Hvor sikker er skyen?

LinkedIn's Andres Bang, Juniper's Gary Clark, Akamai's Tom Leighton, Emergence Capital's Gordon Ritter og Bloombergs Cristina Alesci

Hvor sikker er skyen? Et antal paneldeltagere på sidste uges Bloomberg Enterprise Technology Summit talte om dette emne, især i kølvandet på Snowden-afsløringerne og målbruddet. De fleste var bullish med hensyn til potentialet hos offentlige skyudbydere til at tilbyde bedre sikkerhed end næsten enhver intern datatjeneste. Alligevel anerkendte selv den mest optimistiske, at mange virksomheder føler sig mere komfortable med mere kontrol over deres data.

For eksempel sagde Andres Bang, chef for Global Sales & Operations Systems for LinkedIn, at hans firma var en stor kunde af offentlige skytjenester og som sådan afhængig af sådanne leverandører. Men, sagde han, virksomheden opbevarede sine medlemsoplysninger på en privat sky, så det havde mere kontrol. Gary Clark, IT CTO for Juniper Networks, sagde, at han ser mange it-afdelinger udvikle sig til sky servicemæglere, med 80 procent eller mere af deres applikationer i skyen, og resten på en privat sky. Generelt set han virksomhederne holde deres mest private oplysninger internt.

Afhængig af sikkerhed i datacentret er en model, der er ved at fejle, ifølge Tom Leighton, administrerende direktør og medstifter af Akamai Technologies. Det er ikke nok at kun forsvare dig selv med produkter i datacentret; skal du aflytte og behandle, inden det går ind i datacentret.

CIA: Du er "Kun så stærk som dit svageste link."

Gus Hunt, tidligere Chief Technology Officer for CIA

I en anden session bemærkede Gus Hunt, den tidligere Chief Technology Officer for Central Intelligence Agency (CIA) og den nuværende administrerende direktør for Hunt Technology, at de store skyudbydere alle har "virkelig fremragende" sikkerhed, fordi de har brug for det for at tiltrække kunder. Han talte om, hvordan CIA brugte Amazons sky, omend i en speciel kopi, som Amazon styrer bag CIAs vægge (som igen er beskyttet af kanoner og anden fysisk sikkerhed).

Men han bemærkede, at sikkerhed er "kun så stærk som dit svageste led." Han forklarede, at hvis du har en arbejdsbyrde med en sårbarhed på toppen af ​​en skyudbyder, fortsætter disse sårbarheder. Men en sårbarhed i en arbejdsbyrde påvirker ikke andre inden for skyen. Så, sagde han, at det er en kritisk opgave at sikre din egen arbejdsbyrde.

Hunt sagde, at sikkerhedsspørgsmålet bliver en "ufravigelig hård og vanskelig ting" og sagde, at det var virkelig svært for et enkelt firma at finde ud af, hvordan man beskytter sig selv. Så han så fremkomsten af ​​sikkerheds-som-en-service-virksomheder, der vil instrumentere dit netværk og kontrollere sikkerhed. Men han sagde, at dette var et "friktionsløst våbenløb" med information, der blev delt om ting som malware næsten øjeblikkeligt, hvilket gør det mere og mere vanskeligt.

I sidste ende, sagde han, vil vi fokusere mere på at beskytte data end netværk. ”Det er dataene, dumme, ” sagde han. Vi er nødt til at gøre det så det er svært at finde dataene. Men hvis nogen kommer igennem, skal det hurtigt opdages og rettes.

I det lange løb sagde Hunt, at folk vil få mere kontrol over deres data og deres privatliv, takket være teknikker som kryptering og dekryptering og muligheden for at forfalske placeringer. Det er fantastisk for private borgere, sagde han, men udgør store udfordringer for retshåndhævelse. "Du vil være i stand til at kontrollere dine data til et fint kornpunkt."

Formildende risiko og "Snowden-effekten"

Wade Baker fra Verizon Enterprise Solutions, Mike K. Brown fra BlackBerry, Dr. Burt Kaliski Jr. fra VeriSign, John N. Stewart fra Cisco

John N. Stewart, Chief Security Officer for Cisco bemærkede, at et spørgsmål er, at vi ikke har en god definition af godt eller dårligt inden for virksomhedssikkerhed, så det er svært at sammenligne sikkerhed fra en skyudbyder til en virksomhedssky. Og Wade Baker, administrerende rektor for forskning og intelligens hos Verizon Enterprise Solutions, sagde, at selv om sikkerhedsproblemer kan ske i skyen, betyder det ofte ikke noget, fordi det sjældent skyldes skyen.

Burt Kaliski, Chief Technology Officer for VeriSign, bragte også op konceptet om at flytte til en "informationscentrisk tilgang" med masser af beskyttelsesmekanismer, men at holde det meste af dette usynligt for slutbrugeren.

Ifølge Stewart bringer skysikkerhed bare "enhver synd, som vi ikke løste", på forkant, idet det nævnes problemer som brugernavne og adgangskoder. Han sagde, at virksomhederne var for fokuserede på omkredsen - den "hårde crunchy udenfor" - ikke på midten af ​​deres data, og at det måtte ændre sig. Han bemærkede, at beskyttelsen af ​​dataene har fået et dårligt omdømme med DRM, men det kunne vise sig at være meget vigtigt. Men han advarede, "de fleste brugere er ligeglade med risiko, de er interesserede i at få gjort deres job på den mest effektive måde."

Der er mange andre vigtige faktorer i virksomhedssikkerhed, sagde Kaliski, herunder god informationsstyring, der fokuserer på tillid fra alle elementer i et system, revision og nøglestyring.

Alle var enige om, at "Snowden-effekten" har vakt opmærksomheden på sikkerhedsspørgsmål, hvor mange internationale forbrugere nu betragter USA som onde, mens andre mener, at det betyder, at USA ved, hvordan man løser ting.

Raimund Genes of Trend Micro, Rick Howard fra Palo Alto Networks, Cedric Leighton tidligere fra NSA, Michael Riley fra Bloomberg News

En anden session, der netop fulgte med virkningen af ​​Snowden, fulgte med den største bekymring, at dette førte til "tribalisering af Internettet", ifølge oberst Cedric Leighton, tidligere viceadministrerende direktør for uddannelse på NSA og nu administrerende direktør for Cedric Leighton Associates. Han bemærkede, at Internettet var designet til at være globalt, men nu hører vi om ting som en "tysk sky" eller en "schweizisk sky" ud over den "store firewall i Kina." Snowdens åbenbaringer har tjent som en undskyldning for at renationalisere tingene, sagde han, og dette gør en betydelig bjørnetjeneste for verden og Internettet med mange utilsigtede konsekvenser.

Raimund Genes, Chief Technology Officer for Trend Micro, bemærkede, at Snowden også indledte en diskussion om sikkerhed generelt. "Hvis Snowden kan få dokumenter ud af NSA, hvad siger det så om vores branche?" spurgte han. Han talte om, hvor svært det var at stole på interne entreprenører og behovet for at skabe et mere sikkert internet generelt og sagde, at han troede, at regeringen havde en rolle.

Han var enig i, at "Internettet blev skabt til at være globalt" og sagde, at nogle af de nye europæiske regler, der er designet til at holde data i dets oprindelsesland eller region, er latterlige.

Mens han og Leighton begge enige om, at regeringen havde en rolle i at gøre Internettet mere sikkert, sagde Rick Howard, Chief Security Officer for Palo Alto Networks, at hele hændelsen beviste, at branchen har gjort et godt stykke arbejde med at stille sikkerhed, og sagde leverandører som skal være bedre om at opbygge sikkerhed i flere løsninger. ”Kunder skal være sikre, uanset hvad regeringen gør, ” sagde han.