Är ert data tryggt i Atlassian Cloud? Så här tänker du rätt

Den vanligaste frågan vi möter från organisationer som utvärderar flytten till Atlassian Cloud är egentligen inte en teknisk fråga. Det är en förtroendefråga. Är vårt data tryggt om vi inte längre äger infrastrukturen?

Svaret är mer nyanserat än ett ja eller ett nej. Det beror på vad ni menar med tryggt, vad ni faktiskt kontrollerar och vad ni väljer att delegera till Atlassian.

Vad Atlassian gör på er vägnar

Atlassian Cloud körs på AWS och tillämpar kryptering i vila med AES-256 och i transit med TLS 1.2 eller högre. Det innebär att er data är krypterad när den lagras och när den skickas mellan system. Det är infrastrukturkryptering som hanteras av Atlassian utan att ni behöver konfigurera något.

Utöver kryptering certifieras Atlassian Cloud regelbundet mot internationella standarder. SOC 2 Type II och ISO 27001 är de viktigaste. De innebär att en oberoende revisor har granskat Atlassians säkerhets- och integritetskontroller och bedömt att de uppfyller fastställda krav. Certifieringarna förnyas årsvis och finns tillgängliga för granskning via Atlassians Trust-sida.

Det här är en substantiell del av det arbete ni inte behöver utföra själva. Det är ett av de starkaste argumenten för Cloud jämfört med att drifta egna servrar.

Data residency: var lagras er data?

Data residency handlar om i vilken geografisk region Atlassian lagrar er produktdata. Det är inte samma sak som kryptering. Det är en fråga om jurisdiktion och regelefterlevnad.

Atlassian erbjuder val av region för produktdata i Jira Software, Jira Service Management och Confluence. Tillgängliga regioner inkluderar EU, USA och Australien, med fler regioner som tillkommer löpande. Valet görs på organisationsnivå och gäller “product data” som ärenden, sidor och kommentarer.

Det som är viktigt att förstå är att data residency inte täcker all data. Viss metadata, supportärenden och diagnostikdata kan processas utanför vald region. Atlassian är transparent om detta i sin dokumentation, men det är lätt att tro att residensvalet täcker mer än det faktiskt gör.

För organisationer som lyder under GDPR och behöver data lagrat inom EU är residensval till EU-regionen ett viktigt steg. Det eliminerar dock inte behovet av ett databehandlingsavtal (DPA) med Atlassian. Det avtalets villkor reglerar hur Atlassian processar er data oavsett lagringsregion.

Det delade ansvaret som ofta missförstås

Molnleverantörer brukar beskriva sin säkerhetsmodell som “shared responsibility”. Atlassian ansvarar för plattformen och infrastrukturen. Ni ansvarar för hur ni konfigurerar och använder den.

I praktiken ser vi att den gränsen ofta missförstås på ett specifikt sätt: organisationer antar att Atlassians certifieringar och kryptering täcker hela risken. Det gör de inte.

Några exempel på vad som faller på er sida av gränsen:

Åtkomstkontroll. Atlassian kan inte veta vem i er organisation som bör ha tillgång till ett specifikt projekt eller ett specifikt Confluence-space. Det avgör ni. En alltför generös behörighetsmodell är ett säkerhetsproblem som ingen kryptering löser.

Applikationer från Marketplace. Varje app ni installerar är en tredjepartsaktör med sin egen datahantering. Atlassians kryptering och certifieringar täcker inte vad appens leverantör gör med er data. Det ansvaret landar hos er.

Autentisering. Atlassian Cloud stöder SSO och MFA via Atlassian Guard, men dessa måste aktiveras och konfigureras. En instans utan tvåfaktorsautentisering är sårbar oavsett hur välkrypterad lagringsinfrastrukturen är.

En praktisk modell för att bedöma risk

Ställ er tre frågor inför en Cloud-migrering eller som del av en löpande säkerhetsgenomgång:

Vad händer om ett konto komprometteras? Hur långt in i er miljö kan en angripare med ett stulet lösenord nå? Svaret berättar om er behörighetsmodell och autentiseringskrav är rimliga.

Vilka appar hanterar känslig data, och under vilka villkor? En app med tillgång till alla Jira-projekt och ingen DPA är ett oacceptabelt risktagande oberoende av Atlassians egna certifieringar.

Vet ni var er mest känsliga data faktiskt finns? Det är vanligare än man tror att personal-information hamnar i ett Confluence-space med öppna läsbehörigheter, eller att lösenord dokumenteras i ett Jira-ärende av gammal vana.

Cloud är inte osäkrare. Men det är inte enkelt.

Atlassian Cloud är en genuint säker plattform i jämförelse med de flesta organisationers egendrifta alternativ. Atlassian investerar i säkerhet på en skala som få organisationer kan matcha på egen hand.

Men flytten till Cloud löser inte era interna säkerhetsproblem. Den synliggör dem. Och det är egentligen bra, för det skapar anledning att adressera dem.

En väl genomförd Cloud-migrering inkluderar alltid en genomgång av behörighetsmodell, applikationsinventering och autentiseringskonfiguration. Läs mer om hur vi arbetar med det i vår DC till Cloud-migreringstjänst.

Vill ni ha en bredare genomgång av säkerhetskonfiguration i er Atlassian-miljö? Läs om praktiska säkerhetsåtgärder i Atlassian Cloud som faktiskt gör skillnad.