Lektion 6: Hvordan håndteres sikkerheden i cloud computing?

PACTORs Cloud Computing-skole

Sikkerhed er blevet udråbt til den største enkeltudfordring med cloud computing, bl.a. med afsæt i den langt mindre transparens, der er i leverandørens infrastruktur og organisation, end der er i traditionel hosting. Der er ingen tvivl om, at man skal tænke sig godt om, når man vælger leverandør af cloud services.

Men på den anden side: leverandørerne er meget optaget af at kapre kunder på dette nye marked, og de er stort set alle (i hvert fald de markedsledende) virksomheder, der dominerer andre grene af it-sektoren: Microsoft, Google, IBM og Amazon for nu at nævne nogle få. Disse it-branchens giganter kan ikke tåle at få et ry for at levere cloud services, der ikke er sikre, der ikke overholder internationale standarder, og som store offentlige eller private kunder ikke tør anvende til kritiske forretningsapplikationer.

I denne lektion gennemgås nogle af de kritiske udfordringer med sikkerheden omkring cloud computing. Men det er værd at have i baghovedet, at nogle af udfordringerne lige så vel kan ligge på kundens side, f.eks. med at overbevise sig selv om, at leverandørens garantier er gode nok.

Læs også om standarder for cloud computing-sikkerhed sidst i lektionen.

Syv udfordringer fra Gartner

Gartner er en af branchens mest respekterede analysevirksomheder, og de listede midt i 2008 følgende syv stadigt meget aktuelle udfordringer med sikkerheden i cloud computing (se gennemgangen i InfoWorld):

1. Adgang

Hvis systemer hostes inhouse eller hos en lokal driftsleverandør, kan man begrænse den fysiske adgang til servere og data til et endeligt antal kendte personer. Men har du lagt dine programmer og data hos en cloud leverandør, ved du ikke, hvilket datacenter, de opbevares i, hvor de flyttes hen og (dermed) hvem der har adgang til dem. På den måde flyttes overblikket over den fysiske, logiske og menneskelige sikkerhed helt ud af kundens synsfelt, og bliver afhængig af en standard hos leverandøren, der går på tværs af alle kunder, og hvor kunden ofte kun kan stole på det, der står i dokumentationen.

Et skrækscenarie er f.eks., hvis en leverandør for at presse prisen opretter et hostingcenter i et land med et ustabilt styre, hvor dine data måske efter et kup bliver kompromiteret og videresolgt til konkurrenter eller kriminelle. Der er ingen tvivl om, at leverandørerne vil strække sig langt for at dokumentere, at de har styr på den fysiske, logiske og menneskelige sikkerhed, og det bør kunderne i vid udstrækning kunne stole på, men risikoen – især set i et længere tidsperspektiv – er noget, der skal ind i beslutningsprocessen.

2. Lovkrav

Regulatory compliance – dvs. overholdelse af lovgivningsmæssige krav – er en stor udfordring ved anvendelsen af cloud computing for mange sektorer. De mest oplagt er finanssektoren og medicinalsektoren, hvor kravene til dokumentation af datasikkerhed og databehandling er nedfældet i såvel lovgivning som i branchekodexer. Derfor kan det være vanskeligt for en cloud-leverandør – ikke mindst på grund af de nationale forskelle, der måtte være – at finde fodfæste i disse stærkt regulerede sektorer.

Også dele af det offentlige er underlagt lovgivningskrav. F.eks. Persondataloven i Danmark giver klare bestemmelser om overførsel af data til andre lande end EU og enkelte andre, hvilket ikke er tilladt, hvis der er tale om personfølsomme oplysninger (se herunder om opbevaring).

Hidtil har det offentlige bredt set skulle overholde Dansk Standards DS-484, som er en gennemskrivning af en tidligere britisk standard for it-sikkerhed. Nu har regeringen imidlertid besluttet at udskifte DS-484 med den internationale ISO 27001-standard, der er en del af ISO 27000-familien. Dette giver nogle klare fordele for både kunder og leverandører indenfor cloud computing set i et dansk perspektiv – mere herom nedenfor.

3. Opbevaring

I forlængelse af udfordringen med specifikke lovkrav kan det være en opgave for især offentlige institutioner at sikre sig, at data opbevares indenfor bestemte geografiske områder. Én ting er EU-lovgivningen og bestemmelserne i persondataloven. Et andet forhold, som også mange private virksomheder vil være optaget af, er eventuelle lokale bestemmelser, der kan give f.eks. efterretningstjenester uønsket adgang til data.

Dette er særligt relevant i forhold til USA, hvor efterretningstjenesterne efter 11. september 2001 fik meget vidtgående beføjelser til at få adgang til data hos amerikanske it-driftsleverandører. I udgangspunktet gælder det for data, der er opbevaret indenfor USAs grænser, men da amerikansk lovgivning ofte også dækker amerikanske virksomheders aktiviteter i andre lande, kan det være vanskeligt helt at sige sig fri af den risiko, også selvom data opbevares udenfor USA.

Anbefalingen her er, at kunden om nødvendigt sikrer sig hos leverandøren, at data opbevares i lande, kunden er tryg ved, og at leverandøren overholder beskyttelseslovgivningen i de lande, hvor data opbevares, ikke nødvendigvis den lovgivning, der gælder i leverandørens hjemland. Dette kan også blive aktuelt, hvis cloud-leverandører fra lande, man ikke normalt ville benytte, opretter datacentre indenfor f.eks. EU. Her er det tilsvarende vigtigt at sikre sig, at data vedbliver med at være opbevaret i disse lande, herunder også backups, der tages af systemerne.

4. Dataadskillelse

For de fleste virksomheder vil det kunne være katastrofalt, hvis data eller funktioner blandes med andre kunders. Blot det, at en service, f.eks. i form af et konkret funktionskald, kan være en anden kundes, kan give alvorlige lækager i systemernes sikkerhed. Så én ting er, at funktioner og data i princippet kan være fordelt over hele kloden, men det er afgørende vigtigt, at adskillelsen af kundernes cloud-services er fuldstændig, uanset hvor i verden, de afvikles.

Der er næppe de store udfordringer med dataadskillelse, hvis service er af typerne infrastruktur eller platform. Mere uigennemsigtig er situationen imidlertid, når der er tale om Software-as-a-Service, hvor kunden ikke selv har ’snor’ i sikkerheden i systemerne.

5. Genskabelse

Enhver med blot kortvarig erfaring fra arbejdet med it ved, at data kan gå tabt af ren og skær vanvare. Kodefejl sletter en tabel, uigennemtænkt oprydning fjerner en applikation eller decideret ondsindet hacking ødelægger et system. Uanset årsagen, kan og vil der blive behov for at gendanne hele eller dele af datasæt eller systemer, og derfor er det et væsentligt element i vurderingen af cloud-leverandørerne, hvordan og med hvilken sikkerhed, genskabelse kan finde sted.

I mange løsninger er genskabelse indlejret, således at brugerne selv – indenfor en passende tidshorisont – kan rulle tilbage til en tidligere version, f.eks. fra dagen før. Backup-politikken hos cloud-leverandørerne skal naturligvis ikke være mere lemfældig, end den, man ville forlange af en traditionel hostingleverandør. Dertil kommer dog, at netop på grund af den større afstand mellem kunde og leverandør, skal procedurerne for genskabelse være særligt velbeskrevne – man kan ofte ikke bare gribe telefonen og bede om en restore.

6. Efterforskning

Er der mistanke om sikkerhedsbrud, eller har der fundet egentlig kompromittering sted, er det væsentligt, at cloudleverandøren kan stille metoder og værktøjer, og måske et egentligt beredskab til rådighed for en efterforskning af det, der er sket. Dette kan kræve ekspertise indenfor såvel hardwarekonfigurering, loganalyse og front end-sikkerhed, som applikationsprogrammering. Er dette ikke en del af serviceaftalen, kan kunden ende med at stå med hele opgaven selv – og så kan noget af idéen og besparelsen ved cloud computing ryge.

7. Tilgængelighed over tid

Når vi ser på de markedsledende cloud-leverandører i dag, er der næppe tvivl om, at de – under en eller anden form – vil være tilstede som virksomheder også om 10 år. Dermed vil der være en tilsvarende sandsynlighed for, at også kundernes data vil være tilgængelige, også selvom cloud-services som sådan fra leverandørerne måtte være ophørt.

Men der er altid en risiko, og hvis nu en af de store vælger at udskille eller sælge sine cloudaktiviteter til et selskab, som måske ikke har den samme soliditet, er der en forøget risiko for, at tilgængeligheden i et årelangt perspektiv ikke kan sikres. Dette er naturligvis noget, cloud-leverandørerne har tænkt på, og derfor vil det ofte være beskrevet i serviceaftalerne.

———

Alle disse udfordringer lyder uoverkommelige og skræmmende. I en senere lektion vil vi se på, hvordan man i praksis griber det an, når en cloud service skal tages i anvendelse. Her er hovedessensen, at man som kunde skal forberede sig godt og tænke sig om. Man skal – her som i alle andre it-sammenhænge – lade sig lede af forretningens behov, også på it-sikkerhedsområdet, og ikke af den nye teknologi i sig selv.

Sund fornuft, krydret med gode interne retningslinjer for adgang, sikkerhed og tilgængelighed, kan uden tvivl sikre langt de fleste kunder fornuftige serviceaftaler med leverandørerne, og især nu, hvor markedet endnu er umodent, kan der være bedre mulighed for at tilpasse aftalerne til den enkelte kundes behov – især hvis man har et stort volumen at tilbyde cloud-leverandøren.

Fraunhofer SIT (et tysk forskningsinstitut indenfor bl.a. it-sikkerhed) påstår endda, at cloud computing kan medvirke til at øge it-sikkerheden generelt. Argumentet, der kan ses i dette executive summary, er, at mange små og mellemstore virksomheder har en gennemgående dårlig it-sikkerhed. Ved at anvende cloud services, som har en højere sikkerhedsstandard, bl.a. i kraft af dublering eller ‘triblering’ af data og systemer, samt systematiske backups, kan it-sikkerheden for de små og mellemstore virksomheders it-systemer under ét blive forbedret.

Standarder i cloud computing

Som tidligere nævnt er cloud computing ikke præget af stor samling omkring standarder. Dette skyldes fortrinsvist to forhold:

For det første er markedet ikke fuldt modnet, og leverandørerne forsøger i stor udstrækning at komme først med at etablere sig, så de, der sidder solidt på området først, også kan bestemme, efter hvilke standarder, markedet skal udvikle sig. Dette kan give de sejrrige leverandører en konkurrencefordel, fordi efterfølgende leverandører må tilpasse sig deres standarder.

For det andet er meget cloud computing gammel vin på nye flasker. De fleste cloud-leverandører anvender produkter, der under en eller anden form er kendte i it-branchen. Kun virksomheder som Microsoft, der ofte nok har demonstreret, at de kan vende udviklingen i et marked til deres fordel alene på baggrund af deres volumen, tør gå i luften med specialtilpassede versioner af kendte systemer som f.eks. Windows Server, SQL Server og .NET.

Når IBM lancerer deres cloud, er det da også baseret på IBM-teknologi (på nær operativsystemet, der er Red Hat-baseret). Dermed forsøger IBM at skære sig en niche i cloud-markedet med afsæt i virksomhedens position indenfor virksomheds-it baseret på Tivoli, DB2 og WebSphere. Det er nok tvivlsomt, om IBM på den måde vil få mange helt nye kunder, der ikke anvender IBM-platformen i forvejen, men de har også en solid base allerede at tage fra. Så kan deres cloud-løsning få lov til at modnes indenfor kendte rammer.

Én standard, der dog vinder frem, er sikkerhedsstandarden ISO 27001. Én af de helt store pionerer indenfor software-as-a-service, nemlig Salesforce.com, har services, der er ISO 27001-certificerede. Også Microsoft arbejder på, at dets online services kan blive certificeret (her taler vi om f.eks. Exchange og Sharepoint). Infrastrukturen i Microsofts Azure platform-service er allerede ISO 27001 certificeret. Som det fremgår af samme artikel forsøger Google at blive certificeret efter en amerikansk standard – helt klart ud fra den givetvist korrekte antagelse, at det største aktuelle vækstpotentiale ligger her.

Men selvom leverandørerne måtte blive certificeret eller bekende sig til bestemte standarder, er sagen ikke dermed lukket. Mange kunder har behov for ‘audits’ (revision) og erklæringer fra leverandørerne, som tager tid og ofte kræver en stor ressourceindsats fra leverandørernes side – hvilket kan fordyre de services, kunden ønsker, og dermed reducere besparelsen.

Til at understøtte kundernes evalueringer af leverandørerne, har ENISA – European Network and Information Security Agency (det europæiske it-sikkerhedsagentur) udviklet en evalueringsramme (Cloud Computing Information Assurance Framework), der kan gøre det lettere for den enkelte virksomhed eller organisation at vurdere leverandørerne ud fra de mange dimensioner, der findes i bl.a. ISO 27001-standarden.

Når en teknologi begynder at vinde frem, er der dog også altid nogle kvikke hoveder, der prøver at etablere et samarbejdsorgan, som kan udvikle og promovere standarder på området. Således også indenfor cloud computing-sikkerhed. Cloud Security Alliance (CSA) er en non-profit organisation, der har til formål ‘at promovere brugen af best practices indenfor cloud computing sikkerhed’. De har i øvrigt også udgivet en – lidt mere teknisk end ovenstående – gennemgang af sikkerhedsrisici ved cloud-services.

CSA har en meget interessant medlemskreds, der bl.a. tæller Microsoft, McAfee, Google, Cisco, HP, DELL, Novell, VeriSign, Intel, CA og andre med aktier i eller aspirationer indenfor cloud computing. CSA har udviklet en Cloud Controls Matrix, der skal lette leverandørernes dokumentation af sikkerheden og understøtte kundernes evaluering af leverandørerne. En fælles dokumentationsmodel for leverandørernes cloud-sikkerhed er et meget væsentligt skridt på vejen imod et mere overskueligt cloud computing-marked.

I næste lektion stiller vi spørgsmålet, om cloud computing er noget for det offentlige i Danmark – og giver selv et par bud på svar.  Har du bemærkninger eller spørgsmål, er du velkommen til at kontakte os på info@cloudwatch.dk.

2 kommentarer til “Lektion 6: Hvordan håndteres sikkerheden i cloud computing?”

  1. […] altså, at de også stiller services til rådighed via skyen. Som vi tidligere har beskrevet det i indlægget om sikkerhed, er der meget fokus på standarder og audits i de brancher, hvor der stilles særlige krav til […]

  2. […] vi har skrevet om tidligere (her og her bl.a.), er der stor variation mellem lovgivningen om databehandling og -opbevaring på […]

Dansette