Artikel top billede

Uforsigtig cloud-adfærd kan ruinere din virksomhed

Cloud computing kan blive en katastrofal oplevelse, hvis man ikke har styr på sine interne ønsker og procedurer. Undgå de værste faldgruber med fem råd fra en sikkerhedsekspert.

Når du ser drømmende op i it-skyerne for at plukke de økonomiske gevinster, er det samtidig vigtigt at have næsen solidt plantet i kontrakten. En grundig gennemgang af cloud-aftalen kan nemlig forhindre de værste katastrofer i at splitte din virksomhed i atomer og i værste tilfælde ruinere den.

Det mener sikkerhedsekspert Carsten Jørgensen fra Devoteam Consulting, som både via sit arbejde og fritidsprojektet cloudsecurity.dk har arbejdet en del med cloud-sikkerhed.

Han fremhæver, at selv om skalerbarheden i skyen er en af de cloud computings helt store styrker, så kræver det også sine begrænsninger.

Det skyldes, at en cloud-hostet webløsning baseret på server-forbruget er meget økonomisk sårbar over for et DDOS-angreb (distributed denial of service), hvis man ikke har sat en øvre grænse for, hvor meget web-løsningen skal skalere til.

"Jeg plejer at kalde det et denial of business case-angreb. For hvis nogen ser sig sure på en virksomhed, kan de generere en masse søge-arbejde på web-serverne eller sende en masse trafik, så de bruger ekstremt meget processorkraft, hukommelse og storage, så man som mindre eller nystartet virksomhed reelt risikerer at går fallit," forklarer Carsten Jørgensen.

Han pointerer, at man kan undgå den slags angreb ved at sikre et maksimalt forbrug hos sin cloud-leverandør eller bede om at blive adviseret og derefter selv manuelt tillade mere trafik på serverne.

"Så er spørgsmålet jo bare, hvornår adviseringen kommer. Er det med det samme, eller sker det først, når regningen kommer? Det skal man også have afklaret med sin leverandør," lyder rådet fra cloud-eksperten.

Baby-skyer er farlige

Et andet problem er de såkaldte baby-clouds, der typisk opstår, når forskellige afdelinger i en virksomhed shopper software-as-a-service (SaaS) hos flere cloud-udbydere uden en overordnet strategi.

Små-indkøbene skaber nemlig uoverskuelige brugsmønstre, hvor løsningerne kan være svære at integrere på tværs af virksomhedens afdelinger.

Derudover kan de ukoordinerede små-indkøb vise sig at få katastrofale følger, hvis eksempelvis en medarbejder forlader virksomheden til fordel for en konkurrent, fordi brugernavn og passwords til diverse clouds ofte følger den enkelte medarbejder frem for at være registreret og ændret centralt, når der sker udskiftninger i medarbejderstaben.

"Hurtigt vil man kunne opnå den situation, vi havde for nogle år siden inden for domæneregistreringen, hvor man er afhængig af registreringen, men ingen styrer betalingen til domænet," siger Carsten Jørgensen.

"Hvis en tidligere medarbejder har taget brugernavn og passwords med, kan han jo fortsat ligge og rode med virksomhedens data, selv om han nu er blevet ansat hos en konkurrent," fortsætter han.

I flere amerikanske virksomheder er man ifølge Carsten Jørgensen derfor begyndt via kreditkort-forbruget at undersøge, hvor mange cloud-indkøb de enkelte afdelinger foretager.

Virtualisering kan skabe problemer

"Hvis man kan få afdelingslederen til at holde styr på sin afdelings cloud-forbug, så er det vejen frem. Men det sker næppe, hvis man ikke har procedurer for, hvordan man skal holde styr på indkøbene og de medfølgende passwords. Ofte er det jo flere clouds, som den tidligere medarbejders brugernavn og password giver adgang til," forklarer Carsten Jørgensen.

Del og hersk i skyerne

Et fjerde skæbnesvangert punkt i cloud-udrulningen er ifølge Carsten Jørgensen, at man lægger alle sine cloud-data i samme kurv.

Det betyder nemlig, at når cloud-udbyderens systemer går ned, så kan man blive fuldstændig handlingslammet.

Carsten Jørgensen forslag til løsningen på det problem er, at spejle data eller lægge kopier af ukritiske og ikke-personfølsomme data og systemer på forskellige cloud-servere, så ens infrastruktur hurtigt kan genskabes, når/hvis den enkelte cloud-leverandør kollapser.

Kig på priserne - en gang til

En femte udfordring er priserne, som naturligvis kan variere hos de forskellige cloud-leverandører kan naturligvis variere. Men det kan prissammensætningen også.

"Kontrakterne i cloud-computing er ikke kun baseret på forbrug. Især inden for SaaS er der en tendens til at leverandørerne sælger bindingsperioder/abonnement-løsninger oveni det reelle storage-forbrug," siger Carsten Jørgensen.

Priserne på infrastructure-as-a-service (IaaS) og platform-as-a-service (PaaS) er derimod oftere beregnet på det reelle forbrug.

"Cloud er ikke bare cloud - og det skal man holde et meget skarpt øje med, hvor meget man skal betale, når man underskriver sin kontrakt," lyder rådet.

Virtualiseringen skal passe

Et femte problem ved cloud computing er, at det kan være svært at trække sine data ud fra én leverandør og fyre dem ind hos en anden - eller få data mellem to leverandører til at spille sammen.

Det skyldes ifølge Carsten Jørgensen ofte, at cloud-løsninger er baseret på virtuelle servere, der bag kulisserne kan benytte forskellige leverandør-specifikke indstillinger.

"Man kan ofte flytte og dele data mellem forskellige skyer. Men man skal være opmærksom på, at jo flere funktionaliteter man benytter sig af i en cloud, jo mere låser man sig til den leverandør," siger han.

"Man kan eksempelvis godt konvertere et image fra en VMware-baseret sky til Microsofts Hyper-V-hypervisor, men hvis man benytter en masse VMware-specifikke indstillinger i skyen, så kan skiftet til en Microsoft-baseret sky - eller omvendt - godt blive en lang og bekostelig proces," forklarer Carsten Jørgensen.

Læs mere om praktiske erfaringer med cloud computing i fredagens trykte udgave af Computerworld Guide.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere