Cloud säkerhet? Bättre få en advokat, son!

När data är bosatt i ett företags eget datacenter, ansvaret för att skydda dessa data från strömavbrott eller brott faller på företaget. Cloud vänder det på huvudet.

Kunderna behöver garantier från sina leverantörer att det kan behålla de tre pelarna i säkerhet: sekretess, dataintegritet och datatillgänglighet.

En hel del moln säkerhet handlar om avtalshantering, något som traditionellt har hanterats av ett företags inköp och jurister.

Värd för din molntjänster på Amazons servrar kan göra för hög tillgänglighet och redundans, men att mycket redundans kan vara ett problem.

Cloud, Cloud computing växer upp, en API åt gången, Enterprise Software, söt SUSE! HPE hakar sig en Linux-distributioner, Cloud, Twilio rullar ut nya företag planen lovar mer smidighet, Cloud, Intel, Ericsson utökar samarbetet att fokusera på medieindustrin

Kontrakt är allt gott och väl, men hur vet du om molntjänster faktiskt tillhandahålls som avtalet anger?

Ökningen av mängden länkade data som hålls i samma moln gömstället gör en fetare mål där hackare kan sikta.

“Med en datacenter, det är bara någonstans att stuva din utrustning – kör operativsystemet med programmet granskat det sätt du vill – på en plats som kan ha bättre anslutningsmöjligheter, bättre effekt etc”, säger Paul Ducklin, Sophos huvud av teknik för Asien-Stillahavsområdet.

Problemet med en ren-play molntjänst är det nästan som om du verkligen satsar hela gården – och byggnader, och all dess utrustning och hur gödslande görs varje år – på någon annan. De får bestämma hur det hela fungerar.

Gården metafor blev nästan verklig för Crispin Harris, för närvarande chef för nätverkssäkerhet för ett snabbväxande australiska resurser företag. Han har tidigare arbetat för brottsbekämpande myndigheter och andra krävande miljöer. En leverantör nyligen visade honom en software-as-a-service entreprenör management system som påstås vara baserad “i molnet”. Det var tänkt att innehålla alla bolagets interaktion med externa entreprenörer och konsulter, inklusive om de hade genomgått den säkerhets induktioner som behövs för att arbeta i en gruva, eller höll en Maritime Security Identification Card att ge dem tillgång till hamnen.

Vi lyckades slutligen till stift företaget ned ta reda på var de var, eftersom de sade “vi är i molnet, vi är på flera platser runt om i världen”, “Harris berättade webbplatsen Australien.” Ja, de har försäljare i sju olika städer i tre olika världsdelar. Tyvärr datacenter var i ett litet skjul på baksidan av Penrith i västra Sydney. Inte i en Tier 1 datacenter, inte backas upp över flera platser. Bara två redundanta ADSL länkar både till Telstra.

“Vi vill verkligen inte den typen av databas lagras i skjul”, sade han.

När du inte har möjlighet att vara direkt ansvarig för teknik och skydd, du befinner dig att förlita sig på vad som avtalats.

Det är en subtil sak, eftersom kunden är fortfarande helt ansvarig för eventuella skador. Du kan inte lägga ut den bit av risk “, Harris säger. Och eftersom du inte längre har praktisk möjlighet,” allt måste vara i kontraktet “.

Datatillgänglighet är naturligtvis en av molnet stora säljargument. I teorin är allt du behöver en internetlänk, alla internetlänk, och ger dig iväg. Men säkerställa datatillgänglighet har många nyanser.

Nyckel metriska är den välbekanta andelen drifttid ofta noterade servicenivåavtal (SLA) och marknadsföringsmaterial.

Termen “tre nior”, eller 99,9 procent upptid, till exempel, innebär en total tillåten driftstopp av 8,76 timmar per år eller 43,2 minuter per månad. Är detta tillräckligt för ditt företag? Eller behöver du 99,99 procent ( “fyra nior”) på 52,56 minuter driftstopp per år eller bara 4.32 minuter per månad? Har din IT-avdelning faktiskt vet verksamhetens verkliga datatillgänglighet behov?

Enligt Harris, kan de flesta företag inte svara på dessa frågor. “Oftare än inte, mycket oftare att inte en organisation har aldrig på allvar tittat på vad deras kritiska affärsprocesser är, och hur de förhåller sig till den information som driver dem.”

Som ett exempel kan ett bokföringssystem inte behöver fem nior tillförlitlighet om fakturering kan vänta tills nästa dag. Men en kundvård eller lagersystem går ner kan innebära förlorade order, tomgång personal och arga kunder.

Leverantörer ibland hänvisar till tillgänglighet nivåerna i förhållande till “oplanerade avbrott”. Men vad om planerade avbrott, som kan krävas för att utföra underhåll?

“Jag har sett en miljö inte så länge sedan som anges fyra nior tillgänglighet för oplanerade driftstopp. Men det var bra, de tog fem timmar ut varje vecka för att göra planerat underhåll”, säger Harris. Det minskade faktiska datatillgänglighet till 95 procent.

Om tillgänglighet “garanterad”, vad betyder det egentligen i praktiken? Kommer tjänsten absolut, definitivt göra vid de angivna nivåerna? Eller kommer leverantören bara återbetala dina pengar om servicenivåer inte uppfylls? Återbetalning en månatlig serviceavgift på, säg, $ 5000, skulle inte vara mycket tröst om du är offline kostar ditt företag $ 50.000 en timme i utebliven försäljning eller driftskostnader.

Hur snabbt kan du återställa dina data i händelse av ett misslyckande? Ett system kan fortfarande vara tillgänglig under villkoren i SLA, men körs med felaktiga uppgifter.

Vad händer när kontraktet upphör? Är dina data tillbaka? Om så är fallet, hur och när? Har leverantören garanterar att raderade data faktiskt bort, inte bara från live-system men alla arkiv och säkerhetskopior?

I upplevelsen av nätverkssäkerhet huvudet Crispin Harris, IT-avdelningar är oftast dåliga på att säkerställa inköp vet vad servicenivåer är viktiga för verksamheten.

Ofta till exempel IT-avdelningar glömmer att genomföra finansiell due diligence på sina leverantörer. Finns det en risk för att leverantören kunde köra i ekonomiska svårigheter och försvinna, med data och operationer med det?

När du arbetar med en leverantör som Amazon med sina S3 tjänster, kan du se direkt att de är ett amerikanskt börsnoterat bolag, de har en mycket stor bok värde, har de fått massor av kunder och de har fått ett gott rykte för tjänsten “, säger Harris.” Men när du börjar prata med några av de andra molnleverantörer, är det inte riktigt så självklart.

“Det finns inte tillräckligt med interaktion och inte tillräckligt med kunskap mellan inköp och IT. De är båda grupperna företagens stöd. Den stöder företaget lika mycket som inköp stödjer företaget, men på något sätt dessa två grupper tycks kämpa hela tiden”, säger han .

Harris rekommenderar att bygga direkta personliga kopplingar mellan IT-avdelningen och juridiska team, snarare än att förlita sig på inköps laget att översätta. Och det är IT-avdelningens uppgift att utbilda advokater.

Det är absolut kärnan till en effektiv användning av molntjänster som IT och juridiska diskutera öppet och i en rimlig mängd djup tvärvetenskapliga effekter både deras beslut “, säger han.” De kommer både lära en hel del om vad som är viktigt att den andra sidan.

Det är väldigt mycket om relationen, inte bara mellan IT och inköp, men IT och hela vägen in lagligt. Tala med din advokat direkt, person-till-person, inte ens e-post. Gå och prata med dem ansikte mot ansikte och förklara där du tror att riskerna är och där fördelarna är.

Det är mindre säkert om den geopolitiska läge av dessa uppgifter “Ajoy Ghosh, Chief Information säkerhetstjänsteman för Logica Australien säger.” När det gäller outsourcing till en fysisk datacenter, vet du att datacenter kommer att vara på denna plats. Tyvärr, med tillkomsten av molnet, kan detta särskilda fall rör sig ganska lätt på infall av leverantören.

Det innebär att dina data kan hamna i en annan jurisdiktion, som ändrar riskprofil. Faktum är att för vissa branscher kan det skapa problem efterlevnad – särskilt som några större molnleverantörer, inklusive Amazon och Microsoft, inte har datacenter i Australien alls.

“Om du råkar vara i en jurisdiktion med obligatorisk [security] brott rapportering och du använder samma delade tjänster, oavsett om det är i en outsourcing scenario eller ett moln scenario, om företag B träds Företag A har också rapportera det, “Ghosh säger. Om inte annat är företag A: s anseende skadas av något helt utanför deras kontroll.

Både Amazon och Microsoft, liksom andra leverantörer, försöka minska dessa problem genom att dela sina globala moln i regioner.

“Amazon Web Services (AWS) kunder har full kontroll över sina data, varigenom de väljer vilken region de vill placera sina uppgifter och som särskild uppsättning resurser för att fungera,” Amazon berättade webbplatsen Australien i en mailade svar. Dessa regioner inkluderar USA: s östkust, den amerikanska västkusten, EU, och en Singapore Region för Asia Pacific.

Valet av en region inom ett acceptabelt geografisk behörighet att kunden ger en solid grund för att möta positionsberoende integritet och efterlevnadskrav, såsom EU: s Dataskyddsdirektivet. Data är inte replikeras mellan regioner inte proaktivt gjort av kunden, vilket gör att kunder med dessa typer av data placering och sekretesskrav förmågan att etablera klagomål miljöer.

På samma sätt kan Microsoft ordna kunddata för att resa endast inom flera specifika geografiska områden, däribland Nordamerika och EU.

Problemen är verkligen avtals “, säger Ghosh.” Till exempel, vilket gör att det finns klausuler i kontraktet som begränsar tjänsteleverantören att vissa jurisdiktioner, och att se till att det finns klausuler i kontraktet som säger leverantören måste meddela kunden före flytta dessa data.

Jag skulle faktiskt argumentera, när det gäller traditionell outsourcing, att kunden måste genomföra regelbundna kontroller på plats i alla fall “, säger Logicas Ajoy Ghosh.” Det ändrar inte i molnet scenariot, utom möjligen att du kan välja att göra det oftare.

Men Microsoft, att välja bara ett exempel, tillåter inte besökare till sina datacenter. Även Microsofts egen personal är förbjudna, såvida det inte finns en godkänd affärsbehov. Företaget är förtegen om de platser och även antalet sina datacenter, säger offentligt bara att det finns fler än tio men mindre än hundra.

“Hur kan du granska något som är en del av någons privata infrastruktur?” frågar Sophos ‘Paul Ducklin. Han pekar på Googles Wi-Fi integritet katastrof, där även Google inte visste att dess kod hade brutit mot reglerna.

När leverantören sig själv säger, “Hej titta, det var bara ett misstag”, börjar det att ställa frågor, “Ducklin säger.” Hur kan jag lägga min hand på mitt hjärta till mina kunder och säga, “Jag ser efter data till standard X eller Y eller Z? ‘ Allt du kan göra är att ta ord molnleverantör för det och, eftersom erfarenheten visar, även de kan komma upp kort på exakt förstå vad som händer där på grund av allt som smidighet och flexibilitet.

Microsofts svar är att öppenhet, eller åtminstone delvis öppenhet bygger förtroende.

Det vi gör för att tillåta detta förtroende är att publicera vårt ramverk efterlevs “, säger Mark Estberg, som leder risk och regelefterlevnad för Microsofts onlinetjänster.” Du kan se de specifika kontroll mål och kontrollaktivitet vi mäter oss mot, och vi tar i en tredje part för att mäta oss mot det.

I fallet med Microsofts ISO 27001 certifiering, till exempel, är att mätningen genomfördes av British Standards Institute, och dokumentationen är publicerad på nätet.

Både Amazon och Microsoft köra SAS-70 revisionssed certifieringar. Dock är alla som säger att organisationerna uppfyller sina egna normer. Huruvida dessa standarder uppfyller dina affärsbehov är en separat fråga, och återigen pekar på din inköps laget har en god förståelse för detaljerna.

Ducklin, under tiden, är skeptisk till dessa revisioner.

Jag är inte säker på hur du kan ha samma nivå av vad man kan kalla “vetenskaplig komfort” med en ren molntjänst, där du litar på leverantören och leverantörens nätverk, och vem som helst som någonsin haft en titt på hur att tjänsten fungerar “, säger han.” jag tycker det är bra att ha att extern granskning, mycket bättre än “Hej, lita på oss, hon ska vara rätt.” Men å andra sidan tanken på att hävda att certifieringen och korrekthet med allas uppgifter, verkar det att tiggare tro att denna typ av löfte rimligen kan göras genom ett renodlat moln leverantör.

En av de saker som vi alltmer ser, både i molnet provisione liksom i outsourcing provisioning, är den ökade användningen av shared services “, säger Logicas Ajoy Ghosh.” Och den ökade användningen av delade tjänster leder till ökad aggregering, och det är vad jag tror är en av de fundamentala förändringar i attack profiler.

Med andra ord, en större koncentration av data representerar en mer lukrativ mål för skurkarna. Om en angripare får tillgång till ett företags uppgifter de kan för övrigt få tillgång till mer. Och med företag som kör vissa system i molnet och andra internt, är det svårt för någon att ha en end-to-end utsikt över hela systemets säkerhet.

“Till exempel, om jag uppgift att förvalta bolaget A: s moln, vanligtvis någon annan har till uppgift att förvalta bolagets B moln. Jag kommer inte alltid vet vad den personen ser efter B moln gör. Och det kan leda till luckor, eftersom ibland jag antar att han eller hon täcker något “Ghosh säger.

Men medan större datapooler representerar större mål, de är också försvaras av större säkerhetsteam. Som Amazon talesman uttryckte det, “Amazon skala tillåter betydligt mer investeringar i säkerhet övervakning och motåtgärder än nästan alla stora företag skulle ha råd sig. I själva verket ofta finner vi att vi kan förbättra företagens säkerhetstillstånd.”

För små och medelstora synnerhet kan molnet väl erbjuda mycket mer säkerhet än vad de redan har på plats.

Ser MYOB filer med tusentals kreditkortsnummer sitter på hårddiskar i småföretag kontor har lärt mig att många småföretagare inte vet var deras risker ligger “, säger Marc Lehmann, grundare av molnbaserad redovisning leverantör Saasu.” I samma andetag de frågar oss om våra säkerhetsstandarder håller måttet.

Summan av kardemumman är att säkerhet handlar om att balansera risk. Och när du flyttar till molnet, handlar det om kontrakt, servicenivåer och få valuta för pengarna.

Första sidan bild Fotograf: tunga moln inget regn bild av Robyns Nest, CC BY-SA 2.0

Cloud computing växer upp, en API på en gång

Söt SUSE! HPE hakar sig en Linux-distributioner

Twilio rullar ut nya företag planen lovar mer smidighet

Intel, Ericsson utökar samarbetet att fokusera på medieindustrin