För några veckor sedan rapporterade Cloud advisor om den botnet som huserade i Amazons EC2-tjänst. Jag har följt Amazons arbete med att återställa ordningen och återger här några milstolpar i kronologisk ordning.
Ett första uttalande från säkerhetsteamet på Amazon innehöll följande citat:
”…Our terms of usage are clear and we continually monitor and work to make sure the services aren’t used for illegal activity. We also take the privacy of our customers very seriously, and don’t inspect their instances…”
Givetvis är det viktigt att hålla fast vid sina kunders integritet och här visar Amazon prov på hög integritet. Amazon visar tydligt prov på att de förstår, och respekterar, kampen mellan högre säkerhetsåtgärder och integritetsfrågan. I nästa mening fortsätter talespersonen:
”It’s also important for developers who leverage cloud services to use the same security best practices that they would if they were operating in their own data center or a collocation facility. We provide security best practices to help customers protect themselves from malicious users inside or outside of the cloud.”
Här ligger en nyckel i framgångsrik och säker väg mot molndrift: Att säkerställa god informationssäkerhet genom att vara en mogen kravställare. Det här handlar om informationssäkerhetsarbete, policydrivande åtgärder, riskanalyser och konstant uppföljning.
Ett par dagar efter att botnätet avslöjades kom en enkel säkerhetsbulletin från Amazon. Därefter har man fortsatt med ”business as usual”.
Jag måste ge en eloge till teamet på Amazon. De har agerat professionellt och visat på vikten att representera den personliga integriteten och hur de handlar handfast när missbruk sker. I alla öppna landskap (digitala såväl som analoga) är friheten stor, men kommer ändå med ett pris: Öppenhet kan, och kommer att, missbrukas av mindre nogräknade banditer. Amazon visar på att de inte går i någon fälla med krav på total säkerhet och det som ett svepskäl att köra över allt det andra. Personligen anser jag Amazon agera föredömligt och applåderar deras budskap.
Cloud Sweden 
Utan tvekan gör Amazon många saker riktigt bra. Det finns dock lägen då det känns lite som de ”mindre” kunderna kommer i kläm? Hur ser du på:
http://blog.bitbucket.org/2009/10/04/on-our-extended-downtime-amazon-and-whats-coming/
Jag tycker att Jesper, som skriver på bitbucket-bloggen, sammanfattar det hela väl:
Let me round this post off by saying that Amazon doesn’t entirely deserve the criticism it has received over this outage. I do think they could’ve taken precautions to at least be warned if one of their routers started pumping through millions of bogus UDP packets to one IP, and I also think that 16+ hours is too long to discover the root of the problem.
Lite bättre koll på nätutrustningen och någon form av ”anomaly detection” skulle ha löst det hela mycket snabbare än de 16 timmar det tog. Givetvis kan man förvänta sig det av Amazon. Det viktigaste är att: a/ De har fallerat stort och b/Kommer de att dra lärdomar så att följande inte händer igen?
Gäller att bevaka för att få svaret på den frågan.
Fel händer – utan tvekan och är det något som kan vara svårt att skydda sig mot så är det stora DDoS attacker. Fick en känsla av att just Jesper som liten kund behövde spendera timmar för att få Amazon att just inse att det var ett problem och inte bara något som han sa. Kanske bara dilemmat av att vara liten kund hos ett större företag?
Som du säger – vi får bevaka.
Visst är det patetiskt att läsa hur hans företag bemöttes de första timmarna. Helt galet och nonchalant. Tyvärr är det mer regel än undantag att supporten finns i Indien/Bangladesh och att supportpersonalen kör efter ett manus som de måste följa från A till Z… Då uppstår den här formen av fördröjningar, frustration och kostnader.
Tror personligen att Amazon (och alla andra aktörer) inte kan behandla små kunder som ”små” i ordets traditionella bemärkelse. Rätt som det är finns det ett nytt Facebook eller Flickr och liten blir störst över natten. Vi fortsätter följa utvecklingen…
Detta känns lite som baksidan trots allt i alla fall hos vissa organisationer. Så länge det funkar bra är molnet klockrent. Det är upp till oss som leverantörer att ge alla vad de behöver när det går galet så att det inte finns en känsla av hjälplöshet när det strular. Supporten, oavsett storlek på kund, är enormt viktig.