Kategori: Cloud-arrangementer

Få bevis på ISO 27001 og bliv klogere på cloud-sikkerhed

Denne blogs modervirksomhed, PACTOR A/S, har gennem længere tid samarbejdet med BSI, British Standards Institution, som er ophav til og ejer af bl.a. ISO 27000-standarden, om at udbyde undervisning og afholde eksamen i ISO 27001 i Danmark.

ISO 27000 er en it-sikkerhedstandard med to underliggende standarder, en forretnings-/procesrettet og en mere regulært it-rettet, nemlig ISO 27001. Netop ISO 27001 blev af den nu hedengangne IT- og Telestyrelsen valgt som afløser for DS484 som krævet mindsteniveau for it-sikkerheden i det offentlige i Danmark.

Grunden til, at dette er særligt relevant i cloud-sammenhæng er, at det normale to-dages kursus er blevet udvidet med ½ dag om cloud computing-sikkerhed – både om lovgivningen, der skal iagttages, og om de muligheder og udfordringer, cloud computing giver på it-sikkerhedsområdet.

Her er der altså anledning til at blive klædt på om ISO 27001, endda med eksamensbevis, og i tillæg få opdateret viden om cloud-sikkerhed.

Læs mere om kurset her: http://pactor.dk/?page_id=518

Indlæg om cloud-sikkerhed 3. februar 2011

Torsdag den 3. februar 2011 havde jeg fornøjelsen af at holde oplæg på et meget velbesøgt breakfastclub-møde, arrangeret af ComputerWorld. Temaet for mødet var cloud computing-sikkerhed, og oplægsholderne repræsenterede nogle af de stærkeste ‘brands’ i branchen: Google, Symantec, IBM og Microsoft – og så lige CloudWatch.dk…

Læs mere »

Betyder cloud computing demokrati i it-beslutningsprocessen?

I går havde jeg fornøjelsen af at deltage i OVUMs (Butler Groups) Master Class om cloud computing. Meget godt kan man sige om OVUMs meget pragmatiske og afslappede tilgang til dette super-hypede begreb. På den anden side er de slet ikke blinde for de forretningsmæssige gevinster, der kan være i teknologien. Nok om det for nu.

Men ét budskab, der virkelig overraskede mig, var idéen om, at cloud computing er med til at demokratisere beslutningsprocesserne på it-området i virksomheder og organisationer. Pointen er, at fordi det er så nemt at ’shoppe’ it-løsninger i skyen, bliver it-afdelingerne tvunget til at lytte til brugernes behov og indrette it-investeringerne efter demokratiske principper. Vel vidende, at demokrati også af og til indebærer endeløs palawer, beslutningsprocesser udstrukket ad infinitum og uklare mandater.

Parallelen er til den gang, pc’erne kom på markedet. Først ville it-afdelingerne ikke røre ved dem. Det var noget slutbrugerfims, som ville gå over, og så ville brugerne vende tilbage til de gode og trofaste mainframes og grønne eller gule bogstaver på sort baggrund (eller omvendt). Og sådan gik det som bekendt ikke. Da det var så let for brugerne, f.eks. i form af enkeltstående forretningsenheder, selv at skaffe udstyr, gjorde de det bare, og så blev it-afdelingen gradvist tvunget til at engagere sig.

Og således også med cloud computing: fordi en hvilken som helst forretningsenhed, projektgruppe – ja, engageret udvikler, selv kan shoppe en virtuel server på Amazon, en udviklingsplatform på Azure eller en applikation hos … nå ja, en anden leverandør med A, så er it-afdelingen nødt til at lytte til deres ønsker og behov, hvis de fortsat vil spille en rolle i forbindelse med it-beslutningsprocesserne.

Tankevækkende – meget tankevækkende. Vi lader idéen stå et øjeblik – og kommenterer den muligvis selv senere. Hvis der er nogen, der har en tanke, er den naturligvis velkommen!

Praktiske clouderfaringer i følge Cloud Slam 2010

Det er muligt, at cloud computing er i sin vorden, men i følge flere af oplægsholderne på Cloud Slam 2010 er der allerede høstet mængder af erfaringer. Mange af virksomhedernes erfaringer handler naturligvis om, hvordan det er gået med at implementere deres services eller produkter i en cloud-sammenhæng. Oftest er erfaringerne gode, og er de det ikke, hører vi næppe heller om det.

Det mest interessante er naturligvis at høre om erfaringerne hos de, der ikke (direkte) har noget at sælge, og naturligvis særligt, hvis noget er gået galt. Dette sidste kan det være meget svært at blotlægge for f.eks. en offentlig kunde uden at komme til at hænge en bestemt leverandør ud – og det gør man jo ikke. Derfor har mange af præsentationerne ved Cloud Slam som objektive formidlere af praktiske erfaringer, naturligvis begrænset værdi.

Canadian Federal Government. Cloud Computing in the Canadian Federal Government. For at etablere grundlaget for et cloud projekt på tværs af den føderale regeringsadministration i Canada har man etableret et cloudbaseret samarbejdsværktøj for deltagerne. Disse er alle udpeget af lokale it-chefer og har bl.a. til formål at identificere og udvikle nye, tværgående services og specifikationer. Deres mål er bl.a. at etablere en fælles, virtualiseret platform for drift af forskellige typer applikationer i en community cloud. Sikkerhedsmodellen for løsningen består af tre lag: nederst et datalag, dernæst et applikationslag og sidst præsentationslaget i form af en web-grænseflade (det har man vist hørt før…). Der kan så etableres særskilte policies for de enkelte lag, der kan medvirke til at hindre sikkerhedsbrud. Hvad de allerede – eller næsten allerede – har på plads af løsninger er følgende:

Læs mere »

Cloud computing-styring på Cloud Slam 2010

Well – styring af cloud computing, rangerende fra det, at lave en strategi for det i organisationen, og hele vejen ned til styring af brugerautentificering og udviklerteamsnes cloud-kode, fyldte rigtigt meget på Cloud Slam 2010. Som med de konkrete cloud-produkter giver det ikke megen værdi, at der her klippes 5-10 linjer ind om hver leverandør – for det er helt overvejende det, de er. Derimod skal der gives dette tilbud til CloudWatch.dk’s læsere: Se listen igennem herunder, og finder du noget, du gerne vil have uddybet, sender du mig bare en e-mail, så vil jeg straks skrive et indlæg om oplægsholderens præsentationen!

Der er dog indsat links til leverandørernes hjemmesider – cloud-dedikerede hjemmesider, hvor det har været muligt.

Læs mere »

Cloudbaserede ydelser i følge Cloud Slam 2010

Som lovet skal der også skrives noget om de oplægsholdere, der præsenterede cloudbaserede ydelser på Cloud Slam 2010. Men i stedet for at tærske 70-80 indlæg igennem her, hvor det meste alligevel vil være citater fra firmaernes PowerPoint-præsentationer, vil jeg meget hellere henvise til den tidligere omtalte leverandøroversigt hos CloudBook.net. Her kan man nemlig både søge på konkrete services, som surfe rundt i ‘teknologistakken’, og udvælge den indgang, der passer bedst til ens aktuelle behov.

Husk, at PACTOR A/S altid gerne er behjælpelig med at foretage en markedssondering og vurdering af leverandører, hvad enten det er i forbindelse med en public eller en private cloud. Kontakt os gennem CloudWatch.dk eller direkte.

VMworld 2010 kommer til Bella Centret

Den 12. – 14. oktober 2010 danner Bella Centret rammen om VM-wares europæiske variant af VMworld – tre dage i virtualiseringens navn, og naturligvis også en helt masse om cloud computing. Som det fremgår af kataloget over indlæg, er hen ved 1/3 af de allerede planlagte indlæg deciderede cloud-indlæg, mens mange af de øvrige vil have en naturlig relevans for cloud computing.

Der er naturligt nok tale om en produktorienteret forestilling, der næppe vil være meget kritisk overfor leverandørerne og deres løsninger. De kritiske spørgsmål må man så selv stille. Men da der også er andre virksomheder end VM-ware på sponsorlisten, f.eks. CISCO, EMC, HP, IBM, CSC og Intel, bliver der nok også rig lejlighed til at se nærmere på deres bud på løsninger og services i skyen.

Skal du med? Har du lyst til at skrive om det for CloudWatch.dk? Så send mig en mail på info@cloudwatch.dk.

Cloud computing-sikkerhed i følge Cloud Slam 2010

De 17 indlysende eller overvejende sikkerhedsrelaterede indlæg (og et enkelt eller to med et bredere styringsperspektiv) fordelte sig på nedenstående bidragydere. De enkelte indlæg bliver uddybet hen ad vejen, efterhånden som jeg får set dem!

McAfee. Security From, In And For The Cloud. Hovedtruslerne defineres her som ‘kapring’ af serviceaccounts eller trafik i skyen, svagheder i forbindelse med ‘delt teknologi’, datatab eller datalækager, ondsindede interne medarbejdere hos leverandøren, ondsindet brug af services (spam, cyberangreb), ukendte risikoprofiler og usikre API’er. Løsningen er bl.a. McAfees Software (ups!) Security-as-a-Service management console (del af McAfee Total Protection Service), men samtidig siger de, at f.eks. årlige fornyelser af certifikater ikke er nok; der skal daglige tredjeparts sikkerhedsvalideringer til, sammen med opdaterede definitioner af de ‘nyeste’ sårbarheder, hurtig udbedring, automatiseret efterlevelse af krav og simpel implementering og vedligehold. Bemærk i øvrigt, at McAfee tager aktivt del i arbejdet i Cloud Security Alliance.

Ping Identity. Who’s in Your Cloud? Firmaet fokuserer på sikkerheden i forbindelse med internetidentitet. Her præsenteres en af hovedbekymringerne som en stigende kompleksitet sammenlignet med tidligere teknologier. Naturligvis er kompleksiteten størst, hvis vi taler software-as-a-service, og ikke bare sammenligner med at flytte infrastrukturen fra en driftsleverandør til skyen. Deres budskab er i øvrigt, at overholdelse af regulativer, retningslinjer og standarder bliver fremtidens ‘religion’, men at det for mange leverandører er noget ‘tilkøbt’, frem for noget, der opnås ved hårdt arbejde og omtanke (altså mere noget, man skal, end noget, man bare gør). Men frem for alt må risikoen, der følger af utallige passwords, elimineres… Enhver cloud applikation skal opfattes som en ‘black box’ og behandles som sådan sikkerhedsmæssigt, og sikkerhedslogs i cloud management værktøjerne bliver det nye hovedmålepunkt i konkurrencen. Og måske mest interessant hævder de, at sikkerhedsmodellen skal ændres fra pull til push, når det kommer til cloud applikationer – tænk lidt over den…

Læs mere »

Red Hat Summit og JBoss World 22.-25. juni 2010 handler også om cloud computing

Den 22. til 25. juni 2010 kan man få stillet sine lyster i Boston, hvis de går i retning af open source – i hvert fald på det professionelle plan. Da afvikler Red Hat sit årlige summit sammen med JBoss World. Et helt spor for sig er cloud computing, hvor både Red Hat- og JBoss-teknologier sættes i perspektiv i forhold til cloud computing, f.eks. under overskrifter som:

  • How to Build Your Own Cloud with Red Hat
  • Real World Cloud Infrastructure with Red Hat Enterprise Virtualization and Red Hat Network Satellite
  • The Cloud According to JBoss
  • Red Hat Enterprise Linux: The Cloud Operating System

Hvis du hellere vil høre Red Hat selv fortælle om arrangementet, kan du se dette ‘båndede’ webinar her. Spoler man godt fremad er der en særlig præsentation af cloud-temaet – den starter efter 39 minutter og 9 sekunder.

Det spændende bliver så, hvor mange af præsentationerne, der efterfølgende vil være tilgængelige off-line. Vi vender tilbage med mere information, når vi har det.

Cloud computing og open source

Ja OK, de fleste kan nok se for sig, at man kan leje en server hos f.eks. Amazon og så installere et eller andet open source operativsystem på den – f.eks. Fedora, Ubuntu eller Debian, der allerede findes i rigt mål som skabeloner. Eller man kan naturligvis – når man først har fået sin infrastruktur op at køre – installere og drive et hvilken somhelst open source-produkt, der også kan installeres internt. Men er der nogen særlig cloud-vinkel på noget af det her open source?

Grundlæggende er idéen som med al anden open source software, at vi i fællesskab kan få bedre produkter ud af det ved at lade koden være åben (det behøver ikke betyde, at produktet er gratis, men det ved I naturligvis godt). Tit opstår løsninger, der bærer en sådan idealisme med sig, i universitetsverdenen, og det er da også tilfældet med f.eks. Eucalyptus, som var blandt oplægsholderne på Cloud Slam 2010.

Læs mere »

Dansette