Læs også:
Kære regering: Her er en cloud-plan
Her er listen over verdens bedste cloud-lande
Når man overvejer en cloud-strategi, skal man være opmærksom på, at selvom kode, programmer og data flyttes uden for virksomhedens domæne, så gør ansvaret ikke.
Ansvaret er stadig dit.
Det er især i forhold til den offentlige sky, hvor infrastruktur og software er placeret uden for huset, at man skal have de stærke briller rettet mod ansvarsplaceringen.
I denne form for cloud-tjenester tager forskellige personer, organisationer og virksomheder hånd om forskellige dele af it-systemerne, hvilket betyder, at ansvaret også placeres mellem flere.
I en privat sky har kunderne derimod den fulde kontrol, hvilket giver brugerne de samme muligheder for overvågning som i de traditionelle ikke-cloud-baserede it-systemer. Her er ansvaret per definition således dit eget.
Tre grundregler før du går i skyen
Som udgangspunkt skal man kunne revidere sin cloud-løsning løbende, så man hele tiden kan følge med i, om den givne løsning opfylder sikkerhedskravene.
En cloud-udbyder skal således stille de nødvendige audit- og assurance-informationer (overvågningsinformationer) til rådighed, så man som kunde kan risikovurdere - også i forhold til eventuelle lovkrav.
"En cloud-leverandør skal som udgangspunkt stille tre typer audit-informationer til rådighed for sine kunder," fortæller Carsten Jørgensen, it-sikkerhedschef i Falck, som har været med til at udarbejde den information, der findes på området. Den er udarbejdet for IT- og Telestyrelsen i 2011.
1. Der skal være skriftlig dokumentation for procedurer, standarder og politikker.
2. Der skal være oplysninger om kundens aktuelle konfigurationer.
3. Der skal være løbende log- og monitorerings-informationer.
Målet med disse tre regler er, at man som kunde løbende kan overvåge og vurdere leverandørens infrastruktur for at holde øje med, om leverandøren overholder virksomhedens egne sikkerhedspolitikker.
Disse grundregler skal man have i baghovedet, før man vælger leverandører. Det har dog også væsentlig betydning, hvilken form for cloud-løsning man vælger.
Der er nemlig stor forskel på, hvor meget kan bestemme i it-afdelingen.
Tre typer cloud-tjenester
Cloud-løsningerne opdeles oftest i tre forskellige modeller, der henviser til software, platform og infrastruktur, og derfor forkortes SPI-modellen.
Software as a Service (SaaS)
I en SaaS-løsning får man adgang til software, hvor man kan administrere egne brugere og data. Man har ikke administrator-rettigheder til operativsystemet eller programmer, men man kan typisk ændre grundfunktionerne i de applikationer, man anvender.
Ansvaret mellem leverandør og kunde i en SaaS-løsning fordeler sig typisk således:
Det er brugerens ansvar at konfigurere log'en, mens leverandøren tager sig af sikkerheden omkring data og applikationer. Man er således helt afhængig af de overvågningsinformationer, som leverandøren tilbyder.
Platform as a Service (PaaS)
I en PaaS-løsning får man adgang til et operativsystem og database, men man kan frit installere og administrere egne applikationer.
Der er således ikke administrator-rettigheder til operativsystemet, men man kan udvikle og afvikle egne programmer.
Det giver ret til at stille krav til, hvilke logningsmuligheder ens egne programmer skal udrustes med.
Ansvaret mellem leverandør og kunde i en PaaS-løsning fordeler sig typisk således:
Det er brugerens ansvar at indhente logs og vedligeholde egne applikationer eksempelvis med opdateringer. Det er leverandørens ansvar at tage hånd om systemet - system management.
Infrastructure as a Service (IaaS)
I en IaaS-løsning har man adgang til et virtualiseret miljø, hvor man kan installere og administrere virtuelle maskiner.
Man får administrator-rettigheder til egne virtuelle maskiner, og man kan frit trække informationer fra systemerne.
Sådan fordeler ansvaret sig
Mulighederne er de samme, som man vil opleve i et datacenter, man selv hoster. Man kan således selv opsætte, konfigurere og installere tredjepartsprogrammer.
Ansvaret mellem leverandør og kunde i en IaaS-løsning fordeler sig typisk således:
Brugeren skal sørge for lokal overvågning, overvågning af applikationslaget og desuden logfiler fra operativsystemet.
Leverandøren skal sørge for netværket, fysisk sikring og hardware.
Tillid mellem kunde og leverandør
"Som kunde skal man naturligvis sørge for, at det formelle papirarbejde er på plads, i forhold til hvem der skal sørge for hvad. Opfylder én leverandør ikke betingelserne, må man gå til en anden," vurderer Carsten Jørgensen.
"Desuden bør man forsøge at opnå et tillidsforhold til sin leverandør, selvom det kan være svært i en web-baseret forretningsmodel."
Uanset om man anvender SaaS, PaaS eller IaaS, skal leverandøren kunne dokumentere den fysiske sikkerhed, de underliggende politikker, procedurer og konfigurationen. Det er et krav, for at du som kunde kan risikovurdere og eventuelt overholde lovkrav.
Dokumentationen kan være tilgængelig gennem leverandøren selv eller gennem en tredjepart, ligesom der kan være revisorer eller lignende og endeligt materiale, som man selv undersøger sig frem til.
Når du planlægger din cloud-strategi, skal du være opmærksom på, hvilket niveau af ansvar, der er forbundet med den type løsning, du vælger.
I en SaaS-løsning skal man eksempelvis selv konfigurere hvad, der logges eller definere det i en kontrakt. Mens man i en IaaS selv definerer logning i operativsystemet og applikationer, fordi leverandøren ikke har adgang til at gøre det.
"Lovgivningen på området er for gammel til at omfatte regler for cloud-computing," fortæller Carsten Jørgensen og tilføjer:
"Leverandørerne er i gang med selv at sætte nogle rammer op for at gøre processen enklere, men det er virksomheden selv, der sidder med ansvaret, som det ser ud i dag."
Læs også:
Kære regering: Her er en cloud-plan
