Cloud Computing og it-sikkerhed, del 1

BLOG: Cloud Computing er - udover at være øjeblikkets nok hotteste buzzword - starten på en meget spændende teknologisk udvikling, der kommer til at påvirke os alle de kommende år.
Som med alle nye modeller og teknologier er nogle trusler helt nye, men meget er helt som i "gamle dage". Læs med og undgå forvirringen om, hvad Cloud Security egentlig er.
Skrevet i It-sikkerhed


Af Carsten Jørgensen (3) Send e-mail
Publiceret d. 8. juni 2009 kl. 13.40 | Antal kommentarer (2)
Send Tip en ven Print Udskriv


 
ANNONCE:
Hvis du mangler en introduktion til hvad Cloud Computing egentlig er, så er dette i øjeblikket nok den bedste forklaring på Cloud Computing.

Forretningen vil de næste par år opdage, hvor økonomisk attraktivt Cloud Computing er. For at kunne vurdere hvordan Cloud Computing påvirker it-sikkerheden er det nødvendigt at forstå, i det mindste på højt niveau, hvad både Cloud Computing og hvad Cloud Security er.

Med en bedre forståelse er man i en bedre position til at beslutte hvilke data og hvilke processer man ønsker at flytte ud i Skyen .
Når man hurtigt og nøjagtigt kan klassificere en Cloud service model er det lettere at vurderer forskellige leverandører og det bliver lettere at beslutte hvilke krav til sikkerheden man bør stille.

Cloud Computing og de tre *aaS modeller

Selvom der endnu ikke findes en fast definition af Cloud Computing, er der to hovedpunkter der altid indgår i Cloud Computing løsninger:

Dynamiske ressourcer / elasticitet
Ressourcer udlejes og kunden kan hurtigt op- og nedskaleres, normalt uden større forhandling med leverandøren. I langt de fleste tilfælde kræver en opskalering bare online betaling med et kreditkort.

Offentlig forsyningsmodel for forbrug
Hardware og software ejes af Cloud leverandøren og deles mellem mange kunder. På samme måde som man i en husholdning kun betaler for det vand og den strøm husholdningen bruger, så betaler Cloud kunden kun for det antal timer kunden f.eks. bruger en CPU, den mængde udadgående trafik man generer, eller for det antal IP-adresser man tester. Når man ikke længere bruger en ressource betaler man ikke længere for den.

Det vil sige ...

Dvs. Cloud Computing er en form for outsourcing hvor man ikke investerer i egen infrastruktur, hardware eller software. Man får "alt hvad man kan spise, og betaler pr. mundfuld".

Hvis en organisation f.eks. normalt har behov for at opbevare 50 MB data, men i én måned om året skal håndtere 500 MB er det, hvis man kan gemme sin data i Skyen, ikke nødvendigt at skalerer løsningen til 500 MB. Man betaler for 50 MB i 11 måneder og for 500 MB i den sidste, derefter kan man gå direkte tilbage til 50 MB.

Men for at kunne vurdere sikkerheden i en Cloud løsning må man forstå hvordan den løsning man overvejer egentlig er organiseret.

De tre *aaS modeller

Der er 3 fundamentale modeller for at levere Cloud Service, modellerne bygger oven på hinanden :

Infrastruktur som en tjeneste (IaaS)
Platform som en tjenste (PaaS)
Software som en tjenste (SaaS)

Cloud Infrastruktur som en Tjeneste (IaaS)
IaaS leverandøren tilbyder kunderne netværk (routere, load balancing, firewalls, servere etc.), storage, regnekraft og andre fundamentale computer ressourcer.

IaaS kunden kontrollerer selv operativ systemer og hvilke applikationer der skal køre på de lejede infrastruktur komponenter. I nogle tilfælde har kunden dog også mulighed for selv at kontrollerer dele af infrastrukturen, f.eks. firewall-regler for egne systemer.

Cloud Platform som en tjeneste (PaaS)
PaaS leverandøren stiller infrastruktur og operativ systemer, typisk som Virtuelle Maskiner, til rådighed. Kunderne får derved mulighed for udvikle og/eller deploye egne applikationer på de lejede operativ systemer med tilhørende servere.

Kunden kontrollerer kun egne applikationer. I nogle tilfælde kan kunden dog også kontrollere (typisk begrænsede) dele af konfigurationen af infrastruktur og de operativ systemer kunden benytter.

Cloud Software som en Tjeneste (SaaS)
Her stiller Cloud leverandøren sine applikationer til rådighed for kunden. Applikationerne er normalt tilgængelige via tynde klienter, ofte webbrowsere og Cloud leverandøren kontrollerer infrastruktur, platform og applikationen.

Kunden har normalt ingen kontrol over de underliggende systemer, fra netværk over operativ system til applikationen. Der kan dog være begrænsede muligheder for bruger specifikke konfigurationer i applikationerne.
Cloud stabel
Cloud_Computing_stabel
Forstå forholdet - og afhængighederne
Der findes mange andre *aaS Cloud tjenester, men de er 'bare' undergrupper:

"Storage as a Service" er en undergruppe til Iaas (infrastruktur), "Database as as Service" er en undergruppe til PaaS (platform), "Security as a Service", f.eks. Sårbarhedsscanninger som en Tjeneste, er en undergruppe til SaaS (software).

Cloud Security
For at kunne vurdere sikkerheden i en Cloud løsning er det først og fremmest vigtigt af forstå forholdet - og afhængighederne - imellem de tre aaS modeller - IaaS, PaaS eller SaaS.

Tjenesterne bygger oven på hinanden, og jo længere nede tjenesten stopper, jo mere sikkerhedsansvar vil kunden, alt andet lige, selv være ansvarlig for at implementere og håndtere løbende.

Modsat kan det være svært for kunden at bygge ekstra sikkerhed ind i SaaS, hvis sikkerheden ikke er tilstrækkelig, da alle underliggende systemer styres af leverandøren.

Sky stabling
Nogle leverandører stabler skyer oven på skyer.
I nogle situationer kan en SaaS software leverandør f.eks. leje operativ systemer hos en Cloud leverandør, der selv er afhængig af infrastrukturen hos en - eller flere - infrastruktur leverandører.

Kompleksiteten og afhængigheder kan hurtigt øges betragteligt, hvis en enkelt af skyerne er nede kan alle kunder være nede.
Cloud stabel 1
Cloud_Computing_skyer_stablet
Meget mere om Cloud Security på vej, her i bloggen og på CloudSecurity.dk.

Del to: Bliver jeg mere eller mindre sikker?

Kommentarer til blogindlæg



Klaus Agnoletti
Hej Carsten,

godt indlæg - der har dog indsneget sig en fejl i linket til www.cloudsecurity.dk ..

/k
9. juni 2009 kl. 10.05
Anmeld Besvar

Carsten Jørgensen (3)
Hej Klaus

Tak for det, linket er fixet.

9. juni 2009 kl. 10.13
Anmeld Besvar

Kommentér
Log ind | Ny bruger
Ytringer på debatten er afsenders eget ansvar - læs debatreglerne

Mere fra It-sikkerhed


Ønsker til databeskyttelsen
På en række områder har dansk lovgivning et højt niveau for databeskyttelse. Når der lægges op til yderligere harmonisering i EU opfordrer Datatilsynet til, at man fra dansk side arbejder for et retsgrundlag, der ikke tvinger beskyttelsen af personoplysninger i Danmark ned på et lavere niveau.
3. februar 2011 kl. 13.30 | læs »



Få indblik i Stuxnet
Stuxnet-ormen har lagt Mærsk og Siemens' fabrikssystemer ned, og den er blevet udråbt til en af de værste sikkerhedstrusler i 10 år. Her kan du få et indblik i, hvordan den virker.
15. november 2010 kl. 12.39 | læs »



Mere viden er en nødvendighed
Personers ret til privatliv og databeskyttelse er grundlæggende. Det fremgår nu også af It-politisk redegørelse, at beskyttelse af privatliv og personoplysninger bør være en integreret del af digitaliseringsprojekter. Men der er også brug for kompetencer og viden om beskyttelse af personoplysninger og privatliv. Som eksempel omtales en konkret sag fra Datatilsynets hverdag
5. maj 2010 kl. 13.15 | læs »



Stjålne data: Helliger målet midlet?
Kan man købe stjålne data til at bekæmpe skattesnyd? Det er der stor uenighed om.
10. februar 2010 kl. 15.10 | læs »



I dag er det Databeskyttelsesdag
28. januar 2010 kl. 10.00 | læs »




It-sikkerhed







Carsten Jørgensen (3)
Carsten Jørgensen er bl.a. CISSP, CISA og CISM. Han har beskæftiget sig med sikkerhed på fuld tid siden 1999 og arbejder i dag som it-sikkerhedschef i Falck.

I sin fritid driver han hjemmesiderne CloudSecurity.dk og ComputerForensics.dk. Carsten er facilitator for Dansk-IT's kompetancenetværk for Cloud Computing og virtualisering, han underviser i it-sikkerhed på DIKU.

 

Få nyhedsbrevet

Med Computerworlds nyhedsbreve er du altid orienteret om it og it-branchen
Partnerlinks

Webhotel

Computer

Bærbar

Digital TV

RSS fra Computerworld

Få besked så snart Computerworld opdateres



Mest læste seneste uge

Stortest: Her er de bedste gratis antivirus-programmer
Kan gratis sikkerhedssoftware virkelig beskytte din pc? Svaret er ja, hvis du vælger det rette produkt. Læs her en test af de mest pålidelige gratis sikkerhedsprogrammer.
Læs mere

Så er det nu: IBM sætter 198 mand på porten
Næsten 200 IBM-ansatte får med få timers varsel sidste arbejdsdag i dag. Ingen var orienteret forud for dagens massefyring, som effektueres øjeblikkeligt.
Læs mere

SAS dropper 34 år gammelt it-system i gigant-projekt
Flyselskabet SAS har brugt op mod trekvart milliarder kroner og seks år på at udskifte sit bookingsystem. Undervejs har der været flere projekt-udfordringer, som kulminerede en vinternat med en big bang-migrering.
Læs mere

Her er forklaringen på IBM Danmarks massefyringer
Her er forklaringen på, at IBM Danmark med direktør Lars Mikkelgaard-Jensen i spidsen fyrer 170 medarbejdere.
Læs mere

IBM Danmark fyrer 170 mand
IBM Danmark lader hovederne rulle.
Læs mere