Slik utvikler du sikkert i skyen

Skepsisen til sikkerhet i skyen er det viktigste hinderet for å ta i bruk tjenestemodellene for data i skyen. Nå i november skrudde Microsoft opp satsingen rundt sikkerhet for data i skyen (”cloud computing”). Viktigst var nye anbefalte metoder for smidig utvikling av applikasjoner for skyen. Secure Development Lifecycle (SDL) er kvalitetssikringsmetodikken Microsoft har brukt for å herde sine applikasjoner siden 2004, da sikkerhet ble skjøvet opp som topprioritet hos Microsoft.

Basis for satsingen er flere undersøkinger det siste året, som alle viser sterk skepsis til sikkerhet for data i skyen. Senest nå i sommer var 51 prosent av it-sjefene i en slik gjennomgang skeptisk til sikkerhet og konfidensialitet i skyen. Dette var dermed også det viktigste hinderet for å ta i bruk sky-tjenester.

- Sikkerheten i skyen må rettes inn mot tre typer brukertyper. Det er den vanlige kunden, eller forbrukeren. Det er leverandørene av applikasjoner. Og ikke minst leverandørene av tjenester fra skyen.

Dette sier Steve Lipner i Microsoft, som vi møtte under et kort europabesøk under TechEd i Berlin. Lipner er direktør i TwC-gruppa til Microsoft, og ansvarlig for at SDL følges opp i programvareutviklingen internt, sertifisering for Common Criteria og å formidle SDL-prosedyrene til partnerne globalt.

- For leverandørene er det helt avgjørende at de tar i bruk metodikk for å øke sikkerheten til applikasjoner som skal tilbys fra skyen. Dette må de for tiltrekke seg flere applikasjons- og tjenesteleverandører.

Ikke nok å tenke det

Lipner poengterte at det ikke bare er snakk om å snakke om å legge inn sikkerhet som en del av utviklingsprosjektene. Metodikken som tas i bruk, må være sertifisert i forhold til reguleringer som nordamerikanske Sarbanes-Oxley, og passe inn i kvalitetssystemer som ISO 27001:2005. Men også sikkerhetssertifiseringer innen ”Common Criteria”-regimet må på plass. Dette er blant annet sentralt for offentlige virksomheter hvor vitale samfunnsinteresser skal vernes.

- Det er også viktig å legge inn og tilby nivåer av sikkerhet. Dette innebærer både sterkere og svakere enn et normalnivå. Slik kan kunder velge nivå etter behov og krav, understreker Lipner.

Guiden har anbefalinger for hvordan sprinter i en utviklingsprosess kan tilpasses sikkerhetsprosedyrer og –krav, og beholde progresjonen i prosjektene.

Ikke bare for Microsoft

I tillegg til anbefalingene i guiden ”Security Considerations for Client and Cloud Applications”, er det også kommet en vurdering i form av et "whitepaper” om anbefalinger om sikkerhet og personvern.

- Sikkerheten er ikke noe som er en enkel aktør sitt ansvar alene, men noe alle leverandørene må ta ansvar for i sin levering av tjenester og applikasjoner. Vår guide for smidig og sikker utvikling er også tilpasset slik at det kan tas i bruk av utviklere som er i åpen kildekode-miljøet, inviterte Lipner.

I guiden understreker selskapet at skytjenester ikke bare er snakk om applikasjoner som leveres i en web-utforsker av ”tynn klient”-typen, men også tjenester som leveres til en vanlig pc (”tykk klient”) eller maskin-til-maskin-tjenester. Også lagring av data på vegne av kunde fyller ut bildet av data i skyen til å være noe mer kompleks for leverandørene av tjenestene. Microsoft poengterer at det for virksomhetene er to sikkerhetshensyn som er viktigst. Det ene er sikkerheten hos skytjenesteleverandøren. Det andre er sikkerheten i og for de applikasjonene som kan leveres fra skyen.