BLOG: Jeg er træt af, at vi ikke kommer videre. Hver eneste gang nogen næver "cloud computing" kommer der nøjagtigt de samme kommentarer som for flere år siden.
Jeg er særligt træt af de uendelige "Cloud ødelægger sikkerheden" indlæg, der ødelægger enhver relevant diskussion om cloud. Faktisk mener jeg som sikkerhedsmand, at det meste hypede ved cloud computing er, at "cloud er usikkert". Hvis bare man havde kaldt cloud computing for "self-service computing", så havde diskussionen været et helt andet sted i dag.
Hvad er cloud computing? Cloud computing er en drift- og leverancemodel for fysiske servere, der kan være placeret i ens eget serverrum eller i et datacenter.
Er cloud computing sikkert? Et it-system er hverken sikkert eller usikkert bare fordi man kalder det "cloud computing".
Hvorfor hører jeg så hele tiden, at cloud computing er ekstremt usikkert ? Enten forstår man ikke hvad cloud computing er, ellers spreder man bare bevidst FUD.
Men der er også nogen der siger cloud er mere sikkert end alt andet? Hvis man tror it-systemer på magisk vis bliver sikre, eller at alting virker af sig selv, bare fordi man kalder det cloud, så får man med sikkerhed problemer senere. Det er bare et spørgsmål om hvornår og hvor store problemerne bliver.
Dvs? Cloud computing er en drift- og leverancemodel. Om det er den rigtige løsning i dag, eller det er "sikkert eller ej" kommer an på hvilke data/applikationer man overvejer at bruge en specifik løsning til og hvilken cloud man ser på. Helt som alle andre it-systemer. Men du er nødt til først at sige hvad du vil bruge løsningen til - og hvad du vil beskytte, og imod hvem. Hvordan kommer vi videre? Det er på tide flere flytter sig fra "Cloud er usikkert" og "Hvad er cloud" til "hvordan kan jeg bruge det her".
Så hvordan kommer vi videre? Hvad er der brug for? Hvad skal der til før du går videre med cloud computing?
Selvfølgelig - tiden er gået og så er realiteterne pludselig anderledes !?
Mon ikke snarere problemet er at der er en masse leverandører og rådgivere som er dybt frustrerede over at de har investeret for tidligt og forkert?
Eller med andre ord - er det ikke på at leverandørerne tog sig lidt sammen og løste problemerne i stedet for?
Og at rådgiverne vendte sig om mod leverandørerne og påpegede problemerne i stedet for konstant at fylde debatten med juks om at det er "bare" xx og mere piveri i den samme skuffe.
Nej, cloud er ikke sikkert og det bliver det aldrig. Men det skyldes at man bilder sig ind at man kan lave en 1:1 konvertering til cloud. Det kan man kun for applikationer, hvor sikkerhed er grænsende til ligegyldigt - f.eks. Googles søgefunktion som alle ved er et stærkt usikkert rum, hvor alle data vil blive misbrugt.
Du ville heller ikke køre 500 km/t på cykel eller flyve til månen uden ilt, men det er den realitet som cloud-leverandørerne prøver at proppe ned i halsen på kunderne - oftest fordi de allerede har en agenda om at udnytte data til services, hvorved de dokumenterer problemet.
I modsætning til leverandørsiden, så har kritikkerne gjort meget for at påpege problemerne faktuelt og hvordan de kan adresseres, hvis man ville. http://digitaliser.dk/ (...)
Stephan, jeg ved godt dine tusindvis af indlæg roterer omkring privacy og data aggregering. Men du er nødt til at forholde dig til hvad cloud computing er og hvad folk bruger cloud computing til hvis du vil poste om det.
1. Ikke alt data/information er fortroligt eller privat, heller ikke i cloud-løsninger
2. Cloud computing medfører ikke nødvendigvis risiko for data mining. F.eks. har en Private Cloud kun en virksomhed som bruger, og den kan være placeret i deres eget serverrum, en IaaS-leverandør har ikke adgang til min data, osv, osv.
3. Sikkerhed består af url=http://en.wikipedia.org/wiki/CIA_triad#Key_concepts]C-I-A[/url], dvs "fortrolighed, integritet og tilgængelighed", privacy er en del af sikkerhedsbilledet, ikke alting.
Ovenstående er ikke en opfordring til endnu et 700 ords indlæg om "tungmetalforgiftning" eller "ikke en eneste cloud-leverandør har en seriøs sikkerhedsløsning", gem det til de relevante artikler. Vi er nødt til at komme videre til hvad folk mener Amazon manger eller hvad Salesforce skal gøre bedre.
Jeg forholder mig i høj grad til cloud computing og hvordan det indgår. Men du kan bare ikke lide hvad jeg siger og forfalder til ad hominem og red herings i stedet for at adressere det.
Du prøver at undskylde hvad der sker, med en masse bortforklaringer om hvad der alternativt kunne ske.
"private clouds" er marketing bullshit ligesom det er ret ligegyldigt om en server står i US, Kina, Irland eller Danmark - det gør den hverken mere eller mindre sikker.
Hvis transaktionen ikke indeholder personhenførbare data eller nøgler som på anden måde kan misbruges, så har man risikoen under kontrol og kan lægge det online i cloud - fint, go. Ellers må man redesigne applikationen, så man kan.
Ja, vi er nødt til at komme videre. Du gentager bare at vi skal ignorere problemerne og udfordringerne i stedet for at løse dem og bruge dem til at lave løsninger for fremtiden.
Din sikkerhedsforståelse koncentreret omkring parameterkontrol er forældet. Glem alt om "fortrolighed" - det er stort set umuligt.
Du skulle hellere se i retning af f.eks. semantisk interoperabilitet og parallel sameksistens af logisk nedbrudte sikkerhedsmodeller implementeret med modeldrevet middleware resolution understøttet af sikkerhedsontologier for at kunne ræsonere logisk på tværs af sikkerhedsmodeller omkring sikkerhed og tilpasse sikkerheden til den konkrete transaktion og de konkrete stakeholders involveret.
Vi skal kunne opgradere, ændre og sameksistere med forskellige teknologier og forskellige balancer samtidig. Tag f.eks. tåbeligheder som NemId, ICAO pas og EMV-betalingskort som udtryk for forældede tankegange fastholdt af kommercielle og bureaukratiske særinteresser på samfundets bekostning.
Samtidig skyder du mig en masse i skoene som jeg ikke siger samtidig med at du ignorerer hvad jeg siger.
Jeg taler ikke om "privacy" ligesom jeg ikke bare siger "nej", men "gør sådan". Jeg forsøger at tage ansvar for hele sikkerhedsmodellen end-to-end og åbne disse for sameksistens. Det gør dit indlæg ikke ligesom cloud leverandørerne bare lader som om cloud er næste generation af outsourcing.
Faktum er at al sikkerhed er under voldsomt pres og paramter-tanken gradvist og uundgåeligt bryder sammen - både klienter, internet i virksomheder og specielt outsourcing/cloud hvor der sker en helt ekstrem risikokoncentration uden nogen former for mekanismer til at isolere disse som modtræk (analogien med tungmetal).
Dette skyldes mange ting, mens først og fremmest de stærke særinteresser i at etablerer kontrol- og magtmodeller og det forhold at digital integration i sig selv øger sårbarheden eksponentielt.
Jeg har påpeget og siger ikke andet end at vi er nødtvunget til at balancere risikoskaleringen med logisk isolation.
Herunder at vi skal erstatte identifikations-baseret sikkerhed med validerings-baseret sikkerhed fordi identifikation af fysiske objekter og legale personer skaber en uholdbar kobling af risici og skævvrider alle processer.
At bygge mainframes ovenpå internettet er dumt, vi skal tværtimod næste logiske skridt af internettet hvor vi afkobler den fysisks binding og konstruerer logisk isolerede og semantisk understøttede net højere i OSI-lagene, men samtidig gøre os klart at server-sikkerhed er historie.
At lade bagdøren stå pivåben er hverken acceptabelt, holdbart eller lovligt, når man designer systemer som udsætter andre for eksponentielt voksende risici (og i stadigt flere tilfælde misbrug designet ind i selve infrastrukturens forretningsmodel).
Stephan Engberg skrev: Hvis (...) så har man risikoen under kontrol og kan lægge det online i cloud - fint, go.
Ja, der er masser af steder man kan bruge cloud, uanset om løsningen er en private cloud, Infrastructure, Platform eller Software as a Service, eller Google AppEngine, Amazon Webservices, Microsoft Azure eller noget helt andet.
Man skal naturligvis basere sig på en risikovurdering, herunder en vurdering af hvad løsningen indeholder, hvad den påvirker (data, applikationer, processer, services), hvordan cloud-leverandøren sikrer sin specifikke løsning, osv.
Vi taler stadig om fysisk it-systemer i serverrum og datacentre - selvom det leveres som en cloud-løsning.
Et sidste eksempel kunne være PodcastMachine: Hvis man får lyst til at lave podcasts kan man købe software og storage, eller man kan bruge en cloud-løsning som PodcastMachine, dvs Software as a Service. PodcastMachine bygger selv på en cloud-løsning (Amazons Infrastructure a a Service) og trækker på andre cloud-virksomheder til specialiserede underopgaver.
Kan ting gå galt ? Ja da, men man kan vurdere risikoen. Og man kan *selv* gøre noget ved det, hvis man mener løsningen er kritisk (finde alternative leverandører, tage backup, distribuerer sine podcasts flere steder osv, osv.).
Udover cloud kan være meget sikkert er det helt rigtigt, at beskyttelsen i den gamle firewall-perimeter forsvinder hurtigere end nogensinde.
Det er helt rigtigt at de mobile enheder og alle cloud-løsningerne accelerer ovenstående og gør det endnu vigtigere at forstå udviklingen - og forholde sig til det.
Det er også helt rigtigt at mange ting ved internettet, inklusive en række cloud-løsninger ødelægger det vi forstår som privacy, og at Privacy Enhancing Technologies er utroligt vigtige. Jeg har selv flere indlæg i pipelinen.
Men det er ikke en grund til at hijacke enhver cloud-artikel med intetsigende slagord. Det hjælper ingen.
Jeg siger "Undlad at bruge cloud", jeg siger de teknologiske muligheder ved cloud har stor potentiel værdi, men forudsætter at man gør sådan. Det gør man ikke og dermed bør man sige "Undlad at bruge cloud".
En flyvemaskine og rumraket kræver en anden og bedre sikkerhedsmodel end en rullestol med motor - har man ikke erkendt dette, så bør (må) man ikke sætte nogen i flyet.
Dit eget næste blogindlæg dokumenterer at dette er marketing uden indhold - hverken sikkerhedsforståelse eller samfundsøkonomisk. http://www.computerworld.dk/ (...)
Det er oftest set - teknologifacsination uden vilje eller evne til at tage et skridt tilbage og se nøgternt på indhold og konsekvenser, samt stille de rigtige samfundsmæssige krav til indretningen.
Du tillægger cloud en masse værdier som mange forskellige teknologier og mange forskellige brug af cloud-effekter ville give, men du stiller IKKE kvalitative krav til f.eks kontekstuel isolering (ikek "anonyumisering") UDENFOR cloud på basis af den simple erkendelse at sikkerheden i cloud er og altid vil være utroværdig.
Jeg sammenligner de nuværende cloud-modeller (minimale forskelle) med dumping af toxiske tungmetaller, fordi det er et tilsvarende problem, skaden er ENORM, men man ignorere de effekter, man ikke umiddelbart kan se.
Lidt de samme effekter som skabte ogf forværrede finanskrisen - if in trouble, then double,
Stephan Engberg skrev: Undlad at bruge cloud (...) sikkerheden i cloud er og altid vil være utroværdig (...) dumping af toxiske tungmetaller (...) skaden er ENORM
Jeg skrev i bloggen: Er cloud computing sikkert? Et it-system er hverken sikkert eller usikkert bare fordi man kalder det "cloud computing".
Hvorfor hører jeg så hele tiden, at cloud computing er ekstremt usikkert ? Enten forstår man ikke hvad cloud computing er, ellers spreder man bare bevidst FUD.
Hvis du ikke vil, eller ikke er i stand til at skelne mellem de mange forskellige cloudløsninger, er du bare en trold.
Carsten Jørgensen (3) skrev: Hvis du ikke vil, eller ikke er i stand til at skelne mellem de mange forskellige cloudløsninger, er du bare en trold.
Selvfølgelig kan jeg se forskel, men forskellene er nærmest ligegyldige.
Hvis vi fraregner de modeller som kun drejer sig om at lave lidt virtualisering på egne servere og arbejdsstationer, så er alle modellerne som at lave Folkeafstemninger med navn på stemmesedlerne - istedet for at adressere problemerne, så diskuterer om et rødt forhæng er bedre end et grønt eller om det gør forskel at stemme på en skole eller en sportshal.
Stephan Engberg skrev: Selvfølgelig kan jeg se forskel, men forskellene er nærmest ligegyldige.
Sikke noget sludder.
Jeg skrev i bloggen: Cloud computing er en drift- og leverancemodel. Om det er den rigtige løsning i dag, eller det er "sikkert eller ej" kommer an på hvilke data/applikationer man overvejer at bruge en specifik løsning til og hvilken cloud man ser på. Helt som alle andre it-systemer.
Vi taler alle former for brug og vidt forskellige tekniske løsninger, selv hos udbydere af samme type (IaaS, PaaS, SaaS) cloud tjenester.
Carsten Jørgensen (3) skrev: Vi taler alle former for brug og vidt forskellige tekniske løsninger, selv hos udbydere af samme type (IaaS, PaaS, SaaS) cloud tjenester.
Som alle er overbygninger på de samme problemer - at bagdøren står pivåben og leverandørerne akkumulerer magt i et hastigt destabliserende tempo.
Når du vil bygge i et jordskælvsområde, så er du nødt til at tage ansvar herfor
Carsten Jørgensen (3) skrev: Jeg er træt af, at vi ikke kommer videre. Hver eneste gang nogen næver "cloud computing" kommer der nøjagtigt de samme kommentarer som for flere år siden.
Jeg er særligt træt af de uendelige "Cloud ødelægger sikkerheden" indlæg, der ødelægger enhver relevant diskussion om cloud. Faktisk mener jeg som sikkerhedsmand, at det meste hypede ved cloud computing er, at "cloud er usikkert". Hvis bare man havde kaldt cloud computing for "self-service computing", så havde diskussionen været et helt andet sted i dag.
Omvendt er vi mange som er uendelige trætte af de samme evindeligt gentagende salgsindlæg om cloud computing uden reelt indhold som ikke tager ansvar for hvordan det kan bruges, så vi kan opnå fordelene uden de desideret samfundsnedbrydende aspekter af de nuværende cloud-modeller.
En del af problemet er den sædvanlige teknologifascination som blot antager at teknologi er godt uden at forholde sig til HVORDAN DESIGNET af teknologien påvirker samfundet.
Vi kan sagtens diskutere fordelene ved cloud GIVET indbygget sikkerhed.
Du kunne starte med Falck - har du en eneste applikation med kundedata eller kundeinteraktion, hvor man har gennemført det basale arbejde for at omlægge og klargøre til cloud? Nej - vel (ikke hvad jeg ved af)!?
Dernæst kan du se på cloud-leverandørerne. Er der en eneste leverandør som har gjort det nemmere for kunderne at gøre dette? Nej - vel (ikke hvad jeg ved af) !?
Oprydningen kommer ikke bagefter - vi sidder stadig i forældede cpr- og mainframetankegange 30-40 år efter fordi ingen har balls til at tage fat i oprydningsprocessen og erkende at det er forældet.
Måske skulle diskussionen starte med, hvad der skal ændres i stedet for hvordan man banker noget fejldesignet førstegenerations skidt igennem blot fordi man har det liggende på hylderne.
Stephan Engberg skrev: DET GØR DU IKKE I NOGEN AF DINE INDLÆG !!! (...) er uendelige trætte af de samme evindeligt gentagende salgsindlæg om cloud computing uden reelt indhold
Jeg mener hvad jeg skriver. Hvis du kan stoppe med slagordene glæder jeg mig til at komme videre. Jeg har selv masser af indlæg planlagt.
Stephan Engberg skrev: Du kunne starte med Falck
Jeg ved godt hvad du spørger efter og nej, vi har endnu ikke haft projekter hvor http://digitaliser.dk/ (...) har være relevant. Men jeg lovede ITST at holde øje med projekter hvor det kunne.
Carsten Jørgensen (3) skrev: Jeg ved godt hvad du spørger efter og nej, vi har endnu ikke haft projekter hvor http://digitaliser.dk/ (...) har være relevant. Men jeg lovede ITST at holde øje med projekter hvor det kunne.
Det er relevant for hver eneste projekt - uden undtagelse. Men det er ikke sikkert at hver eneste projekt kan berettige oprydningen i det meget skidt som allerede blokerer for udviklingen.
Problemet er at man ikke involverer kompetancer som har overblik til at designe fremtidssikret og i processen uddanner nye som kan.
Jeg var f.eks. indkaldt til at vise hvordan man kunne redesigne Fælles Medicinkort, da man alligevel skulle distribuere databaserne. Modellen var klar - men så blandede Finansministeriet sig - igen - og ødelagde modellen.
Stephan hold op med at ride din kæphest igennem alle indlæg !
Det er destruktivt og du er nødt til at forstå, at der er mange andre vigtige ting.
Et andet eksempel er her: http://www.computerworld.dk/ (...), hvor du ødelagde en vigtig diskussion cloud lockin/portabilitet med udgangspunt i Salesforce og Oracle.
Cato den Ældre *afsluttede* sine taler i senatet med "I øvrigt mener jeg, Karthago bør ødelægges", han snakkede ikke konstant om Karthago imens de andre talte om noget andet.
Carsten Jørgensen (3) skrev: Et andet eksempel er her: http://www.computerworld.dk/ (...), hvor du ødelagde en vigtig diskussion cloud lockin/portabilitet med udgangspunt i Salesforce og Oracle.
Øh - som jeg ser der er både Oracle og Salesforce.com lock-in som indebærer at virksomheden og kunden mister kontrollen. Må man ikke påpege det?
Carsten Jørgensen (3) skrev: Cato den Ældre *afsluttede* sine taler i senatet med "I øvrigt mener jeg, Karthago bør ødelægges", han snakkede ikke konstant om Karthago imens de andre talte om noget andet.
At jeg mener at DanId skal nedlægges/tvangsåbnes og de stærkt planøkonomisk bureaukratiserende tendenser i Finansministeriet er den største trussel mod den danske samfundsøkonomi er vel så et andet spørgsmål - som jeg fastholder på samme måde som Cato den Ældre.
Tak Carsten, super indlæg og jeg kan kun sige at fra mine egne erfaringer fra både ind og udland begynder trenden at vise sig i retning af at folk er lydhører for ideer. Men det skyldes også i høj grad, tror jeg, at rigtig mange begynder at tale samme sprog. Overvej, Test, Evalur og Beslut.. dette er også gældende for Cloud, der er intet mirakuløst i IT
@Stephan, Jeg håber du er tilfreds med at du lykkes i at kører denne tråd så langt væk fra hvad den burde være at jeg lige har spildt 5 minutter af mit liv på at læse mig igennem dine følelsesladet og en smule infantile indlæg.
Tråden var kørt af sporet allerede i det indledende indlæg, der var som at prædike Islam for Suffister, mens vi andre måbende så til.
Cloud markedsføringsmaskinen er forførende og intet må stille spørgsmålstegn ved det budskab - så må det være personen som der er noget galt med.
Nej, det er på ingen måde hverken ønskeligt, gavnligt eller deterministisk at alle mennesker og hele samfundet skal presses ind i disse centralistiske magtmodeller.
Jeg behøver ikke nævne, at man har arbejdet med cloud indenfor det offentlige i USA i flere år. Ellers vil en hurtig Google-søgning give masser af information. England har også arbejdet målrettet imod cloud computing i flere år og meddelte i januar, at man forventer 50% af alle offentlige IT-indkøb være indenfor cloud computing allerede i 2015. Men EU bevæger sig også hurtigt nu.
Cloud er det første rigtig store skifte siden internettet. Uanset om du du sælger software licenser eller sko i en fysisk butik, så kommer cloud computing snart til at påvirke dig.
Jeg er træt af, at vi ikke kommer videre. Hver eneste gang nogen næver "cloud computing" kommer der nøjagtigt de samme kommentarer som for flere år siden.
Jeg er særligt træt af de uendelige "Cloud ødelægger sikkerheden" indlæg, der ødelægger enhver relevant diskussion om cloud. Faktisk mener jeg som sikkerhedsmand, at det meste hypede ved cloud computing er, at "cloud er usikkert". Hvis bare man havde kaldt cloud computing for "self-service computing", så havde diskussionen været et helt andet sted i dag.
Carsten Jørgensen er bl.a. CISSP, CISA og CISM. Han har beskæftiget sig med sikkerhed på fuld tid siden 1999 og arbejder i dag som it-sikkerhedschef i Falck.
I sin fritid driver han hjemmesiderne CloudSecurity.dk og ComputerForensics.dk. Carsten er facilitator for Dansk-IT's kompetancenetværk for Cloud Computing og virtualisering, han underviser i it-sikkerhed på DIKU.
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Log ind
Publiceret d. 20. oktober 2011 kl. 10.40
| 
