Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Mange danske virksomheder arbejder ud fra en cloud-first strategi.
Her flytter virksomhederne værdifuld it-infrastruktur fra egne datacentre til skyen, og får en masse fordele ved udvikling, lagring og administration af applikationer og workloads.
Sådan har det været længe, men i mit daglige arbejde er jeg begyndt at se en ny tendens. Her begynder et stort antal virksomheder – uanset størrelse – at trække små eller store mængder data tilbage til egne datacentre.
Jeg oplever, at virksomhederne foretager et skifte af tre primære årsager: Den økonomi, der ligger i at drive en succesfuld cloud, compliance og lovgivning som eksempelvis Schrems II og GDPR, men også som følge af angst for nedbrud og kompromittering af data.
For faktum er, at selv de største cloududbydere, eller hyperscalers som de også kaldes, ikke tilbyder et højt nok niveau af indbygget sikkerhed, hvilket vi senest så under Microsofts store nedbrud for blot et par uger siden.
Ovenstående grunde til tilbagetrækningen har jeg egentlig ikke tænkt mig at bestride, for virksomheder skal gøre, hvad der føles bedst og mest effektivt for dem.
Er det at have vigtige databaser med kundedata og backup i kælderen, mens workloads og applikationer benyttes i skyen, eller kan ens virksomhed opnå markante besparelser ved at trække alt væk fra skyen - så fred være med det.
Turen til kælderen skal ikke sænke sikkerhedsambitionerne
Når jeg taler med it-afdelingerne i danske virksomheder, er der udbredt enighed om, at det er mere sikkert at benytte sig af det gode datacenter i kælderen – hvilket jeg ikke er uenig med dem i.
Alligevel kan jeg blive bekymret for, at sikkerheden bliver nedprioriteret i rejsen retur til on-prem datacenteret.
For det er i virkeligheden de færreste danske virksomheder, der vil flytte al deres cloud-infrastruktur til et lokalt datacenter – og hvad så med de data, workloads og applikationer, der forbliver i clouden?
Det kan potentielt skabe blinde sikkerhedsvinkler hos de virksomheder, som fortsat vil benytte clouden til det, den er bedst til: Nemlig hosting af forskellige workloads og applikationer, fordi de mister deres fokus på cloud-delen, når resten flyttes tilbage.
Derfor skal virksomheder, der benytter sig af begge løsninger naturligvis have fokus på både sikkerheden i datacenteret, men måske et endnu større fokus på sikkerheden af infrastrukturen i cloud-miljøerne.
Fejl 40 giver udfordringer i skyen
En misforståelse jeg ofte hører er, at clouden er sikker.
Det er der en vis sandhed i. For det er den menneskelige faktor, der er problemet. Vi oplever tit, at udviklere springer sikkerheden over, når de skal kode en ny applikation i skyen.
I dag anvender flere og flere udviklere open source-kode for ikke at bruge deres sparsomme tid på kode, andre allerede har skrevet.
Det er der sådan set ikke noget forgjort i.
Problemet er imidlertid, at open source-koder typisk ikke er tjekket for sikkerhedshuller. '
Og er udviklerne ikke opmærksomme, kommer de til at kopiere de samme sikkerhedshuller, som indgår i den oprindelige kode med over i deres egen kode. Og så har vi problemet.
Derudover oplever jeg med jævne mellemrum, at de personer, der har ansvaret for virksomhedens cloud-infrastruktur, ofte ikke har den nødvendige viden og værktøjer til at finde disse miskonfigurationer – eller også foretager de selv uhensigtsmæssige konfigurationer.
Sidder man som virksomhed og overvejer, hvordan man lægger den bedste strategi for at sikre både sin cloud og sine lokale servere og datacentre, så er der her tre gode råd:
- Skab overblik over sikkerheden: Virksomheder skal altid forstå, hvilke udfordringer de har, når det kommer til cloudsikkerhed. Man kan starte med at lave en liste over mulige sårbarheder, potentielle indgange, angrebsflader osv. Dernæst skal disse udfordringer prioriteres ud fra, hvor stor en risiko de hver især udgør.
- Prioritér de røde flag og få ryddet op: Når listen over udfordringer og sikkerhedshuller er klar, starter man blot fra toppen og holder sig slavisk til prioriteringerne. Ryd op i de fejl og huller clouden indeholder. Findes der nye, skal disse også prioriteres i forhold til de eksisterende udfordringer på listen. Der er ofte rigeligt at gå i gang med.
- Vær på forkant med truslerne: Man kan med fordel bruge teknologi for at forhindre, at trusler bryder igennem ens forsvar. Men er man heldig og undgår, at noget slipper igennem, kræver det derefter veldefinerede processer og væsentlige ressourcer at holde serverne og cloud-miljøerne rene.
Nutidens it-infrastruktur vil i de fleste virksomheders tilfælde fremover omfatte en blanding af private og public clouds, og nu også lokale datacentre.
Derfor skal virksomheder have en strategi for, hvordan de sikre et højt niveau af it-sikkerhed på tværs af alle lokationer og enheder.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.