Hvad er Cloud Security ?

Cloud Computing og de tre *aaS modeller

Selvom der endnu ikke findes en fast definition af Cloud Computing, er der to hovedpunkter der altid indgår i Cloud Computing løsninger:

Offentlig forsyningsmodel for forbrug
Hardware og software ejes af Cloud leverandøren og er delt mellem mange kunder. På samme måde som man i en husholdning kun betaler for det vand og den strøm husholdningen bruger, så betaler man kun for det antal timer man bruger en CPU, den mængde udadgående trafik man generer, eller for det antal IP-adresser man tester. Når man ikke længere bruger en ressource betaler man ikke længere for den.
Nogle Cloud-løsninger, typisk indenfor SaaS, kan dog også have en ”pr. bruger” betalingsmodel.

Dynamiske ressourcer / elasticitet
Da ressourcerne lejes kan kunden hurtigt op- og nedskalerer sit forbrug, normalt via selvbetjening, uden større forhandling med leverandøren. I langt de fleste tilfælde kræver en opskalering bare online betaling med et kreditkort.

Det vil sige ...
Dvs. Cloud Computing er en form for outsourcing hvor man ikke investerer i egen infrastruktur, hardware eller software. Man får "alt hvad man kan spise, og betaler pr. mundfuld".

Hvis en organisation f.eks. normalt har behov for at opbevare 50 MB data, men i én måned om året skal håndtere 500 MB er det, hvis man kan gemme sin data i Skyen, ikke nødvendigt at betale for at skalerer løsningen til 500 MB. Man betaler for 50 MB i 11 måneder og for 500 MB i den sidste, derefter kan man gå direkte tilbage til 50 MB.
For at kunne vurdere sikkerheden i en Cloud løsning må man forstå hvordan den Cloud-løsning man overvejer egentlig er organiseret.

De tre *aaS modeller
Der er 3 fundamentale modeller for at levere Cloud Service, modellerne bygger oven på hinanden :
Infrastruktur som en tjeneste (IaaS)
Platform som en tjenste (PaaS)
Software som en tjenste (SaaS)

Cloud Infrastruktur som en Tjeneste (IaaS)
IaaS leverandøren tilbyder kunderne netværk (routere, load balancing, firewalls, servere etc.), storage, regnekraft og andre fundamentale computer ressourcer.
IaaS kunden kontrollerer selv operativ systemer og hvilke applikationer der skal køre på de lejede infrastruktur komponenter. I nogle tilfælde har kunden dog også mulighed for selv at kontrollerer dele af infrastrukturen, f.eks. firewall-regler for egne systemer.

Cloud Platform som en tjeneste (PaaS)
PaaS leverandøren stiller infrastruktur og operativ systemer, typisk som Virtuelle Maskiner, til rådighed. Kunderne får derved mulighed for udvikle og/eller deploye egne applikationer på de lejede operativ systemer med tilhørende servere.
Kunden kontrollerer kun egne applikationer. I nogle tilfælde kan kunden dog også kontrollere (typisk begrænsede) dele af konfigurationen af infrastruktur og de operativ systemer kunden benytter.

Cloud Software som en Tjeneste (SaaS)
Her stiller Cloud leverandøren sine applikationer til rådighed for kunden. Applikationerne er normalt tilgængelige for kunden via tynde klienter, ofte webbrowsere, og Cloud leverandøren kontrollerer infrastruktur, platform og applikationen.
Kunden har normalt ingen kontrol over de underliggende systemer. Der kan dog være begrænsede muligheder for bruger specifikke konfigurationer i applikationerne.


Forstå forholdet - og afhængighederne
Der findes mange andre *aaS Cloud tjenester, men de fungerer alle som undergrupper:
”Storage as a Service” er en undergruppe til Iaas (infrastruktur), ”Database as as Service” er en undergruppe til PaaS (platform), ”Security as a Service”, f.eks. Sårbarhedsscanninger som en Tjeneste, er en undergruppe til SaaS (software).

Cloud security
For at kunne vurdere sikkerheden i en Cloud løsning er det først og fremmest vigtigt af forstå forholdet - og afhængighederne - imellem de tre aaS modeller - IaaS, PaaS eller SaaS.
Tjenesterne bygger oven på hinanden, og jo længere nede tjenesten stopper, jo mere sikkerhedsansvar vil kunden, alt andet lige, selv være ansvarlig for at implementere og håndtere løbende.

Modsat kan det være svært for kunden at bygge ekstra sikkerhed ind i en SaaS-løsning, hvis sikkerheden ikke er tilstrækkelig, da alle underliggende systemer styres af leverandøren.


Men Cloud tjenester leveres på en række forskellige måder. Leverance-modellen bestemmer bl.a. hvem - og hvor mange - der potentielt har adgang til tjenesterne i en sky:

1. Offentlige skyer (åbne skyer)
Offentlige skyer er det de fleste forbinder med Cloud Computing, dvs infrastruktur og software er placeret hos en Cloud tjensteudbyder. Ressourcerne leveres og håndteres af Cloud leverandøren og deles, med forskellige variationer, af mange forskellige kunder.
Ressourcerne er således offentligt tilgængelige

2. Private skyer (lukkede skyer)
En lukket, eller privat sky er dedikeret til en enkelt kunde og kan fysisk være placeret hos kunden selv eller hos en hosting partner, evt som "virtuelle private skyer". En privat cloud-løsning skal stadig udnytte skyens muligheder for dynamiske ressourcer/elasticitet og Cloud betalingsmodellerne for at kunne regnes som en Cloud-løsning.
Adgangen til ressourcer er begrænset til udvalgte brugere, på samme måde som adgangen til interne netværk i almindelige ”ikke-Cloud-løsninger” er begrænset.

3. Hybrider
Hybride skyer er en kombination af offentlige og private skyer. Man benytter forskellige løsninger, der gør det muligt at udveksle information på tværs af både offentlige og private skyer. Hybrid modellen benytter udvidede ledelses- og sikkerhedskontroller for at understøtte de forskellige Cloud løsninger.
Brugere af hybride skyer kan derfor være både trustede og untrustede.

4. Gruppeskyer (Community skyer)
Der er mange andre variationer over offentlig/private sky temaet, men de dækker alle over næsten det samme. Gruppeskyer (Community Clouds) er således private skyer der deles af flere organisationer med 'noget' tilfælles, f.eks. organisationer med samme sikkerhedskrav eller organisationer med samme mission.
"Government Clouds", dvs statslige- eller fælleskommunale skyer, er lukkede Gruppeskyer for den offentlige sektor i et land.

Sky stabling
Vær opmærksom på at nogle leverandører stabler skyer oven på skyer
I nogle situationer kan en SaaS software leverandør f.eks. leje operativ systemer hos en Cloud leverandør, der selv er afhængig af infrastrukturen hos en – eller flere – andre infrastruktur leverandører.
Kompleksiteten og afhængigheder kan hurtigt øges betragteligt, hvis en enkelt af skyerne er nede kan det påvirke tilgængeligheden for alle kunder.