Modellen för delat ansvar – grunden du måste förstå

Varje stor molnleverantör bygger på principen om delat ansvar (shared responsibility model). Missförstå den, och du lämnar luckor som ingen brandvägg kan täppa till.

Vad molnleverantören ansvarar för

Leverantören (AWS, Azure, GCP) säkrar den fysiska infrastrukturen: datacenter, nätverk, hypervisor och den underliggande plattformen. De garanterar tillgänglighet och fysisk säkerhet. Det de inte garanterar är att du konfigurerat dina tjänster korrekt.

Vad du ansvarar för

Allt ovanför infrastrukturlagret: operativsystem, nätverkskonfiguration, IAM-policyer, kryptering av data (i transit och i vila), applikationssäkerhet och – avgörande – loggning och övervakning. I en IaaS-modell är ditt ansvar stort. I en SaaS-modell är det mindre, men det försvinner aldrig helt.

Var en MSP passar in

En managerad tjänsteleverantör tar hand om det operativa genomförandet av ditt ansvar. Inte genom att ta över ägarskapet (det kan inte outsourcas regulatoriskt), utan genom att tillhandahålla den kompetens, de verktyg och den dygnet-runt-bevakning som krävs.

---

De tekniska byggstenarna i managerad molnsäkerhet

Identitets- och åtkomsthantering (IAM)

IAM är den enskilt viktigaste säkerhetskontrollen i molnet. Principen om minsta privilegium (least privilege) låter enkel i teorin men är notoriskt svår att upprätthålla i praktiken – särskilt i organisationer med hundratals utvecklare och dussintals mikrotjänster.

En mogen IAM-strategi inkluderar:

• Federerad inloggning via SAML/OIDC kopplad till ert befintliga identitetssystem (Azure AD/Entra ID, Okta)
• Tidsbegränsad åtkomsteskalering (just-in-time access) istället för permanenta administratörsroller
• Kontinuerlig granskning av policyer med verktyg som AWS IAM Access Analyzer eller Azure AD Access Reviews
• MFA överallt – inte bara för konsolen, utan även för CLI och API-anrop

Säkerhetsövervakning och SIEM

Ett Security Information and Event Management-system (SIEM) aggregerar loggar från alla molntjänster, korrelerar händelser och triggar larm. Men ett SIEM utan analytiker som tolkar larmen är bara en dyr loggdatabas.

I Opsios SOC kopplar vi SIEM-plattformen till SOAR (Security Orchestration, Automation and Response) för att automatisera de första åtgärdsstegen – isolera en komprometterad instans, blockera en misstänkt IP, eskalera till en analytiker – inom sekunder. Det som tar ett internt team timmar sker automatiskt klockan tre på natten.

Nätverkssäkerhet i molnet

Molnets nätverkssäkerhet handlar om mer än säkerhetsgrupper och nätverks-ACL:er:

• Mikrosegmentering via service mesh (Istio, Linkerd) för öst-västlig trafik i Kubernetes-kluster
• Web Application Firewall (WAF) framför publika endpoints – AWS WAF, Azure Front Door, Cloud Armor
• Privat anslutning via AWS PrivateLink, Azure Private Endpoint eller GCP Private Service Connect för att hålla trafik borta från publikt internet
• DNS-säkerhet – DNSSEC och DNS-loggning fångar exfiltreringsförsök via DNS-tunnlar

Dataskydd och kryptering

GDPR artikel 32 kräver "lämpliga tekniska åtgärder" – i molnkontexten betyder det åtminstone:

• Kryptering i vila med kundstyrda nycklar (AWS KMS, Azure Key Vault, GCP Cloud KMS)
• Kryptering i transit via TLS 1.3 mellan alla tjänster
• Dataklassificering – automatiserad upptäckt och taggning av känsliga data med tjänster som Amazon Macie eller Azure Purview
• Backup-strategi med krypterade, oföränderliga (immutable) kopior i en separat region

Molnsäkerhetstjänster

---

Regulatoriska krav som driver behovet

NIS2-direktivet

NIS2 trädde i kraft i EU under 2024 och påverkar långt fler sektorer än det ursprungliga NIS-direktivet. För svenska företag innebär det:

• Incidentrapportering inom 24 timmar till CERT-SE/MSB vid betydande incidenter
• Styrelsens personliga ansvar för att cybersäkerhetsåtgärder är adekvata
• Kontinuerlig riskhantering – inte bara en årlig penetrationstest
• Leveranskedjekrav – ni är ansvariga för att era underleverantörers säkerhet håller måttet

I praktiken kräver NIS2 en operativ kapacitet som liknar ett dygnet-runt-SOC. För organisationer med färre än 500 anställda är det sällan ekonomiskt försvarbart att bygga internt.

GDPR och Schrems II

Integritetsskyddsmyndigheten (IMY) har skärpt tillsynen successivt. Dataöverföring till tredjeland (inklusive USA) kräver supplementary measures enligt Schrems II. Det påverkar valet av molnregion och vilka tjänster ni kan använda. En MSP med djup kunskap om svenska krav hjälper er navigera dessa krav utan att bromsa verksamheten.

ISO 27001 och SOC 2

Dessa ramverk är inte lagkrav i sig, men fungerar som de facto-standard för att visa kunder och partners att ni tar säkerhet på allvar. En managerad tjänsteleverantör bör själv vara certifierad och kunna producera SOC 2 Type II-rapporter som underlag till era egna revisioner.

---

Hur du väljer rätt partner för managerad molnsäkerhet

Inte alla MSP:er är skapade lika. Här är vad vi anser skilja en kompetent partner från en som bara säljer vidare andras verktyg:

1. Eget SOC med dygnet-runt-bemanning

Fråga: Var sitter era analytiker? Vilka skift kör ni? En partner som förlitar sig på "on-call"-personal nattetid är inte en 24/7-operation. Opsio driver SOC i två tidszoner (Karlstad och Bangalore) vilket ger genuint överlappande skift utan utbrändhet.

2. Multimoln-kompetens

De flesta medelstora och stora organisationer kör arbetsbelastningar i mer än en molnplattform. Er MSP måste behärska AWS, Azure och GCP – inte bara ha en certifiering i var och en, utan faktisk driftserfarenhet.

3. Transparens och ägarskap av data

Ni ska alltid äga era loggar, konfigurationer och incidentrapporter. En bra MSP ger er full insyn via dashboards och regelbundna genomgångar – inte en svart låda.

4. Integration med er befintliga verksamhet

Säkerhet existerar inte i ett vakuum. Er partner bör kunna integrera med era CI/CD-pipelines (Managerad DevOps), ert ärendehanteringssystem och era interna processer för ändringshantering.

5. FinOps-medvetenhet

Enligt Flexeras State of the Cloud är kostnadsoptimering och säkerhet de två största molnutmaningarna – och de hänger ihop. Okontrollerade resurser innebär okontrollerad attackyta. En MSP som förstår Cloud FinOps hjälper er hålla koll på båda.

---

Implementering i praktiken: en fasad ansats

Vi rekommenderar en trestegsmodell som balanserar snabbhet med grundlighet:

Fas 1: Insyn (vecka 1–4)

• Deployment av agentlös skanning (CSPM) över alla molnkonton
• IAM-granskning och identifiering av överprivilegierade roller
• Nätverksflödeskartläggning och identifiering av publikt exponerade resurser
• Gap-analys mot NIS2/ISO 27001

Fas 2: Härdning (vecka 5–12)

• Implementering av SIEM/SOAR med anpassade detekteringsregler
• IAM-omstrukturering enligt minsta privilegium
• Aktivering av kryptering och loggning där det saknas
• Etablering av incidentresponsprocess med definierade eskaleringsvägar

Fas 3: Kontinuerlig drift (löpande)

• 24/7-övervakning och incidentrespons via SOC
• Månatliga säkerhetsgenomgångar med trendanalys
• Kvartalsvis penetrationstestning
• Årlig efterlevnadsrapportering (SOC 2, ISO 27001-underlag)

Molnmigrering

---

Plattformsspecifika överväganden

Varje plattform har sina styrkor. AWS har det bredaste ekosystemet av säkerhetstjänster, Azure har den djupaste integrationen med Microsoft-arbetsbelastningar, och GCP har stark Kubernetes-säkerhet via GKE och Binary Authorization. En kompetent MSP abstraherar dessa skillnader så att ni får ett enhetligt säkerhetsramverk oavsett var arbetsbelastningarna körs.

---

Vad Opsios SOC faktiskt ser i produktion

Baserat på vår dagliga drift i SOC:et kan vi dela några mönster som ofta förvånar kunder:

Felkonfiguration dominerar. De flesta säkerhetsincidenter vi hanterar beror inte på sofistikerade attacker utan på mänskliga misstag: publika S3-buckets, säkerhetsgrupper som tillåter 0.0.0.0/0 på port 22, IAM-roller utan tidsbegränsning. Automatiserade CSPM-kontroller fångar dessa direkt.

Credential stuffing är konstant. Vi ser tusentals inloggningsförsök dagligen mot kunders exponerade tjänster. Utan MFA och rate limiting är det en tidsfråga, inte en sannolikhetsfråga.

Lateralt rörlighet sker snabbt. När en angripare väl har ett fotfäste – ofta via en komprometterad utvecklarlaptop eller en läckt API-nyckel – rör de sig lateralt inom minuter. Mikrosegmentering och snabb detektering är avgörande.

Loggar som inte finns kan inte analyseras. Vi stöter fortfarande på miljöer där CloudTrail är avaktiverat, VPC Flow Logs inte är påslagna eller Kubernetes-auditloggar saknas. Utan loggar är incidentrespons gissningslek.

---

Vanliga frågor

Vad ingår i managerad molnsäkerhet?

Typiskt ingår 24/7-övervakning via ett SOC, hantering av SIEM/SOAR-plattformar, sårbarhetsskanning, IAM-styrning, incidentrespons och efterlevnadsrapportering mot ramverk som NIS2, ISO 27001 och SOC 2. Exakt omfattning varierar per leverantör och avtalsnivå.

Hur skiljer sig delat ansvar mellan AWS, Azure och GCP?

Principen är densamma – leverantören ansvarar för infrastrukturens säkerhet, du för konfiguration och data – men verktygen och standardinställningarna skiljer sig. AWS har GuardDuty, Azure har Defender for Cloud, GCP har Security Command Center. En MSP normaliserar dessa skillnader åt dig.

Behöver svenska företag managerad molnsäkerhet för NIS2?

NIS2 kräver bland annat kontinuerlig riskhantering, incidentrapportering inom 24 timmar och styrelsens personliga ansvar. För de flesta medelstora organisationer är en managerad tjänst det mest realistiska sättet att uppfylla dessa krav utan att bygga ett eget SOC.

Vad kostar managerad molnsäkerhet?

Kostnaden beror på antal arbetsbelastningar, molnplattformar och SLA-nivå. Som tumregel kostar en managerad SOC-tjänst en bråkdel av vad det kostar att rekrytera och bemanna ett eget säkerhetsteam dygnet runt – särskilt med den kompetensbrist som råder i Sverige.

Kan vi behålla vår interna säkerhetskompetens och ändå använda en MSP?

Absolut – och det är ofta den bästa modellen. Ert interna team fokuserar på säkerhetsarkitektur och affärsnära beslut, medan MSP:n sköter den operativa dygnet-runt-bevakningen, regelefterlevnad och rutinmässig åtgärd.

---

Managerad molnsäkerhet är inte en produkt du köper och installerar – det är en operativ förmåga som kräver rätt kompetens, rätt processer och rätt verktyg, dygnet runt. Organisationer som behandlar säkerhet som ett projekt med start- och slutdatum hamnar konsekvent på efterkälken. De som bygger en kontinuerlig säkerhetsoperation – oavsett om det sker internt, via en MSP eller i kombination – är de som faktiskt klarar sig när incidenten kommer. Och den kommer.

Kontakta Opsio om managerad molnsäkerhet