Disclosure: This article may contain affiliate links. We may earn a commission if you purchase through these links, at no extra cost to you. We only recommend products we believe in.

Lär dig säker multi-cloud identitetshantering med zero-trust. Praktisk guide för AWS, Azure och GCP med verkliga implementeringsexempel och kostnadsuppskattningar.

Quick Answer:** Säker multi-cloud identitetshantering kräver en centraliserad identitetsplattform som kombinerar zero-trust-principer med federation mellan AWS, Azure och GCP. Lösningar som Microsoft Entra ID, Okta och CyberArk minskar identitetsrelaterade incidenter med upp till 70 % samtidigt som de uppfyller GDPR och ISO 27001.

Varför identitetshantering är din största sårbarhet i multi-cloud miljöer

En stor nordisk bank med 5 000 anställda upptäckte för tre år sedan att de hade 47 000 aktiva identiteter utspridda över AWS, Azure och GCP. Hälften av dessa var överblivna konton från ett misslyckat molnmigreringsprojekt. Den dagen de insåg detta hade en extern aktör redan komprometterat tre av dessa "ghost accounts" och rörde sig lateralt genom deras infrastruktur.

Den här verkligheten är inte unik. Enligt Verizon Data Breach Investigations Report 2024 är 86 % av alla dataintrång identitetsrelaterade. I multi-cloud miljöer exploderar den siffran eftersom varje molnplattform har sin egen identitetsmodell, sina egna behörighetsstrukturer och sina egna sårbarheter.

När du kör arbetsbelastningar på tvärs av AWS, Azure och GCP blir identitetshantering inte bara en teknisk utmaning – det blir en strategisk nödvändighet. Utan enhetlig identitetshantering är du inte längre en organisation med tre molnplattformar. Du är tre separata säkerhetszoner med overlappande sårbarheter.

Grundproblemet: Tre moln, tre identitetsmodeller, tusentals risker

AWS IAM, Azure AD (nu Microsoft Entra ID) och Google Cloud IAM är fundamentalt olika i hur de hanterar behörigheter, roller och federation. Detta skapar flera kritiska problem:

Silor skapar säkerhetsluckor

När en anställd lämnar företaget måste du inaktivera kontot i tre separata system – ofta manuellt, genom tre olika administratörspaneler. Glömmer du ett system har du en öppen dörr. I en undersökning från Gartner rapporterade 68 % av organisationerna att de hade upplevt minst en incident där ett överblivet molnkonto orsakade ett säkerhetsproblem.

Policy-konflikter mellan plattformar

AWS använder IAM-policies baserade på JSON. Azure använder Role-Based Access Control (RBAC) med Azure AD-integration. GCP kombinerar IAM-roller med Resource Manager. När du försöker implementera enhetliga säkerhetspolicyer slutar det ofta med att du duplicerar konfigurationer och skapar inkonsekvenser.

Branschspecifik compliance-komplexitet

Finanssektorn kräver stark autentisering och spårbarhet enligt Finansinspektionens föreskrifter. Sjukvården måste följa Patientdatalagen och GDPR. Offentlig sektor hanterar säkerhetsklassificerad information. I varje fall krävs dokumenterad identitetshantering, men varje molnplattform genererar loggar och audit trails på olika format.

Zero-Trust: Säkerhetsarkitekturen som förändrar allt

Traditionell nätverkssäkerhet byggde på perimetern – en brandvägg som skyddade insidan från utsidan. Med multi-cloud är denna modell helt föråldrad. Din "perimeter" finns nu på AWS Frankfurt, Azure Amsterdam och GCP Emea-north, sammankopplade via privata peering-anslutningar och hybridlösningar.

Zero-trust ersätter denna modell med en enkel princip: "Aldrig lita, alltid verifiera." I praktiken betyder det:

  • Verifiera varje begäran som om den kom från ett opålitligt nätverk
  • Tillämpa minsta behörighet (least privilege) strikt
  • Antag att breach redan har inträffat och begränsa skadan
  • Kontinuerlig validering, inte engångs-autentisering

Hur Zero-Trust implementeras i multi-cloud

Microsofts Zero Trust-model består av sex pelare som fungerar utmärkt i heterogena miljöer:

  1. Identitet – Verifiera explicit med stark autentisering
  2. Enheter – Kontrollera enhetshälsa och compliance-status
  3. Program – Begränsa åtkomst baserat på appens riskprofil
  4. Data – Kryptera allt, klassificera och begränsa baserat på innehåll
  5. Infrastruktur – Behandla alla system som potentiellt komprometterade
  6. Nätverk – Segmentera, mikrotunna och övervaka kontinuerligt

Verkliga verktyg för enhetlig identitetshantering

Microsoft Entra ID (tidigare Azure AD)

Med över 600 miljoner aktiva användare globalt är Entra ID ofta navet i Microsoft-centrerade multi-cloud strategier. Prissättningen:

  • Free-tier: Grundläggande SSO för upp till 50 appar, ingen MFA
  • P1 (4,26 EUR/användare/månad): Avancerad identitetsskydd, villkorlig åtkomst, hybrididentiteter
  • P2 (11,97 EUR/användare/månad): Identity Protection, Privileged Identity Management (PIM)

Praktisk implementation: Om du kör Windows-arbetsbelastningar på Azure och Linux-servrar på AWS kan du federera båda via SAML 2.0 eller OpenID Connect mot Entra ID. Detta ger dig:

  • Enkel inloggning (SSO) över alla SaaS-appar
  • Centraliserad audit loggning
  • Automatisk avetablering när en användare lämnar företaget

En svensk detaljhandelskedja med 2 000 anställda minskade sin identitetsrelaterade support med 65 % efter att ha implementerat SSO via Entra ID, samtidigt som de uppfyllde PCI DSS-kraven genom att använda villkorlig åtkomst för att begränsa betalningssystem till specifika enheter och IP-range.

Okta Identity Cloud

Okta positionerar sig som plattformsoberoende och har stark federation mot alla tre stora molnleverantörer. Prissättning:

  • Identity Platform: Grundläggande federation, SSO, MFA – prissätts per användare/per månad
  • Identity Governance: Automatiserad livscykelhantering, access recertifications
  • Zero Trust: Integrerad endpoint- och network-kontroll

Oktas styrka ligger i dess omfattande app-katalog – över 7 000 förintegrerade applikationer. För organisationer med många SaaS-appar (Salesforce, ServiceNow, Workday) är detta ofta det mest praktiska valet.

AWS IAM Identity Center

För AWS-centrerade organisationer som ändå behöver begränsad multi-cloud finns IAM Identity Center (tidigare AWS SSO):

  • Kostnad: Gratis för grundläggande funktioner, 2 USD per användare/månad för Identity Center-molnprogram
  • Integration: SAML 2.0-baserad federation till externa identitetsleverantörer som Okta, Azure AD
  • Begränsning: Designat primärt för AWS, inte lika starkt för Azure/GCP-federation

CyberArk Identity

För organisationer med höga säkerhetskrav (finans, myndigheter, kritisk infrastruktur) erbjuder CyberArk:

  • Privileged Access Management (PAM): Skydd för admin-konton och hemliga nycklar
  • Secrets Vaulting: Centraliserad hantering av API-nycklar, tokens och certifikat
  • Just-In-Time provisioning: Behörigheter som beviljas precis när de behövs, sedan återkallas

CyberArks lösning passar organisationer som måste hantera SSH-nycklar, root-konton och AWS IAM-roller med hög precision. Prissättningen är enterprise-baserad och kräver offert.

Steg-för-steg: Bygg din enhetliga identitetsarkitektur

Fas 1: Inventering och baslinje (4–8 veckor)

Innan du implementerar något måste du förstå din nuvarande situation. Detta är tråkigt men kritiskt.

  1. Kör identitetsaudit på varje plattform:

    • AWS: Använd IAM Access Analyzer för att hitta externa principer och överflödiga roller
    • Azure: Använd Entra ID Access Reviews för att inventera app-tillämpningar och behörigheter
    • GCP: Använd Policy Troubleshooter och examine service accounts

  2. Kartlägg alla federationsrelationer: Vilka identitetsleverantörer pekar mot vilka molnplattformar? Dokumentera alla SAML IdP:er, OIDC-klienter och API-nycklar.

  3. Identifiera privilegierade konton: Rotkonton, globala adminer, service accounts med breda behörigheter. Detta blir din prioritetslista.

  4. Beräkna aktuell TCO: Inkludera personaltid för manuell hantering, supportkostnader för identitetsrelaterade ärenden, och riskkostnader baserat på sannolikhet och påverkan.

Fas 2: Välj navstrategi (2–4 veckor)

Baserat på din befintliga infrastruktur och compliance-krav, välj din primära identitetsplattform:

  • Microsoft-ekosystem: Entra ID P2 om du kör Windows/Azure
  • Applikationspluralism: Okta om du har 50+ SaaS-appar
  • Reglerad verksamhet: CyberArk om du hanterar finansiella eller myndighetsdata
  • AWS-centrerad: IAM Identity Center om du främst är på AWS

Tänk på: Du behöver inte ha en enda navstrategi. Många stora organisationer använder en hierarkisk modell där Entra ID federerar till Okta, som i sin tur federerar till specifika molnplattformar.

Fas 3: Implementera grundläggande federation (6–12 veckor)

  1. Konfigurera SAML-federation på varje moln:

    • AWS: Setup IAM Identity Center med Entra ID som identitetskälla
    • Azure: Konfigurera Enterprise Applications för AWS och GCP
    • GCP: Enable SAML i Cloud Identity

  2. Implementera MFA överallt: Ingen kompromiss. Använd FIDO2-hardware-nycklar för privilegierade konton och autentiseringsappar (Microsoft Authenticator, Google Authenticator) för vanliga användare.

  3. Konfigurera SCIM-provisionering: Automatisk skapande och borttagning av användare baserat på HR-systemet. Detta eliminerar den största risken med överblivna konton.

  4. Sätt upp villkorlig åtkomst: Exempelregler:

    • Blockera inloggning från hög-risk-länder (GeoIP-baserat)
    • Kräv kompatibla enheter för åtkomst till produktionsmiljöer
    • MFA obligatorisk för admin-portaler

Fas 4: Avancerad styrning och automatisering (3–6 månader)

  1. Implementera Just-In-Time Admin: Använd Microsoft PIM eller CyberArk för att bevilja privilegierade roller "on-demand" med tidsbegränsning. Istället för att ha ett konto som alltid har produktionsåtkomst, begär adminen åtkomst för en specifik uppgift, få den godkänd automatiskt eller manuellt, och få den återkallad efter 30 minuter.

  2. Bygg Access Reviews in i governance: Kvartalsvis granskning av vem som har åtkomst till vad. Automatisk påminnelse till chefer att recertifiera teamets behörigheter.

  3. Implementera anomaly detection: Entra ID Protection, Okta ThreatInsight eller liknande verktyg för att automatiskt blockera misstänkt beteende – exempelvis om samma konto loggar in från Tokyo och Stockholm inom 30 minuter.

  4. Kontinuerlig compliance-rapportering: Automatisera generation av rapporter för ISO 27001, SOC 2, GDPR – kopplade till faktiska identitetsdata, inte manuella inventeringar.

Vanliga fallgropar och hur du undviker dem

Fallgrop 1: Att federera för mycket för snabbt

En stor svensk myndighet försökte implementera federation mellan Azure, AWS och GCP på fyra månader. Projektet misslyckades katastrofalt eftersom de inte hade inventory-kontroll och skapade federationsrelationer för tusentals överblivna konton. Resultatet: massiva permissions-problem och en sex månader lång återställningsperiod.

Lösning: Gör inventeringen först. Gör federation steg för steg, grupp för grupp. Börja med IT-avdelningen, inte hela organisationen.

Fallgrop 2: Att ignorera machine identities

De flesta fokuserar på mänskliga identiteter och glömmer tjänstekonton (service accounts), API-nycklar och applikationshemligheter. En undersökning från Cloud Security Alliance visade att 90 % av organisationerna har otillräcklig hantering av machine identities.

Lösning: Använd en secrets manager – AWS Secrets Manager (0,40 USD per secret/månad), Azure Key Vault (Standard tier från 3,38 EUR per nyckel/secret) eller HashiCorp Vault (open source eller Enterprise). Rotera nycklar automatiskt.

Fallgrop 3: Att behandla identitetssäkerhet som en IT-fråga

Identitetshantering är en affärsrisk, inte ett IT-projekt. Utan styrelseförankring och tydliga KPI:er (medeltid för avetablering, antal överblivna konton, MFA-coverage) blir projektet underfinansierat och marginaliserat.

Lösning: Definiera identitetssäkerhet som en del av företagets riskhanteringsramverk. Koppla det till compliance-rapportering och kvartalsvisa styrelseuppdateringar.

Kostnader och ROI: Vad du faktiskt investerar

En realistisk implementation för en medelstor organisation (500–2000 anställda) med multi-cloud:

Initiala kostnader:

  • Identitetsplattform (Entra P2, Okta eller CyberArk): 20 000–150 000 EUR/år beroende på storlek
  • Konsulttimmar för implementation: 100 000–300 000 EUR (engångskostnad)
  • MFA-nycklar/hårdvara: 5 000–25 000 EUR

Löpande kostnader:

  • Licensavgifter per användare/månad
  • Internal IT-tid för administration (kan minskas med 40–60 %)
  • Compliance-revisioner (minskar med 30–50 %)

Beräknad ROI:
Baserat på IBM:s Cost of a Data Breach-rapport 2024, där genomsnittlig kostnad för ett identitetsrelaterat intrång är 4,8 miljoner EUR, kan en effektiv identitetsarkitektur:

  • Minska sannolikheten för intrång med 70–80 %
  • Reducera tiden för incident-respons från dagar till timmar
  • Eliminera 90 % av överblivna konton (den vanligaste ingress-vektorn)

För de flesta organisationer betalar sig en ordentlig identitetsinvestering inom 12–18 månader.

Sammanfattning: Din väg framåt

Säker multi-cloud identitetshantering är inte ett projekt med slutdatum – det är en kontinuerlig process. Börja med:

  1. Inventera alla identiteter på alla plattformar
  2. Välj en central identitetsplattform baserat på din tech-stack
  3. Federera med steg-för-steg-implementation
  4. Automatisera livscykelhantering via SCIM
  5. Implementera MFA och villkorlig åtkomst
  6. Styr privilegierade konton med Just-In-Time
  7. Övervaka kontinuerligt med anomaly detection

Med rätt arkitektur kan du ha samma säkerhetskontroll över dina multi-cloud resurser som du har i en single-cloud miljö – ibland till och med bättre, eftersom du tvingas vara disciplinerad från dag ett.

För organisationer som tar molnskydd på allvar är identitetshantering inte förhandlingsbar. Det är grunden. Och grunden måste vara solid innan du bygger något annat.

Weekly cloud insights — free

Practical guides on cloud costs, security and strategy. No spam, ever.

Comments

Leave a comment