Cloud computing kan være et mareridt for it-sikkerhed

SAN FRANCISCO: Cloud computing kan gøre it-sikkerhed mere kompliceret for især de virksomheder, som skal kunne dokumentere, at de lever op til compliance-krav omkring håndtering af data.

Cloud computing i form af både infrastrukturservices som Amazons EC2, Platform-as-a-Service som Google Apps Engine og Software-as-a-Service som Salesforce.com er tidens varmeste emne.

Det skyldes hovedsageligt løftet om at kunne mindske it-udgifterne på kort sigt ved at overlade infrastrukturen til en udbyder.

Men i modsætning til traditionel hosting af it, så giver cloud computing nogle helt nye udfordringer for it-sikkerheden.

»Tidligere hvis du havde en applikation hos en serviceudbyder, så havde du dedikerede servere og applikationer. Det har du ikke med cloud computing. Den eneste måde, udbyderen kan sænke omkostningerne på, er ved at du deler infrastruktur med andre,« forklarer chef for it-sikkerhedsstrategi Tim Mather fra EMC's sikkerhedsafdeling RSA.

Cloud computing bruger typisk virtualisering af servere og storage til at give kunderne virtuelle platforme til deres applikationer. Det betyder, at alle kunders data deler den samme hardware.

Samtidig er det de færreste udbydere, som krypterer data. Og i så fald er det kun data i storagesystemerne, som bliver krypteret.

»Det er du nødt til selv at sørge for hos eksempelvis Amazon. Og data i databaser er slet ikke krypteret hos eksempelvis Salesforce.com og Googles Gmail. Og data er helt sikkert ikke krypteret, når det bliver behandlet,« siger Tim Mather.

Problemet med at kryptere data, som du overlader til en udbyder, er administrationen af krypteringsnøgler. Der findes endnu ingen standarder, som gør de forskellige key management-systemer i stand til at samarbejde. Disse standarder er lige nu under udarbejdelse.

»Lige nu er administration af krypteringsnøgler en katastrofe, når det gælder cloud computing,« siger Tim Mather.

Den virtuelle infrastruktur giver heller ikke kunden adgang til at gennemskue, hvad der rent faktisk sker med kundens data. Det gør det langt vanskeligere at opfylde de lovkrav, som gælder til dokumentation for, at data håndteres forsvarligt.

Selvom udbyderen har data omkring, hvilke data der tilgås af hvem og hvornår, så er det i dag typisk ikke muligt for kunderne at få de oplysninger.

Cloud computing åbner også for nye trusler. Kunderne deles om en stor infrastruktur, og et angreb mod den infrastruktur kan sprede sig meget hurtigt.

»Du ejer ikke infrastrukturen, men du ejer stadigvæk risikoen, så du er nødt til at have processerne til at sørge for god sikkerhed,« siger it-sikkerhedskonsulent Subra Kumaraswamy fra Sun Microsystems.

Både Tim Mather og Subra Kumaraswamy fraråder, at man bruger cloud computing til data, som kan være fortrolige eller følsomme.

Virksomheder inden for finanssektoren og sundhedssektoren vil gerne bruge cloud computing, men er netop løbet ind i problemer omkring følsomme data. Disse data skal anonymiseres, men det giver nye tekniske udfordringer at få anonymiseret data hurtigt nok, inden de bliver sendt videre til skyen.

I det store perspektiv får cloud computing også it-sikkerhedseksperter til at advare:

»Vi har haft mange sikkerhedsproblemer, men endnu ingen store katastrofer. Lige nu er det meget svært at udføre et angreb, hvor man tager hvert femte datacenter ud af drift. Men nu hvor vi bevæger os ind i en verden med et lille antal meget store datacentre, så vil det tiltrække hackere, som vil prøve at lamme dem,« siger professor i datalogi Adi Shamir fra Weizmann Institute of Science.

Men selvom cloud computing indebærer nye trusler, så er det ikke en helt ukendt form for it-infrastruktur, påpegede krypteringseksperten Bruce Schneier i forbindelse med en paneldiskussion på RSA-sikkerhedskonferencen.

»Cloud computing keder mig. Det er meget ligesom it var, dengang jeg var barn, så jeg ser ikke de store forskelle,« sagde Bruce Schneier.