1. Blog
  2. Career
  3. Martin sikrer cloud miljøer i Danmark

Martin sikrer cloud miljøer i Danmark

Hvad er virksomhedernes største udfordringer med hensyn til cloud? Martin Bahn Ejvang, Cloud Security Architect, gør dig klogere på netop dette.

Hvor kommer din interesse for it fra?

Jeg har altid haft interessen. Da jeg var barn, købte mine forældre en Commodore 64 til mig og min bror. Vi brugte den til spil og programmering. Jeg var fascineret af de ting, du kunne gøre med en computer.

Du har haft en karriere inden for softwareudvikling. Hvad har været nogle af dine største succeser?

Jeg tror, ​​det afhænger af, hvordan nogen definerer succes. For eksempel hjalp jeg med at opbygge platforme og applikationer til virksomheder, der tæller over 100.000 brugere om dagen. Jeg bidrog til mindre applikationer, der sparede virksomheder tid og øget kundetilfredshed. Jeg hjalp også Endomondo, en motions app, med en af deres version, som dengang blev anset for at være en startup.

Siden 2017 har du specialiseret dig i cloud. Hvordan opstod denne ændring?

I 2014 arbejdede jeg på et projekt, hvor vi brugte skyens skalerbarhed til computerressourcer. Det var første gang, jeg oplevede hvor skalerbar skyen virkelig er.  Senere i 2015 var jeg arkitekten på mit første projekt, der var cloud-native. Det var for et stort dansk nyhedswebsite, der ønskede live dækning af begivenheder (nyheder, sport osv.). Det fik mig til at indse de muligheder, der er med cloud. Jeg fik senere certificeringerne (MCSE for Azure: 2017) og skiftede til en anden virksomhed med speciale i cloud projekter.

Du er nu Cloud Security Architect, som stadig er et meget nyt felt. Hvordan udviklede du dine færdigheder?

Jeg lærte først om cloud ved at bygge løsninger. Jeg lavede hovedsageligt en PaaS-løsning, men benyttede også IaaS og SaaS. Derefter fik jeg ansvaret for at implementere sikkerhed i min kode og udnytte de sikkerhedsmekanismer, der i skyen. Derefter begyndte jeg at lære mere om klassisk sikkerhed (on-premise security) og produkterne fra primært Palo Alto Networks og Check Point.

Hvad består dit job af i dag?

Jeg hjælper kunder med deres cloud-rejser og rådgiver dem om, hvordan man bygger et sikkert miljø.

Hvordan ser dit daglige arbejdsliv ud?

Jeg taler om cloud til både kunder og medarbejdere, og holder mig opdateret på emnet med vores partnere og CSP’er. Hver dag er unik og involverer en masse læring om de nye funktioner og muligheder.

Hvilke virksomheder er interesseret i cloud-sikkerhed i Danmark?

Jeg vil sige, at hvert firma, der er på en cloud-rejse, vil være interesseret i, hvordan man sikrer sin infrastruktur. Ingen ønsker at vågne op til nyheden om et sikkerhedsbrud. Udfordringen er, at det normalt er forretningen, som initierer en cloud-rejse med hjælp af et DevOps team. De er fokuseret på en forretningsmulighed, der findes, og ønsker at udføre den med det samme; det efterlader meget lidt plads til sikkerhed, medmindre det var en del af arkitekturen fra start af.

Arbejder du i et team?

Ja, vi er et lille team, der samarbejder med vores salgs- og PS-afdeling (Professional Services).

Hvad er vores kunders udfordringer med hensyn til cloud-sikkerhed?

Deres primære problemer består af manglende visibilitet og miskonfiguration. Normalt er det DevOps teamet der ruller applikationer ud i skyen, og deres mål er at opfylde diverse forretningskrav. Deres fokus er ikke nødvendigvis sikkerhed, og det kan potentielt skabe nogle sårbarheder. Nye sikkerhedsfunktioner tilføjes også regelmæssigt, og disse skal tilføjes i implementeringsscriptet (Infrastructure-as-Code) for at træde i kraft. Udviklere bekymrer sig mere over funktionaliteter og use-cases end sikkerhedsfunktionerne i en cloud-service.

Hvad er kundernes første spørgsmål, når du møder dem?

Vores kunder ønsker vores rådgivning om, hvordan man håndterer skyen og de udfordringer, den medfører. De er vant til et ‘statisk’ miljø, hvor de skifter netværkskabler og tilslutter servere. Cloud er et dynamisk miljø, der ændrer sig hvert minut, og nye funktioner udvikles hurtigt. Jeg antager, at deres hovedspørgsmål er: ‘Hvordan går du fra en klassisk ITIL-tilgang til en mere agil en?’

Cloud Service Providers sælger ofte et ekstra sikkerhedslag ud over services. Hvorfor skal vores kunder stadig henvende sig til en MSSP?

Kunderne har brug for nogen til at se på infrastrukturen og forstå, hvad alt sammen betyder for at finjustere den. Hvad CSP’er ikke fortæller, er, at al den sikkerhed, de investerer i, er til for at beskytte deres egen infrastruktur og ikke deres kunders applikationer. Derfor er det ekstremt vigtigt at sætte sig ind det ”delte sikkerhedsansvar” fra CSP’ernes forskellige tilbud for at forstå, hvad kunden har ansvaret for. Det er her, Orange Cyberdefense kan hjælpe med at sikre kundernes data.

Hvilke tjenester tilbyder vi kunderne?

Vi tilbyder MSS (Managed Security Services), PS (Professional Services) og rådgivning. Vi arbejder også med teknologi partnere, der kan hjælpe. Vores hjælp afhænger af klientens modenhed med hensyn til cloud-spørgsmål og deres behov. Nogle kunder er i lift-&-shift-fasen, og andre bygger applikationer ved hjælp af PaaS-tilbud.

Hvilket råd vil du give til en, der ønsker at forfølge en karriere inden for cloud-sikkerhed?

Start med at lære om klassisk sikkerhed for at forstå, hvor vi kommer fra. Gå derefter til cloud-infrastruktur. Derefter bør du fokusere på cloud-sikkerhed for at forstå dens udfordringer. Hvis du vil gå DevSecOps vejen, skal du også lære om udvikling og applikationssikkerhed.

Share