De verkliga hoten: vad vi ser i produktion

Felkonfigurationer – den tysta fienden

Enligt Datadogs State of Cloud har överflödiga behörigheter konsekvent legat bland de främsta riskfaktorerna i molnmiljöer. Vi kan bekräfta bilden. I Opsios NOC ser vi regelbundet:

• S3-buckets och Azure Blob Storage med publika läsbehörigheter – ofta resultatet av en utvecklare som testade något och glömde städa upp.
• IAM-roller med AdministratorAccess som delats ut till applikationskonton som bara behöver läsrättigheter till en databas.
• Säkerhetsgrupper med 0.0.0.0/0 på port 22 (SSH) – fortfarande, 2026.

Inget av detta kräver en sofistikerad angripare. Det räcker med en portskanner och lite tålamod.

Identitetsstöld och lateralrörelse

När en angripare väl har en giltig sessionstoken – ofta stulen via phishing eller läckta hemligheter i Git-repon – rör de sig lateralt genom molnmiljön. Utan korrekt nätverkssegmentering och logövervakning kan de eskalera privilegier och nå produktionsdata innan någon ens märker det.

Supply chain-attacker

Containerimages från publika register, npm-paket med bakdörrar, komprometterade Terraform-providers – supply chain-vektorn har vuxit stadigt. CNCF Annual Survey har visat att organisationer med mogna DevSecOps-processer är betydligt bättre rustade att hantera denna typ av hot.

Flerlagersskydd: så bygger du en robust molnsäkerhetsarkitektur

1. Identitetshantering och åtkomstkontroll

Identitet är den nya perimetern i molnet. Praktiskt innebär det:

• MFA på samtliga konton – inga undantag, inklusive systemkonton där möjligt (FIDO2-nycklar för root/break-glass).
• Minsta möjliga behörighet (least privilege) – använd AWS IAM Access Analyzer, Azure Entra ID Access Reviews eller motsvarande för att identifiera och eliminera överflödiga rättigheter.
• Tidsbegränsad åtkomst (JIT) – administratörer bör aldrig ha ständig privilegierad åtkomst. Verktyg som AWS IAM Identity Center eller Azure PIM hanterar detta.
• Enhetlig identitetskälla – centralisera identitetshanteringen, helst via en extern IdP (Okta, Entra ID) snarare än leverantörsspecifika IAM-användare.

2. Kryptering – i vila och i transit

Kryptering ska vara standardläget, inte ett tillval:

• Data i vila: aktivera serverskrypterad lagring (SSE-S3, Azure Storage Service Encryption). Använd kundstyrda nycklar (CMK) via AWS KMS eller Azure Key Vault för känsliga arbetsbelastningar.
• Data i transit: TLS 1.3 som minimum. Intern trafik mellan mikrotjänster bör krypteras med mTLS (service mesh som Istio eller Linkerd hanterar detta elegant).
• Nyckelrotation: automatisera rotation av krypteringsnycklar och hemligheter. Manuell hantering leder oundvikligen till nyckelläckage.

3. Nätverkssegmentering

Platta nätverk i molnet är en katastrof som väntar på att hända. Segmentera med:

• Separata VPC:er/VNets per miljö (utveckling, staging, produktion).
• Privata subnät för databaser och backend-tjänster – ingen direkt internetanslutning.
• Nätverkspolicyer i Kubernetes – default deny och explicit tillåtna flöden.
• PrivateLink/Private Endpoints för åtkomst till managerade tjänster utan att trafiken passerar det publika internet.

4. Kontinuerlig övervakning och hotjakt

Här skiljs amatörer från proffs. Det räcker inte att slå på CloudTrail och hoppas på det bästa:

• CSPM-verktyg (AWS Security Hub, Microsoft Defender for Cloud, Prisma Cloud) skannar konfigurationer mot CIS-benchmarks och flaggar avvikelser automatiskt.
• SIEM med molnintegrationer – korrelera loggar från CloudTrail, VPC Flow Logs, Entra ID-loggar och applikationsloggar.
• Aktiv hotjakt – vårt SOC i Karlstad och Bangalore kör schemalagda threat hunts baserade på MITRE ATT&CK Cloud Matrix, inte bara reaktiva larm.

Managerade molntjänster

Regelefterlevnad: NIS2, GDPR och ISO 27001

NIS2-direktivet

NIS2 ställer konkreta krav som direkt påverkar molnsäkerhetshanteringen:

• Riskanalys och säkerhetspolicyer – dokumenterade och testade, inte bara pappersprodukter.
• Incidenthantering – initial rapportering till behörig myndighet inom 24 timmar, fullständig rapport inom 72 timmar.
• Leverantörsgranskning – din molnleverantör och din MSP ska granskas formellt. Due diligence är inte valfritt.
• Kontinuitet och krisplanering – inklusive backupstrategi och återställningstester.

GDPR och IMY

Integritetsskyddsmyndigheten (IMY) har under 2025 och 2026 skärpt tillsynen kring molnbaserad personuppgiftsbehandling. Specifikt har frågor om tredjelandsöverföringar (Schrems II) och tekniska skyddsåtgärder fått ökat fokus. Att använda eu-north-1 (Stockholm) eller Sweden Central löser inte allt – du behöver dokumenterade DPIA:er och tekniska åtgärder som pseudonymisering och kryptering med kundstyrda nycklar.

ISO/IEC 27001 och SOC 2

Ramverk som ISO 27001 och SOC 2 Type II ger strukturerad vägledning och fungerar som förtroendesignal mot kunder och partner. De ersätter inte tekniska åtgärder, men de tvingar organisationer att formalisera processer – och det minskar risken för ad hoc-lösningar som ingen förstår om ett halvår. Molnsäkerhet

Praktisk checklista: 10 åtgärder du kan genomföra i veckan

1. Aktivera MFA på samtliga root- och administratörskonton.

2. Kör en IAM Access Analyzer-rapport och eliminera oanvända roller.

3. Verifiera att CloudTrail/Activity Log är aktiverat i alla regioner.

4. Kontrollera att ingen lagringstjänst har publika behörigheter.

5. Aktivera kryptering i vila för alla databaser och lagringskonton.

6. Stäng SSH/RDP-åtkomst via publika IP – använd SSM Session Manager eller Bastion.

7. Granska säkerhetsgrupper/NSG:er – ta bort 0.0.0.0/0-regler.

8. Sätt upp automatiska notifieringar vid root-kontoinloggning.

9. Verifiera att backuper körs och testa en återställning.

10. Schemalägg en kvartalsvis konfigurationsgranskning med CSPM.

Så arbetar Opsios SOC/NOC med molnsäkerhet

Vi sitter inte och väntar på larm. Vårt SOC/NOC i Karlstad och Bangalore arbetar i tre parallella spår:

• Preventivt: Konfigurationsgranskning, härdning enligt CIS-benchmarks, automatiserad policyefterlevnad via Infrastructure as Code. Managerad DevOps
• Detekterande: 24/7 övervakning med SIEM-korrelation, anpassade detekteringsregler per kund och schemalagd hotjakt.
• Responsivt: Dokumenterade incidenthanteringsprocesser med eskaleringskedjor, forensisk kapacitet och stöd vid myndighetskommunikation (NIS2, IMY).

Vi ser gång på gång att organisationer som outsourcar sin molnsäkerhet till en partner med dedikerat SOC får bättre skydd till lägre kostnad än de som försöker bygga kapaciteten internt med ett halvt FTE. Cloud FinOps

Vanliga frågor

Vad är den vanligaste orsaken till säkerhetsincidenter i molnet?

Felkonfigurationer – öppna S3-buckets, för generösa IAM-roller och exponerade API-nycklar. Enligt Datadogs State of Cloud har felkonfigurerade behörigheter konsekvent varit en av de främsta riskfaktorerna. Automatiserade CSPM-verktyg (Cloud Security Posture Management) fångar sådant innan en angripare gör det.

Räcker det med molnleverantörens inbyggda säkerhet?

Nej. Shared responsibility-modellen innebär att AWS, Azure och GCP ansvarar för infrastrukturen, men du äger konfigurationen, identitetshanteringen och dataskyddet. De flesta intrång sker i kundens ansvarsområde, inte leverantörens.

Hur påverkar NIS2 vår molnsäkerhet?

NIS2-direktivet kräver att organisationer inom kritiska sektorer har dokumenterade riskanalyser, incidenthanteringsplaner och leverantörsgranskning – inklusive molnleverantörer. Brister kan leda till sanktioner på upp till 2 % av global omsättning.

Vad är skillnaden mellan CSPM och SIEM i molnsäkerhet?

CSPM (Cloud Security Posture Management) skannar kontinuerligt konfigurationer mot best practice-ramverk. SIEM (Security Information and Event Management) samlar in och korrelerar loggar för att upptäcka aktiva hot. Du behöver båda – CSPM förebygger, SIEM detekterar.

Hur snabbt bör en säkerhetsincident i molnet hanteras?

NIS2 kräver initial rapportering inom 24 timmar och en fullständig incidentrapport inom 72 timmar. I praktiken bör ett SOC detektera och eskalera inom minuter – inte timmar. Opsios SOC/NOC arbetar med 15-minutersintervall för kritiska larm.

For hands-on delivery in India, see Opsio's konsult consulting.