får agera och därmed hur Atlassians cloud tjänst är tillämpbar i den branschen du verkar inom. Ett bra steg här kan vara att börja med att utforska din riskprofil för att förstå känsligheten i ditt data och etablera en förståelse i företaget.

Tredjeparts appar

Om du är en van on-prem/self-managed användare av Atlassians verktyg kan det vara så att du har en del applikationer sedan tidigare. Dessa appar som i dagsläget är isolerade i en on-prem installation kommer istället att driftas på egna plattformar vilket innebär att den data du hanterar i din Jira miljö kan komma att skickas till andra sidan jorden för att hanteras innan den returneras till dig.

Det finns många bra appar på Atlassians Marketplace, vilket ger oändliga möjligheter i din miljö. Men var uppmärksam på vilka appar du använder dig av. Det är nämligen ditt eget ansvar som kund att säkerställa att appen lever upp till just dina och din bransch specifika krav. Vi rekommenderar att ni tittar efter följande indikationer; användarrecensioner, “Staff pick-label”, Cloud Security Participant, och Bug Bounty Program. All den här informationen framgår på marketplace, och ju fler du kan bocka i, desto bättre förutsättningar har du. Men se till att vara kräsen och välj bara seriösa aktörer.

Information och datahantering

Om det är någonstans det ofta går fel så är det när användare hanterar känslig data på ett osäkert sätt. Här är det viktigt att det finns klara policys om vilken data klassning som passar sig i verktyget, samt att team får en ordentlig onboarding innan de börjar använda verktygen.

Den här punkten handlar egentligen bara om att du säkerställer att rätt data hamnar på rätt plats. Skapa inte upp några projekt för känslig information såsom en HR service desk om du inte vet med dig att ditt företag är OK med att den informationen får leva där. Skulle det vara OK, så se till att du säkrar upp projektet med issue security så att bara nödvändig personal kan se informationen.

Summering

Ämnet säkerhet är otroligt stort och komplext och det är därmed omöjligt att få med sig alla viktiga aspekter, men vi tror att du kan komma långt på vägen om du tar hänsyn till dessa aspekter ur en säkerhetssynpunkt:

  • Verifiera din domän och claim:a alla Atlassian konton som omfattas av domänen. Du har på så sätt bättre kontroll över ditt data.
  • Säkra upp centralt genom att installera Atlassian Access. Utan den här produkten så kan du inte använda SSO eller 2FA.
  • Koppla på en katalogtjänst för att automatiskt skapa och synka användare på ett kontrollerat sätt. Har du manuell användarhantering bör detta hanteras med försiktighet, överväg en mer hållbar lösning på sikt!
  • Se över globala rättigheter och säkerställ att obehöriga inte kan komma åt ditt data. Kontrollera även att inte vem som helst kan skapa ett konto på din sajt.
  • Granska samtliga appar i din miljö och ställ krav på app-tillverkarna. Se till att dom lever upp till din standard istället för att eventuellt sänka dig till deras.
  • Begränsa verktygen till en rimlig data klassnings-nivå. Ta reda på vilken information som är lämplig i verktygen och förstärk det internt.
  • Sätt upp en plan för att förvalta och facilitera nya medarbetare. Se till att dom förstår hur dom ska använda produkten och vad som är tillåtet.

 

Har du koll på ovanstående punkter? Bra – då har du kommit en bra bit på vägen! Behöver du hjälp med att komma vidare eller ta nästa steg i ditt säkerhetsarbete i Atlassian Cloud?  Hör av dig till oss!

Vill du veta mer?

I vårt webinar: Säkerhet i Atlassian Cloud går vi lite mer in på djupet vad gäller delarna ovan. 

Kontakta oss