Udflytning af servere og applikationer til Microsoft Azure, Amazon Web Services eller andre cloud løsninger ændrer ikke ved behovet for IT sikkerhed.
Som udgangspunkt indeholder cloud services ikke nogen IT sikkerhed
Så når IT folk fortæller, at de nu endelig er begyndt at få deres IT ud i skyen, er mine første spørgsmål altid:
Mig: “Hvad gør du for at beskytte dine data derude?”
Peter IT: “Hvad mener du? De er jo i sikkerhed hos Amazon eller Microsoft.”
Mig: “Hvad gør du i dag for at beskytte dine servere og klienter her på adressen?”
Peter IT: “Vi har en stor kraftig firewall, Intrusion Detection System, som giver alarmer ved angreb, og så har vi selvfølgelig installeret antivirus på såvel servere som klienter.”
Mig: “Men hvad er anderledes, med de servere du har ude i skyen? Hvorfor er de ikke beskyttet på samme måde?”
Peter IT: “Øh, de er vel beskyttet af dem jeg hoster hos?”
Mig: “Næppe. Og hvad med log opsamling, hvis du skal se tilbage på hvad der skete?
Peter IT: “Jamen det har de på de interne servere.”
Mig: “Så du har det ikke på de servere, der er ude i skyen?”
Peter IT: “Nej, ihvertfald ikke endnu…..”
Genkender du denne dialog?
Ofte er opfattelsen, at bare man har servere i skyen, ja så har man også styr på sikkerheden. Der må jeg bare sige, desværre, det er stadig dit ansvar. Du bør have samme beskyttelse inde som ude, mht Firewall, IDS, Log Opsamling, Vulnerability management med mere.
Faktisk er det sådan, at mange af de producenter du kender i dag, også tilbyder løsninger ude i skyen. Nogle af mine gamle samarbejdspartnere tilbyder i dag deres services i skyen:
Qualys Vulnerability management kan man finde hos både Amazon Marketplace eller Azure Marketplace , så man hele tiden er opdateret på risiko og sårbare enheder.
Overvågning og alarmering med Alert Logic 24×7 SOC kan tilkøbes på Azure Market place og Amazon Webservices, så man ikke selv skal have denne ekspertise inhouse.
Både Qualys og Alert Logic fortæller mig, at “den største vækst i deres markeder kommer fra Azure og AWS”
Security kategorien på AWS marketplace lister 619 produkter lige nu, så man kan få god inspiration der til mulige sikkerhedsløsninger. Men husk at vurdere behovet.
Inde eller ude… sikkerheden skal være den samme!
Så ligegyldig hvor du har applikationer eller servere stående, er kravene til sikkerheds dimser den samme. Med den nye cloud løsning, vil jeg mene at det ofte er endnu nemmere at få et fornuftigt sikkerhedsniveau, og ofte kan man kombinere, så man har et samlet overblik såvel inde som ude.