Sikkerhedsekspert giver cloud det blå stempel

Generelt
Eksklusivt for kunder
07. feb 2011 KL.14:46

Selvom der er andre sikkerhedsudfordringer ved cloud end ved traditionel IT, kan det være mindst lige så sikkert at køre cloud, mener sikkerhedsekspert Lars Neupart.

Når en virksomhed lægger nogle af sine IT-systemer ud i cloud, medfører det, at cloud-udbyderen tager sig af sikkerheden. Men ansvaret ligger stadig hos virksomheden selv, understreger direktør Lars Neupart fra IT-sikkerhedsfirmaet Neupart.

"Cloud er jo en slags outsourcing, og sikkerhedsudfordringerne ligner meget dem, vi kender fra traditionel outsourcing. Forskellene er primært, at bindingsperioden er kortere og det er billigere at komme i gang," siger han.

Sikkerhedsforholdene er forskellige, alt efter hvilken af de tre leverancemodeller for cloud, man anvender: SaaS (Software as a Service), PaaS (Platform as a Service) eller IaaS (Infrastructure as a Service).

"Ved IaaS lejer du serverplads, lagerplads og anden infrastruktur hos en udbyder. Det installerer du så dine systemer på. Dermed er du selv ansvarlig for al sikkerhed undtagen den rent fysiske. Du skal fx selv installere sikkerhedsrettelser til operativsystemet og konfigurere firewallen," forklarer Lars Neupart.

Eget ansvar for applikationen

PaaS-modellen beskriver han som en mellemting mellem IaaS og SaaS. Her får man leveret en platform, ens systemer kan køre på. Dermed har man ikke selv ansvaret for sikkerhedsrettelser til styresystem og middleware.

"Men applikationssikkerheden hænger man selv på," siger han.

I SaaS-modellen køber man sig adgang til en applikation. Her begrænses kundens sikkerhedsansvar sig til de data, han behandler.

"Hvis man vil slippe for mest muligt besvær med sikkerheden, skal man vælge SaaS," siger Lars Neupart.

Cloud har stordriftsfordele

Han har indtryk af, at bekymringer om sikkerheden afholder nogle virksomheder fra at gå cloud-vejen. Men det er efter hans mening forkert:

"Store udbydere som Amazon, Google og Microsoft har nogle sikkerhedsressourcer, som selv større danske virksomheder aldrig ville have råd til. Samtidig er det afgørende for dem, at folk har tillid til deres systemer – ellers mister de kunderne. Så når det gælder opdatering med de seneste sikkerhedsrettelser og backup vil de ofte være bedre end små virksomheder, hvor de it-ansvarlige står med opgaven," mener han.

Stordriftsfordelene kan altså gøre udbyderne af cloud tillokkende, hvis man er optaget af sikkerhed. Men modellen indebærer også nogle udfordringer, man ikke har i et traditionelt internt IT-miljø.

I et SaaS-system deles flere virksomheder om den samme applikation. Dermed er der en potentiel risiko for, at konkurrenter kan få adgang til hinandens data.

Da systemerne er tilgængelige fra internettet, kan risikoen for hackerangreb også være større end ved et rent internt system.

Brug standarderne

Der eksisterer flere standarder og rammeværk inden for it-sikkerhed. I Danmark har man tidligere især anvendt Dansk Standard 484, men den er nu ved at blive afløst af den internationale ISO-standard 27001.

"Standarderne udgør et ledelsessystem for sikkerhed. De fortæller, at man skal udarbejde en sikkerhedspolitik, foretage risikovurderinger og følge op på dem. Hele den ledelsesdel er endnu mere relevant i cloud end i traditionel it," mener Lars Neupart.

Det begrunder han med, at cloud gør det muligt at slippe for meget af det tekniske sikkerhedsarbejde. Men virksomheden skal stadig selv tage sig af begrebet governance.

Kortslutter hierarkiet

"Ofte kommer initiativet til en cloud-løsning ikke fra it-afdelingen, men fra en forretningsenhed. Dermed kortslutter man de principper og mekanismer, der ellers skal sikre informationer og systemer. Hvordan styrer man fx, hvem der har lov til at bruge et cloud-system, og hvilke informationer vedkommende må lægge ind i det?" spørger han.

Hent inspiration til cloud


Derudover anbefaler Lars Neupart, at man læser de råd, som organisationen Cloud Security Alliance har udarbejdet. Den består af både leverandører og brugere af cloud. Også ENISA (European Network and Information Security Agency) har udgivet flere publikationer på området.

Hans firma har for nylig udarbejdet en sammenligning af sikkerheden hos tre PaaS-produkter: Google App Engine, Force.com og Windows Azure.

De får alle topkarakter, når det gælder den fysiske sikkerhed, mens der er store udsving på områder som operationssikkerhed og styring af brugere og adgangskontrol.