Cloud-ekspert: Fatal mangel på styring af nøgler i skyen driver mig til vanvid

Cloud-ekspert: Fatal mangel på styring af nøgler i skyen driver mig til vanvid
Illustration: bonekimages/Bigstockphoto.
Webgrænseflader og api’er giver mange slags uensartet adgang til skyen. Det medfører store problemer med administration af nøgler og roller. Leverandørerne har endnu ikke løsningen, så den må cloud-administratoren skabe selv.
24. maj kl. 03:30
errorÆldre end 30 dage

Hoveddøren til public cloud-systemerne er tjenesternes grafiske webkonsoller. Det er ganske anderledes, end hvis serverne står på egen matrikel eller i co-location, hvor der er fysiske adgangsbrikker, tv-overvågning og vagtfolk. Og det giver nye interessante problemstillinger for cloud-administratoren, for nu at udtrykke det på den måde. 

Sådan lød budskabet fra cloud-konsulent Rene Løhde på konferencen V2Security, der blev afholdt i København tidligere på måneden. Han indtager ofte rollen som cloud-administrator i de enterprise-virksomheder, han rådgiver, og hjælper også til med ansættelse og træning af dem, der skal overtage rollen.

For at komme i skyen, skal man ind af udbyderens hoveddør. Og det foregår altså i en webgrænseflade.

»Udfordringen for mig er, at man ‘bootstrapper’ webgrænsefladen med brugernavn og adgangskode. Derudover har alle cloud-udbydere en forkærlighed for nøgler og hemmeligheder, både som ‘root’-bruger, men også på den enkelte resurse, for at få adgang til den,« fortæller Rene Løhde til konferencens publikum.

»Nøgler og hemmeligheder er det, jeg bruger allermest tid på, og det irriterer mig grænseløst – men jeg forstår godt behovet. Og jeg kan se, at cloud allerede har en fortid, for udbyderne er ved at rydde op i det her.«

Log ind og få adgang
Du kan læse indholdet ved at logge ind eller oprette dig som ny bruger.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
24. maj kl. 21:46

Meget interessant problemstilling. Uden at være helt inde i hverken Rene Løhdes eller Cloudflares Keyless SSL, så synes jeg at noget af problemstillingen for begge løsninger overlapper.

Med Cloudflares Keyless SSL kan man holde sine private nøgler centralt og "nede på jorden" (modsat oppe i skyen).

Om princippet kan genereliseres er jeg ikke "sikkerhedsekspert" nok til at kunne svare på.

3
24. maj kl. 20:54

Det er også latterligt kompliceret at definere roller og rettigheder til de forskellige elementer man bruger til en cloud app.

Jeg har pillet lidt med AWS Lambda og jeg finder at det sværeste er at konfigurere de forskellige services så de ikke er "AWS root" - samtidigt med at alle eksempler totalt bruger "AWS root" :p

... og den der ting med at man kan sætte grænser for forbrug, men de stopper ikke noget, man får bare en mail eller sms.

2
24. maj kl. 12:44

Det lyder vildt at nøglestyringssystemer anno 2022 ikke skulle kunne bruges til skyen. Ikke i skyen, men til skyen. Siger ham der lavede nøglestyringssystemer i første halvdel af 10'erne.

1
24. maj kl. 07:25

Meget interessant artikel - tak.

Det lyder jo som endnu et punkt på den stadig længere liste over fantastiske grunde til, at det offentlige bør slå bremserne ift. sin stadig mere hovedløse fuld-ukritisk-fart-frem-digitaliseringsstrategi, indtil der er fundet en - brugbar - løsning. Og det lyder ikke som om, den vil være let at finde.

"Heads in the clouds"

4
24. maj kl. 21:07

Jeg mener at det er godt at digitalisere, men, at man begår en grov fejl ", og problemerne opstår, fordi formålet altid er at spare penge.

Hvis man i stedet for bare gik efter at gøre tingene bedre, hurtige, med "besparelsen" som en mulig sideeffekt, så ville det også gå meget bedre.