Artikel top billede

Syv gode råd til sikkerhed i skyen

It-Akademiet: Alle taler om cloud computing, og mange er ængstelige over, om det mon er sikkert nok. Her får du syv håndfaste råd til, hvordan du får styr på sikkerheden i skyen.

Et af it-verdenens varmeste emner i 2009 er cloud computing.

It-giganter som Amazon, Google og Oracle lokker alverdens selskaber med massive besparelser på forskellige cloud-services, der typisk går under betegnelser som software-as-a-service (SaaS), platform-as-a-service (PaaS), infrastructure-as-a-service (IaaS) og senest det amerikanske teleselskab Verizons computing-as-a-service (CaaS).

Spørgsmålet, de fleste it-chefer i den henseende tumler med, er, om de skal blive ved med at bevare data, applikationer og services nede i kælderen, eller om de via nettet skal sendes op i en sky - eller cloud på it-nydansk.

Set gennem business-brillerne er især omkostningsbesparelser som følge af betaling for reelt serverforbrug og cloud-leverandørens stordriftsfordele samt automatiseret skalering og outtasking af kundernes egne it-ressourcer yderste interessante områder i finanskrisens skygge, fordi der kan spares mange driftskroner i skyerne.

Men sikkerhedsspørgsmål om, hvorvidt applikationer, services og ikke mindst data er i sikre hænder i en eller flere skyer, får mange it-ansvarlige til at trække i håndbremsen, inden de får sendt it-forretningen i den syvende himmel.

Sikkerhedsekspert Carsten Jørgensen fra Devoteam Consulting peger på, at nuværende eller potentielle cloud-kunder skal overveje og sikre flere områder, før de slipper it-forretningen løs i skyerne.

"Der er en række sikkerhedsområder, der er nye i cloud computing i forhold til virksomhedernes nuværende interne eller eksterne it-drift. Man skal i hvert fald holde sig for øje, at man via de netbaserede tjenester har meget lidt at skulle have sagt med hensyn til sikkerhedsadministrationen," foræller Carsten Jørgensen.

Han understreger dog, at trods de nye cloud-tider, er der meget, der er business as usual.

Dansk hjemmeside om sky-sikkerhed

Som fritidsprojekt har han startet den ikke-kommercielle hjemmeside cloudsecurity.dk, hvor interesserede kan læse mere om internationale sikkerhedsinitiativer i it-skyerne.

"De fleste kunder er nok interesserede i at danne sig et sikkerheds-overblik selv hos meget store it-firmaer. Hvis ens data ligger ukrypterede på servere i Cambodja, kunne det jo være, at man havde lyst til at kigge efter en anden leverandør," forklarer Carsten Jørgensen.

Han opstiller syv leveregler, hvis man vil flyve driftssikkert inden for cloud computing:

1. Definer skyens omfang

Undersøg præcis hvilken skyer, der er tale om i din aftale.

Skyer på skyer

For at forstå sikkerheden i en Cloud løsning er det vigtigt af forstå forholdet - og afhængighederne - imellem de tre aaS modeller - IaaS, PaaS eller SaaS.

Tjenesterne bygger oven på hinanden, og jo længere nede tjenesten stopper, jo mere sikkerhedsansvar vil kunden selv være ansvarlig for at implementere og håndtere løbende.

Modsat kan det være svært for kunden at bygge ekstra sikkerhed ind i SaaS, hvis sikkerheden ikke er tilstrækkelig, da alle underliggende systemer styres af leverandøren.

2. Undersøg antallet af skyer

Nogle leverandører "stabler skyer oven på skyer".

Derfor bør du kræve en grundig oversigt over alle leverandørens tredjeparts forhold for at sikre, at dine data ikke ligger ukrypterede hos en lavtliggende leverandør i ottende led.

Sørg samtidigt for et overblik over, hvordan leverandøren sikrer tilgængelighed.

3. Foretag en risikovurdering

Ved at foretage en risikovurdering er det første spadestik at klassificere dine data og dine systemer.

Undersøg om de data, der skal lægges ud i Skyen, har nogen værdi: Derudover skal de analyseres for at finde ud af, om der er nogle betydende data underlagt Persondatalovgivningen - og som dermed ikke må deles af andre systemer.

Sikkerhedskrav og forretningens krav til datatilgængelighed skal derefter holdes op imod den aaS-model, som leverandøren tilbyder for at finde ud af, om der er eventuelle sikkerhedsrisici i forhold til virksomhedens egne krav.

4. Spørg, spørg og spørg

Når data bliver sendt til i skyen, er det vigtigt at have afklaret, hvordan leverandøren holder kundernes data adskilt fra hinanden.

Her er det helt essentielt at undersøge, hvordan data bliver krypteret. Som minimum bør hver kundes data krypteres med deres egen nøgle, så andre ikke har adgang til din virksomheds data.

Det skal også helst specificeres, hvor i verden ens data kommer til at ligge rent geografisk. Er det eksempelvis kun i Danmark eller kun i Europa? Og kan det verificeres, at de ikke ligger hos en ukendt tredjepartsleverandør i på en ukendt Stillehavsø?

Du skal desuden være opmærksom på, at det kan være svært at slette data når de først er i skyen. Data vil som udgangspunkt ligge på mange servere spredt i mange lande og i forskellige verdensdele.

Sørg selv for back up

Udover data vil det være nødvendigt at undersøge, hvordan cloud-leverandøren sikker opdeling af systemer og netværk samt ledelse og mandskab for at danne dig et overblik over, om det lever op til egne krav, og om andre leverandører kan gøre det bedre.

5. Er data flytbare?

Mange cloud-løsninger er i dag proprietære.

Her er det vigtigt at undersøge, om data eller systemer kan flyttes, eller låser man sig til en specifik leverandør.

Data bør derfor gemmes i et format, der ikke låser ens virksomhed til en proprietær cloud-leverandør.

6. Tag selv back up

Enhver cloud-kunde bør selv jævnligt tage back up af kritiske data - og ikke mindst teste back up'en.

Jævnlige back up sikrer, at virksomheden vil kunne fortsætte, hvis cloud-leverandøren er nede i længere tid, hvis den lukker eller bliver for dyr i forhold til andre leverandører.

Undersøg leverandørens disaster recovery og business continuity-planer, og etabler dine egne planer, inden uheldet er ude. Samtidigt skal du også sørge for at undersøge og styrke kontrakten (SLA'en) så meget som muligt, hvis lynet slår ned i skyen.

7. Sørg for dokumentation

Når ens it-services, applikationer og data kører i skyen, hvilke logfiler, metrikker og rapporter er så tilgængelige?

Sørg om nødvendigt for at få adgang til revisionsrapporter for at få klarhed over, hvordan din helt private cloud computing kører.

Hvis de tilgængelige rapporteringer er dårligt udformede, vil det på forhånd være rart at have afklaret, om det er muligt at få lov til at udvikle egne kontrolinstanser, der kontrollerer leverandørens kontroller.

Udover ovenstående råd er det muligt at indhente yderligere råd og vejledning hos den internationale organisation Cloud Security Alliance og på Carsten Jørgensens cloud-site cloudsecurity.dk.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere