Devoteam: Cloud computing kan forbedre it-sikkerheden
Hvad enten det er den basale cloud-baserede applikation i Software-as-a-Service-modellen eller en fuld infrastruktur i skyen, så har vi en tendens til at stille meget højere krav til sikkerheden, end vi stiller til de systemer, cloud-løsningen skal erstatte.
»Du skal se på, hvad du kommer fra. Vi har en tendens til at sætte højere krav til cloud-løsningen,« forklarede seniorkonsulent hos Devoteam Carsten Jørgensen på Dansk IT's sikkerhedskonference i København tirsdag.
Hvis cloud-løsningen skal erstatte et eksisterende in-house system, så bør man stille sig selv de samme spørgsmål omkring sikkerheden, som ville gøre, hvis man overvejede traditionel outsourcing.
Cloud computing sætter dog visse begrænsninger. Især har du sværere ved at opstille kontroller for, hvor god sikkerheden reelt er. Et andet problem kan opstå i forbindelse med afprøvning af disaster recovery-planer ved et katastrofalt nedbrud i systemerne.
Der får man, hvad man betaler for. Visse udbydere af cloud-tjenester tilbyder mulighed for at få adgang til datacentrene, mens andre kun sælger en standardpakke med helt basale supportydelser.
»Hvis man vælger det billigste, så er der større sandsynlighed for, at noget går galt. Men hvis man udnytter teknikkerne i cloud computing, så kan man faktisk lave redundans til billige penge,« siger Carsten Jørgensen.
Forvent problemer Mange cloud-udbydere tilbyder således mulighed for at sprede sig over flere adskilte zoner i enten det samme datacenter eller ligefrem over geografisk spredte datacentre.
Carsten Jørgensen råder til at se på cloud computing som på alle andre it-systemer og forvente, at der vil opstå problemer. Og cloud computing kan være en god lejlighed til at forbedre sikkerheden generelt ved at flytte it-sikkerheden fra at være centreret om at beskytte den fysiske infrastruktur og over til at fokusere på at beskytte data.
»Der er en chance for, at cloud computing kan forbedre sikkerheden, fordi du er tvunget til at fokusere på at sikre data. Derfor bliver dataklassifikation også utrolig vigtigt,« siger Carsten Jørgensen.
Kommentarer (14)
Carsten
Hvor er det trist at se hvordan interessen altid undertrykker fornuften, behovet og retten.
Det kan godt være at nogle sikkerhedsaspekter bliver nemmere, men andre og mere kritiske aspekter bliver signifikant forringet.
Øvelsen er ikke ja eller nej til Cloud, men HVIS cloud, så skal x og y være på plads istedet for denne form for luk øjnene og løb.
Stephan
-
0 -
0
DU mener ubelejlig kommentar.
Når du reducerer datasikkerhed til dataklassifikation, så er der intet indhold.
Jo - der er forskel på data OM nogen og content i sig selv. Førstnævnte kan sikres via virtualisering, sidstnævnte kan ikke og må deles op i det som man kan tåle blotlægges og det som man ikke kan tåle blotlægges.
Redundans og backup af hensyn til availability er en overvurderet problemstilling at sælge cloud på.
-
0
-
0
Nogle mennesker har måske nok en tendens til at overdrive sikkerhedsproblematikken mht. cloud computing. Men altså ja, det her er sq noget bullshit. Selvfølgelig er en cloud løsning hvor der er gjort et minimum ved sikkerheden bedre end X alternativ løsning hvor der ikke er tænkt over sikkerhed. Men det er egentlig ikke rigtigt skyens skyld.
-
0
-
0
Det afhænger meget af casen.
Problemet - og det som jeg reagerer på - er det nærmest hysteriske oversalg uden at ville tage ansvar.
I min optik svarer det til at gå fra at køre 100 km/t på motorvejen til rumfart og glemme at ilt-forsyningen fordi der er lufttomt i rummet.
Der er værdier at hente, men det kræver at man skifter sikkerhedsforståelse. Og det er en elendig udskyldning at påstå at det "bare" er det samme som at outsource - at outsource er ramme også at nedbrudet i parametersikkerheden, men cloud falder totalt sammen hvis man ikke isolerer transkationerne stærkt.
Men konsulenterne og cloud service providers oversælger uden hæmninger - og Danmark lader sig som sædvanlig misbruge til at agere prøveklud og spilde skatteydernes penge på den seneste hype fra de få store amerikanske teknologileverandører.
-
0
-
0
Jacob:
Det burde ikke kommer som en overraskelse, men der er mange virksomheder og organisationer i Danmark (og resten af verden for den sags skyld), der har store problemer med it-sikkerheden.
Der er stor forskel på cloud-leverandørerne. En cloud-leverandør kan potentielt tilbyde f.eks. reduntante systemer, som nævnt i artiklen, høj tilgængelighed, hærdede virtuelle maskiner, sikre konfigurationer som default, segmenterede net, krypteringsløsninger osv, osv.
Som jeg også sagde i præsentationen bliver en løsning på ingen måde sikker bare fordi den kommer ud i skyen, men afhængig af hvor man kommer fra kan cloud sagtens forbedre sikkerheden.
Cloud computing er ikke magi, det er it-systemer der bruger strøm.
-
0
-
0
Tak, jeg kender godt tingenes tilstand.
Lad os lige få slået fast at driftsikkerhed og sikkerhed er to forskellige ting, før du har lært at adskille dem synes jeg du skal holde igen med ekspertudtalelserne. En sky løsning kan out of the box levere en rimeligt god driftsikkerhed, men sikkerhed er en helt anden størrelse, og den afhænger først og fremmest af om der er huller i den kode som man skriver, hvilket skyen ikke kan gøre noget som helst ved.
Man kunne gøre så meget, meget af det du nævner kan man lige så vel lave som default opsætning i en Linux distro.
Det er i hvert fald ikke mig som tillægger cloud computing overnaturlige kræfter, hvorfor du snakker om magi ved jeg ikke.
-
0
-
0
90% siger at de ikke har tillid til sikkerheden i cloud, hvorefter MS siger at de vil have lidt overflade placebo-sikring for at skabe "tryghed".
http://news.cnet.com/8301-1009_3-10437844-83.html
Det som mangler er reel sikkerhed. Ikke mere bullshit marketing a la Google.
-
0
-
0
90% siger at de ikke har tillid til sikkerheden i cloud
90% af hvad? hvor kommer de tal fra?
På samme side som jeg skriver dette, er der en afstemning, hvor 35% siger at de er trygge ved at anvende Googles tjenester til fortrolig data.
-
0
-
0
Palle skrev
90% af hvad? hvor kommer de tal fra?
Se link til artiklen om Microsofts Keynote og data fra en Survey hvor det fremgik
But more than 90 percent of them are worried about security, availability, and privacy of their data as it rests in the cloud.
-
0
-
0
Interessant artikel ikke mindst med en it-politisk synsvinkel. Kunne være rart at vide hvordan spørgsmålene er formuleret og hvem der er blevet spurgt.
Man er selvfølgelig nødt til at tage det alvorligt, når der, som i artiklen og denne debat, ytres en naturlig frygt for noget nyt og ukendt. Den naturlige måde at imødegå dette er, hvad min kollega Carsten gør, ved hjælp af fakta og rationelle argumenter.
Cloud er selvfølgelig anderledes end f.eks. alm. it-outsourcing på nogle punkter, men der er også så mange lighedspunkter, at en række af de overvejelser man vil gøre ved outsourcing og den businesscase man vil opstille har ganske mange lighedspunkter med de overvejelser man vil gøre ved f.eks. 'platform as a service'.
Hvis garanteret tilgængelighed og svartid er en væsentlig parameter vil man naturligvis sikre sig, at dette kan opfyldes økonomisk forsvarligt, f.eks. ved tilgængelighedszoner, man vil naturligt stille krav til en vis form for perimetersikkerhed og muligvis indbygget adgangssikkerhed og naturligvis bekymre sig om hvorvidt ens data nu er sikre for uvedkommendes snagen - præcis de samme forhold og undersøgelser som ved outsourcing, hvor disse og andre parametre også er i spil.
Mht. datasikkerhed er det et også spørgsmål om ikke udbyderen har mere at tabe ved et bevisligt brud på dette end man selv har? Kan Google, Amazon eller Zoho f.eks. holde til, at der kan stilles berettiget tvivl om deres håndtering af fortrolige data? Og bør man ikke også se Googles mulige udtræden fra det kinesiske marked i dette lys?
Ha' nu en go' dag,
Palle
-
0
-
0
Det er ikke min opfattelse at Carsten addresserer sikkerhedsproblemerne med "fakta og rationelle argumenter", men ved at forsøge at skjule sikkerhedsproblemerne og sammenligne æbler og pærer (en dårlig implementering uden for cloud med antagelsen om en "fejlfri" implementering i cloud).
Cloud er ligesom softkey problematikke med Digital Signatur - du er nødt til at antage at der er maware i cloud-implementeringen - und then what?
Mht. datasikkerhed er det et også spørgsmål om ikke udbyderen har mere at tabe ved et bevisligt brud på dette end man selv har? Kan Google, Amazon eller Zoho f.eks. holde til, at der kan stilles berettiget tvivl om deres håndtering af fortrolige data?
Næ - man skal bare erkende at risikoskaleringen er så voldsom at det ikke længere drejer sig om graden af tillid til leverandøren, men om at designe så man ikke behøver at have tillid.
Her bør man dog skelne mellem egne og andres risiko. Odense kan ikke tillade sig at eksponere skolebørn for Google, men firma yy kan selv bestemme om de vil give Google adgang til deres interne regnskabsdata og strategidokumenter.
Og bør man ikke også se Googles mulige udtræden fra det kinesiske marked i dette lys?
Efter min opfattelse drejer den sag sig om billig pr. Google kan ikke tåle at det hedder sig at den kinesiske regering kan det samme som de kan og gør. Men i stedet for at designe sikkert, så¨forsøger man at opretholde illusionen af at den kinesiske regering ikke kan selvom Google kan.
Det er ren spin og bør ikke tages alvorligt i en digital verden. Hvis Google kan så kan staten. Hvis staten kan så kan kriminelle.
Vi interesserer os ikke for hvad man må og lover, men kun for hvad man kan fordi risikoskaleringen er så voldsomt at selv en lille sandsynlighed med enorm konsekvens skal behandles som en til vished grænsende sandsynlighed.
Man kan ikke sikre cloud i selve cloud - det skal ske udenfor i virtualiseringslaget klient-side. Den simple regel som sikkerhedsfolk ikke kan tillade sig at ignorere er "Ingen Personhenførbare data i Cloud".
-
0
-
0
Det er ikke min opfattelse at Carsten addresserer sikkerhedsproblemerne med "fakta og rationelle argumenter", men ved at forsøge at skjule sikkerhedsproblemerne og sammenligne æbler og pærer (en dårlig implementering uden for cloud med antagelsen om en "fejlfri" implementering i cloud).
Helt enig.
Den simple regel som sikkerhedsfolk ikke kan tillade sig at ignorere er "Ingen Personhenførbare data i Cloud".
CPR numre, bankoplysninger og lignende har i hvert fald ikke noget at gøre i en offentlig sky.
Resten af dit indlæg er som sædvanlig lidt overkonspiratorisk.
-
0
-
0
Hvis du kører det på noget pseudosnak om "følsomme data", så misser du hele pointen - de følsomme data er dem som ødelægger context-isoleringen.
Cloud-sikkerhed fungerer først når transaktionerne isoleres, dvs. du undgår identifikationen af eksterne interessenter på tværs. Først på det tidspunkt kan man blot tilnærmelsesvis acceptere den massive risikokoncentration som cloud indebærer.
Cloud leverandørens sikkerhed er primært omkring availablility og lidt integrity. Fortrolighed eller key protection kommer de aldrig i nærheden af at kunne levere.
A propos så er cloud-kalkulatorerne noget bras fordi den ikke indregner alle sikkerhedsproblemerne og den skade poå markedsdannelsen det giver at låse slutkunder (borgere) inde hos gatekeepere uden sikkerhed.
http://digitaliser.dk/news/448619
-
0
-
0
Tilføj kommentar
