Utfordringer for ansvarliggjøring i nettskyen

accountability-challengesIngen skytjeneste kan ses på som en isolert øy; skytjenester befinner seg i et økosystem hvor alle delene interagerer og er avhengige av hverandre.  Utfordringene for ansvarlighet (accountability) i nettskyen henger delvis sammen med de komplekse leverandørkjedene i dette økosystemet, hvor Software-as-a-Service (SaaS) applikasjonen som brukeren forholder seg til kan være basert på en annen leverandørs Platform-as-a-Service (PaaS) løsning, som igjen kjører på nok en annen leverandørs Infrastructure-as-a-Service (IaaS) variant. Et veldig enkelt eksempel på dette er DropBox, som faktisk er implementert ved hjelp av Amazon Web Services.

For å komplisere ting ytterligere, kan tjenester og data replikeres horisontalt blant flere tilbydere, no som gjør det ytterst vanskelig å avgjøre hvor dataene dine er på et gitt tidspunkt. Som om kompleksiteten av tilbyderkjedene ikke var nok, er omfanget og størrelsen av nettskyvirksomheter skremmende. Stordriftsfordeler er blant de hyppigst refererte argumentene for levedyktigheten til nettskyen, og de store nettskytilbyderene driver datasentre av en størrelse som er bortimot skummelt. Dessuten gjør de enorme datamengdene som tilbyderne får tilgang til dem potensielt i stand til å utføre sofistikerte datagravingsoperasjoner (data mining), som kan avsløre ting ved oss som vi ikke engang selv var klar over.

Isolasjon

“Multi-tenancy” (som det ikke finnes noe godt norsk ord for – trangboddhet?) betyr at  data fra flere kunder lagres og prosesseres på den samme fysiske infrastrukturen, og hvis man har for dårlig beskyttelse kan konfidensielle data eksponeres til uvedkommende.  Et eksempel på dette var da det var mulig å logge seg inn i hvem som helst sin DropBox-konto uten å oppgi passord.  Isolasjonsfeil skyldes ikke alltid tilbyderen; undersøkelser har vist at kunder av Amazon Web Services ofte feilkonfigurerer sine lagrings “Buckets”, slik at data som skulle vært private i praksis blir offentlig tilgjengelig på internett.

Bring Your Own Cloud

Et spesifikt tilfelle av utfordringen med isolasjon av data opptrer når en gitt ansatt (f.eks. i Frimaet AS) bruker en SaaS applikasjon for arbeidsrelaterte oppgaver, men samtidig bruker en SaaS eHelse applikasjon som privat borger. Dette er utfordrende på mange nivåer; ikke bare risikerer man å blande sensitive personopplysninger og forretningskritiske data på samme enhet (noe som strengt tatt ikke har noe med nettskyen å gjøre), men i tillegg kan eHelse og forretningsapplikasjonen faktisk være basert på samme IaaS tjeneste. Dette illustrerer at en isolasjonsfeil både kan ha konsekvenser for sensitive personopplysninger (pasienter som aksesserer opplysninger om andre pasienter) og konfidensielle forretningskritiske data (et firma aksesserer et annet firmas forretningshemmeligheter) og til og med kombinasjoner av de to (Firmaet AS aksesserer helseopplysninger om sine ansatte).

Etterlevelse av lover og regler (compliance)

Personopplysningsloven og tilsvarende europeiske forordninger forbyr overføring av sensitive personopplysninger til jurisdiksjoner som ikke tilbyr tilstrekkelig rettslig beskyttelse. Å avgjøre hva som utgjør “tilstrekkelig beskyttelse” er kanskje ikke noe som en gjennomsnitts nettskybruker kan forventes å klare, men til og med hvis en lokal tilbyder velges, er det stor sannsynlighet for at data vil flyttes over landegrenser. Dataflyt i nettskyøkosystemet er dynamisk, og kan gå bå de horisontalt (f.eks. mellom IaaS-tilbydere) og vertikalt (f.eks. fra SaaS til PaaS til IaaS).

Ufullstendig sletting av data

Redundant datalagring og datamigrering kan føre til at kopier lagres på flere forskjellige fysiske infrastrukturer, og en kommando for å slette et bestemt dataelement kan ta så mye som en måned for å ta endelig effekt. Dessuten uttaler enkelte leverandører at data vil kunne finnes i forskjellig former for sikkerhetskopier i 90 dager eller mer, for ikke å si ubestemt tid (for å si det med Ibsen: Evig eies kun det tapede).

Lock-in

Proprietære formater kan gjøre flytting fra en nettskytilbyder til en annen vanskelig, om ikke umulig. Dataoverføringskostnader kan også vise seg å være høye, noe som i seg selv kan være til hinder for å bytte tilbyder. Det er ikke gitt at det koster det samme å hente data ut fra en tilbyder som å laste data opp, f.eks. i tilfeller hvor en kunde kan laste opp en liten mengde data gratis hver måned. Mange slike småbekker over flere år kan føre til rene Storofsen hvis alt må flyttes på en gang.

Det kan være enda mer dramatisk når en nettskyleverandør legger ned virksomheten – når fildelingstjenesten Megaupload ble stengt på grunn av brudd på opphavsretten, mistet et stort antall uskyldige kunder tilgang til sine filer og bilder uten forvarsel. Standardvilkårene som tilbys av mange nettskyleverandører gir også brukere liten kontroll med sine data, f.eks. Googles standardvilkår lar dem terminere din brukerkonto uansett årsak, når som helst, uten å varsle deg på forhånd.

 Hva så?

Selv om det er mange utfordringer, mener vi at det er fullt mulig å lage mekanismer og verktøy som både kan bedre sikkerheten for sluttbrukere, og gjøre det mulig å stille til ansvar leverandører som ikke gjør det de skal for å ta vare på personopplysninger i skyen. Dette jobber vi med i EU-prosjektet Accountability for Cloud and other Future Internet Services.  Les mer om A4Cloud på prosjektets hjemmeside – følg oss på twitter: @A4CloudProject, og delta i diskusjonen på LinkedIn: Cloud Accountability Project.

Vi arrangerer forøvrig den årlige konferansen IEEE International Conference on Cloud Computing Technology and Science (IEEE CloudCom) i Bristol i begynnelsen av desember – det er fortsatt masse tid til å melde seg på!