Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Hele 94 procent af virksomheder benytter i dag én eller flere cloudservices, og et stigende antal virksomheder har fokus på at kunne afvikle deres workloads helt eller delvist som en cloudservice.
Det stiller store krav til selve migreringsprocessen fra virksomhedernes on-prem-infrastruktur til den valgte cloudløsning, hvilket heldigvis ikke er ukendt land for virksomhederne.
Alligevel er langt de fleste migreringer til cloud forskellige, fordi hver enkelt organisation og virksomhed har individuelle krav.
Samtidig skal enhver flytning til cloud imidlertid også overholde de samme grundprincipper inden for sikkerhed.
Her oplever jeg, at der blandt cloudarkitekter, ingeniører og sikkerhedsteams ofte er en række antagelser og myter, som faktisk kan resultere i svagere sikkerhed eller forpassede muligheder for at maksimere cloudsikkerheden.
Lad mig derfor adressere myterne én ad gangen.
Myte 1: On-prem sikkerhedsværktøjer virker ikke i skyen
De sikkerhedsværktøjer, virksomhederne bruger til at beskytte deres cloudmiljøer, ser måske nok en smule anderledes ud end de gængse on-prem-løsninger.
Men den sikkerhedssoftware, som allerede er udrullet lokalt, kan i vid udstrækning tilpasses, så den også kan bruges i skyen.
Et godt eksempel er firewalls. Virksomhedens eksisterende firewalls kan ikke uden videre anvendes i cloudmiljøer. De skal nemlig først justeres og integreres til cloudmiljøet, hvilket stiller en række andre krav til blandt andet skalérbarhed og agilitet.
Men det betyder langt fra, at virksomheden skal begynde helt forfra for at sikre data og applikationer i skyen.
Myte 2: Cloududbydernes sikkerhedsløsninger er bedre end tredjepartsløsninger
En udbredt opfattelse er, at cloududbydernes sikkerhedsløsninger er bedre og mere sikre end de løsninger, som tredjepartsudbydere tilbyder.
Det virker ved første øjekast som en plausibel påstand og et fristende valg, fordi sikkerhedssoftwaren allerede er indbygget i cloudløsningen.
Men det er en skrøne: Cloududbydernes kerneforretning er at tilbyde flere cloudservices, og selvfølgelig er cybersikkerheden en del af deres leverance.
Men tredjepartsleverandørerne af cybersikkerhed har ikke en aktie i salget af cloudløsninger, og deres eneste mål er at hjælpe kunderne med en sikker migration af workloads.
Desuden er cloududbydernes sikkerhedsløsninger sjældent kompatible med andre cloududbydere, hvilket kan give panderynker hos mange CISO’er.
Myte 3: Cloududbydernes sikkerhedsløsninger er billigere
Jeg hører ofte, at de medfølgende sikkerhedsværktøjer hos cloududbyderne er billigere.
I praksis risikerer virksomhederne dog at skyde sig selv i foden, hvis de vælger cloududbydernes sikkerhedsløsninger.
På nogle områder tilbyder de ganske vist lavere priser, men forskellige faktorer medvirker til, at de samlede udgifter (TCO) bliver højere.
Det er ofte simplere værktøjer med flere huller, som skal udfyldes manuelt, og virksomheden er derudover nødt til at skifte mellem flere systemer for at løse opgaverne, hvilket koster medarbejdertimer.
Resultatet bliver, at den enkelte virksomhed i sidste ende må udvide it-teamet for at varetage opgaver, der i virkeligheden kunne håndteres med bedre løsninger.
Myte 4: Virksomhederne behøver ikke firewalls i skyen
Fordi cloududbyderne tilbyder systemer, der bl.a. filtrerer trafikken og workloads på netværksniveau, virker det plausibelt, at firewalls er unødvendige i cloudmiljøer.
Faktum er dog, at cloudfirewalls spiller en afgørende rolle både for at sikre datamigrering og for generelt at reducere trusselsmængden.
Samtidig har de firewalls, som virksomheden kan købe med som en integreret del af sin cloudløsning flere afgørende begrænsninger: De fungerer eksempelvis ikke på tværs af mange forskellige clouds, og de formår også kun i begrænset omfang at integrere med tredjepartssystemer, hvilket ellers kunne give en centraliseret styring af alle risici.
At beskytte sig imod avancerede cloudangreb kræver en avanceret cloudfirewall.
Myte 5: Udviklerne arbejder ikke med cloudsikkerhed
Denne myte består, fordi it-udviklerne og de it-sikkerhedsansvarlige typisk arbejder inden for hver sin lukkede faglige silo.
Udviklerne skaber de nødvendige applikationer og overlader så ansvaret derfra for at beskytte applikationerne i skyen til it-afdelingens sikkerhedsfolk. Det kan let føre til interne konflikter og forsinkede arbejdsgange.
Myte 6: Høj grad af sikkerhed reducerer tempoet markant
Den sjette og sidste myte hævder, at jo højere fokus, der er på cybersikkerhed i skyen, jo lavere er tempoet inden for udvikling af nye applikationer og udrulning af ny infrastruktur.
Men medmindre der er tale om en stærkt siloopdelt virksomhed, er der intet til hinder for, at hastighed og sikkerhed kan gå hånd i hånd.
Hvis alle relevante parter samarbejder om processen for udvikling og implementering af cybersikkerheden, samt har de rette systemer til rådighed, kan den enkelte virksomhed sagtens nå i mål med en både hurtig og sikker migreringsproces til cloud.
Den enkelte virksomhed afgør processen
Selvom alle datamigreringsprojekter er forskellige, betyder det ikke, at virksomheden er nødt til at opfinde den dybe tallerken hver gang, den skal migrere data.
Virksomheden bør derfor glemme myterne, træde et skridt tilbage, og udpege de sikkerhedsudfordringer, som den er oppe imod.
Det er det bedste udgangspunkt for at udvikle en effektiv sikkerhedsstrategi, der både imødegår alle relevante og potentielle farer, samt matcher virksomhedens specifikke behov.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
