DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen

Transkript

1 DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen

2 Baggrund Cloud Computing er et begreb, som i den senere tid er blevet hypet ganske meget i alverdens medier. Begrebet dækker over en række forskellige teknologier, der enten er velkendte, eller som i sig selv er blevet hypet. Eksempler inkluderer Software as a Service (SaaS), Infrastruktur as a Service (IaaS), Platform as a Service (PaaS), Grid computing, Utility computing, Service orienteret arkitektur (SOA) og Web Nogle af disse begreber kan forklares på et lidt mere tilgængeligt dansk. SaaS betyder, at der ligger et program et sted i skyen, og at dette kan tilgås fra alle klienter på nettet. Et godt gammelkendt eksempel er webmailprogrammer. Men nu er det altså også muligt i skyen at tilgå tekstbehandling, regneprogrammer, ERP-, CRM-systemer m.v. PaaS betyder, at man kan udvikle (og dermed skræddersy) og køre et program på nettet og få præcis den regnekraft til det, som man måtte have brug for. Man får altså stillet en platform til rådighed til at lave sine programmer på. Platformen kan f.eks. være Java eller.net. IaaS betyder at man lejer fysisk infrastruktur som f.eks. regnekraft, netværk eller lagerplads. Utility Computing er tæt beslægtet hermed og betyder, at en service stilles til rådighed i netop den mængde, en kunde efterspørger. Der er altså ikke nogen spildkapacitet f.eks. i form af uudnyttet lagerplads eller regnekraft. Samtid er hensigten, at det skal være meget let for kunden at skalere op eller ned efter behov. Det central ved disse services er, at der er tale om teknologiske løsninger, som helt eller delvist ligger på internettet, der i denne sammenhæng bliver betegnet med metaforen: skyen. Services ligger altså ikke længere hos den enkelte virksomhed men er placeret i skyen, hvor den tilgås efter behov. Som et eksempel på en service kunne man forestille sig et program, der kan lave komplicerede beregninger på tal. Programmet kan være egenudviklet (PaaS) eller et man har købt adgang til (SaaS). Tallene og regnekraften til at foretage beregningen kan være placeret i skyen (IaaS), så den kan tilgås fra en uintelligent klient (uanset platform). I dette tilfælde befinder det hele sig altså i skyen, men resultatet af beregningen bliver vist på en klient. På denne baggrund kan den enkelte virksomhed blive fuldstændig virtuel og altså alene bestå af uintelligente klienter og serviceaftaler med leverandører i skyen, som virtuelt hoster applikationer, regnekraft og data. Det eneste, virksomheden selv har, er links, som binder data på nettet sammen med applikationer og regnekraft. I praksis ses dog sjældent denne rene form for Cloud Computing. Som regel er der tale af kombinationer af at noget er i skyen og noget er i virksomheden. Cloud computings egenskaber Foruden det virtuelle karakteriseres cloud computing ved at være meget dynamisk og skalerbar. Ideelt set vil man såfremt standardiseringen fungerer efter hensigten, og der dermed er fuld kompatibilitet kunne skifte serviceleverandør med kort varsel. Man skal f.eks. ikke hen og indkøbe ny software, der skal installeres på alle brugernes computere inden de kan gå i gang. De får bare et nyt link til en anden serviceudbyder i skyen. Tilsvarende vil man også med kort varsel kunne skalere sine behov op og ned. F.eks. kan mængden af medarbejdere, der kan have behov for adgang til en service, svinge betydeligt, og man kan så reducere mængden af adgange til servicen. Online lagerplads vil også være noget, der kan svinge meget, 1 I visse kredse er der en mindre uenighed om, hvorvidt Utility Computing og Grid Computing er en delmængde af Cloud Computing. Fra nogle sider fremhæves det at det kun er *aas, som er Cloud Computing. Denne debat vil vi ikke forfølge her, men bare fastslå at Cloud Computing er det bredeste begreb, og derfor omfatter de øvrige begreber. 2

3 og som med kort varsel kan skaleres efter behov. For at cloud computing visionen om at kunne skifte leverandør med kort varsel realiseres, er det en betingelse, at standardiseringen kommer på plads indtil da er der nok mest tale om et forsøg på at hype cloud computing. Det teknologiske vidensniveau i virksomheden kan til en vis grad også reduceres, fordi der ikke længere er behov for personale til at holde store lokale serverløsninger kørende. I stedet står der store servere i skyen, som forbinder services, regnekraft og data. Disse tre faktorer bidrager til, at cloud computing skulle være yderst omkostningseffektivt. Virksomheden skal dog hele tiden være opmærksom på at ledelsen uanset hvilken it-arkitektur der vælges stadig har ansvaret for forretningen og sikkerheden. Derfor skal virksomheden have den samme kontrol som hvis alle data, applikationer og infrastruktur var placeret hos virksomheden. Åbenhed og fællesskab Afhængigt af hvem man spørger, er der også to andre forhold, der karakteriserer cloud computing. Det ene er åbenheden, og det andet er fællesskabet. Fra forskellige side er der lagt vægt på, at cloud computing services baseres på åbne standarder, således at data let kan behandles af forskellige serviceleverandører i skyen for forskellige kunder. Dette vil skabe nye og meget fleksible samarbejdsrelationer mellem f.eks. to virksomheder. Hertil kommer, at man kan få det indtryk at opbygningen af cloud computing løsninger sker i et community på nettet, hvor brugere og leverandører i fællesskab formulerer krav til cloud computing leverandører og afstemmer forventninger hos brugerne til, hvad de kan få ud af cloud computing. F.eks. har vi allerede set to såkaldte open cloud manifestos fra nogle leverandører og en Cloud Computing Bill of Rights, som specificerer, hvilke rettigheder brugerne kan/forventes at stille til leverandørerne 2. For leverandørerne af services til skyen opstilles en række principper, som der skal udbydes efter. Principperne indeholder nøgleord som brugercentrisk, filantropisk, åben, transparent, interoperabilitet, repræsentativitet af alle interessenter, ikke-diskriminerende, udvikling af koordinations og samarbejdsinitiativer indtil en egentlig standardisering kan finde sted, balance af interesser, sikkerhed og ikke hindre konkurrence. Hertil kommer en række krav, som brugerne kan stille til cloud computing og dennes leverandører. Principperne vedrører auditering, betaling, backup, data, interfaces, juridiske forhold, fysisk placering, sikkerhed, serviceniveauer og standarder. Omfanget og konsekvenserne af disse tiltag, er det dog for tidligt at sige noget entydigt om endnu. Men det er nok tvivlsomt om graden af f.eks. filantropi bliver en bærende værdi i arbejdet. Der er da også senere lavet andre initiativer, som kigger mere præcist på, hvordan standardiseringen i praksis kan foregå. Dette arbejde har betydelig opbakning fra de ledende leverandører og må derfor forventes at få stor gennemslagskraft. Der fokuseres på styringsprotokoller, formater og sikkerhedsmekanismer, som alle skal understøtte interoperabilitet. Arbejdet foregår i Distributed Management Task Force og går under navnet Open Cloud Standards Incubator 3. 2 F.eks og 3

4 Fordele og ulemper ved cloud computing Når cloud computing præsenteres som koncept listes der ofte en række fordele og ulemper. En kort liste kan opsummere disse: Fordele Efterspørgslen er let skalerbar Efterspørgslen kan hurtigt svinges fra leverandør til leverandør, alt efter hvem der er bedst og billigst Investeringer i eget datacenter kan reduceres Man kan lettere dele data med forretningspartnere og generelt forbedre forretningsprocessen Man kan minimere iværksætteromkostningerne (lav entry-barriere) Man kan integrere egne systemer ud i skyen eller danne private skyer med nære samarbejdspartnere Man behøver ikke så mange IT-kvalificerede medarbejdere Man kan få fokus på Grønt IT fordi den samlede mængde energi der bruges til at holde it-systemerne i luften vil blive reduceret, når det hele samles i datacentre Ulemper Man har ikke længere samme kontrol med sikkerheden i betydningen tilgængelighed af data og services samt fortrolighed og integritet af data Det er ikke sikkert, at applikationerne i skyen faktisk kan samarbejde (interoperabilitet) eller kan fungere hjemme i virksomheden (portabilitet) Der skal stadig håndteres licenser og arbejdes med forskellige elementer af lifecycle for data Overvågning og performancemåling kan blive mere kompliceret i takt med mindre kontrol med egne data, regnekraft og applikationer Da man sjældent ved præcis hvor data befinder sig, kan det være vanskeligt at sikre, at forskellige typer lovgivning f.eks. persondataloven overholdes Afhængighed af at være online på de rette tidspunkter forøges betydeligt. Essensen ved cloud computing Cloud computing er egentlig relativt velkendte teknologier, som bare er outsourcet og tilgås via internettet, samtidig med at også data lagres på nettet. Som sådan er der ikke noget nyt under solen. Det nye er sammensætningen af teknologierne og den fuldstændighed, hvormed man kan outsource i skyen og forbedre sin forretningsmodel gennem skalerbarhed og fleksibilitet. Når man skal vurdere om Cloud Computing er relevant i en virksomhed, kan man vurdere behovet for kontrol i forhold til hvilken grad fleksibel skalerbarhed både op og ned har af økonomisk betydning. Ved at vurdere disse forhold kan man også få placeret gamle begreber som outsourcing i relation til at beholde drift m.v. indenfor virksomheden. Mulighederne kan ses i nedenstående figur. Virksomheden skal lave en forretningsmæssig vurdering af hvor den har behov for at placere sig. 4

5 SAMMENHÆNG MELLEM INHOUSE, OUTSOURCING OG CLOUD COMPUTING. DI ITEK forventer ikke at cloud computing revolutionerer verden! Cloud computing vil være noget der kan bruges som supplement til outsourcing og at have it-systemerne inhouse. Outsourcing versus cloud computing Outsourcing er ikke noget, der er fremmed for danske virksomheder. Stort set alle store virksomheder har outsourcet, og mange af de mindre og mellemstore virksomheder har også outsourcet. Det er fortrinsvis produktion, der outsources. Men også aktiviteter som logistik og administration bliver i stigende grad outsourcet. En væsentlig del af outsourcingen sker typisk til lavtlønslande. Men administration outsources fortrinsvis indenfor landets grænser. Lavere omkostninger, sparede investeringer og effektivisering er gode grunde til at outsource. Cloud computing er basalt set outsourcing af forskellige muligheder på it-området. Uanset hvor hypet begrebet bliver er det outsourcing! Men ved at outsource IT er der en række forhold man skal være særligt opmærksomme frem for når man outsourcer andre ting, som bogføring, rengøring og produktion. Når man skal vælge mellem på den ene side at have sin IT inhouse versus at bruge outsourcing / cloud computing kan vi opsummere fordele og ulemper som følger: Intern løsning Fordele Ulemper Optimal kontrol Uddannelse af personale 5

6 Direkte adgang til ændringer Uafhængighed af 3. parts leverandører Fleksibilitet til at tilpasse sig brugeren Eget valg af hardware/software Virksomheden kan selv trimme systemerne løbende Ekstern løsning Udgifter/løn til personale Licensstyring Daglig vedligeholdelse døgnet rundt Udgifter til hardware Kompliceret konfigurering / opsætning af software Sikkerheden er overladt til personale, der også laver mange andre opgaver, og derfor vil reaktionstiden typisk være længere Fordele Ingen uddannelse af personale Ingen udgifter/løn til personale Ingen licensstyring Ingen daglig vedligeholdelse Ingen kompliceret konfigurering / opsætning af software Ingen udgifter til hardware Mulighed for højere sikkerhed (leverandørafhængig) Mulighed for mere avancerede systemer (leverandørafhængig) Leverandøren har 100% fokus på kunden han lever jo af det Ulemper Ansvaret kan alligevel ikke outsources Afhængig af ekstern leverandør Kontrollen afgivet til leverandør Tillid til ekstern leverandør Ændringer foretages af leverandør Afhængighed af at være online Sikkerhedsovervejelser Anvendelse af cloud computing / outsourcing bør kun overvejes, i det omfang det kan understøtte forretningen. Virksomhederne bør derfor gøre sig grundige strategiske overvejelser, inden de kaster sig ud i outsourcing. Følgende forhold bør som minimum overvejes, hvis man påtænker at outsource hele - eller dele af - sit IT-system: Begrænsninger Ansvaret for virksomhedens IT-systemer ligger altid hos virksomhedens ledelse og kan ikke outsources. Det er kun funktionaliteten samt driften af systemerne, der kan outsources. Kerneforretning Virksomheden kan koncentrere sig om at drive sin kerneforretning og dermed ikke bruge tid og ressourcer på alle de ting, der kun skal fungere som støtte/hjælpemidler for forretningsdriften. Risikobilledet ændres Outsourcing af IT ændrer risikobilledet. Uden outsourcing er det virksomheden, der bærer den fulde risiko ved, at systemer eventuelt måtte gå ned eller blive kompromitteret. Ved at outsource flytter man denne risiko til en specialistvirksomhed. Til gengæld bliver virksomhedens risiko så, at den virksomhed, der løser opgaven, kan have manglende driftsstabilitet, blive kompromitteret eller gå i 6

7 betalingsstandsning. Man må dog forvente, at der er mindre sandsynlighed for, at specialistvirksomheden får tekniske problemer, og dermed reduceres risikoen. Dataklassifikation Det er relevant, at man klassificerer sine data, så man sikrer sig, at man har mest kontrol over de data, som betyder mest for virksomhedens forretning evt. holder dem helt indenfor virksomheden. Langsigtet risiko minimering Hvis man har indkøbt et system, som ikke længere kan anvendes grundet tekniske problemer, eller fordi forretningen ændres, har man tabt alle pengene. Sådanne tab oplever man (afhængigt af kontraktens udformning) normalt ikke ved outsourcing. Dermed reduceres risikoen ved fejlindkøbt ITinfrastruktur. Sparede omkostninger Typisk burde der være penge at spare ved at outsource, fordi specialistvirksomheden bør have specifikke kompetencer og IT-udstyr, der er dedikeret til at løse en bestemt funktionalitet. Specialistvirksomheden burde derfor kunne drive funktionen med lavere omkostninger end virksomheden selv. Hvis der skal spares penge, skal virksomheden dog være opmærksom på ikke at købe mere funktionalitet fra specialisterne, end det netop er fornuftigt i forhold til forretningen. Omkostningsspredning Omkostningerne til at få en bestemt funktionalitet skal i tilfældet, hvor virksomheden selv afholder dem, betales på en gang af virksomheden. I tilfældet, hvor man outsourcer, kan disse omkostninger spredes ud over varigheden af kontakten mellem virksomheden og specialistvirksomheden. Omkostningskontrol Ved outsourcingaftaler ved man altid, hvilke omkostninger der venter næste måned for at få en given opgave udført. Dette er ikke tilfældet, hvis man løser opgaven selv, idet der sagtens kan forekomme eksogene stød til omkostningerne i form af uforudsete udgifter f.eks. manglende systemstabilitet, opgradering eller kompromittering. Fremtidige udfordringer Virksomheden kan typisk lettere møde fremtidige udfordringer ved at have outsourcet dele af sine ITsystemer. Dette skyldes, at specialistvirksomhedens systemer og kompetencer typisk er helt up-to-date det er jo netop specialistvirksomhedens kernekompetence. Derfor vil det typisk være meget let for virksomheden at tilkøbe ny funktionalitet og samtidig være sikret mod nye typer af trusler. Dette vil give virksomheden fordele, idet den langt hurtigere kan komme til at markedsføre et nyt produkt eller markedsføre på en ny måde via en ny type system (Time-to-market fordele). Nye behov Typisk vil specialistvirksomheden også forholdsvis let kunne udvide en eksisterende løsning med nye typer forretningsbehov. Hvis man f.eks. har outsourcet en e-handelsløsning og får behov for at lave datamining på de kunder, der køber ind via sitet, kan man forholdsvis let få udvidet løsningen med et CRM-modul (Customer Relations Management). Virksomheden kan simpelthen få en ny evne langt hurtigere, end hvis den skulle ud og undersøge markedet for at anskaffe et nyt system, der skulle integreres med eksisterende systemer. Skalerbar infrastruktur kan tilpasses markedsændringer De fleste outsourcingkontrakter indeholder aftaler om, at virksomheden kan skrue op og ned for aktiviteterne med relativt kort varsel. Virksomheden kan dermed reagere hurtigt på fluktuationer i markedet (f.eks. e-business on demand). Dette ville ikke være tilfældet, hvis virksomheden har købt egen IT-infrastruktur dimensioneret til et bestemt markedsbehov. Ved at outsource konverteres faste omkostninger til variable omkostninger, og man kan (afhængigt af kontraktens udformning) til ethvert tidspunkt maksimere nytten ved en given løsning, fordi man betaler efter forbrug. Kompetencer Specialistvirksomheden har typisk alle de kompetencer, der skal til for at løse en given opgave. Dette er til gengæld sjældent tilfældet for den virksomhed, der skal have løst en opgave. Den skal derfor enten 7

8 ud at hyre ny arbejdskraft, efteruddanne eksisterende arbejdskraft eller affinde sig med, at den eksisterende arbejdskraft ikke løser opgaven så godt og så hurtigt, som det ellers kunne være gjort samtidig med den eksisterende arbejdskraft ikke kan varetage de opgaver, man ellers varetager. Virksomheden skal derfor beslutte i hvor høj grad, det er ønskværdigt, at IT-afdelingen bruger tid på drift af systemerne kontra innovation af systemerne. Virksomheden skal også være opmærksom på graden af innovation i egen IT-afdeling kontra innovation hos specialistvirksomheden. Sikkerhed Outsourcede systemer vil i mange tilfælde typisk være bedre sikrede end egne systemer, fordi specialisterne følger med i netop deres egen niche, mens de fleste in-house IT-afdelinger typisk bruger den meste tid på at supportere brugere. Man kan derfor (afhængig af kontraktens udformning) være sikker på, at specialistvirksomheden sørger for at have opdateret sine systemer hurtigst muligt, og at den garanterer oppetid for sine systemer. Service Det er de færreste virksomheder, som har døgnservice på sine IT-systemer, da det ofte kræver meget store udgifter til personale. Men de systemer, der er outsourcet, vil typisk bliver overvåget 24x7x365. Der vil også typisk være mange andre former for services tilknyttet afhængigt af kontraktens udformning. Individuel tilpasning kontra standardprodukter Når virksomheder indkøber nye systemer, er der ofte behov for individuelle tilpasninger. Det samme gør sig gældende, når man vælger at få outsourcet en løsning. Men ofte vil nogle af de arbejdsbaserede tilrettede services, der leveres, kunne erstattes af automatiserede standardiserede services via netværk. Dette gælder f.eks. back-up, hvor den daglige rutine med at skifte bånd og placere det i brandsikker boks langt fra virksomheden kan erstattes af back-up via internettet hos specialistvirksomhed. Egenkontrol Virksomheden mister en kontrol med egne systemer ved outsourcing. Men virksomheden skal tage stilling til, om dette kontrolbehov er forretningsmæssigt relevant, eller om det blot er en psykisk barriere for en potentielt mere effektiv drift. Tillid til leverandører Det er af afgørende betydning, at man har tillid til den virksomhed, man vælger at outsource til. Specialistvirksomheden bør have et godt ry, have de rette kompetencer og systemer, give en god service, stille garanti for oppetid for funktionaliteten, have en sund økonomi, have et beredskab der indeholder aftaler med en tredjepart, som kan springe til, hvis virksomheden går i betalingsstandsning eller får tekniske problemer, til enhver tid kunne retablere data eller funktionalitet, behandle data med fortrolighed og endelig have en plan for tilbagelevering af data, hvis outsourcingforholdet opsiges fra en af parterne. Kontrol med leverandører Virksomhederne mister som sagt noget kontrol og skal desuden have tillid for at kunne outsource. Men virksomheden bør desuden kontrollere sin outsourcingleverandør. Outsourcingpartneren bør kunne dokumentere sine kompetencer og ressourcer. Outsourcingpartneren bør også kunne dokumentere, at gældende lovgivning, branchespecifikke regler og relevant best practise efterleves. Det bør således aftales, hvilken dokumentation i form af f.eks. certificeringer for virksomheder og medarbejdere eller revisionserklæringer, der skal afleveres. Der bør desuden aftales muligheder for uanmeldte besøg hos outsourcingpartneren for at skabe vished for, at dokumentationen faktisk efterleves i praksis. Endelig bør risikovurderingen afspejle, hvor data befinder sig. Kontrol med leverandører og krav til virksomheden selv Hvad der sikkerhedsmæssigt kan vindes ved at outsource både i den klassiske form og i forbindelse med cloud computing afhænger af udgangspunktet. Mindre virksomheder, der hidtil ikke har haft fokus på 8

9 sikkerhed, kan således muligvis opleve forbedret sikkerhed ved at outsource, mens virksomheder, med god fokus på sikkerhed, som minimum skal tage højde for nye trusler ved at lagre data udenfor virksomheden eller miste tilgængelighed til applikationerne. Cloud Security Alliance (CSA) har i april 2009 udgivet en vejledning ved navn: Security Guidance for Critical Areas of Focus in Cloud Computing. Vejledningen bør læses og følges af alle, der har til hensigt at anvende cloud computing, idet det utvivlsomt i skrivende stund er den bedste sikkerhedsvejledning på området 4. Vejledningen definerer 15 domæner, som man skal være særligt opmærksom på. Disse opsummeres nedenfor. 1. domæne: cloud computing architectural framework I dette domæne gennemgås det, hvad der karakteriserer cloud computing, hvilke service modeller (forfatterne mener) der findes, og hvordan cloud computing kan stå alene eller eksistere sammen med virksomhedens eksisterende it-løsninger 2. domæne: governance and enterprise risk management Her fastslås det bl.a., at virksomheden ganske vidst kan spare penge på cloud computing, men at ihvertfald nogle af disse penge skal bruges på sikkerhed og kontrol med leverandøren. Der skal desuden løbende foretages risikostyring, og tredjeparter skal også vurdere risici ved leverandøren. Yderligere bør man gør en indsats for at forstå cloud leverandørens situation således, at man kan vurdere, hvordan andres relationer, den økonomiske situation samt risici, politikker, procedurer og processer hos leverandører, kan påvirke virksomheden. Generelt skal virksomheden foretage en passende vurdering af og kontrol med leverandøren. 3. domæne: legal I dette domæne er der fokus på kontrakter og lovgivning. Kontrakterne skal give rum for at virksomhedens behov kan justeres fleksibelt, og for at aktiverne er beskyttet og kan auditeres, tillige med at de kan tilbageleveres eller leveres til en anden leverandør, når kontrakten ophører. Hvad angår lovgivningen er det vigtigt for virksomheden at forstå, at der kan være konflikt mellem den lovgivning, som leverandøren er underlagt, og den lovgivning, som virksomheden er underlagt. Herunder skal man særligt være opmærksom på om data krydser nationale grænser, og hvordan leverandøren vil forholde sig til et krav/ønske fra myndigheder eller andre tredjeparter om udlevering af data. 4. domæne: electronic discovery Når der anvendes cloud computing har virksomheden ikke længere den samme kontrol med de data, for hvilke de er juridisk ansvarlige. Det skal derfor sikres, at leverandøren kan fremskaffe relevante data (herunder også afledte data (metadata) som f.eks. logs), hvis det er juridisk nødvendigt. 5. domæne: compliance and audit Leverandøren skal være I overensstemmelse med (compliance) anerkendte standarder og lovgivning. Certificeringer efter f.eks. ISO27000-serien er at foretrække, men da kvaliteten af disse 4 9

10 certificeringer varierer, er det vigtigt, at virksomheden vurderer sikkerhedsniveauet selv. Virksomheden skal have mulighed for at auditere leverandøren bl.a. for at kunne efterleve lovgivningsmæssige krav. Virksomheden skal foretage en risikovurdering af leverandøren. Endelig skal virksomheden vide, hvor dens data geografisk befinder sig, og der skal laves en Privacy Impact Assessment. 6. domæne: information lifecycle management Der skal være en logisk og en personalemæssig adskillelse mellem informationer og kontroller. Virksomheden skal forstå, at en række at de data den er i besiddelse af er underlagt privacylovgivning. Andre parter end virksomheden herunder leverandøren har som udgangspunkt ikke ret til at se de pågældende data. Der skal foretages backup og recovery tests. Leverandørens politikker for opbevaring og sletning af data skal gennemgås. Leverandøren skal betale bod ved databrud. 7. domæne: portability and interoperabilitet For at få det bedste ud af cloud computing er det vigtigt, at leverandøren faktisk kan levere den fleksibilitet, som der ideelt er lagt op til. Virksomheden skal derfor anmode om, at der anvendes åbne standarder. Virksomheden skal også vurdere i hvilket omfang andre leverandører er i stand til at migrere *aas. Ift. SaaS skal der laves dataudtræk og backup i et format, der ikke er proprietært for leverandøren. Ift. PaaS skal der bruges udviklingsteknikker, som ikke låser virksomheden til én leverandør. Ift. IaaS skal det sikres, at applikationerne kan køre på andre maskiner. 8. domæne: traditional security, business continuity og disaster recovery Virksomheden skal kunne lave onsite inspektion hos leverandøren og sikre sig, at der er disaster recovery og business continuity planer samt at interdependensen i den fysiske infrastruktur ikke kan udgøre et problem. Virksomheden skal også sikre sig, at leverandøren kan efterleve de strengeste sikkerhedskrav, kunden måtte have. Endelig udgør insiderne hos leverandøren en trussel, og virksomheden skal sikre sig, at leverandøren minimerer viden om virksomheden blandt egne medarbejdere. 9. domæne: data center operations Virksomheden bør afklare i hvilket omfang leverandørens øvrige kunder kan få betydning for virksomhedens leverancer herunder serviceniveauet, som virksomheden løbende bør teste. Leverandøren skal sikre tilstrækkelig teknisk adskillelse og funktionsadskillelse og være i stand til at redegøre for patch management politikker og procedurer samt business continuity og disaster recovery planer. 10. domæne: incident response, notification og remediation Cloudleverandøren bør kunne sondre mellem sine kunder og reagere på hver enkelt kundes hændelser. Dette sikres ved, at (applikations) logning kan foregå for hver enkelt kunde, ved at Security Operation Centeret kan håndtere mange individuelle kunder, ved at der er et register over hver kundes applikationer, og ved at der foreligger aftaler for, hvordan samarbejdet mellem virksomheden og leverandøren skal foregå. Virksomheden bør desuden sikre, at dens private data er krypteret. 10

11 11. domæne: application security *aas skaber et nyt behov for trust, idet man i højere grad benytter sig af virtuelle maskiner. Disse skal beskyttes efter de bedste gældende praksisser. Der skal være sikker kommunikation mellem hosts. Nøglestyringen er af afgørende betydning. Desuden skal man være opmærksom på, hvordan ondsindede personer vil reagere på fremkomsten af cloud computing. 12. domæne: encryption and key management Data bør i vidt omfang krypteres i overensstemmelse med gældende standarder. Virksomheden kan anlægge den synsvinkel, at data i skyen, som ikke er krypteret, i virkeligheden er offentlige. Der skal være fokus på nøglestyring, og det anbefales at denne adskilles fra cloudleverandøren. 13. domæne: identity and access management Virksomheden skal - for at få succes med cloud computing - internt have en robust fødereret identitets styring. Leverandøren skal baserer sig på standarder, der understøtter føderering (f.eks. SAML), understøtte stærk autentifikation, være i stand til via ikke-proprietære metoder at granulere applikations autorisation og kunne levere single-sign-on. Virksomheden kan overveje at benytte cloud-baserede Identity as a Service leverandører for at kunne lave fødereret identitetsstyring med cloudleverandøren. 14. domæne: storage Virksomheden skal sætte sig ind i mulighederne for lagring hos leverandøren. Leverandøren skal kunne sikre langtidslagring, sikre at lagringen er i overensstemmelse med den trust, der er planlagt, sikre at den geografiske lagring er lovlig, sikre at andre kunder ikke har adgang til data, sikre at leverandøren kan søge sig frem til data, sikre at data krypteres i overensstemmelse med de fastlagte retningslinjer, sikre at data reelt slettes når dette er ønsket og sikre at tredjeparter ikke får adgang til data herunder andre landes myndigheder. 15. virtualization Virtualiserede maskiner skal suppleres med tredjepart sikkerhedsprodukter, og der skal være kontrol med, hvilke virtuelle maskiner der kan få adgang. Der skal ske overvågning af trafikken til virtuelle maskiner. Endelig skal der anvendes stærk autentifikation. CSAs vejledning er udkommet i en første udgave, og det må forventes, at den vil være under løbende revision. Hvad kan findes som cloud computing Der er næsten ingen grænser for, hvad der kan outsources. Nedenfor har vi lavet en liste over nogle af de IT-tiltag, der kan outsources. Hvis virksomheden er i tvivl om, hvorvidt en bestemt ting kan outsources, kan man konsultere sin IT-leverandør eller ITEKs hjemmeside på Antivirus-styring sikkerhedsstyring - herunder spam og virusfiltrering Rapportering om hændelser/overvågning (Security incidents og event management) Log management Kriseberedskab - disaster recovery Firewall 11

12 Intrusion detection Sårbarhedsskanning Lagring af data Backup Hosting af hjemmesider Server hosting Medieserver Diverse e-business løsninger Hosting af applikationer Vedligehold - patch Support Helpdesk Databaseadministration Opgradering Brugeradministration Change management Performance målinger Netværksdrift ERP CRM Leverandører og andre henvisninger En række internationale leverandører leverer forskellige ting, som alt sammen kan betegnes som cloud computing. Det er disse leverandører, som har bidraget til at hype begrebet cloud computing, og det kan derfor være relevant at henvise til dem for at gøre det mere nærværende, hvad cloud computing egentlig er. Google App Engine, Sales Force, Amazon Web Services, og Oracle, IBM, Microsoft, Dubex: Comendo: esec: Om sikkerhedsaspekter ved cloud computing: Cloud Security Alliance: (Især p. 2-7 i anbefalinger). 12

13 Foruden disse sider fra leverandører kan det også være relevant at se på hvad analysere siger om emnet og her kan bl.a. henvises til: 13