Cloud computing er rasende usikkert
Cloud computing, hvor beregninger og data bliver foretaget i generiske datacentrer, er en tvivlsom fornøjelse for virksomheder.
Det mener sikkerhedsevangelist Jeff Kalwerisky fra firmaet Alpha Software, som fremstiller udviklingsværktøjer til klient-serversystemer.
Manglende standarder for opbevaring og behandling af data står i vejen for seriøs anvendelse af cloud computing i virksomhederne, siger han i et interview i Dr. Dobbs.
Der er store spillere på cloud-markedet, mellem dem Amazon, Google, IBM, Dell og Microsoft. Men manglende praksisser betyder, at data gemt på Amazons Simple Storage Service (S3) ikke er kompatible med IBM's Blue Cloud eller de andre tjenester på markedet, og dermed er man som virksomhed låst fast til én udbyder.
Sikkerhed i CIA-styrke
Derudover mangler cloud-tjenesterne, hvad Jeff Kalwerisky kalder for "CIA-modellen for sikkerhed." Det er kombinationen af fortrolighed, integritet og tilgængelighed (confidentiality, integrity, and availability, heraf "CIA").
Virksomheder er nødt til at beskytte deres data med kryptering, pilfingrede systemadministratorer hos cloud-tjenesten ikke kan kigge efter interessante bidder. Hvis data er krypteret, er det så vigtigt, at det er virksomheden og ikke tjenesten, der ligger inde med nøglerne.
Integritet betyder i denne sammenhæng, at data kun ændres som resultat af beregnede transaktioner. Det kræver standarder, der ikke findes endnu, mener Jeff Kalwerisky.
Det sidste problem er tilgængelighed. Kan man stole på, at data er til stede, når virksomheden har brug for dem? Indtil videre må svaret være "måske." Det viser blandt andet de forhold, at flere af tjenesterne har været ude for store og timelange nedbrud i det seneste år.
Tre sikkerhedsregler for cloud computing
Men det ser dog ikke helt håbløst ud. Jeff Kalwerisky angiver tre regler, som man skal holde sig til for at praktisere cloud computing.
For det første skal man sikre sig, at data er krypteret med SSL-protokollen frem og tilbage over internettet og i tjenestens datalager. Dernæst skal det fremgå af kontrakten med tjenesteudbyderen, at data altid tilhører virksomheden, og at tjenesten ikke må videre give data til udenforstående.
For det tredje skal man sikre sig, at virksomhedens brugere benytter et login-system, hvor man udover password også skal benytte fysisk autentifikation i form at smartcards, fingeraftryk eller andre biometriske metoder.
Kommentarer (4)
Nu kender jeg kun til S3 og Nirvanix, men begge API giver mulighed for at tilføje metadata, hvor man nemt kan gemme en sha1 checksum...
Og man kan uden problem nøjes med at uploade krypterede data. Problemet med at skifte leverandør kan også løses, eksempelvis har Nirvanix udviklet værktøjer til folk der ønsker at skifte fra S3. Og man kan selv vælge at interfacet cloud'en gennem et wrapper API man selv har skrevet så man nemt kan skifte...
Availability er stadig et problem, specielt fordi man er nødtil at (de)kryptere data på ens egne servere, hvilket er løsningen mindre skalerbar...
MEN det største problem, som jeg ser det, er "the Patriot Act" og de juridiske spørgsmål der stiller sig hvis man som Dansk selskab benytter en cloud i USA eller et andet land... Disse problemer bliver selvfølgelig mindre alvorlige hvis man kryptere sine data...
For det tredje skal man sikre sig, at virksomhedens brugere benytter et login-system, hvor man udover password også skal benytte fysisk autentifikation i form at smartcards, *fingeraftryk* eller andre biometriske metoder.
Er der nogen måder hvorpå man kan bruge fingeraftryk til at kryptere data med... Det lyder lidt usandsynligt, med mindre man selvfølgelig har gang i noget TC, men jeg kan ikke se hvordan det hører hjemme i server verdenen...
Ps. Det er muligt at opsætte virtuelle maskiner hos Amazon i deres EC2 service, og disse kan da servicere S3 data og foretage evt. dekryptering. Jeg har svært ved at se at en SSH til en EC2 instance skulle være usikkert... Med mindre Amazon går seriøst op i at bryde ind selvfølgelig...
-
0 -
0
Hvor besværligt ville det ikke være at skifte hosting fra CSC til IBM, eksempelvis? Det er jo ikke noget, man lige gør hvert år, og hvis man endelig skulle, så ville jeg egentlig hellere flytte fra én sky til en anden p.g.a. muligheden for at styre det selv via API'erne.
Og med hensyn til sikkerheden i en cloud, så gælder den simple regel vel stadig, at man krypterer alt, man sender ud på wiren, og man undlader helt at sende kundehenførbare data. Det vil sige, at man nøje overvejer, hvilke typer opgaver, som hører til på skyen. Vi transcoder eksempelvis en del videomateriale, og det sker i dag på servere, som står idle 90% af tiden. Det er jo ret dumt. En sådan opgave ville ligge lige til højrebenet at flytte på en sky i stedet for.
-
0
-
0
Vi transcoder eksempelvis en del videomateriale, og det sker i dag på servere, som står idle 90% af tiden. Det er jo ret dumt. En sådan opgave ville ligge lige til højrebenet at flytte på en sky i stedet for.
Så skal I bare have en monster internetforbindelse som er idle 90% af tiden, samt betale for cloud brug osv. Det kan godt være at det forekommer åndssvagt at den server er så inaktiv, men så meget koster lidt tomgang jo heller ikke, og alternativet er ihvertfald ikke gratis.
-
0
-
0
Problematikken om Cloud computing, er som jeg ser det, en abstraction over GRID computing og måske endda SOA (og SaaS).
Med denne antagelse, vil jeg mene at før der er Governance (dvs. soleklare Forvaltningsregler "hele vejen rundt") på disse områder (dvs. GRID, SOA osv.) kan der ikke være tale om at Cloud computing kan tages seriøst ?
-
0
-
0
