Cloud-konsulent: Tænderne klaprer, når jeg tænker på sikkerhed i skyen

Illustration: Krakenimages.com
Skidt omgang med passwords er det mindste af de problemer, der opstår med sikkerhed i cloud. Løsningen er blandt andet homogenitet - men er »pokkers dyrt.«

Måske havde de driftsansvarlige, der i gamle dage stod på mål for servere på egen matrikel eller co-location, også søvnløse nætter.

En ting er dog sikkert, mener cloud-konsulent René Løhde: Når størstedelen af driften er i skyen, er der masser af tankestof til en lang nat i dynerne uden lukøje.

»Uanset hvor vi ligger driften henne, så har vi problemer med sikkerheden. Mit udgangspunkt er, at det var så meget nemmere, da der var tre-fire ting man kunne i skyen - men nu kan man jo alt.«

I de gode, gamle dage – for 15 år siden – handlede cloud om virtuelle instanser, storage og netværk. Men i dag kan leverandørerne byde på rene overflødighedshorn af tjenester.

»Cloud stiger hele tiden i popularitet. Det er hele porteføljen – it-chefen, systemadministratoren, udvikleren, supporten – alle på nær hardware-folkene. Jo flere vi stopper ind i maskineriet og giver adgang, jo større bliver problemerne.«

Det skyldes, at segmenteringen af rollerne forsvinder, når softwaren flyttes til skyen, siger René Løhde.

Udvikler sendte root-password til sig selv på mail

»Jeg har kunder, som er meget store og med meget store installationer. De siger: Vores on-premise og co-location er sekundært. Vores primære datacentre er cloud-udbyderne. Det er en transformation, hvor man får en hel ny driftsmodel. Du kan ikke se serverne og komme ud til dem, så alt er softwarebaseret.«

Det medfører en verden af api’er, nøgler og sikkerhedsmekanismer. Og tilføjer et lag af kompleksitet i sikkerhed, som man ikke havde før.

René Løhde er den ene del af tomandsfirmaet It-wrk og tidligere europæisk cloud-konsulent i Microsoft. Han taler på dette års InfoSecurity-messe, som afholdes d. 29.-30. september 2021 i Øksnehallen, København. Illustration: René Løhde

»Jeg er nervøs for, hvordan de folk, jeg giver adgang, håndterer sikkerheden – systemadministratoren, databaseadministratoren, udviklerne, arkitekten – hvordan håndterer de det.«

Den proces får tænderne til at klapre, føler René Løhde.

»Hvis du laver infrastruktur med en udvikler kan du opleve, at man coacher og siger: Du skal bruge disse fem komponenter, der hver kræver en form for root-autentificering. Jeg har oplevet en udvikler, der sendte et password til sig selv i en email. Fordi så huskede han det.«

Den slags sker stadigvæk i store enterprise-virksomheder, vurderer René Løhde. Man kan gisne om hvorfor.

»Måske er de ikke hårde nok på uddannelserne.«

Perimetersikkerhed bliver komplekst i skyen

Nogle forhold er banale, som ovenstående eksempel, mens andre forhold kan handle om, hvordan man skaber perimetersikkerhed i ekstremt hybride systemer – hvor datacenteret måske spænder over to forskellige cloud-leverandører.

»Det er en kompleks ting at orkestrere. Det første eksempel gør mig også søvnløs, men det er måske lidt nemmere at gå til, med noget uddannelse.«

Cloud-kunderne har indtil i dag i høj grad bestået af startups og mindre virksomheder. Men nu har topcheferne i de store virksomheder også læst Gartner-rapporterne om skyens fordele, mener René Løhde. Cloud er blevet et gyldigt alternativ til egen infrastruktur. Men de erfaringer, man har fra on-premise og co-location, kan ikke lige overføres til skyen.

Den eneste måde at håndtere det på er at skære systemerne over i mindre bidder.

»Men hvis du laver en datacenter-migrering til skyen, så sker der noget, som er lidt træls.«

Den struktur, man havde på egne servere, ryger bare med op i skyen. René Løhde har aldrig mødt en kunde, der refaktorerede sine systemer i forbindelse med migrering til skyen.

»En mellemstor dansk virksomhed har efter min erfaring omkring 200 servere. Der er ting, der slet ikke kan refaktoreres til at køre i cloud. Så når migreringen sker, er det både med de gode ting og de dårlige ting fra datacenteret.«

Spørgsmålet er så, om man efter migreringen går i gang med at dele systemet op i bidder.

Én firewall-leverandør løser problemet - men er »pokkers dyrt«

»Jeg har kunder, der har firewalls inde i Azure og AWS, selvom det er på deres egne netværk. De stoler ikke på de forskellige forretningsenheder. For det er sjældent, at it-afdelingen ejer alt i cloud.«

Én fremgangsmåde er at vælge en leverandør af software-router og firewall, som fungerer på alle cloud-platforme, såsom Cisco eller Palo Alto, og bruge den samme over det hele.

»Til gengæld er det pokkers dyrt. Men hvis du er homogen i dine valg, får du en homogen struktur for dine clouds.«

Du kan høre mere om sikkerhed i cloud, når René Løhde taler på dette års InfoSecurity-messe, som afholdes d. 29.-30. september 2021 i Øksnehallen, København.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Klavs Klavsen

Kræv at man kan logge ind med f.ex. HOTP (fra f.ex. en yubikey - der er HOTP unik for HVER yubikey man udsteder og virker KUN når man har indtastet gyldig pinkode på yubikey'en) - og til SSH, commits mv. (og faktisk også logins hvis man vil) - kan yubikey tilbøde at medarbejderens identitet (i form af den gpg nøgle der "brændes" ind i yubikey'en) kan anvendes til at logge ind - ganske nemt (yubikey'en blinker bare og kræver fysisk berøring - hvis den ER låst op).

Så ja - i Cloud skal man holde op med at anvende passwords til ting basta - eller i det MINDSTE have multi-faktor - hvis ikke man kan overtale sin leverandør til at understøtte noget andet end password login.

Nu er jeg sysadmin - og jeg har glædet MANGE udviklere, ved at give dem en yubikey (der er alternativer der understøtter det samme) - så de slap for at skrive kodeord ved SSH login (og dermed også heller ikke ved git push) - og det gjorde det nemt at automatisk gpg signere commits (yubikey blinker bare og git commit afsluttes når man har rørt sin oplåste yubikey).

  • 1
  • 0
Log ind eller Opret konto for at kommentere