Fra kjeller til sky med skjermingsverdige verdier – en lang og farefull ferd

Christer Eneroth -

Nede i kjelleren til mange norske virksomheter står det noen hyllemeter med servere som kjører kritiske IT-systemer. Selv om dette er milevidt fra de glossy bildene vi forbinder med offentlig sky og industrielle datasentre, så er små private datasentre som dette den desidert vanligste formen for kjøremiljø som finnes. Felles for brorparten av disse virksomhetene er at de har begrensede ressurser og kompetanse til sikring, vedlikehold og drift, slik at datasentrene utgjør en voksende operasjonell og sikkerhetsmessig risiko. Løsningen for de fleste er å modernisere ved å flytte ugraderte IT-systemer til offentlig sky levert av en amerikansk hyperscaler som Google, Microsoft, Amazon, eller kanskje Oracle.

Men for virksomhetenes digitale skjermingsverdige verdier, altså utpekte IT-systemer eller IT-systemer som inneholder skjermingsverdig informasjon regulert av norsk sikkerhetslov, så er valgmulighetene langt færre og mye mer kompliserte. 

Fra et Google Cloud Summit i 2017. Foto: Wikimedia commons

Et datasenter består grovt sett av i) et egnet lokale med strøm, kjøling og fiber (facility), ii) infrastruktur i form av fysiske servere, lagring, nettverk, og en hypervisor (infrastructure), og gjerne iii) et container-basert kjøremiljø for mikrotjenester med tilhørende APIer og verktøy for drift og utvikling (platform). Man kan ha egne lokaler, infrastruktur, og plattform, eller man kan kjøpe dette som en tjeneste, forkortet FaaS, IaaS eller PaaS.

Kompetanseproblemet, som jeg innledet med, er knyttet til hvordan man skal designe et robust og sikkert datasenter, holde det oppdatert til enhver tid, og overvåke det 24/7 med kapabilitet til å oppdage og kaste ut inntrengere.

Motivet til en virksomhet som migrerer ugraderte systemer til offentlig sky er derfor redusert operasjonell- og sikkerhetsmessig risiko, i kombinasjon med reduserte kostnader og økt utviklereffektivitet. Det er viktig å forstå at hvis man bare flytter monolittiske systemer fra VMware i kjelleren til en virtuell maskin i sky så kan man skru av sin egen datasenterplattform, men plattformkostnadene vil neppe reduseres vesentlig og utviklerne blir ikke spesielt mye mer effektive.

De store gevinstene med sky kommer først når man blir Cloud Native – et begrep uten en god norsk oversettelse – som betyr at IT-systemene er optimalisert for et skymiljø. Dette innebærer nedbrytning av klassiske, monolittiske IT-systemer til mange små mikrotjenester som kommuniserer asynkront igjennom APIer som kan kjøre i et konteinermiljø, oftest orkestrert med kubernetes. En mikrotjenestebasert arkitektur med løse koblinger gir fundamentet for å kunne produksjonssette kodeendringer med lav risiko for å påvirke annen kode. På den måten kan teamene som jobber med koden prøve og feile små endringer i et høyt tempo – istedenfor noen få store orkestrerte endringer per år på alle systemene samtidig, så utfører man kanskje hundrevis eller tusenvis av uavhengige små endringer på de ulike mikrotjenestene.

Et viktig arkitekturprinsipp er Zero Trust Architecture (ZTA), hvor man tar utgangspunkt i at en trusselaktør har brutt seg inn igjennom perimetersikkerheten, og derfor krever at all kommunikasjon mellom bruker og applikasjon eller mellom applikasjonene både autentiseres og autoriseres hver gang.

Teamene som jobber med mikrotjenester har vanligvis ansvaret for alt fra planlegging til utvikling, drift og applikasjonssikkerhet for disse, omtalt som DevSecOps. Utviklingsmiljøet til teamene, omtalt som Developer Experience eller DevX, har også gjennomgått en revolusjon med høy automatiseringsgrad for versjonskontroll, sårbarhetsscanning, testing, og utrulling av kode til produksjonsmiljø.

Når skyplattformen også er kode, så kan utviklerne spinne opp og ned ressurser i plattformen selv igjennom web-GUI for selvbetjening eller fra koden igjennom programmeringsgrensesnitt (APIer), og slipper å stå i kø hos en overarbeidet IT-driftsavdeling.

Det er godt dokumentert at en slik arkitektur og måte å jobbe på innebærer en kraftig redusert ledetid fra idé til fungerende kode, langt færre feil i produksjon og mye raskere retting av de feilene som oppstår.

Illustrasjon av Google Cloud sin nettverkstopologi. Kilde: Wikimedia commons

Ved å bruke skyplattformen slik den er tiltenkt så vil man tappe inn i de store finansielle fordelene disse plattformene gir fordi man kun betaler for de ressursene man bruker til enhver tid. Dette er muliggjort av at skyleverandøren kan dele ressursene dynamisk på et veldig stort antall kunder. Man får med andre ord fordelen av en hyperskalert plattform (derav begrepet hyperscaler).

Skyplattformer er, med andre ord, definitivt fremtiden.

En offentlig skyplattform er i bunn og grunn et sikrere utgangspunkt enn et datasenter i kjelleren av to årsaker:

  1. Man oppnår en mye høyere resiliens fordi skyplattformene skalerer nær sagt uendelig, og virksomhetens systemer kan spres på mange forskjellige fysiske datasentre.  
  2. Skyplattformen er bedre sikret fordi hyperscalerne investerer enorme summer i sikkerhet og har svært mange høyt kvalifiserte sikkerhetsressurser.

Det er dog en vanlig misforståelse er at hyperscalerne tar ansvar for virksomhetens IT-sikkerhet – det gjør de nemlig ikke. En hyperscaler vil først og fremst beskytte sin egen infrastruktur mot kundene sine, samt sørge for at kundene ikke kan påvirke hverandre. Selvsagt tilbyr hyperscalerne også rådgivningstjenester og et mylder av sikkerhetstjenester, som kan løfte kundens sikkerhet, dersom kunden faktisk forstår at han trenger disse.

Selv om en skybasert plattform har potensiale til å bli svært sikker, så kan konsekvensene av å legge IT-systemene sine «på Internett» uten å forstå risikoen være katastrofale. Vi har sett mange eksempler på virksomheter som har tror de har løftet sikkerheten ved å migrere til sky, men har feilkonfigurert skyen eller hatt svak tilgangskontroll, og uforvarende lekket forretningshemmeligheter, data om sine kunder, eller fått kryptert ned dataene sine.

Det er derfor avgjørende å innse at det å flytte til offentlig sky forutsetter svært høy kompetanse på skyarkitektur, skyfunksjonalitet og skysikkerhet.

Så hvordan skal offentlige eller private virksomheter som har digitale skjermingsverdige verdier løse sitt datasenterproblem? Det er dessverre slik at det finnes per i dag ingen kommersielt tilgjengelige datasentre eller skyplattformer (FaaS, IaaS eller PaaS) som er bygget og driftet i tråd med sikkerhetslovens krav, for eksempel med bruk av sikkerhetsklarert personell.

Et hovedproblem er at kommersielle datasenteraktører i utgangspunktet ikke er underlagt sikkerhetsloven, og derfor mangler nødvendig hjemmelsgrunnlag for å sikkerhetsklarere personell før de får en kunde som er underlagt sikkerhetsloven.

Et annet hovedproblem er at det å designe en sikker skyplattform for mange kunder (multi-tenancy) adskilt med programvarebasert sikkerhet, og som er godkjent for ulike graderingsnivåer fra skjermingsverdig ugradert til konfidensielt, er ingen triviell sak.

Det offentlige har produsert konseptvalgsutredninger (KVUer) og startet skyplattformprosjekter som har utredet datasenterplattformer for ulike graderingsnivåer til ulike deler av offentlig sektor. (Forsvarssektoren terminerte sitt program MAST – se Endrer planene for gjennomføring av MAST-programmet, og regjeringen fulgte ikke NSMs anbefaling om å bygge Nasjonal sky selv – se Konseptvalgutredning for nasjonal skytjeneste - Nasjonal sikkerhetsmyndighet). Tre ting er felles i disse utredningene:

  1. Hyperscalerne sine nåværende skytjenester kan ikke benyttes,
  2. det vil koste ti-talls milliarder å bygge plattformer for det samlede behovet til det offentlige, og
  3. private virksomheter er ikke tiltenkt plass.
Fra Cyberforsvarets operasjonssenter. Foto: Fma.no

Bevilgende myndigheter i Storting og regjering har så langt ikke satt av én krone til bygging, det offentlige har ikke nødvendig kompetanse til å starte implementering, og bruk av internasjonale aktører er uaktuelt. Så her står, enn så lenge, debatten.

Private virksomheter underlagt sikkerhetsloven er om mulig i en enda mer krevende situasjon. Hyperscalerne jobber med noen produkter som på sikt kan bli til private skyløsninger som tilfredsstiller sikkerhetslovens krav, men er selv ikke villige til å lage et slikt tilbud til det norske markedet. Tradisjonelle norske og regionale datasenterleverandører glimrer med sitt fravær – de sliter med lønnsomheten og tilgangen til kompetanse i takt med kundenes migrasjon til offentlig sky.

De private virksomhetene har i realiteten bare to valg hvis de skal modernisere sine digitale skjermingsverdige verdier: Gyve løs på implementeringen av en moderne privat skyplattform på egenhånd, eller betale en sikkerhetsgodkjent leverandør til å bygge og drifte den spesielt for seg. Men, problemet er at antall ressurser med dyp sky- og sikkerhetskompetanse i Norge kan telles på noen få hender, og prislappen for å bygge en helt ny plattform med «forsvarlig sikkerhet» er astronomisk.

Hva er så løsningen på dette dilemmaet? Her er noen betraktninger og råd til norske myndigheter:

1) Å tilgjengeliggjøre en eller flere moderne skyplattformer i Norge som er godkjent for bruk til skjermingsverdige verdier er avgjørende for nasjonale sikkerhetsinteresser

2) Hvor sikre skyplattformer og lokasjoner for disse Norge kan klare seg med avhenger av hvilken konsentrasjonsrisiko vi er villige til å akseptere, balansert mot tilgjengeligheten av nok kompetente sky- og sikkerhetsressurser som kan utvikle og vedlikeholde disse i takt med behovene for funksjonalitet og sikkerhet

3) En sikker skyplattform som alle private virksomheter med digitale skjermingsverdige verdier kan benytte seg av på like og konkurransedyktige vilkår vil ikke være konkurransevridende. Økonomisk bærekraft er dog en forutsetning for at en slik plattform skal ha livets rett

4) Det er avgjørende for en raskt og sikker modernisering av skjermingsverdige systemer at virksomhetenes IT-utviklere kan benytte seg av like eller tilsvarende verktøy, skyfunksjoner og -APIer som de gjør til ugraderte IT-systemer. Ellers risikerer vi lav attraktivitet blant IT-utviklere for å jobbe med skjermingsverdige systemer og generelt lavere produktivitet

5) Dersom hyperscalere eller tradisjonelle datasenterleverandører hverken kan eller vil levere en slik plattform, så må det vurderes partnerkonstellasjoner som til sammen har nødvendige kompetanse og finansielle muskler for å bygge, vedlikeholde og drifte dette over tid

I fraværet av gode valgmuligheter for modernisering av legacy datasentre med digitale skjermingsverdige verdier så blir de fleste inntil videre stående i kjelleren. Det er et valg som relativt sett reduserer utviklereffektivitet, reduserer evnen til å utnytte beste praksis for sikker applikasjonsutvikling, og i realiteten blokkerer tilgangen til de produktene hvor nær sagt alle forsknings- og utviklingsmidler på plattformer og utviklingsverktøy brukes. Dette utgjør med andre ord en kraftig brems i digitaliseringen og moderniseringer av det skjermingsverdige domenet. Samtidig så øker det sikkerhetsrisikoen for virksomheten, virksomhetens kunder, og kritiske nasjonale tjenester som utgjør ryggraden i totalforsvaret. Det burde bekymre både virksomhetenes eiere og norske sikkerhetsmyndigheter.

Foto: Wikimedia commons