Har løsningen på skysikkerhet

Har løsningen på skysikkerhet

- Vi må tenke sikkerhet fra innsiden og ut, mener Rik Ferguson.

LARVIK: - Jeg fikk et artig spørsmål en gang: Hvordan vet vi at nettskyen er her for å bli? En ting som virkelig overbeviser meg om at nettskyen er her for å bli, er at nettskurkene bruker den, sier Rik Ferguson, sikkerhetsforsker i Trend Micro.

Han har tatt turen til Larvik for å holde foredrag om nettskysikkerhet på den årlige konferansen til Norsk Informasjonssikkerhetsforum.

Han og andre sikkerhetsforskere har sett nye utviklinger i skurkenes mønstre når det for eksempel gjelder kommando- og kontrollservere til botnett. Det har vært relativt lett for sikkerhetsforskere å stenge eller blokkere slike nettverk, men i det siste har skurkene begynt å bruke tjenester som Twitter og Facebook for å styre de kaprede zombie-maskinene.

Et annet eksempel er egenutviklede skytjenester som for eksempel skanner ondsinnede programmer mot populære antivirusleverandørers virusdefinisjoner.

- En ting du ønsker som kriminell, er at ingen skal oppdage programmene dine. Disse søketjenestene skanner de ondsinnede programmene dine og sier fra når leverandørene starter å oppdage dem, sier Ferguson.

Kontroll en utfordring

En undersøkelse viser at den største frykten ved nettskyen er sikkerhet. 87,5 prosent i undersøkelsen var urolig for dette. Sikkerhetsforskeren er ikke overrasket, men understreker at folk har forskjellig innfallsvinkel til sikkerhet. For direktørene mener han det er kontroll og ansvarlighet som står i førersetet. Og han er ikke i tvil om at det er mindre kontroll i nettskyen.

- I modellen for programvare som en tjeneste, hvor mye kontroll har du da? Ikke mye, sier han, selv om han legger til at infrastruktur som en tjeneste er en del sikrere.

Det store problemet er dataene. Hvordan sikre kontroll over disse? Og hvordan vise dine kunder at du har kontroll? Det er komplisert. Ferguson viser til en typisk nettskyleverandør, Amazon, hvis vilkårs meningsinnhold tilsier at du kan bruke det, du kan betale for det, men om noe går galt, er det ikke Amazons feil.

- Så hvordan skal man ha kontroll? Hva gjør du når du flytter fra ett selskap til et annet? Hvordan kan du være sikker på at dataene har blitt slettet? Hvordan kan jeg sikre at jeg er den eneste som kan se dataene?, spør han.

Fra innsiden og ut

En utfordring er at virtuelle maskiner gjerne opererer med delte ressurser. Bak brannmur og andre sikkerhetstiltak i det ytre perimeteret, gjelder laveste felles nevner. Til og med hypervisorene deler ressurser. Og gjerne dyttes du rundt fra hypervisor til hypervisor.

- Dette gir mange bekymringer. Det er for eksempel lett å stjele en virtuell maskin. Du kan legge en hel haug virtuelle servere på en minnepinne, sier Ferguson.

Han mener første skritt mot tryggere nettskyløsninger er å tenke innenfra og ut. Tradisjonelt sett bygges det opp et sterkt forsvar rundt serveren. Det er brannmurer, ulike skannere, innbruddsdetektorer også vidrere.

- I et mer dynamisk miljø virker ikke denne modellen lenger, for man vet ikke hva det ytre perimeteret er. Vi må begynne å tenke sikkerheten fra innsiden og ut. Det må fokuseres på å beskytte data. Vi trenger naturligvis brannmurer og alle de andre bra tingene også, men vi må endre punket vi begynner å tenke på, sier sikkerhetsforskeren.

Med en slik tankegang vil en virtuell maskin som flytter på seg fremdeles være sikker i et nytt miljø. Sikkerheten blir med det virtuelle maskinbildet på reisen.

Aldri gi bort krypteringsnøkkelen til nettskyleverandøren. Les videre på neste side!