Is identificatie van afnemers binnen 'de cloud' goed geregeld?
Hoofd in de wolken, voeten op de grond
Deze zin kwam me te boven bij het doornemen van een aantal publicaties over 'cloud computing'. Het is een zin uit een nummer van het Klein Orkest, een bekende Haagse groep en relevant voor het onderwerp. Even voor de helderheid, wat zegt Wikipedia hier:
'Cloud computing is a style of computing in which dynamically scalable and often virtualized resources are provided as a service over the Internet. Users need not have knowledge of, expertise in, or control over the technology infrastructure in the 'cloud' that supports them.'
Kijk, zo denken wij er over, eigenlijk is het een stijl die we allemaal graag zouden willen volgen, iedereen wordt verlost van het installeren en beheren van kostbare software en kan zich vervolgens abonneren op een dienst. Deze dienst wordt dan hopelijk beveiligd ingericht in grote bunkers en waar men dan de abonneegegevens veiligstelt. Wat zijn dan zoal de diensten die afgenomen kunnen worden? Weer zegt Wikipedia: infrastructuur, platform en software als een service (IaaS, PaaS en SaaS.
Het lijkt erop dat men zich dan op een of meerdere services zou kunnen abonneren. Hierbij kunnen we onderscheid maken tussen publiek en privaat domein. Enerzijds de eindgebruiker die toepassingen van bijvoorbeeld Google en Microsoft gebruikt, anderzijds het bedrijf dat via deze wijze Java- en .NET-bedrijfstoepassingen ontsluit over het internet.
Maar wie identificeert en controleert de afnemers? Er zijn eigenlijk twee grote vragen voor ieder bedrijf in 'the cloud'. Hoe weet je dat een account die de service afneemt, is wie het zegt dat het is en dat het door de juiste persoon wordt gebruikt? Dit kan alleen als de identiteit van de afnemer goed en veilig geregeld is. In Nederland is het platform 'e-Herkenning voor Bedrijven' in oprichting, een initiatief van EZ. Voor de eindgebruiker zou wellicht in de toekomst een systeem à la internetbankieren kunnen gaan werken.
Security en identiteit moeten goed worden verankerd in het totale plaatje van cloud computing. Kortom, met je voeten op de grond.
Aan de ene kant… maken miljoenen mensen gebruik van even zovele websites.. totaal zonder security of afen toen eens een HTTPS+SSL verbinding.
Aan de andere kant..Hoe wil je dit gaan realiseren Jan?
– Alle cloudservices client aan de security e-tokens?
– Alleen cloud service toegang via irisscan, bio signature, of fingerprint/handpalm scan?
Ik ben heel benieuwd?
De enige manier om enig vorm van veiligheid te verkrijgen (en die slechts ten dele phishing bestendig is) is volgens mij met een token. Als je voor een service 10 euro per maand betaald zou dat wellicht kostentechnisch wel mogelijk moeten zijn.
Als je een service aanbiedt en deze HTTPS beveiligd en gebruikers dwingt een sterk wachtwoord te gebruiken, dan zou ik als leverancier niet al te druk maken verkeerd gebruik door een klant. Dat is diens verantwoordelijkheid. Zolang je als leverancier maar donders goed weet dat jouw systeem goed beveiligd is.
Een vraag: Hoe vaak maak je een account aan op een site? Hoe vaak gebruik je een uniek wachtwoord speciaal voor die site? Als antwoord op de laatste vraag niet -Altijd- is, dan zal het een keer gebeuren dat je account misbruikt wordt.
Het is in ieder geval actueel als het over de Cloud gaat. Een van de grootste struikelblokken is vertrouwen (en mijn inziens terecht). Kans is groot dat er een nieuw bedrijf de kans krijgt enorm groot te worden door dit probleem op te lossen!! Er ligt een business case van heb ik jou daar!
[quote]Maar wie identificeert en controleert de afnemers?[/quote]
Waarom zou de identiteit van een afnemer altijd bekend moeten zijn?
Bij het gros van de diensten en producten die ik in de re?le wereld afneem, ben ik redelijk tot volslagen unaniem – en tot volle tevredenheid van zowel leverancier als afnemer.
Ik denk dat e.e.a. wat duidelijker in perspectief geplaatst moet worden.
In mijn ogen wordt de totale cloud dienstverlening op een hoop gegooid. Terwijl je zou moeten kijken naar de betreffende dienst (infrastructuur, platform of applicatie) zelf den over wat voor een cloud (public, private, hybride of community). Dit bepaalt in grote mate of er behoefte is aan een bepaalde hogere mate van beveiliging.