Per saldo wordt steeds meer software as a service (SaaS) afgenomen. Het is een onomkeerbare trend, maar wel een waarover de meningen van it-managers verdeeld zijn. Waar de ene groep twijfels heeft over de veiligheid, ziet de andere groep juist enkel voordelen. Wat mij opvalt, is dat iedereen elkaar een beetje napraat. Bijvoorbeeld: 'In de cloud is alles goed beveiligd!'.
Zo worden er dus veel aannames gedaan. Bij standaard hosting zijn we deze fase al voorbij en het wordt tijd dat ook bij het inschakelen van leveranciers van clouddiensten een eigen plan getrokken wordt. Hoe zorg je ervoor dat leveranciers aantonen dat het goed zit?
Certificeringen en testen
De eerste vraag die je een SaaS-leverancier kunt stellen, is of hij de juiste certificeringen in huis heeft. Veelal hebben leveranciers een mooi rijtje certificaten op de website staan. Grote kans dus dat de zoektocht naar bewijsvoering je tot zover gemakkelijk af gaat. ISO 27001 is bijvoorbeeld een standaard voor informatiebeveiliging. Maar dit certificaat bevestigt niet dat jouw data beschikbaar blijft in het geval van een calamiteit en dat de data in het geval van verlies kan worden hersteld. Daarom is het belangrijk om SaaS-leveranciers ook te laten aantonen dat zij goed kunnen uitwijken en restoren.
Hoe ver en goed je ook virtualiseert uiteindelijk draait alles op fysieke hardware en dat kan kapot. Niet alleen vanwege slijtage, maar ook een incident als een brand in het datacenter is niet uit te sluiten. Er moeten dus maatregelen worden getroffen, zodat er geen data verloren gaat in het geval van een onvoorziene situatie. De boel moet verder kunnen draaien. Een van de manieren hiervoor is synchrone data replicatie op een andere locatie. Dit wordt ook wel een mirror genoemd. Mocht hardware op locatie a beschadigen, dan kun je uitwijken naar exact dezelfde data en andere hardware op locatie b. Een leverancier kan met een uitwijktest aantonen tot een dergelijke exercitie in staat te zijn.
Met uitwijktesten alleen ben je nog niet veilig. Aangezien de ene omgeving een realtime kopie is van de andere, worden ook beschadigingen van de data één op één overgenomen. Het kan de beste gebeuren: je verwijdert per ongeluk een tabel met belangrijke data. Of erger, je verwijdert het complete klantenbestand met alle orders. In dat geval is het van essentieel belang dat de data veilig kan worden gerestored. Het is daarom belangrijk om de vraag te stellen of de leverancier in dat geval de data kan herstellen. En ook hiervoor geldt dat het verstandig is om de proef op de som te nemen. Creëer hiervoor een testomgeving waar jij of je leverancier een dergelijk scenario kan nabootsen.
Bespreken is weten
Wil je dus niet achter de meute aanlopen en er zelf achter komen of het goed zit bij jouw SaaS-leverancier, ga dan het gesprek aan. Vraag naar de certificaten en bespreek of de leverancier met uitwijktesten en restore testen kan aantonen dat de data, jouw data, in alle mogelijke scenario’s onbeschadigd blijft of hersteld kan worden. Het is een kleine moeite en je krijgt er veel voor terug. Bespreken is weten. En zeg nou zelf, weten is toch veel prettiger dan zomaar iets aannemen? Ongeacht of die onvoorziene situatie zich nu wel of niet voordoet, zo kom je nooit met je mond vol tanden, of erger, met lege handen te staan.
Pascal
Met de beste wil kan ik er geen kritische vraag uithalen, het enige wat ik eruit kan halen is dat je eigenlijk nog niet zoveel begrepen hebt van de verschillende cloud modellen. Kritische vragen rond SaaS gaan om de architectuur, bijvoorbeeld de wijze waarop tenants gescheiden zijn binnen de (service) stack.
Goed, je hebt de data veilig gesteld maar hoe zit het nu met de dienst?
Als de SaaS provider failliet gaat dan is het wel handig – escrow? – als je ook de functionaliteit nog hebt om zo makkelijk van IaaS provider te kunnen wisselen. In dat kader is het misschien ook wel handig om te kijken waar die data nu eigenlijk landt want veel SaaS diensten maken gebruik van een ‘backdoor’ IaaS oplossing.
Kritische vragen gaan om de risico’s welke niet vanuit de techniek maar de business beoordeeld moeten worden, als de gebruiker hierin het grootste risico is dan heb je vooral een organisatorisch probleem als je de cloud in gaat.
Verschil tussen backup en replicatie. Testen/checken ipv aannemen.
De computable Cloud expert gaat ons leren kritisch naar Cloud computing te kijken.
Bedenkelijk niveau.
Beste Pascal,
Wat als ik van Cloud leverencier wil wisselen, krijg ik dan mijn gegevens aangeleverd op papier?
Praktijkvoorbeelden genoeg.
Beste W,
Naar mijn mening kun je op veel verschillende wijzen kritisch kijken naar de cloud. Ik heb er één aspect uit gepikt, namelijk de veiligheid van data. Kritisch kijken houdt hier zeker niet op. Ik ben het dan ook met je eens dat zaken zoals architectuur ook de nodige aandacht behoeven. Het staat je vrij om hier kennis over te delen met vakgenoten die zich op Computable bevinden.
Beste Jasper,
De data op papier, dat is inderdaad een scenario dat je wilt voorkomen. In het selectieproces van de SaaS leverancier kun je hier al afspraken over maken. Hier heb ik eerder al een blog over geschreven, zie:
https://www.computable.nl/artikel/opinie/cloud-computing/5631197/1509029/saas-hoe-kom-je-ervan-af.html
Ik zou eens kijken naar: http://www.utn.nl/boeken/cloutest/index.html
of hier: https://www.polteq.com/weblog/testing-cloud-services-nu-ook-in-duits/
Van SaaS risico’s naar maatregelen voor testen, analyseren, reviewen, etc., in 4 talen!
Pascal,
Op de ‘zaak’ werken we met Saas, PaaS en een beetje IaaS. Maar met name met SaaS kijken we goed uit. Wat is wijsheid, kosten of veiligheid? Ik moet er niet aandenken dat er qua SaaS iets verkeert gaat.