Et af it-verdenens varmeste emner i 2009 er cloud computing.
It-giganter som Amazon, Google og Oracle lokker alverdens selskaber med massive besparelser på forskellige cloud-services, der typisk går under betegnelser som software-as-a-service (SaaS), platform-as-a-service (PaaS), infrastructure-as-a-service (IaaS) og senest det amerikanske teleselskab Verizons computing-as-a-service (CaaS).
Spørgsmålet, de fleste it-chefer i den henseende tumler med, er, om de skal blive ved med at bevare data, applikationer og services nede i kælderen, eller om de via nettet skal sendes op i en sky - eller cloud på it-nydansk.
Set gennem business-brillerne er især omkostningsbesparelser som følge af betaling for reelt serverforbrug og cloud-leverandørens stordriftsfordele samt automatiseret skalering og outtasking af kundernes egne it-ressourcer yderste interessante områder i finanskrisens skygge, fordi der kan spares mange driftskroner i skyerne.
Men sikkerhedsspørgsmål om, hvorvidt applikationer, services og ikke mindst data er i sikre hænder i en eller flere skyer, får mange it-ansvarlige til at trække i håndbremsen, inden de får sendt it-forretningen i den syvende himmel.
Sikkerhedsekspert Carsten Jørgensen fra Devoteam Consulting peger på, at nuværende eller potentielle cloud-kunder skal overveje og sikre flere områder, før de slipper it-forretningen løs i skyerne.
"Der er en række sikkerhedsområder, der er nye i cloud computing i forhold til virksomhedernes nuværende interne eller eksterne it-drift. Man skal i hvert fald holde sig for øje, at man via de netbaserede tjenester har meget lidt at skulle have sagt med hensyn til sikkerhedsadministrationen," foræller Carsten Jørgensen.
Han understreger dog, at trods de nye cloud-tider, er der meget, der er business as usual.
Dansk hjemmeside om sky-sikkerhed
Som fritidsprojekt har han startet den ikke-kommercielle hjemmeside cloudsecurity.dk, hvor interesserede kan læse mere om internationale sikkerhedsinitiativer i it-skyerne.
"De fleste kunder er nok interesserede i at danne sig et sikkerheds-overblik selv hos meget store it-firmaer. Hvis ens data ligger ukrypterede på servere i Cambodja, kunne det jo være, at man havde lyst til at kigge efter en anden leverandør," forklarer Carsten Jørgensen.
Han opstiller syv leveregler, hvis man vil flyve driftssikkert inden for cloud computing:
1. Definer skyens omfang
Undersøg præcis hvilken skyer, der er tale om i din aftale.
Skyer på skyer
For at forstå sikkerheden i en Cloud løsning er det vigtigt af forstå forholdet - og afhængighederne - imellem de tre aaS modeller - IaaS, PaaS eller SaaS.
Tjenesterne bygger oven på hinanden, og jo længere nede tjenesten stopper, jo mere sikkerhedsansvar vil kunden selv være ansvarlig for at implementere og håndtere løbende.
Modsat kan det være svært for kunden at bygge ekstra sikkerhed ind i SaaS, hvis sikkerheden ikke er tilstrækkelig, da alle underliggende systemer styres af leverandøren.
2. Undersøg antallet af skyer
Nogle leverandører "stabler skyer oven på skyer".
Derfor bør du kræve en grundig oversigt over alle leverandørens tredjeparts forhold for at sikre, at dine data ikke ligger ukrypterede hos en lavtliggende leverandør i ottende led.
Sørg samtidigt for et overblik over, hvordan leverandøren sikrer tilgængelighed.
3. Foretag en risikovurdering
Ved at foretage en risikovurdering er det første spadestik at klassificere dine data og dine systemer.
Undersøg om de data, der skal lægges ud i Skyen, har nogen værdi: Derudover skal de analyseres for at finde ud af, om der er nogle betydende data underlagt Persondatalovgivningen - og som dermed ikke må deles af andre systemer.
Sikkerhedskrav og forretningens krav til datatilgængelighed skal derefter holdes op imod den aaS-model, som leverandøren tilbyder for at finde ud af, om der er eventuelle sikkerhedsrisici i forhold til virksomhedens egne krav.
4. Spørg, spørg og spørg
Når data bliver sendt til i skyen, er det vigtigt at have afklaret, hvordan leverandøren holder kundernes data adskilt fra hinanden.
Her er det helt essentielt at undersøge, hvordan data bliver krypteret. Som minimum bør hver kundes data krypteres med deres egen nøgle, så andre ikke har adgang til din virksomheds data.
Det skal også helst specificeres, hvor i verden ens data kommer til at ligge rent geografisk. Er det eksempelvis kun i Danmark eller kun i Europa? Og kan det verificeres, at de ikke ligger hos en ukendt tredjepartsleverandør i på en ukendt Stillehavsø?
Du skal desuden være opmærksom på, at det kan være svært at slette data når de først er i skyen. Data vil som udgangspunkt ligge på mange servere spredt i mange lande og i forskellige verdensdele.
Sørg selv for back up
Udover data vil det være nødvendigt at undersøge, hvordan cloud-leverandøren sikker opdeling af systemer og netværk samt ledelse og mandskab for at danne dig et overblik over, om det lever op til egne krav, og om andre leverandører kan gøre det bedre.
5. Er data flytbare?
Mange cloud-løsninger er i dag proprietære.
Her er det vigtigt at undersøge, om data eller systemer kan flyttes, eller låser man sig til en specifik leverandør.
Data bør derfor gemmes i et format, der ikke låser ens virksomhed til en proprietær cloud-leverandør.
6. Tag selv back up
Enhver cloud-kunde bør selv jævnligt tage back up af kritiske data - og ikke mindst teste back up'en.
Jævnlige back up sikrer, at virksomheden vil kunne fortsætte, hvis cloud-leverandøren er nede i længere tid, hvis den lukker eller bliver for dyr i forhold til andre leverandører.
Undersøg leverandørens disaster recovery og business continuity-planer, og etabler dine egne planer, inden uheldet er ude. Samtidigt skal du også sørge for at undersøge og styrke kontrakten (SLA'en) så meget som muligt, hvis lynet slår ned i skyen.
7. Sørg for dokumentation
Når ens it-services, applikationer og data kører i skyen, hvilke logfiler, metrikker og rapporter er så tilgængelige?
Sørg om nødvendigt for at få adgang til revisionsrapporter for at få klarhed over, hvordan din helt private cloud computing kører.
Hvis de tilgængelige rapporteringer er dårligt udformede, vil det på forhånd være rart at have afklaret, om det er muligt at få lov til at udvikle egne kontrolinstanser, der kontrollerer leverandørens kontroller.
Udover ovenstående råd er det muligt at indhente yderligere råd og vejledning hos den internationale organisation Cloud Security Alliance og på Carsten Jørgensens cloud-site cloudsecurity.dk.
