Delat ansvar: Som i familjen, men utan att någon täcker upp

Idag tänkte jag reflektera över hur molnansvar skiljer sig från delat ansvar i familjen. Exempelvis tar min fru hand om mycket hemma, ofta mer och bättre än mig. Men det finns en osynlig överenskommelse om att om något inte blir gjort, tar vi vid för varandra. Det är en slags redundans – barnen blir aldrig lämnade utan omsorg.

I molnet fungerar det inte riktigt så. Här är ansvaret tydligt uppdelat mellan dig som kund och molnleverantören: ditt ansvar är definierat, likaså vad som sköts av leverantören. Det finns inget gemensamt ansvar – det finns ett uppdelat ansvar, mitt och ditt.

Till skillnad från familjen, där ansvar ibland kan delas eller tas över, finns det ingen som täcker upp i molnet om du missar ditt ansvar. Konsekvenserna blir därför direkt och kännbara. Det här kanske inte är något nytt för många, men det är lätt att glömma eller underskatta vad det faktiskt innebär i praktiken. Därför är det viktigt att påminna sig om de tydliga gränserna, särskilt när man navigerar mellan olika konsumtionsmodeller i molnet: IaaS, PaaS och SaaS.

Infrastructure as a Service (IaaS)

Med IaaS hyr kunden den grundläggande infrastrukturen: servrar, lagring och nätverk. Denna molnmodell överlämnar största ansvaret till kunden.

Molnleverantörens ansvar:

• Drift och underhåll av fysisk infrastruktur
• Nätverkssäkerhet, fysiskt skydd av datacenter och skydd mot DDoS-attacker.

Kundens ansvar:

• Hantering av operativsystem (OS), inklusive uppdateringar och patchar.
• Installation och underhåll av applikationer.
• Datakryptering och dataskydd.
• Identitets- och åtkomsthantering (IAM).

Platform as a Service (PaaS)

Med PaaS tillhandahåller leverantören en plattform där kunder kan bygga, distribuera och hantera sina applikationer. Kunden slipper ansvara för den underliggande infrastrukturen, men ansvaret för applikationer och data kvarstår.

Molnleverantörens ansvar:

• Infrastruktur, operativsystem och runtime-miljöer.
• Automatiska patchar och uppdateringar av plattformens komponenter.
• Skalbarhet och tillgänglighet.

Kundens ansvar:

• Applikationsutveckling och underhåll.
• Säkerhet och skydd av data (inklusive kryptering och åtkomstkontroller).
• Hantering av användare och roller genom identitetskontroller (IAM).

Software as a Service (SaaS)

Med SaaS tillhandahåller leverantören en färdig applikation som kunden kan konsumera direkt, utan att behöva bekymra sig om infrastrukturen eller plattformen.

Molnleverantörens ansvar:

• Hela applikationen, inklusive drift, uppdateringar och säkerhet.
• Infrastruktur och plattform.

Kundens ansvar:

• Datahantering: Ansvara för att skydda och säkra sin data inom applikationen.
• Identitets- och åtkomsthantering (IAM).

Gemensamma ansvarsområden oavsett modell

Det finns vissa områden där ansvaret alltid delas mellan kunden och leverantören, oavsett konsumtionsmodell:

• Säkerhetskonfigurationer: Leverantören kan tillhandahålla verktyg, men det är kundens ansvar att konfigurera dessa korrekt.
• Incidenthantering: Leverantören hanterar incidenter som påverkar infrastrukturen, medan kunden ansvarar för incidenter som rör applikationer eller data.
• Regelefterlevnad: Leverantören kan stödja compliance-krav, men kunden måste säkerställa att deras implementering uppfyller regler och förordningar.

Call to Action: Genomför en Self-Assessment 2025

För att få ut det mesta av molnets flexibilitet och samtidigt säkerställa att era resurser är skyddade är det avgörande att förstå och hantera ert ansvar. Börja med att reflektera över och identifiera vilka områden som är viktigast att adressera under nästa år:

1. Identitets- och åtkomsthantering (IAM):
   • Använder ni principen om minsta behörighet?
   • Har ni multifaktorautentisering (MFA) på plats för kritiska system?
   • Hur ser hanteringen av användare och roller ut?
2. Datasäkerhet och skydd:
   • Är känsliga data krypterade både vid lagring och överföring?
   • Har ni säkerhetskopieringsrutiner som fungerar i en krissituation?
   • Har ni en strategi för att skydda data från interna och externa hot?
3. Incidentberedskap:
   • Finns det en dokumenterad plan för hur ni hanterar säkerhetsincidenter?
   • Har ni övat på att agera vid en dataläcka eller ett driftstopp?
4. Säkerhetskonfigurationer och verktyg:
   • Använder ni molnleverantörens säkerhetsverktyg till sin fulla potential?
   • Är säkerhetskonfigurationer regelbundet granskade och uppdaterade?
5. Regelefterlevnad och compliance:
   • Har ni kontrollerat att era implementationer möter regelverk som NIS2, DORA eller andra branschspecifika krav?

Länkar till – hur molnleverantörer ser på det delade ansvaret

• Microsoft Azure: Delat ansvar i Azure
• Amazon Web Services (AWS): Shared Responsibility Model
• Google Cloud Platform (GCP): Shared Responsibility and Shared Fate

Jag vill avsluta med en personlig reflektion: Vi står alla inför utmaningar när vi navigerar i molnets komplexa värld. För mig har det varit ett ständigt lärande, precis som i familjelivet. Nyckeln är att vara medveten om sina styrkor och ansvarsområden, att inte tveka att söka hjälp när det behövs. Hur ser ditt ansvar ut, och vilka steg tar du för att säkerställa att inget faller mellan stolarna?