onsdagen den 30:e december 2009

Lärdomar från Amazon och säkerhet

För några veckor sedan rapporterade Cloud advisor om den botnet som huserade i Amazons EC2-tjänst. Jag har följt Amazons arbete med att återställa ordningen och återger här några milstolpar i kronologisk ordning.

Ett första uttalande från säkerhetsteamet på Amazon innehöll följande citat:

"...Our terms of usage are clear and we continually monitor and work to make sure the services aren't used for illegal activity. We also take the privacy of our customers very seriously, and don't inspect their instances..."

Givetvis är det viktigt att hålla fast vid sina kunders integritet och här visar Amazon prov på hög integritet. Amazon visar tydligt prov på att de förstår, och respekterar, kampen mellan högre säkerhetsåtgärder och integritetsfrågan. I nästa mening fortsätter talespersonen:

"It's also important for developers who leverage cloud services to use the same security best practices that they would if they were operating in their own data center or a collocation facility. We provide security best practices to help customers protect themselves from malicious users inside or outside of the cloud."

Här ligger en nyckel i framgångsrik och säker väg mot molndrift: Att säkerställa god informationssäkerhet genom att vara en mogen kravställare. Det här handlar om informationssäkerhetsarbete, policydrivande åtgärder, riskanalyser och konstant uppföljning.

Ett par dagar efter att botnätet avslöjades kom en enkel säkerhetsbulletin från Amazon. Därefter har man fortsatt med "business as usual".

Jag måste ge en eloge till teamet på Amazon. De har agerat professionellt och visat på vikten att representera den personliga integriteten och hur de handlar handfast när missbruk sker. I alla öppna landskap (digitala såväl som analoga) är friheten stor, men kommer ändå med ett pris: Öppenhet kan, och kommer att, missbrukas av mindre nogräknade banditer. Amazon visar på att de inte går i någon fälla med krav på total säkerhet och det som ett svepskäl att köra över allt det andra. Personligen anser jag Amazon agera föredömligt och applåderar deras budskap.

onsdagen den 16:e december 2009

Nationellt kompetenscenter kring molnen formeras

Cloud Sweden är namnet på initiativet. Målsättningen är att etablera ett nationellt nav som sätter landet Sverige i förarstolen när det gäller molnutvecklingen. Cloud Sweden drivs ihop med Dataföreningen Sverige för att säkra oberoendet.

En flytt närmare molnen innebär en hel del och frågeställningarna är många. I USA pågår mängder med initiativ för att etablera standarder och skapa policyramverk kring molnen. Cloud Sweden kommer att vara en kompetenskanal för hela Sverige. Alla som har intresse kring molnen och brinner för frågorna är välkomna. Det kan röra:


  • Teknik
  • Juridik
  • Verksamhetsutveckling
  • Arkitektur
  • Entreprenörskap
  • Användarfrågor

Känner du dig träffad? Gå med i Cloud Sweden på LinkedIn och börja din resa med oss. Just nu samlas ett kärnteam som planerar för en stor kick-off i februari 2010.


cloudsweden.jpg

Länkar:

Cloud Sweden på LinkedIn

Cloud Swedens blogg

Cloud Sweden på Twitter

Dataföreningen

tisdagen den 15:e december 2009

Beslutsträdet, del 3 - riskhantering

Det här avsnittet är i grunden tydligare än övriga delar i serien. Riskhanteringen uppfinns inte på nytt. Istället är det mängder av etablerade modeller som fortsättningsvis kommer att utgöra grunden för effektiv riskhantering. Därför utgår jag först från det vi redan gör (eller borde göra).

Modell från insidan

En enkel modell finns illustrerad nedan:







































Bild1. Redan etablerad process för riskhantering är tillämplig.

När det gäller riskhanteringen i fallet med molnen är det flera nya områden som ska bedömas, värderas och hanteras. Illustrationerna nedan går igenom förändringen som vi står inför.


Bild 2. Funktionell bild för en intern IT-miljö.


 


Bild 3. I och med molnen öppnas flera vägar.


 

Bild 4. Funktionell vy över en möjlig arkitektur.
 




Bild 5. Nu gäller det att riskhantera i flera led.

 
Riskhanteringen mot molnen är att tänka i flera dimensioner. Framförallt handlar det om att upprätta en beskrivning av nyckelparametrar (eller Key Performance Indicators, KPI) och enas med sina molnpartners (även outsourcingpartners) om dessa. Genom att ha en gemensam terminologi, målbild och parametrar som avgör när en incident har inträffat har mycket uppnåtts. En simulering av incidenter och påföljande insatser med befälsordningar, incidentteamsamverkan och liknande kan vara en mycket god investering. Givetvis går det inte att motivera den formen av upplägg med varje enskild molnleverantör. Men, i de fall organisationen lägger ut delar av sin infrastruktur och datalagring i molnet finns det stora vinster att hämta genom förfarandet.

Avslutningsvis kommer här den del av beslutsträdet som rör Riskhanteringen.


torsdagen den 10:e december 2009

Zombienätverk styrdes från Amazons moln – Computer Sweden

2009 december 10
by cloudsweden

Zombienätverk styrdes från Amazons moln – Computer Sweden.

Givetvis utforskar de digitala huliganerna möjligheterna i molnen. Den här uppmärksamheten är viktig i ett tidigt skede och väcker frågor om var någonstans skadlig kod ska stoppas. Vi vet att matchen är över när det gäller effektiva skydd mot skadlig kod i de säkerhetslösningar som finns idag. Jag vet också att säkerhetsföretagen vet det och gör mängder av försök att flytta fram sina positioner, men det sker inte över natten. Därför blir det en intressant policydiskussion kring framtida skydd, tekniskt såväl som administrativt och reaktivt.

onsdagen den 9:e december 2009

Molnbarometer mot högtryck

Computer Sweden rapporterar i en artikel analysföretaget Exidos IT-barometer. Det är luft under vingarna för molnen och tjänsterna kring molnen. Det visste nog både du som läser det här och jag som skriver, men det är alltid spännande att få lite konkreta nyckeltal att relatera till. Med start 2010 kommer ett stort antal affärer att göras.

Länkar:



Läs även andra bloggares åsikter om , ,


fredagen den 4:e december 2009

Beslutsträd, del 2 - Teknikpolicy

Den här andra delen (av fyra) handlar om formuleringen av en teknikpolicy avseende molnet. Det finns stora skillnader i mognadsgrad för alla våra organisationer. Många är föregångare med formulerade visioner, strategier och policies avseende IT-användning, oavsett vilken part som driftar/leverar tjänsterna. De organisationerna har även avsatt återkommande revisioner av sina styrdokument för att på så vis ständigt skruva till lösa skruvar. Det kostar givetvis att ligga i framkant och ha rigorösa processer, men för föregångarna skulle alternativet kunna vara förödande för fortlevnaden. På andra sidan av skalan finns de organisationer som driver IT mest som en serie slumpvisa konsekvenser, utan någon som helst styrning. Det som jag anser är häftigt med brytpunkten vi står inför med molnen är att alla på skalan har något att hämta hem. Ta bara det senare exemplet: I en miljö som växer slumpvis uppstår förr eller senare ett licenskaos som kostar en massa kronor. Dessutom uppstår en ineffektivitet i informationsbehandlingen och mycket tid/möda läggs på att hitta information, istället för att vara produktiv med den senaste informationen. Säkerhetsriskerna är överhängande. En kort strategisk genomgång av nuläge och en enkel formulering av teknikpolicy kan göra underverk och snabbt ge en kostnadsbesparing som gör hela övningen till en vinst.

Här kommer lite handfasta tips om en mall för en teknikpolicy.

Plattformen först

En bra början på arbetet kan starta med plattformen, eller grunden om så önskas. För att kunna göra några mogna överväganden beror plattformsarbetet på vilka applikationer som organisationen är beroende av. E-post, kundhantering, OLF-system, samarbetsplattformar, webbpublicering/intranät, kontorsapplikationer, arbetsflödeshantering och en hel mängd andra tillämpningsområden kan vara avgörande för organisationen helt beroende på storlek, verksamhet, geografi med mera. Här finns det en poäng att rita upp organisationens informationsflöde för att därefter sätta rätt tillämpning mot relevant funktion. Det behöver inte vara superavancerat och ett enkelt exempel finns i bild 1.




















Bild 1. En enkel skiss på flöden och horisontella stödfunktioner.


Nu har du kommit en bra bit på väg och kan då börja med att titta på operativsystemen som ska köras på servrar och klienter. För att skapa dig en automatiserad plattform med dynamisk hantering av resurser blir virtualiseringsmotorn enormt viktig. Därför är det kanske än viktigare att förstå vilken virtualiseringsplattform du vill satsa på och då ger sig valet av operativsystem på serversidan. Klientsidan är beroende av sättet du ska tillhandahålla verksamhetstillämpningar, lagring, nätåtkomst, fjärråtkomst och liknande funktioner. Hittills har debatten handlat om "tjocka" respektive "tunna" klienter, men nu har det utökats med virtualiserade klienter, mobila klienter och helt molnbaserade klienter. Den som har ett systemarv sedan tidigare behöver göra ett grundligt arbete för att satsa på rätt "häst". Den som inte har samma arv behöver ändå tänka igenom valet noggrannt.

Valet av databasmotor faller sig naturligt baserat på de tillämpningar man kör och den eventuellt egna utvecklingsplattformen som man utvecklar tillämpningar på.

Tänka i två led

I en ny och expansiv nisch, som molnen ändå måste anses vara, sker en massiv utveckling som ibland drar åt helt olika håll. I dagsläget sker en del insatser om att enas om vissa grundläggande standarder. Initiativen syftar till att skapa gemensamma gränssnitt för olika molnleverantörers tjänster så att deras kunder enkelt kan flytta information/tillämpningar mellan sig och leverantören, samt även kunna byta leverantör enkelt. Ditt arbete idag är att formulera hur din information hanteras logiskt och hur lagringsformaten ser ut. Syftet är att formulera kraven på dataformat, maskinimages, lagringsnät och applikationslogik så att du har full portabilitet och interoperabilitet. På så vis undviker du inlåsning till en specifik leverantör och säkerställer att din information kan tas hem smidigt och i nästa led på nytt läggas hos en annan leverantör.

Säkerhet i andra dimensioner


Nu har du kommit en så pass god bit på vägen att säkerhetsfrågorna naturligt har väckts i tanken. Den grundläggande säkerhet du kommer att behöva handlar om att förstå vilken information som ska skyddas och i vilka nivåer. Det handlar om personinformation som måste skyddas enligt lagstiftning, information som går under specifika regleringsramverk och organisationskritisk information. Genom din kartläggning av applikationer, datalagring, databas, OS, virtualiseringsplattform, klientplattform och annat som du har tydliggjort finns nu en tydlig säkerhetskarta. Utifrån den skapar du en policybeskrivning och kravställan på skyddsåtgärder.

De tillämpningar och information som du hanterar i egen regi behöver skyddas i flera nivåer, så kallad säkerhets på djupet. Den funktionalitet som du lägger ute i molnet kopplar du ett antal Key Performance Indicators mot och ställer de kraven på leverantören. Allt görs givetvis med ett avtal som tillåter dig att följa upp och revidera hur väl dina KPIer efterlevs. En viktig del är att säkerställa att du får kontinuerlig tillgång till systemloggar på de system som behandlar din information.

Slutligen gäller frågan om hanteringen av behörigheter mellan dina tillämpningar som snurrar i egen regi och de tillämpningar som du kör i molnet. Personligen är jag helt övertygad om att så kallad "claims-based" identity management är enda hållbara vägen framåt. Det hela handlar om att skapa ett auktoritativt system som säkert identifierar en användare (eller applikation) och utfärdar en resehandling liknande ett pass som användaren (applikationen) kan presentera vidare för att få tillträde.

Slutligen vill jag ge dig ett råd: Du kommer att få höra saker som att "molnet är osäkert" och att "du inte kan lita på leverantören". Givetvis är det ytterst viktigt att kolla upp den du ska göra affärer med. Men, när det kommer till osäkerhet är det många gånger så att molnleverantörens system är bättre säkrade än dina egna. De realistiska riskerna ligger på ett annat plan.

















Nyttiga länkar kopplade till artikeln:

Klientplattform
Operativsystem
Virtualisering
Ett fenomenalt papper om identiteter i molnet

Läs även andra bloggares åsikter om , , , ,

torsdagen den 3:e december 2009

Fantastiskt 2010 väntar molnvänner

Har precis avslutat en sittning på Bååtska Palatset och tagit del av Radar Groups rapport om IT-budgetar 2010. Till att börja med är deras arbete med att ta fram rapporten att beundra. En stor eloge till alla på Radar Group!

Det serverades en hel del tal, procentsatser och slutsatser. Alldeles för mycket för att kunna återge allt på ett vettigt sätt. Ett antal nyckelpunkter som jag tog fasta på är:

- IT-budgeterna 2009 minskade från 156 miljarder kronor året innan till 144 miljarder under innevarande år.
- Från den positionen räknar Radar Group med att IT-budgetarna ökar med 1,4 % under 2010 (en tiondels procentenhet än förväntad ökning i BNP).
- 2009 frystes alla utvecklingsprojekt och förvaltningen/driften av befintlig IT ökade från 70 % 2007 till 85% under innevarande år. Nästa år räknar Radar Group med att förändringsprojekten kommer att öka i ett pengavärde som motsvarar 5 procentenheter (från 15 till 20% av totala budgeterna).
- Radar Group har fått tydliga indikationer på ett alltmer utbrett missnöje över mjukvarulicenser som uttrycks från alla intervjuade.
- Stora vinnare under 2010 är outsourcingföretag och molnleverantörer. Outsourcing förutspås att växa med 10 % och köpet av molntjänster med 18 %.
- Radar Group berättade att ett trendbrott har skett: Flera kunder är nöjdare med sina outsourcingleverantörer än tidigare. Men, endast 10 % av kunderna anser att det är lätt att byta till en annan leverantör (samtidigt som 30% har flyttat).
- Under 2011 och 2012 kommer molnet att på allvar utmana outsourcingleverantörerna som redan nu behöver vara förberedda.

Efter dragningen fick vi en mycket uppskattad visning av Riddarsalen i Bååtska Palatset och en berättelse om frimurarna.

Länkar:

Radar Group
Bååtska Palatset
Frimurarna
Outsourcing
 

onsdagen den 2:e december 2009

Snubblade över snubblande bra beskrivning

Hamnade på Y Combinator av en ren slump då jag delade med mig av en produkt och tjänst som jag har definierat. Där hittar jag en lista med 30 affärsidéer som den här inkubatorn tror på. På plats nummer fyra står det så här:

4. Outsourced IT. In most companies the IT department is an expensive bottleneck. Getting them to make you a simple web form could take months. Enter Wufoo. Now if the marketing department wants to put a form on the web, they can do it themselves in 5 minutes. You can take practically anything users still depend on IT departments for and base a startup on it, and you will have the enormous force of their present dissatisfaction pushing you forward.


Cloud Advisor delar uppfattningen att molnen sätter eld i baken på IT-avdelningarna, vilket är bra. Att vara utsatt för stark konkurrens är ett vitaminpiller.

Länkar:

Y Combinators ideer

Min egen produkt, Game4Health beskriven

Läs även andra bloggares åsikter om , ,