Sådan får du sikkerhed i skyen
For mange virksomheder er bekymringer for sikkerhed i skyen og ved anvendelsen af Software-as-a-Service den største barriere for at komme i gang med teknologierne.
En nylig britisk undersøgelse viste, at 67 procent af it-cheferne ikke havde planer om at benytte cloud computing i den kommende tid. Knap halvdelen af de adspurgte pegede på sikkerheden som den største barriere for at komme i gang med skyen.
»Man kan godt gøre det sikkert, men hvis man ikke passer på, kan man også komme ud i nogle store problemer.« siger Carsten Jørgensen, som er konsulent hos Devoteam.
Han understreger, at mange af de sikkerhedsmæssige overvejelser er de samme, som de it-ansvarlige kender i forvejen.
»De ting, man vil overveje i forbindelse med outsourcing, gælder også her: ansvar, service-level agreements, at huske at få sikkerhed og tilgængelighed med i kontrakten.«
Problemerne kan opstå, hvis man lægger applikationerne i skyen uden at tænke på, hvad konsekvenserne er, hvis skyen går ned, eller leverandøren må dreje nøglen om.
Derfor skal man kigge kontraktforholdende nøje igennem, og så tage stilling til, om vilkårene passer til virksomhedens data.
SaaS er samme sikkerheds-surdej
Når det handler om Software-as-a-Service - programmer, som hostes via nettet - så er der mindre skepsis om sikkerhed. Men her skal man foretage samme betragtninger, som ved de "rene" cloud-løsninger, mener Carsten Jørgensen.
»Det er fordi, man kun kigger på applikationen, og ikke er klar over, at der også er de to andre niveauer nedenunder. Det kører jo på en platform, og der er også en infrastruktur. Så man overser det, men der er nøjagtig de samme ting, man skal være bekymret for, eller som man i hvert fald skal overveje.«
I øjeblikket er det svært at sige, hvilke områder og data, der egner sig til at blive flyttet op i skyen.
»Det er helt afhængigt af den løsning, man er interesseret i. En god løsning for et firma er ikke nødvendigvis en god løsning for et andet firma.«
I fremtiden vil der komme mange små leverandører til, som vil bygge på sky-tjenester, som igen kan bygge på andre sky-tjenester, spår Carsten Jørgensen.
»Det kan lynhurtigt blive komplekst, og hvis én af skyerne har problemer, så ryger alle kunderne, fordi de er afhængige af hinanden, advarer han. Derfor skal man sætte sig ind i tjenesten og vurdere, hvilke problemer, som kan slå i gennem for én selv.
Carsten Jørgensens fem sikkerhedsråd om skyen:
1. Vurder hvilken værdi, den data/information, som du planlægger at lægge ud i Skyen, har.
Som en del heraf er det vigtigt at foretage en dataklassifikation for at kunne beslutte hvilke data, der kan lægges i skyen og hvilke krav, der skal stilles. Er der f.eks. personfølsomme data, og er det et krav at leverandøren krypterer data.
**2. Undersøg hvilken type Cloud leverandøren tilbyder. **Er der for eksempel mulighed for medindflydelse på sikkerheden, eller er det en standardiseret ydelse?
Sørg for, at du har de rigtige SLA'er og kontrakter i forhold til, hvad du lægger ud i Skyen.
3. Er der procedurer eller produkter, der skal på plads internt i organisationen, før skyen kan benyttes sikkert?
Skal der for eksempel etableres et hold, der kan håndtere sikkerhedshændelser? Som minimum skal der etableres planer for at sikre, at forretningen fortsætter, hvis leverandøren er nede i kortere eller længere tid.
4. Kontrol.
Undersøg hvilke logfiler, metrikker og rapporter, der er tilgængelige. Er det muligt at udvikle egne kompenserende kontroller?
- Vær opmærksom på, at du ikke kan outsource ansvaret for sikkerheden, heller ikke i skyen.
Tag stilling til sikkerheden. Se for eksempel Cloud Security Alliance og Cloudsecurity.dk for inspiration.
Kommentarer (3)
Carsten påstår
Man kan godt gøre det sikkert,
Hvorefter ingen af de nævnte midler leverer varen.
Vi er mange som er af den opfattelse at Cloud ikke kan sikres, dvs. at alt der ligger derude skal antages vil blive misbrugt på et tidspunkt.
Vi kan så begynde at bruge sikkerhedsmekanismer såsom client-side virtualisering etc. til at sikre at risikoen aldrig kommer derud. Men det omhandler artiklen slet ikke.
Det eneste rigtige er at sige at Cloud IKKE kan sikres - og så agere derfra. Det er jo ikke ensbetydende med at man ikke kan bruge Cloud, blot at man ikke skal bruge det på en måde der forudsætter eller antager nogen former for sikkerhed når først det har forladt clienten.
-
0 -
0
Stephan:
Det svarer jo til at sige at man ikke kan bruge computere, fordi man må antage, at alt der ligger på computere vil blive misbrugt på et tidspunkt.
Om man kan bruge Skyen "sikkert" er helt afhængigt af løsningen, og hvad man lægger ud i den.
Mener du f.eks., at de skulle have virtualiseret client-side for at kunne udnytte Amazons regnekraft her: http://eprint.iacr.org/2009/203.pdf , nej vel?
-
0
-
0
Carsten
Det er orthogonale problemstillinger. Brute-force attacks på nøgler og data sikkerhed er 2 forskellige spørgsmål.
EMV er generelt designet uden datasikkerhed og med genbrug af nøgler på tværs af kontekst, men det betyder ikke at algoritmerne ikke kan bruges til specifikke problemstillinger.
EMV er et interessekartel som bevidst udelukker innovation og konkurrence mens man underminerer datasikkerheden for at etablere og fastholde gatekeeperrollen og kontrollere værdien af data på både forbruger og butikkernes bekostning.
Sikring af betalinger sker ved brug af Digital Cash så man undgår genbrug af nøgler. Men det skal ikke ske blindt, dvs. uden blik for at forebygge kriminel misbrug.
Bemærk at jeg ikke siger at Cloud ikke kan bruges, man må bare ikke antage nogen form for sikkerhed. det ville være at gentage det fysiske miljøsvineri i en digital form. Man skaber eksternaliteter ved at udsætte andre for risici som man ikke betaler og tager ansveret for.
En analogi til problemstillingen er når banker outsourcede kundeservice til Indien og konstaterede at data lækkede og blive misbrug til identitetstyveri i hjemlandet. Samme generiske problem - samme generiske løsning.
-
0
-
0
Tilføj kommentar
