Af Jan Dahlmann, Alt om Data
Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.
På den årlige it-sikkerhedskonference i San Francisco i Californien, der blev afviklet i begyndelsen af marts, brugte HP’s chefsikkerhedsstrateg Chris Whitener anledningen til at opsummere et studie, som HP og The Cloud Security Alliance (CSA) har udarbejdet vedrørende sikkerhed og cloud computing.
Chris Whitener opremsede syv forhold, der indebærer latente trusler imod ethvert firma, der benytter cloud computing.
1: Misbrug og ondsindet brug af cloud computing.
Cloud computing i form af ’Infrastructure as a Service’ (IaaS) og ’Platform as a Service’ (PaaS) leverer typisk ydelserne til alle og enhver betalende.
En del af konceptet er, at kunderne kun skal have kreditkortet frem for at komme i gang med at benytte tjenesten, og man kan endda få tilbudt gratis prøveperioder.
Den model har givet problemer inden for webhosting, fordi kriminelle har fået adgang til serverplads, der er blevet brugt til at sprede malware.
Den slags misbrug kan føre med sig, at ip-adresser fra udbyderfirmaer havner på de sorte lister, hvorved ærlige kunder risikerer at få spærret deres systemer.
Ifølge CSA kan dette løses ved, at udbyderne ser strengere på, hvilke kunder, de tager ind og ved at overvåge netværket bedre.
2: Usikre grænseflader
Udbyderne af tjenester placerer deres egne grænseflader på en underliggende infrastruktur for at kunne udbyde tjenesterne, men det giver samtidig et ekstra lag, der kan udgøre en sikkerhedsrisiko.
Kunderne bør derfor analysere de anvendte sikkerhedsmodeller for eksempelvis at undgå risikoen for manglende kontrolmuligheder I forhold til at styre rettigheder eller ukrypterede login.
3: Medarbejdere med ond vilje.
Enhver organisation risikerer at have medarbejdere, der er villige til at misbruge tillid, stjæle data eller udføre sabotage. Når man derfor lægger sine systemer ud til en serviceudbyder, udsætter man sig for denne risiko.
Det kan være svært at gennemskue de processer, hvormed udbyderen sikrer sig imod upålidelige medarbejdere. Kunderne kan forsøge at sikre sig ved at stille kontraktlige krav til ansættelsesprocedurer og compliance-krav.
Men den gode nyhed er ifølge Chris Whitener, at der faktisk ikke findes tilfælde, hvor medarbejdere hos cloud computing udbydere har været upålidelige.
4: Deling af teknologi med andre kunder.
Når man deler en virtualiseret infrastruktur, IaaS, bliver man sårbar, fordi man i praksis deler fysisk hardware med andre kunder.
Udfordringen er, at maskinerne deler fysisk hukommelse, der ikke er designet til at give en stærk adskillelse mellem forskellige virtuelle maskiner. Derfor skal man sørge for at vedligeholde sin virtuelle infrastruktur på samme måde, som man gør det med sine fysiske servere.
5: Data mistes eller stjæles.
Stordriftsfordelene ved cloud computing betyder, at der kan anvendes sofistikerede backupløsninger til at sikre mange små systemer. Men det betyder også mange flere steder, hvor tingene kan gå galt.
Som kunde skal man derfor sørge for at kryptere data og sikre administrationen af krypteringsnøgler. Man bør også sørge for, at data fra diske slettes, inden de bliver overtaget af andre kunder.
6: Kontoer eller tjenester kapres
Logins til cloud computing betyder risiko for, at brugernavne og adgangskoder kommer på forkerte hænder. Hvis hackere får adgang til en konto i skyen, kan den misbruges som base til nye angreb.
7: Ingen kontrol med risikoprofil
Under normale (fysiske) omstændigheder vil man selv have mulighed for at kontrollere, om al software er passende opdateret. Den kontrol behøver man ikke bekymre sig om ved cloud computing.
Dermed har man dog samtidig mistet indsigt og overblik over, om systemerne benytter software med kendte sikkerhedssvagheder. Kunderne skal derfor i kontrakten sikre sig adgang til at se logfiler, hvor status for opdateringer af infrastrukturen fremgår.