Software Security i Application Modernization

Et af de spørgsmål, jeg næsten altid får, er: 

• ”Er vores infrastruktur sikker?” 

eller mere specifikt: 

• ”Er vores webapplikationer sikre nok i det miljø, vi driver dem i? Skal vi ikke have et VNET i stedet for et offentligt netværk?” 

Det er helt naturligt, at sikkerhed bliver et af de første temaer i en moderniseringsdialog. Mange forbinder sikkerhed med konkrete tekniske valg som firewall, VPN eller virtuelle netværk. Men sandheden er, at sikkerhed sjældent kan løses alene gennem netværksopsætning. 

For eksempel kan introduktionen af et VNET med port forwarding give en følelse af øget sikkerhed, men i praksis gør det ikke nødvendigvis systemet mere sikkert. Mange typer angreb udnytter ikke infrastrukturen direkte, men sårbarheder i selve applikationen. Hvis en applikation indeholder klassiske fejl som SQL-injections, mangelfuld autentificering eller utilstrækkelig inputvalidering, hjælper det ikke, hvor avanceret infrastrukturen er – hackeren finder stadig en vej ind. 

Naturligvis findes der teknologier, der kan afhjælpe visse trusler. Azure Front Door kan for eksempel, ud over sine standardfunktioner, hjælpe med at mitigere SQL-injections og andre angreb. Men det betyder ikke, at man kan undlade at sikre koden. Applikationen skal stadig testes og designes, så den er robust i sig selv. 

Et andet klassisk eksempel er hemmeligheder og adgangskoder, der er hardcodet direkte i kildekoden. Mange virksomheder forsøger at løse dette ved at bruge tjenester som Azure Key Vault, hvilket bestemt er en forbedring. Men Key Vault i sig selv er ikke nok, hvis applikationen ikke er konfigureret korrekt til at håndtere nøgler og adgangsdata. Fejl i integrationen kan i praksis skabe lige så store sikkerhedshuller som manglen på et vault. 

Infrastruktur som kode 

En stærkere tilgang er at eliminere behovet for nøgler og adgangskoder helt. Hos en kunde har vi eksempelvis implementeret Managed Identity, så komponenter kan autentificere mod hinanden uden brug af passwords eller keys. Det reducerer risikoen markant, fordi der ikke længere findes hemmeligheder, der kan kompromitteres. 

Uanset hvilken arkitektur man vælger, anbefaler jeg derfor ofte, at virksomheder arbejder med infrastruktur som kode (IaC). Det giver mulighed for at etablere testmiljøer og validere både applikation og infrastruktur, før noget sættes i produktion. Samtidig skaber det fleksibilitet til at udrulle flere miljøer, hvis der opstår behov. Endnu vigtigere er, at det muliggør automatiserede compliance-checks, så løsningen kan valideres mod standarder som ISO 27001 eller CIS-benchmarks. På den måde kan man opdage konfigurationsfejl tidligt og sikre, at driften er baseret på best practices. 

Helhedsorienteret datasikkerhed og trusselsbeskyttelse 

Når jeg rådgiver virksomheder, arbejder vi derfor altid ud fra en helhedsorienteret forståelse af sikkerhed. Det indebærer bl.a.: 

• Sikker udvikling: At udviklere trænes i secure coding-principper, kender de mest almindelige sårbarheder og forstår, hvordan de kan konfigurere deres software i tråd med cloud best practices. 

• DevOps og kultur: At sikkerhed er en integreret del af CI/CD-pipelines med automatiserede tests, scanninger og kontroller. 

• Infrastruktur: At vælge den rette balance mellem offentlige netværk, VNET og andre komponenter – uden at overinvestere i dyre løsninger, der ikke giver reel værdi. 

• Økonomi: At huske, at sikkerhed også har en økonomisk dimension. For eksempel kan brug af VNET ofte koste 2–3 gange mere end alternativer. Hvis det ikke giver en reel sikkerhedsgevinst, er det en unødvendig udgift. 

Pointen er, at sikkerhed aldrig kan opnås gennem ét enkelt lag – hverken infrastruktur eller kode alene. Den stærkeste forsvarslinje opstår gennem en kombination af god udviklingspraksis, automatiserede sikkerhedstjek, korrekt konfiguration og en sikkerhedskultur, der gennemsyrer hele organisationen. 

Når virksomheder moderniserer deres applikationer, bør de derfor se sikkerhed som en rød tråd gennem hele processen – fra første linje kode til drift og overvågning i produktion. Kun ved at tage denne helhedsorienterede tilgang kan man skabe en løsning, der både er sikker, skalerbar og økonomisk bæredygtig. 

Hos Fellowmind hjælper vi virksomheder med at komme godt i gang med denne rejse. Med en praktisk tilgang og fokus på både teknologi og forretning kan vi kickstarte jeres digitaliserings- og cloudmoderniseringsrejse – på en sikker, struktureret og værdiskabende måde.