Cloud computing-sikkerhed i følge Cloud Slam 2010

De 17 indlysende eller overvejende sikkerhedsrelaterede indlæg (og et enkelt eller to med et bredere styringsperspektiv) fordelte sig på nedenstående bidragydere. De enkelte indlæg bliver uddybet hen ad vejen, efterhånden som jeg får set dem!

McAfee. Security From, In And For The Cloud. Hovedtruslerne defineres her som ‘kapring’ af serviceaccounts eller trafik i skyen, svagheder i forbindelse med ‘delt teknologi’, datatab eller datalækager, ondsindede interne medarbejdere hos leverandøren, ondsindet brug af services (spam, cyberangreb), ukendte risikoprofiler og usikre API’er. Løsningen er bl.a. McAfees Software (ups!) Security-as-a-Service management console (del af McAfee Total Protection Service), men samtidig siger de, at f.eks. årlige fornyelser af certifikater ikke er nok; der skal daglige tredjeparts sikkerhedsvalideringer til, sammen med opdaterede definitioner af de ‘nyeste’ sårbarheder, hurtig udbedring, automatiseret efterlevelse af krav og simpel implementering og vedligehold. Bemærk i øvrigt, at McAfee tager aktivt del i arbejdet i Cloud Security Alliance.

Ping Identity. Who’s in Your Cloud? Firmaet fokuserer på sikkerheden i forbindelse med internetidentitet. Her præsenteres en af hovedbekymringerne som en stigende kompleksitet sammenlignet med tidligere teknologier. Naturligvis er kompleksiteten størst, hvis vi taler software-as-a-service, og ikke bare sammenligner med at flytte infrastrukturen fra en driftsleverandør til skyen. Deres budskab er i øvrigt, at overholdelse af regulativer, retningslinjer og standarder bliver fremtidens ‘religion’, men at det for mange leverandører er noget ‘tilkøbt’, frem for noget, der opnås ved hårdt arbejde og omtanke (altså mere noget, man skal, end noget, man bare gør). Men frem for alt må risikoen, der følger af utallige passwords, elimineres… Enhver cloud applikation skal opfattes som en ‘black box’ og behandles som sådan sikkerhedsmæssigt, og sikkerhedslogs i cloud management værktøjerne bliver det nye hovedmålepunkt i konkurrencen. Og måske mest interessant hævder de, at sikkerhedsmodellen skal ændres fra pull til push, når det kommer til cloud applikationer – tænk lidt over den…

Platform Computing. Private Cloud: Regain Control of Your Infrastructure. I deres indlæg præsenteres 6 konkrete eksempler på, hvordan virksomheder – primært indenfor den finansielle sektor, men også f.eks. CERN – har genvundet kontrollen (?) med deres infrastruktur ved at implementere high performance private clouds. Her spiller sikkerhedsaspektet naturligvis en mindre rolle, alene af den grund, at det åbne internet ikke er det bærende medie, men deres gennemgang af, hvordan private clouds styres, er alligevel interessant.

PricewaterhouseCoopers. Trusted Assurance Services – Providing a Method for Cloud Computing Users to Feel Confident in the Cloud. PwC-afdelingen, der holdt præsentationen, beskæftiger sig med tredjepartsrevision af sikkerhedsstandarder, efterlevelse af lovgivningskrav (compliance) og andre garantier. Og her er det et relevant spørgsmål, hvordan man som leverandør (og kunde) sikrer sig, at en tredjepart faktisk er i stand til at foretage meningsfuld revision, så kunderne kan have en ægte sikkerhed for, at sikkerheden er reel og lovkravene faktisk overholdes. Dette vil meget typisk blive langt lettere for alle parter, hvis såvel leverandør som revision har en fælles forståelse af indholdet og udstrækningen af de standarder, der skal efterleves, hvilket bedst etableres, hvis alle parter bekender sig til anerkendte og udbredte standarder på områderne, f.eks. ISO27000. Indlægget afsluttes med anbefalinger af, at såvel kunder som leverandører vurderer risici og modenhed, fastlægger udstrækningen af de garantier, der gives og skal gives, samt fastlægger garantiernes udstrækning og rapporteringsformen.

WIPRO. Enterprise Cloud Stack -Technology and Architectural Perspectives. Udgangspunktet er, hvordan man bygger en rigtig enterprise cloud, som er WIPROs betegnelse for en hybrid cloud, der kobler public og private clouds. Et kritisk udgangspunkt er en klassificering af de systemer, der skal lægges i skyen; hvis de er mission critical, er sikkerheden formentlig vigtigere, end hvis de er knap så vigtige for virksomheden – naturligvis bortset fra, hvis de indeholder personhenførbare oplysninger. Især systemer, der kræver stor sikkerhed, kan lægges i den del af skyen, der er privat, mens mindre kritiske og måske mere undværlige systemer kan lægges i den offentlige del. WIPRO har desuden en interessant evolutionsrække for brugen af cloud computing:

Fase 1 er, hvor virksomheden bruger virtualisering og begynder at eksperimentere i det små.
Fase 2 er, hvor virksomheden begynder at stadfæste sin brug af cloud computing, f.eks. gennem anvendelsen af fritstående services
Fase 3 er, hvor tilstedeværelsen udbygges med mere integrerede services, f.eks. på tværs af enterprise clouden
Fase 4 er, hvor virksomhedens cloudanvendelse bliver ægte global og optimeret i forhold til udnyttelse af den specifikke driftsmetode

Bits Republic Technologies. Privacy in the Cloud: Client-Side Encryption and Online Key Management for Cloud-Based Collaboration. Dette firma er specialiseret i teknologisikkerhed og databeskyttelse. Republikkens liste over risici ved cloud computing dækker da også sikkerhed, tilgængelighed, beskyttelse, datakontrol og efterlevelse, altså f.eks. af lovgivningskrav. De konkrete eksempler omfatter bl.a. medarbejdere, der solgte data om kunder ’sort’, phishing-angreb på cloud-services og naturligvis hovsa-tab af data. En af de konkrete udfordringer er, at skyen administrerer de nøgler, der styrer den krypterede dialog mellem bruger og sky-applikation. Løsningen er stærkere kryptering på klientsiden og en adskillelse af nøgleadministrationen fra sky-applikationen, så denne f.eks. lægges hos en tredjeparts cloud-service-leverandør, der netop har dette som speciale.

Canadian Federal Government (tjek lige den URL: http://www.tpsgc-pwgsc.gc.ca! Det siger da sig selv…). Cloud Computing in the Canadian Federal Government. Den kanadiske regering har sat et fælles cloud initiativ i gang for 140+ styrelser, direktorater mv. i statsadministrationen. Det er en stor mundfuld, de er i gang med: 315.000 pc’er, 120.000 servere, 124 separate netværk… Den fælles cloudinfrastruktur skal omfatte institutioner på det åbne netværk såvel som på lukkede, sikre netværk. Den nye sikkerhedsmodel skal basere sig på separate sikkerhedszoner for data, applikationslogik og brugergrænseflade, som ikke behøver være ens; med andre ord: bare fordi data skal beskyttes særligt grundigt, behøver selve brugergrænsefladen måske ikke være det?

Dr. Helbing. Data Protection Law Requirements to Cloud Computing Agreements in the European Union (EU). Thomas Helbing er både navnet på et tysk advokatfirma, og naturligvis på chefen for firmaet. Den mest interessante del af Helbings indlæg er gennemgangen af EUs databeskyttelsesdirektiv – 95/46/EC. Interessant er bl.a., at selvom det er et EU-direktiv, implementeres og tolkes det forskelligt fra land til land. F.eks. kan det enkelte land give lovgivningsmæssigt mandat til at udlevere personhenførbare data. I Danmark er det omvendt: den danske databeskyttelseslovgivning er skærpende i forhold til EU-direktivet.

iLand. Achieving business continuity goals with a cloud-based DR plan. iLand er et firma, der sælger disaster-recovery med iLand Continuity Cloud. En af de væsentlige pointer ved cloud computing er jo, at der foregår dublering, triplering osv. af data og programmel, hvorved genskabelse ved nedbrud kan foregå helt eller stort set uden nedbrud. Men vælger man at implementere en private eller hybrid cloud, skal disaster-recovery-spørgsmålet naturligvis adresseres målrettet – helt på samme måde som ved traditionelle driftsløsninger.

iLand. Workforce mobility and improved security through cloud-based desktops. iLand har også en Workforce Cloud, som skal øge sikkerheden omkring desktoppen. Til den traditionelle sky-infrastruktur har iLand tilføjet, hvad de kalder ‘hybrid colocation’ og 24/7-support, hvilket skulle sikre tilgængelighed og hurtig ‘recovery’ af brugernes desktops. Dette kan være et værdifuldt alternativ til selv at drifte desktops, hvis brugerne forventer 24/7-service, men organisationen ikke er indstillet på at levere det.

Imaginea. Building Applications for the Cloud – Challenges, Experiences and Recommendation. I følge eget udsagn var Imaginea blandt de første, der tog cloud computing til sig for alvor. Bl.a. Amazons EC2-servere kører Imagineas heavy-duty Dekoh-desktopløsning. Derudover er Imaginea specialister i at bygge infrastrukturen bag meget store webløsninger, der skal kunne håndtere store mængder af data og hundredetusindvis af samtidige transaktioner. Den centrale pointe i deres indlæg er, hvordan man kan dele loadet ud på flere master- og slave-databaser, og dermed sikre højere tilgængelighed og redundans. I forhold til cloud computing er pointen her måske netop, at dette kan ske på tværs af lokationer – ja, på tværs af cloud-leverandører, hvis man kan få sikkerhedsmodellerne til at spille sammen.

Keane. Cloud Engineering – A SOA-based Approach to Effectively Developing Real-world Cloud Solutions. Keanes tilgang til cloud computing er lidt morsom: de sætter simpelthen -as-a-service bagefter alt, der skal til for at etablere og drive it-systemer, f.eks. strategy-as-a-service, management-as-a-service, development-as-a-service … og naturligvis security-as-a-service, plus 10-15 hvadsomhelst-as-a-service mere.

Oracle (Bemærk: oplægsholder Glenn Brunette (det hedder han altså) har stadig sun.com som ‘my company’ på LinkedIn – det var nok ikke en af dem, der glædede sig…). Beyond Hardening – New Ideas for Virtual Machine Security. Brunettes udgangspunkt er, at traditionel virtualiseringssikkerhed er godt, men når virtualiseringen skal danne grundlag for infrastructure-as-a-service, skal der mere til. Noget af dette er forøget fokus på krypteringsstrategier med skiftende eller gennemgående kryptering, lokal eller ekstern lagring af nøgler og egne eller delte nøgler. Naturligt nok slutter præsentationen af med præsentation af, hvordan sikkerhed sikres i Oracles væg-til-væg cloud-platform.

PA Consulting Group. Data Security – looking beyond technical security to organisation change, to manage risks and reap the rewards. Som det fremgår af indlæggets titel går PA her efter de organisatoriske aspekter af sikkerheden i cloud computing. Faktisk finder de, at cloud sikkerhed mere er et spørgsmål om forretningsmodel end om teknologi. I forretningsmodellen skal der adresseres nye sikkerhedsudfordringer som følger af dynamikken i cloud computing. Men PA nævner også, at fokus på sikkerhed i skyen også kan give gevinster på andre områder – måske en samlet set større sikkerhed virksomhedens it-anvendelse? Men derudover anbefaler de, at man får investeret det nødvendige i en sikkerhedsstyringsstruktur, får uddannet og skabt opmærksomhed og ikke mindst har fokus på de menneskelige konsekvenser: ændrede roller, nye ansvarsområder, ændrede processer.

PA Consulting Group. It’s all about trust. Customer-supplier relationships in the cloud computing world. Det er naturligvis helt afgørende, at der er solid tillid mellem kunde og leverandør – det er altid vigtigt, men måske især i en cloud-løsning, hvor man ikke umiddelbart kan se hinanden an, og hvor rigtigt meget foregår uden menneskelig kontakt. PA anvender en inddeling af kunderne efter, hvor risikovillige de er i forhold til cloud-løsninger. Har man en høj risikovillighed, f.eks. som lille start-up virksomhed uden de store ‘legacy systemer’, kan cloud computing være en meget attraktiv mulighed. Er man derimod en stor, veletableret virksomhed med mange systemer, risikerer man ved for voldsom en cloudstrategi at efterlade en organisation, der har sværere ved at holde liv i de traditionelt driftede løsninger, er for afhængig af systemarkitekter (ofte en meget knap ressource) og systematisk datamanagement, som man måske ikke er klar til, og er nødt til at etablere en stærk styringsstruktur for at undgå fragmentering af drifts- og systemporteføljen – noget, man måske ikke fra starten var indstillet på. For den type virksomheder kan det være værd at vente på, at cloud computing bliver mere mainstream og commoditised på linje med vand i hanen og strøm i stikdåsen.

Sentrigo. Securing Sensitive Data in the Cloud. Sentrigo identificerer de sædvanlige sikkerhedsudfordringer med cloud computing: hvor er mine data? Hvem har administratoradgang til dem? Hvordan håndteres adgangskontrollen i det hele taget? Hvordan beskyttes samtlige kopier af data? Er data krypterede? Er der tilstrækkeligt med kontrolforanstaltninger? Især er de interesserede i ‘the insider threat’, altså truslen fra DBA’er, systemadministratorer, netværksfolk mv., som måske har lidt for åben adgang til lidt for mange områder, og blandt hvem, der – som i alle andre grupper af mennesker – naturligvis også er brådne kar. Derfor foreslår Sentrigo, at krypteringen flyttes ned på rækken/selve dataelementet, så selv folk med ilde hensigter ikke får meningsfuld information ud af f.eks. at kopiere en database.

Terremark. Securing the Cloud. Hmmmm… Terremarks indlæg handlede slet ikke om Securing the Cloud – men derimod om sikring af digitalt bevismateriale (eDiscovery), som siden 2006 har været en del af amerikansk lovgivning. Og så handler det på sin vis alligevel om sikkerhed i skyen: for af lovgivningen fremgår bl.a. de berygtede krav om, at leverandøren skal udlevere materiale, der er i leverandørens besiddelse, hvis det kræves af en retssag – også selvom det er materiale, der opbevares for en kunde fra et andet land. Og så gælder undskyldningen, at ’systemet åd mine data’ ikke længere! For i skyen er alting jo kopieret i adskillige eksemplarer…

Én kommentar til “Cloud computing-sikkerhed i følge Cloud Slam 2010”

Dansette