Molnsäkerhet är en mångfasetterad affär, eftersom det finns ett stort antal olika användningscenarier i molnet. Vi hittar allt från att köpa enskilda resurser som lagring, till att köra applikationer. Däremellan finns plattformstjänster, samt en mängd mer specialiserade erbjudanden.

Vad gäller säkerhet är mjukvarutjänsterna (saas) ett av de mer komplexa områdena. Ett exempel på en sådan tjänst är Salesforces för kundvård (crm).

Infoworld beskriver säkerhetsstrukturen för mjukvarutjänster genom att dela in den i tre lager:

  • Lager 0 gäller den infrastrukturtjänst som en mjukvarutjänst körs på, till exempel Amazon Web Services eller Microsofts Azure.
  • Lager 1 berör leverantören av mjukvarutjänsten. Den körs ofta på någon annan leverantörs infrastrukturtjänst och kunder veta ofta inte vilken. Men ibland körs en mjukvarutjänst på leverantörens egen infrastrukturtjänst.
  • Lager 2 handlar om den specifika mjukvarutjänsten och dess användare.

Kontentan är att det finns ansvariga leverantörer för lager 0 och för lager 1, och de gör ofta ett bra jobb med säkerhet. Men det finns ingen ansvarig leverantör för säkerhet i lager 2.

Läs också: Oops! Windows 10:s Meltdown-fix läckte som ett såll

Lager 2 kräver mycket arbete med säkerhet, till exempel med rättigheter för användare med olika typer av klientenheter. Här återfinns också nätverkssäkerhet, både lokalt i kundernas egna nätverk och för kommunikation med molnet.

Det är oftast i lager 2 som det slarvas med säkerhet. Ett exempel är att användares data lagras okrypterat och lättåtkomligt för obehöriga, till exempel i cacheutrymmen i lokala nätverk. Inte sällan handlar det om känsliga data som kan knytas till individer och om hemlig företagsinformation.

Det spelar kanske ingen roll att säkerheten är utmärkt i lager 0 och 1, om det slarvas med säkerheten i lager 2.

En försvårande omständighet är att bra lösningar kan kräva samarbete, eller åtminstone vettiga integrationslösningar, mellan slutkunden av en mjukvarutjänst och tjänsteleverantören i lager 1. Leverantörer i lager 1 som erbjuder smidiga lösningar av den typen borde ha en konkurrensfördel.

Läs också: Google släpper ramverk som ska ge säkrare applikationshantering i molnet

Men ansvaret för säkerhet i lager 2 ligger hos kunden och det är ingen vits att försöka lägga det på en leverantör. Det är egentligen ingen skillnad från hur det är med äldre lokala driftsmiljöer. Men det ger upphov till nya, och kanske krångligare, problem. Och dessutom kan det kännas surt om gamla fungerande säkerhetslösningar inte kan anpassas till mjukvarutjänster i molnet.