Artikel top billede

Fem lektier at lære fra Microsoft om cloud-sikkerhed

Her er fem ting, som du skal være opmærksom på, når det gælder cloud-sikkerhed.

Computerworld News Service: Selv om Google, Amazon og Salesforce er løbet med den meste opmærksomhed som leverandører af cloud-tjenester, har Microsoft faktisk sin egen store sky med sine 300 produkter og tjenester, der leveres fra virksomhedens datacentre.

Microsoft udgav i maj en artikel [pdf] om virksomhedens tilgang til cloud-tjenester, og hvordan den planlægger at sikre disse tjenester.

Artiklen er skrevet af Microsofts Global Foundation Services (GFS), som er ansvarlig for virksomhedens software-as-a-service-infrastruktur.

Sofistikerede angreb

I artiklen udredes de aktuelle farer ved online-tjenester.

De tæller den stigende indbyrdes afhængighed mellem kunder og de virksomheder, der betjener dem samt de mere sofistikerede angreb på internet-tjenester.

Microsoft argumenterer for, at selskabet tilgang til sikkerhed, som har ophav i virksomhedens Trustworthy Computing Initiative fra 2002, fungerer lige så godt til online-tjenester med få modifikationer.

"Hvis man ser på de traditionelle principper for sikkerhed, så har de ikke ændret sig i forhold til disciplin og tilgang," siger Charlie McNerney, som er general manager for business and risk management hos Microsofts GFS

"Det, der har udvidet sig, er mængden af styringsredskaber, vi har taget i brug."

I interviews for nyligt deler McNerney og andre cloud-leverandører deres tanker om Microsofts tilgang til sikkerheden ved cloud-tjenester og i de datacentre, der kører sådanne tjenester.

1. Diskuter risici med kunderne

Cloud-tjenesters sikkerhed bekymrer mange kunder, og det er, som det skal være, siger Charlie McNerney.

Det er vigtigt at finde ud af i fællesskab, hvor ansvaret ligger i forhold til en kundes data, påpeger han.

"Hvad er fejl-scenarierne, og hvilket ansvar har de forskellige parter, når miljøet bryder ned. Det er den slags ting, store virksomheder vil tale mest om," siger Charlie McNerney.

Microsoft har fundet ud af, at sikkerhed ikke kun er en bekymring hos selskabets største kunder.

Websites og e-mail står centralt i enhver virksomheds image og er nødt til at være beskyttede, siger han.

"Der er for mig at se ingen, der er ligeglade med tillid. Den lille mand, der kører et handelssite på nettet, brænder præcist lige så meget for sikkerhed som de store spillere," siger Charlie McNerney.

2. Vær opmærksom på compliance

For at berolige sine klienter har Microsoft investeret en masse tid i at organisere de styringsredskaber, der er nødvendige for at imødekomme forskellige compliance-standarder.

Virksomheden reducerede 26 forskellige typer sikkerhedsrevisioner til en liste på 200 nødvendige styringsredskaber og kortlagde disse styringsredskaber på tværs af dens datacenter-miljøer og tjenester, forklarer Charlie McNerney.

Standardisering gør, at Microsoft ikke er nødt til at give alle kunder eller deres revisorer adgang til virksomhedens datacentre.

"Store virksomhedskunder vil gerne forstå styringsredskaberne, men hvor mange virksomheder kan jeg lukke ind i et datacenter?" spørger han.

"Hvis man tænker over det, kan det på ingen måde lade sig gøre, at jeg lukker alle de kunder ind i vores faciliteter."

I stedet har Microsoft et compliance-rammeværktøj, der gør det muligt for sikkerhedsrevisorer at bestille fra en menu af test og så få resultaterne.

"Hver virksomhed vil gerne forstå testene og resultaterne. Og deri ligger muligheden og udfordringen," siger Charlie McNerney.

3. Der er behov for bedre standarder

For at betjene kunderne bedre er de store cloud-leverandører nødt til at arbejde sammen om at standardisere på tværs af deres platforme, mener Charlie McNerney.

"Amazon har en opfattelse, Yahoo har en anden opfattelse og Google har en tredje," siger han.

"Men alle vores tilgange er stadig forskellige. Den næste bølge bliver, at vi alle sammen må forene os i et rammeværktøj, som vi vil være nødt til at bruge for at gøre den super-produktiv på nettet," siger Charlie McNerney.

For eksempel er virksomheder nødt til at blive enige om en måde at håndtere universel identifikation.

Problemerne ved såkaldt "federated identity" på internettet er ikke blevet løst af standarderne, påpeger han.

"Kunderne kommer til at forvente, at den ene cloud-tjeneste er indbyrdes kompatibel den anden," siger han.

4. Privacy og sikkerhed hænger sammen

I det Microsoft anvendte cloud computing-modeller til dens tjenester og datacentre, forsvandt forskellen stort set mellem sikkerhed og privacy, fortæller Charlie McNerney.

Det ret overraskende resultat blev, at idet virksomheden udviklede sine værktøjer til at styre sikkerhed og privacy, differentieredes der ikke meget mellem de to idealer.

"De fleste har en tilgang til sikkerhed og en anden til privacy. Men de to ting er meget mere blandet sammen i cloud'en," siger Charlie McNerney.

5. Lav ingen generaliseringer om cloud-sikkerhed

Med den kommende lancering af Windows Azure-platformen dette efterår vil Microsoft stå over for et helt nyt sæt overvejelser, siger Jay Chaudhry, som er administrerende direktør for security-as-a-service-leverandøren ZScaler.

Der er forskellige sikkerhedsovervejelser ved alle cloud-tjenester, argumenterer Chaudhry. Selvom kontorprogrammer, e-mail-tjenester og adgang til databaser fint kan skaleres, så kræver andre tjenester såsom Exchange-servere langt mere specialtilpasning og er sværere at sikre, mener han.

"Virksomhederne er nødt til at kigge på specifikke områder og imødegå dem på forsvarlig vis," siger Chaudhry. "Ikke en eneste ting kan gøres på tværs af hele cloud computing-spektret."

Database-as-a-service, storage-as-a-service og vulnerability-assessment-as-a-service (sårbarhedsvurdering som tjeneste) kræver alle forskellige sikkerhedsovervejelser, siger han. Og den kommende Azure platform-as-a-service vil også kræve sine helt egne sikkerhedsovervejelser.

Oversat af Thomas Bøndergaard




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere