Computerworld News Service: Selv om Google, Amazon og Salesforce er løbet med den meste opmærksomhed som leverandører af cloud-tjenester, har Microsoft faktisk sin egen store sky med sine 300 produkter og tjenester, der leveres fra virksomhedens datacentre.
Microsoft udgav i maj en artikel [pdf] om virksomhedens tilgang til cloud-tjenester, og hvordan den planlægger at sikre disse tjenester.
Artiklen er skrevet af Microsofts Global Foundation Services (GFS), som er ansvarlig for virksomhedens software-as-a-service-infrastruktur.
Sofistikerede angreb
I artiklen udredes de aktuelle farer ved online-tjenester.
De tæller den stigende indbyrdes afhængighed mellem kunder og de virksomheder, der betjener dem samt de mere sofistikerede angreb på internet-tjenester.
Microsoft argumenterer for, at selskabet tilgang til sikkerhed, som har ophav i virksomhedens Trustworthy Computing Initiative fra 2002, fungerer lige så godt til online-tjenester med få modifikationer.
"Hvis man ser på de traditionelle principper for sikkerhed, så har de ikke ændret sig i forhold til disciplin og tilgang," siger Charlie McNerney, som er general manager for business and risk management hos Microsofts GFS
"Det, der har udvidet sig, er mængden af styringsredskaber, vi har taget i brug."
I interviews for nyligt deler McNerney og andre cloud-leverandører deres tanker om Microsofts tilgang til sikkerheden ved cloud-tjenester og i de datacentre, der kører sådanne tjenester.
1. Diskuter risici med kunderne
Cloud-tjenesters sikkerhed bekymrer mange kunder, og det er, som det skal være, siger Charlie McNerney.
Det er vigtigt at finde ud af i fællesskab, hvor ansvaret ligger i forhold til en kundes data, påpeger han.
"Hvad er fejl-scenarierne, og hvilket ansvar har de forskellige parter, når miljøet bryder ned. Det er den slags ting, store virksomheder vil tale mest om," siger Charlie McNerney.
Microsoft har fundet ud af, at sikkerhed ikke kun er en bekymring hos selskabets største kunder.
Websites og e-mail står centralt i enhver virksomheds image og er nødt til at være beskyttede, siger han.
"Der er for mig at se ingen, der er ligeglade med tillid. Den lille mand, der kører et handelssite på nettet, brænder præcist lige så meget for sikkerhed som de store spillere," siger Charlie McNerney.
2. Vær opmærksom på compliance
For at berolige sine klienter har Microsoft investeret en masse tid i at organisere de styringsredskaber, der er nødvendige for at imødekomme forskellige compliance-standarder.
Virksomheden reducerede 26 forskellige typer sikkerhedsrevisioner til en liste på 200 nødvendige styringsredskaber og kortlagde disse styringsredskaber på tværs af dens datacenter-miljøer og tjenester, forklarer Charlie McNerney.
Standardisering gør, at Microsoft ikke er nødt til at give alle kunder eller deres revisorer adgang til virksomhedens datacentre.
"Store virksomhedskunder vil gerne forstå styringsredskaberne, men hvor mange virksomheder kan jeg lukke ind i et datacenter?" spørger han.
"Hvis man tænker over det, kan det på ingen måde lade sig gøre, at jeg lukker alle de kunder ind i vores faciliteter."
I stedet har Microsoft et compliance-rammeværktøj, der gør det muligt for sikkerhedsrevisorer at bestille fra en menu af test og så få resultaterne.
"Hver virksomhed vil gerne forstå testene og resultaterne. Og deri ligger muligheden og udfordringen," siger Charlie McNerney.
3. Der er behov for bedre standarder
For at betjene kunderne bedre er de store cloud-leverandører nødt til at arbejde sammen om at standardisere på tværs af deres platforme, mener Charlie McNerney.
"Amazon har en opfattelse, Yahoo har en anden opfattelse og Google har en tredje," siger han.
"Men alle vores tilgange er stadig forskellige. Den næste bølge bliver, at vi alle sammen må forene os i et rammeværktøj, som vi vil være nødt til at bruge for at gøre den super-produktiv på nettet," siger Charlie McNerney.
For eksempel er virksomheder nødt til at blive enige om en måde at håndtere universel identifikation.
Problemerne ved såkaldt "federated identity" på internettet er ikke blevet løst af standarderne, påpeger han.
"Kunderne kommer til at forvente, at den ene cloud-tjeneste er indbyrdes kompatibel den anden," siger han.
4. Privacy og sikkerhed hænger sammen
I det Microsoft anvendte cloud computing-modeller til dens tjenester og datacentre, forsvandt forskellen stort set mellem sikkerhed og privacy, fortæller Charlie McNerney.
Det ret overraskende resultat blev, at idet virksomheden udviklede sine værktøjer til at styre sikkerhed og privacy, differentieredes der ikke meget mellem de to idealer.
"De fleste har en tilgang til sikkerhed og en anden til privacy. Men de to ting er meget mere blandet sammen i cloud'en," siger Charlie McNerney.
5. Lav ingen generaliseringer om cloud-sikkerhed
Med den kommende lancering af Windows Azure-platformen dette efterår vil Microsoft stå over for et helt nyt sæt overvejelser, siger Jay Chaudhry, som er administrerende direktør for security-as-a-service-leverandøren ZScaler.
Der er forskellige sikkerhedsovervejelser ved alle cloud-tjenester, argumenterer Chaudhry. Selvom kontorprogrammer, e-mail-tjenester og adgang til databaser fint kan skaleres, så kræver andre tjenester såsom Exchange-servere langt mere specialtilpasning og er sværere at sikre, mener han.
"Virksomhederne er nødt til at kigge på specifikke områder og imødegå dem på forsvarlig vis," siger Chaudhry. "Ikke en eneste ting kan gøres på tværs af hele cloud computing-spektret."
Database-as-a-service, storage-as-a-service og vulnerability-assessment-as-a-service (sårbarhedsvurdering som tjeneste) kræver alle forskellige sikkerhedsovervejelser, siger han. Og den kommende Azure platform-as-a-service vil også kræve sine helt egne sikkerhedsovervejelser.
Oversat af Thomas Bøndergaard
