Hur säker är molnet?

LinkedIns Andres Bang, Juniper's Gary Clark, Akamai's Tom Leighton, Emergence Capital's Gordon Ritter och Bloombergs Cristina Alesci

Hur säker är molnet? Ett antal paneldeltagare vid Bloomberg Enterprise Technology-toppmötet förra veckan talade om den frågan, särskilt i samband med Snowden-avslöjningarna och målbrottet. De flesta var hausse om offentliga molnleverantörers potential att erbjuda bättre säkerhet än nästan alla interna datatjänster. Ändå erkände även de mest optimistiska att många företag känner sig mer bekväma med mer kontroll över sina data.

Till exempel sa Andres Bang, chef för Global Sales & Operations Systems för LinkedIn, att hans företag var en stor kund av offentliga molntjänster och som sådan beroende av sådana leverantörer. Men, sade han, företaget behöll sin medlemsinformation på ett privat moln, så det hade mer kontroll. Gary Clark, IT CTO för Juniper Networks, sa att han ser många IT-avdelningar utvecklas till molntjänstmäklare, med 80 procent eller mer av sina applikationer i molnet, och resten på ett privat moln. I allmänna termer såg han företag hålla sin mest privata information internt.

Beroende på säkerhet i datacentret är en modell som håller på att misslyckas, enligt Tom Leighton, VD och medgrundare av Akamai Technologies. Det räcker inte att försvara dig själv enbart med produkter i datacentret; måste du avlyssna och bearbeta innan det går in i datacentret.

CIA: Du är "bara lika stark som din svagaste länk."

Gus Hunt, tidigare teknikchef för CIA

I en annan session noterade Gus Hunt, den tidigare teknikchef för Central Intelligence Agency (CIA) och nuvarande VD för Hunt Technology, att de stora molnleverantörerna alla har "riktigt suverän" säkerhet, eftersom de behöver det för att locka kunder. Han berättade om hur CIA använde Amazons moln, om än i en speciell kopia som Amazon hanterar bakom CIA: s väggar (som i sin tur är skyddade av vapen och annan fysisk säkerhet).

Men han noterade att säkerheten är "bara lika stark som din svagaste länk." Han förklarade att om du har en arbetsbelastning med en sårbarhet ovanför en molnleverantör, fortsätter dessa sårbarheter att existera. Men en sårbarhet i en arbetsbelastning påverkar inte andra i molnet. Så, sa han, att säkra dina egna arbetsbelastningar är fortfarande en kritisk uppgift.

Hunt sa att säkerhetsfrågan håller på att bli en "ofrivillig hård och svår sak" och sa att det var riktigt svårt för ett enskilt företag att ta reda på hur man skyddar sig. Så han såg uppkomsten av säkerhetsföretag som kommer att instrumentera ditt nätverk och kontrollera säkerheten. Men han sa att detta var ett "friktionslöst vapenras" med information som delades om saker som malware nästan omedelbart, vilket gör det svårare och svårare.

Till slut, sade han, kommer vi att fokusera mer på att skydda data än nätverk. "Det är uppgifterna, dumma, " sade han. Vi måste göra det så att det är svårt att hitta informationen. Men om någon kommer igenom måste det snabbt upptäckas och fixas.

På sikt sade Hunt att människor kommer att få mer kontroll över deras data och deras integritet, tack vare tekniker som kryptering och dekryptering och förmågan att förfalska platser. Det är bra för privata medborgare, sade han, men ställer stora utmaningar för brottsbekämpning. "Du kommer att kunna styra dina data till en fin kornpunkt."

Dämpande risk och "Snowden-effekten"

Wade Baker från Verizon Enterprise Solutions, Mike K. Brown från BlackBerry, Dr. Burt Kaliski Jr. från VeriSign, John N. Stewart från Cisco

John N. Stewart, Chief Security Officer för Cisco konstaterade att en fråga är att vi inte har en bra definition av bra eller dålig i företagssäkerhet, så det är svårt att jämföra säkerhet från en molnleverantör till ett företagsmoln. Och Wade Baker, chef för forskning och intelligens vid Verizon Enterprise Solutions, sa att även om säkerhetsproblem kan inträffa i molnet spelar det ofta ingen roll eftersom det sällan orsakas av molnet.

Burt Kaliski, Chief Technology Officer för VeriSign, tog också upp konceptet att flytta till ett "informationscentriskt tillvägagångssätt", med många mekanismer för skydd, men hålla det mesta av detta osynligt för slutanvändaren.

Enligt Stewart får molnsäkerhet bara "alla synder som vi inte löste" i förgrunden, med hänvisning till problem som användarnamn och lösenord. Han sa att företagen var för fokuserade på omkretsen - den "hårda crunchy utsidan" - inte på mitten av deras data, och att det måste förändras. Han noterade att skyddet av uppgifterna har fått ett dåligt rykte med DRM, men det kan visa sig vara mycket viktigt. Men han varnade, "de flesta användare bryr sig inte om risk, de bryr sig om att göra sitt jobb på det mest effektiva sättet."

Det finns många andra viktiga faktorer i företagssäkerhet, sade Kaliski, inklusive bra informationshantering, med fokus på förtroendet för alla delar i ett system, revision och nyckelhantering.

Alla var överens om att "Snowden-effekten" har väckt uppmärksamhet på säkerhetsfrågor, eftersom många internationella konsumenter nu ser USA som onda, medan andra tror att det betyder att USA vet hur man fixar saker.

Raimund Genes of Trend Micro, Rick Howard från Palo Alto Networks, Cedric Leighton före detta NSA, Michael Riley från Bloomberg News

Ett annat möte just om effekterna av Snowden följde, med den största oroen att detta ledde till "tribalisering av Internet", enligt överste Cedric Leighton, tidigare biträdande direktör för utbildning vid NSA och nu VD för Cedric Leighton Associates. Han noterade att Internet var designat för att vara globalt, men nu hör vi till saker som ett "tyskt moln" eller ett "schweiziskt moln" förutom "Kinas stora brandvägg." Snowdens avslöjanden har fungerat som en ursäkt för att renationalisera saker, sa han, och detta gör en betydande otjänst för världen och Internet, med många oavsiktliga konsekvenser.

Raimund Genes, Chief Technology Officer för Trend Micro, konstaterade att Snowden också inledde en diskussion om säkerhet i allmänhet. "Om Snowden kan få dokument från NSA, vad säger det om vår bransch?" han frågade. Han talade om hur svårt det var att lita på interna entreprenörer och behovet av att skapa ett säkrare internet i allmänhet och sa att han tyckte att regeringen hade en roll.

Han enades om att "Internet skapades för att vara globalt" och sade att några av de nya europeiska reglerna som syftar till att hålla data i dess ursprungsland eller region är löjliga.

Medan han och Leighton båda enades om att regeringen hade en roll i att göra Internet säkrare, sade Rick Howard, Chief Security Officer för Palo Alto Networks, att hela incidenten bevisade att branschen har gjort ett bra jobb med att tillhandahålla säkerhet, och sade leverantörer som väl måste vara bättre om att bygga säkerhet till fler lösningar. "Kunder måste vara försäkrade oavsett vad regeringen gör, " sade han.