De uitspraak 'geen compromissen met de hybride cloud' zal velen die ooit cloud-diensten hebben overwogen bekend in de oren klinken. Dit is vaak zowel het begin als het einde van veel cloud-discussies. Het legt namelijk direct een essentiële vraag bloot bij het gebruik van cloud-services. Wat vind je het belangrijkst: cloud security en maatwerkservices of flexibiliteit en kosten?
Over deze blogger
Dr. Eric Vanderburg is een informatie-beveiligingsexpert, auteur en getuige-deskundige. Vanderburg wordt ook wel de ‘Sheriff van het internet’ genoemd, die bedrijven tegen cyberdreigingen beschermt. Hij studeerde af aan de Kent State University met een Bachelor of Science in Technology en een Master of Business Administration met een specialisatie in informatiesystemen. Vanderburg ontving verschillende prijzen en heeft meer dan 30 certificeringen. In 2010 kreeg hij een eredoctoraat van Vatterott College voor zijn werk in informatiebeveiliging.
Tijdens zijn carrière werkte hij als consultant, gespecialiseerd in de ontwikkeling en het onderhoud van informatiemanagement en netwerkbeveiligingssystemen voor bedrijven, advocatenkantoren en overheidsinstanties. Hij leidt momenteel meerdere business units waaronder Cyber Security, eDiscovery, Computer Forensics, software ontwikkeling, IT en Litigation Support bij JURINNOV, een technologie-consultancy.
Voorheen kozen bedrijven die de voorkeur gaven aan veiligheid en maatwerkservices, meestal voor het private cloud-model. Zij die flexibiliteit en kosten belangrijker vonden, kozen eerder voor het public cloud-model. Maar de bedrijven die niet konden kiezen, bleven traditionele IT-oplossingen gebruiken om hun technologische uitdagingen op te lossen. En dat leidde vaak tot de nodige problemen. Het goede nieuws is dat je inmiddels niet meer hoeft te kiezen. Alle doelstellingen voor veiligheid, maatwerkservices, flexibiliteit en kostenbeheersing kunnen gerealiseerd worden door de publieke en private cloud te verenigen in de hybride cloud. Om te begrijpen hoe dit precies werkt, bepreek ik hier de oude modellen en vergelijk ze met de hybride cloud.
Veiligheid in de cloud
Organisaties hebben meer controle over hun data en diensten in een private cloud. Cloud-diensten kunnen hier namelijk beter afgestemd worden op de security-strategie van het bedrijf door de implementatie van beveiligingsmaatregelen en procedures. Daarnaast is er ook meer zichtbaarheid in de systemen, wat zorgt voor eenvoudiger beheer en incidentrespons. Forensisch of onderzoekswerk kan bijvoorbeeld beter gestroomlijnd worden, omdat er geen derde partij is die de toegang tot de gegevens of logs beperkt. De organisatie kan direct bewijsmateriaal verzamelen, wat resulteert in een duidelijker chain of custody. Publieke clouds bieden minder zichtbaarheid en controle, waardoor het moeilijker is om de veiligheidseisen af te dwingen, onderzoeken uit te voeren, samen te werken aan incidentrespons of klanten snel op de hoogte klanten te stellen van datalekken. Publieke clouds krijgen in de praktijk de meeste kritiek op hun vermogen om gegevens goed te beveiligen. Dit is met name heel belangrijk voor gereguleerde organisaties die moeten voldoen aan compliancy-eisen.
Private clouds kunnen gedeeld worden door verschillende business units, maar niet door onbekende entiteiten. Dit is gebruikelijk is in publieke cloud, omdat het de kans verkleint dat een inbraak op een naburig cloud-systeem ook nadelige gevolgen heeft voor de systemen van andere organisaties. Publieke clouds zijn echter van nature doelwitten, omdat ze uiterst zichtbare en bekende gegevensbronnen zijn. Aanvallers weten weliswaar niet welke specifieke gegevens in een publieke cloud opgeslagen zijn en of die de moeite waard is om aan te vallen. Maar publieke clouds bevatten zoveel gegevens dat ze toch een verleidelijk doelwit zijn voor aanvallers. Door gegevens in een publieke cloud te plaatsen, zijn consumenten niet langer een incidenteel doelwit, maar een zeker doelwit.
Flexibiliteit
Publieke clouds bieden de meeste flexibiliteit, omdat ze uiterst eenvoudig ingezet of uitgebreid kunnen worden. Cloud-consumenten nemen alleen de diensten af die zij willen. En als ze meer opslagruimte of extra verwerkingskracht nodig hebben, verhogen ze gewoon hun cloud-plan. Eveneens kunnen zij al deze cloud-diensten probleemloos afstoten als ze niet meer nodig zijn.
Private clouds verschillen sterk in de flexibiliteit die ze bieden. Organisaties kopen vaak zelf de servers, storage en netwerkapparatuur, samen met de benodigde software voor het opzetten van een private cloud. Daarnaast moeten ze IT-personeel betalen om dit alles te beheren. Ook zullen ze nieuwe aankopen moeten doen als de infrastructuur groeit. Het nadeel is dat als de vraag naar de private cloud krimpt, de investering al is gedaan. De organisatie moet vervolgens een andere toepassing voor de apparatuur vinden of een slechte ROI accepteren als de apparatuur stil staat of IT-personeel niet volledig worden ingezet. Er zijn ook hosted opties beschikbaar voor private clouds, maar de organisatie heeft dan nog steeds personeel nodig om de private cloud te beheren.
Publieke en private prijsmodellen
De prijsmodellen in het cloud-aanbod lopen sterk uiteen. De prijzen in de public cloud zijn gebaseerd op serviceniveau en gebruik. Dit werkt over het algemeen goed voor bedrijven die hun servicekosten willen afstemmen op het gebruik. Private clouds vereisen vaak directe uitgaven, zoals hierboven vermeld, of op zijn minst extra personeel voor het beheren, creëren en uitbreiden van de cloud-infrastructuur.
Voordelen van de hybride cloud
De hybride cloud combineert elementen van zowel de private- als de publieke cloud. Private clouds bieden een portal met diensten, maar de public cloud kan worden gebruikt om de private cloud uit te breiden als dat nodig is. Dit maakt de hybride cloud uiterst flexibel. Gestandaardiseerde elementen niet de zware beveiliging vereisen van het private deel, kunnen worden verplaatst naar het publieke deel van de infrastructuur. Daardoor is er groei mogelijk zonder dat er grote aanvullende investeringen in apparatuur nodig zijn.
De gegevensstromen tussen de publieke en private segmenten van de hybride cloud kunnen verder precies afgestemd worden om te voldoen aan de organisatorische regels voor veiligheid, privacy en compliance. Gevoelige of vertrouwelijke gegevens, zoals bedrijfsgeheimen, financiële rapporten en klantgevens zouden zich bijvoorbeeld in het privé-segement van de cloud kunnen bevinden. De meer operationele en openbare gegevens zouden naar het publieke segment verplaatst kunnen worden, als dat nodig is. Ook is het mogelijk om toe te staan dat bepaalde data naar het publieke segment van de hybride cloud wordt verplaatst, maar enkel voor een beperkte periode, en enkel in versleutelde vorm.
Klaar voor de toekomst
Ik kan dus afsluiten met het positieve bericht dat het niet nodig is te kiezen tussen veiligheid en maatwerkservices of flexibiliteit en kosten. Dit is allemaal mogelijk in de hybride cloud. Bedrijven die publieke of private cloud-modellen eerder hebben afgekeurd, kan ik aanmoedigen om serieus een hybride cloud te overwegen. De uitdagingen van morgen zullen in alle soorten en maten komen, en voor veel toepassingen zijn de huidige IT-oplossingen ongeschikt. Verhuis daarom naar een platform dat ontworpen is voor de toekomst en hervorm je organisatie met de hybride cloud.
