Computerworld News Service: Med de traditionelle outsourcing-modeller placerer en kunde sine egne servere i andres datacenter, eller en tjenesteleverandør administrerer udstyr som er dedikeret til kunden. Men multi-tenancy, hvor flere kunder bruger virtualiseringer af det samme software eller fysiske servermiljø, står på dagens menu, når det kommer til cloud computing.
Derfor ved kunder ikke altid, hvor deres data lagres, eller hvordan de replikeres, skriver analytiker hos Forrester Chenxi Wang i en rapport ved navn "How secure is your cloud?".
"Cloud computing kobler data fra infrastrukturen og slører detaljerne om driften på lavt niveau, såsom hvorhenne dine data befinder sig, og hvordan de bliver replikeret," skriver Wang.
"Selvom multi-tenancy sjældent bruges ved traditionel it-outsourcing, så er det næsten givet på forhånd ved cloud computing. Ud af disse forskelle springer et unikt sæt af sikkerheds- og privacy-problemer, der ikke kun påvirker din risikostyringspraksis, men som også har givet anledning til en genvurdering af juridiske spørgsmål inden for områder som compliance, revision og eDiscovery."
Efter fremkomsten af software-as-a-service sammen med web-baserede platforme til at bygge applikationer samt til hosting af servere og storage er der mange brancheanalytikere, der forsøger at holde styr fordele og ulemper ved cloud computing.
Wang bemærker, at Electronic Privacy Information Center for nylig indgav en klage over Google til U.S. Federal Trade Commission, om at søgegigantens sikkerheds- og privacy-kontrol er utilstrækkelig.
Wang citerer Boeings chef-sikkerhedsarkitekt, Steve Whitlock, for at have sagt:
"Ligesom mange andre ser vi enorme potentialer og fordele ved at bruge 'skyen', men vi ser også risici, sikkerhedsproblemer og spørgsmål om interoperabilitet. Der er meget, der skal gøres, før cloud'en er et sikkert sted at samarbejde."
Whitlock er også bestyrelsesmedlem for brancheorganisationen Jericho Forum, der undersøger nedbrydningen af netværksgrænserne. Selvom det er besværligt at sikre applikationer og data i cloud'en på grund af manglen på gennemsigtighed og kontrol, så bør kunder gøre sig den umage at evaluere cloud-leverandørers sikkerheds- og privacy-praksis, anbefaler Wang.
"Virksomheder er nødt til at overveje følgende aspekter: Databeskyttelse, identitetsstyring, sårbarhedsstyring, fysisk og personale-sikkerhed, applikationssikkerhed, beredskab og privacy-foranstaltninger," skriver hun.
For eksempel bør kunder søge informationer om leverandørens system til kryptering, hvordan leverandøren beskytter lagret data og data i brug, dokumentation fra leverandøren, der er tilgængelig for revisorer, procedurer til autentifikation og adgangskontrol samt om leverandøren har tilstrækkelige foranstaltninger til adskillelse af data og til at forhindre brud på datasikkerheden.
Der er stadig mange spørgsmål, der skal findes svar på ikke kun angående sikkerheden inden for cloud computing men også angående ansvarspådragelse. For at undgå de værste faldgruber har kunder brug for at indgå service-level agreements, der udspecificerer et sæt "detaljerede vilkår og konsekvenser i forhold til erstatningsansvar," skriver Wang.
"Det faktum, at lovgivningen ikke behandler data i cloud'en lige som data, der er ligger lokalt, fører til komplicerede forhandlinger om erstatningsansvar," advarer hun.
Oversat af Thomas Bøndergaard
