Nog steeds heerst het beeld dat de cloud niet veilig is. Een onderwerp dat velen huiverig maakt voor de cloud. De cloud? Tja. Mijns inziens is het containerbegrip 'cloud' voor veel diensten aanbieders een complete ramp. Natuurlijk, het ligt gemakkelijk in de mond, en je doet mee als je 'iets met cloud computing' doet. Maar waar heb je het over? IaaS, PaaS, DaaS, SaaS of een van de vele andere aaS-sen?
Om te beginnen met de basis, de infrastructuur (IaaS). Hierbij moet goed opgelet worden wie je als provider kiest. Wanneer je er een kiest die zorgt voor veilige kanalen die standaard protocollen ondersteunen, authenticatie, autorisatie, confidentialiteit en integriteit biedt, en verantwoording neemt voor zijn platform, en liefst nog een sla afsluit, ben je al een flink eind op weg. De rest is aan jezelf. Wat op die infrastructuur draait, is je eigen verantwoordelijkheid. Daar kan de provider niks aan doen. Zij kunnen alleen een zo veilige mogelijke basis garanderen. En ja, er worden fouten gemaakt. Meestal configuratie fouten (waardoor bijvoorbeeld virtuele omgevingen niet goed gescheiden worden), soms rampzaligere fouten (een ongeluk waarbij een heel IaaS center zonder stroom kwam te zitten). Het aantal daalt gestaag – maar honderd procent zekerheid heb je nergens!
Boven op de infrastructuur draait gewoonlijk een platform (PaaS). Afhankelijk van de provider is dat bijvoorbeeld Java of .NET georiënteerd. Hier moet je heel goede afspraken maken. Je bent immers helemaal afhankelijk van de aanbieder of hij zijn infrastructuur goed beveiligd heeft… Gelukkig worden de aanbieders steeds opener richting klanten over de beveiliging van die infrastructuur (vaak via een non disclosure agreement), maar net als bij IaaS ben je zelf verantwoordelijk voor het maken van die goede afspraken (en sla's); en ook hier geldt: de basis kan perfect zijn, maar als er lekken zitten in de eigen programmatuur, ben je compleet zelf verantwoordelijk.
Zowel bij IaaS als bij PaaS worden data vaak elders gehost (DaaS). Hierbij zijn best veel valkuilen (waar al eerder in de Computable over is geschreven). Hierbij zijn vooral afspraken over de locatie waar je data worden opgeslagen van belang. De wetgeving verschilt per land. Zonder enorm goede afspraken (en zekerheid dat je data in bijvoorbeeld Nederland worden opgeslagen), ook weer inzicht in de beveiliging, sla's, en goede data-encryptie zou ik hier (nog) geen bedrijfskritische data willen plaatsen…
Tenslotte SaaS. Software-as-a-Service – uit mijn leven bijna niet meer weg te denken… Gmail, Dropbox, Evernote… Enorm handig, ik kan eigenlijk zo'n beetje alles wat ik op meerdere plekken nodig heb, inderdaad ook op meerdere plekken gebruiken, automatisch gesynchroniseerd, ideaal. Als het echter om meer gaat dan je privé-gegevens is hier natuurlijk ook voorzichtigheid geboden. Hoeveel security geef je uit handen, voor het gemak, voor de lagere kosten, voor het niet hoeven doen van investeringen? Hierbij geldt weer hetzelfde als eerder gezegd. Zorg dat je een goed beeld hebt van de hele infrastructuur en het platform waarop gedraaid wordt, en de beveiligingsmaatregelen die genomen zijn. Zorg dat er sluitende afspraken zijn over data recovery. Sluit een sla af.
Het grote voordeel bij SaaS is, dat er momenteel zoveel aanbieders zijn voor zo ongeveer alle diensten, dat ze wel bijna secure moeten zijn… anders zijn ze zo hun klanten kwijt!
Er loeren gevaren in de cloud, zeker. Met goede afspraken zijn deze tot op een voor de meesten acceptabel niveau terug te dringen. Blijf wel altijd kritisch, blijf op de hoogte van nieuwe ontwikkelingen en blijf reëel. Cloud diensten kunnen enorm veel voordelen hebben, maar waar gewerkt wordt vallen spaanders. Je zult zelf moeten bepalen waar voor jou het maximum aan spaanders ligt, en daar naar handelen!
Geen slechte inschatting maar: “momenteel zoveel aanbieders zijn voor zo ongeveer alle diensten, dat ze wel bijna secure moeten zijn”
is een uitspraak die door het grootste succes namelijk Windows tegen gesproken wordt. Nergens heeft het zoveel problemen met de security gegeven, er si een hele bedrijfstak gebouwd op de problemen die Windows heeft, de anti-virus-malware-industrie.
Zo een industrie gaat ook voor cloudcomputing komen.
Ik vraag me af wie de kennis in huis heeft om zoveel verschillende sla’s te kontroleren? Dat is voor een bedrijfje met 10 of 20 werknemers nauwelijks mogelijk.
@Jan,
Ik denk dat een bedrijfje van 20-30 man in elk geval niet kiest voor IaaS of PaaS, maar gaat voor SaaS – en hoeveel diensten bij hoeveel verschillende providers zou dat bedrijf afnemen?
Lijkt mij doenlijk… (of misschien kunnen we nog een Cloud dienst starten om Cloud SLA’s te controleren 🙂 CaaS (Controle as a Service? – sorry, kon het niet laten…)
@Mylene
Jan heeft Cloudstofobie & Closedsourcestofobie en zet zich af van alles wat riekt naar commercie. Daarnaast denkt hij in problemen en niet in oplossingen of mogelijkheden.
Die diagnose is snel gesteld, maar een goede remedie moet nog gevonden worden.
Nu moet ik zeggen dat zulke mensen heel bruikbaar zijn, dus het is niet geheel negatief bedoeld.
Gaat dit over toepassen van Cloud voor prive of bedrijf ? Maakt eigenlijk ook niet uit. Het zijn toch nono’s die over Cloud beslissen. Ik kan daarom alleen maar huiveren bij onderstaande quotes.
…En ja, er worden fouten gemaakt. Meestal configuratie fouten).
….Het aantal daalt gestaag – maar honderd procent zekerheid heb je nergens!
…ook weer inzicht in de beveiliging, sla’s, en goede data-encryptie zou ik hier (nog) geen bedrijfskritische data willen plaatsen…
…Als het echter om meer gaat dan je privé-gegevens
…Zorg dat je een goed beeld hebt van de hele infrastructuur en het platform waarop gedraaid wordt
…zo ongeveer alle diensten, dat ze wel bijna secure moeten zijn…
…Met goede afspraken zijn deze tot op een voor de meesten acceptabel niveau terug te dringen.
…maar waar gewerkt wordt vallen spaanders.