1. Fysisk säkerhet

Den första uppgiften för att säkerställa säkerheten är att se till att obehöriga inte kan få fysisk tillgång till maskinerna. Om någon kan ansluta extern hårdvara, konfigurera om systemet, eller få kontroll över systemstarts-cykeln, har man förlorat en stor del av säkerheten. I en molnbaserad tjänst, behöver du inte oroa dig för detta på serversidan. Det är leverantörens jobb.
Även om det funnits enstaka intrång i molntjänster under åren har molnleverantörerna lyckats etablera täta verksamhetsgrupper - och de flesta behandlar sina interna säkerhetsrutiner med samma nivå som kritiska affärshemligheter. Detta innebär att du troligtvis inte kan få alltför detaljerad information för utvärdering av leverantörens säkerhetsrutiner. Men med en ansedd leverantör kan du lita på att de gör sitt jobb.

2. Identitetshantering

Nästa punkt som du bör titta på är identitetshantering i och över molnen. De saker som du bör titta närmare på inkluderar styrka för lösenord, svart- och vitlistning för ip-adresser, schemalagda tider för inloggning, två nivåers autentisering etc. Praktiskt taget all den säkerhet du är van vid för interna it-system. De flesta leverantörer av molntjänster bör ha funktioner för detta, åtminstone via tilläggsfunktioner.
Det bör även finnas rutiner för hantering av rättigheter. Det bör finnas automatiska funktioner som påminner administratören när användares rättigheter bör ses över eller slås av.
Du bör också sträva efter är att göra identifieringsprocessen så smidig som möjligt för användarna. Bygger din molnstruktur på tjänster från olika leverantörer är tekniker som 'single sign-on' (sso) värda att titta närmare på.

3. Kryptering

Kryptering är en uppenbar förutsättning för alla typer av molnapplikationer, och här är http secure (https) utgångsläget för anslutningar från användare såväl som automatiserade tjänster.
Dessvärre är inte alla applikationer byggda för att hantera krypterad data. I vissa fall är det inte ens möjligt att lagra krypterad data i molnet. Då utebliven kryptering kan medföra risker för bland annat sekretess och industrispionage, undersök med dina leverantörer hur de använder kryptering. Stödjer de inte krypterad data, be dem verka för det i framtida uppdateringar.

4. Informationsläckor

Läckage av information är ett kritisk ämne inte minst för affärsapplikationer. I Amerika läcks det årligen ut omkring 80 millioner konsumentuppgifter, dels oavsiktligt och dels genom avsiktliga attacker.
Även om du gillar Wikileaks är förlorad kontroll över företagsinformation ett verkligt problem att oroa sig över.
I system som bygger på moln, finns två stora områden som riskerar läckage. Det första området är ett brott som sker hos leverantören av molntjänsterna - något som du har närmast obefintlig kontroll över. Men du kan kräva i serviceavtalet att de meddelar dig om eventuella brott som berör din data.
Det andra området rör brott som du har kontroll över, nämligen läckage av information på din sida av molntjänsterna. Detta kräver extra skydd i form av hårdvara eller mjukvara för varje server, dator och mobil enhet som använder information från dina molnapplikationer.
Målet är att se till att endast behöriga dataöverföringar sker och det görs genom att reglera enheterna på objektnivå. Vidare behövs kryptering och funktioner för automatisk radering, i fall att du förlorar kontrollen över exempelvis en mobiltelefon. Även om det finns färdiga produkter för att täppa igen informationsläckor, börjar vi se nya mjukvaror som är särskilt anpassade för molnanvändning.

5. Sekretess / privata uppgifter

Beroende på vilken bransch ditt företag är i, finns det en uppsjö av förordningar som dina molnapplikationer måste uppfylla. Det första steget är att se till att punkt 4 är uppfylld. Du kan inte uppfylla några standarder om sekretess om information läcker ut från din organisation.
Se dessutom över hur dina molnleverantörer hanterar dina uppgifter och vilka certifieringar de har.

6. Verifiering

Loggar för inloggningar, administrativa åtgärder och ändringar i data - är alla viktiga ingredienser för säkerheten. Även om loggar inte kommer att förebygga brott, ger de detaljerad beskrivning om vad som inträffat och ligger till grund för effektiva motåtgärder.
Även om säkerhetskopior och arkiv är viktiga verktyg, är de inte substitut för en formell uppföljningskedja för att se vem som har ändrat vad och när. Se till att din molnleverantör erbjuder alternativ för loggning redan innan du bestämmer dig för tjänsten, och se till att du har det aktiverat från dag ett. Du kommer förmodligen inte att kunna granska allt överallt, så var noga med att välja ut nyckelområden som är mest viktiga och kritiska för dig. Slutligen, se till att loggarna säkerhetskopieras till dina egna diskar lokalt, eftersom de annars kan försvinna från systemet efter några månader.

7. Denial of Service attacker

Så kallade dos-attacker (denial-of-service) kommer med all sannolikhet att vara ett permanent inslag även i framtiden. Även om dessa attacker kanske inte främst är riktade mot just ditt företag kan attacker mot molnleverantören som helhet påverka din drift. Ta reda på vad din molnleverantör lämnar för garantier och hur lång tid de behöver för att återhämta sig efter en attack.

IDG News