Beveiliging is niet het echte cloudprobleem

door

datacenter, cloud, private cloud

door

Column - Ik vind de gesprekken, klachten en presentaties op congressen over cloud computing een buitengewoon interessant fenomeen. De afgelopen vijf jaar hoor ik vooral dat security als grootste bezwaar voor een overstap naar cloud wordt genoemd. Maar toch vinden overal dezelfde discussies plaats waarbij telkens dezelfde oplossingen en adviezen gegeven worden.

Bij de recente Cloud Expo was het niet anders. Het leek alsof iedere presentatie, keynote en discussie betrekking had op het aspect van security. Ik kijk er liever op een andere manier naar en richt me op de revolutie die het voor gebruikers (lees: ontwikkelaars) teweeg brengt.

Ik moest even over deze ongebreidelde focus op beveiliging nadenken. Hoe komt het dat – ondanks de grote interesse in het onderwerp, gezien de vele leveranciers die het onderwerp op talloze presentaties aankaarten - we niet verder kunnen kijken dan de zorgen rond het onderwerp en verder kunnen gaan met beheermaatregelen en best practices? Het is als wachten op Sint Juttemis - je kunt er lang voor gaan zitten, maar hij komt nooit.

Welke gevolgen heeft het?

Je bent misschien geneigd te concluderen dat potentiële gebruikers de securityissues rond cloud computing onderzocht hebben, waarna men geconcludeerd heeft dat het securityprobleem onoverkoombaar is, waardoor ook cloud computing uit beeld verdwijnt. Daarnaast komt het misschien wel door het vele spreken over risico's bij cloudsecurity dat bedrijven zijn gaan denken dat het inherent is aan de cloud in algemene zin.

Ik ben hier sceptisch over. Ik denk dat het onzin is dat IT-organisaties cloud onderzoeken en hierna tot de conclusie komen dat securityvraagstukken niet opgelost kunnen worden. Nog sceptischer ben ik over het idee dat security zo groot is geworden dat het IT-organisaties ervan weerhoudt cloud te gaan gebruiken, ondanks dat hiervoor interesse bestaat.

Security, in relatie tot IT, wordt vaak genoemd als factor, maar drijft nooit beslissingen. Uiteindelijk blijft dit een industrie die maar wat graag Microsoft Windows (en niet te vergeten Windows Server) heeft omarmd ondanks zijn beruchte onveilige aspecten.

Ik betwijfel dat security zo'n belangrijk onderwerp is dat het organisaties ervan weerhoudt bezig te gaan met cloud computing.

Cloud is in de praktijk vaak veiliger

Voor veel organisaties en gebruikers betekent de cloud namelijk een vooruitgang in security. Ik sprak onlangs met de CEO van een kleine healthcare SaaS-leverancier genaamd Healthonomy die juist voor Amazon Web Services heeft gekozen vanwege HIPAA-compliance. Voor dit bedrijf is de cloud een uitkomst, omdat het ondenkbaar is dat zo'n kleine firma zichzelf de infrastructuur kan veroorloven om HIPAA-compliance mogelijk te maken. Daarnaast kent Amazon een veel beter securitymodel dan de meeste standaardklanten van Healthonomy met een pc onder hun bureau hanteren, zo zei de CEO.

Het herhalende karakter van dit gespreksonderwerp betekent voor mij dat het beveiligingsvraagstuk is op te splitsen in twee elementen.

Allereerst is er sprake van een aarzeling om te vertrouwen op een externe leverancier. Zou deze dienstleverancier een securityprobleem hebben of krijgen, dan krijgt de eigen IT-afdeling de schuld, ook al valt het probleem officieel gezien onder de verantwoordelijkheid van de leverancier. Tenzij en totdat een officiële verklaring van hogerhand opduikt waarin IT vrijgesproken wordt, zullen IT-professionals security in de cloud aan de orde blijven stellen.

Dit punt zal nooit van de agenda verdwijnen

Ik heb drie maanden geleden ook over deze cloudaarzelingen geschreven en koesterde toen de verwachting dat deze naar verloop van tijd zouden verdwijnen. Inmiddels geloof ik dat deze zorgen niet meer weggenomen kunnen worden. Moeten vertrouwen op een externe leverancier plaatst beide partijen altijd voor risico's: de vraag is of de voordelen zwaarder wegen dan de nadelen.

Daarnaast is er een instinctieve voorkeur voor een private cloudoplossing en een corresponderend afwachtend patroon tot het moment dat de private cloud geïmplementeerd kan worden. Als er binnen de organisaties genoeg twijfels zijn over cloud computing, dan kan IT genoeg tijd winnen om zelf een private cloud op te tuigen.

Ik kan begrijpen dat instinctief de voorkeur uitgaat naar iets dat door IT gebouwd wordt en door IT gecontroleerd wordt.

Maar er is wel een probleem: de strijd over cloud computing wordt niet bevochten op het vlak van beveiliging. De strijd zou moeten gaan over hoe goed een cloudomgeving gebruikers – in dit geval developers- bedient. Het belangrijkste selectiecriterium is niet security; het is eerder de mate van flexibiliteit voor een ontwikkelaar:

  • Aanlooptijd. Hoe lang duurt het om een account aan te maken zodat een developer aan een project kan gaan werken?
  • Gebruiksgemak. Hoe eenvoudig is het om de benodigde developmentmiddelen te verkrijgen?
  • Automatisering. Hoe goed is de cloudomgeving in processen te implementeren en kun je via policies het resource provisioning-proces geautomatiseerd laten verlopen?
  • Kosten. Tegen welke (lage) kosten worden de resources aangeboden?
  • Kostentransparantie. Hoe inzichtelijk is de facturering, en hoe direct is het gekoppeld aan wat daadwerkelijk wordt afgenomen?
  • Rijkdom van het ecosysteem. Hoe eenvoudig te benaderen zijn de diensten waarmee nieuwe applicaties in elkaar gezet en ontwikkeld kunnen worden?

Hetgeen dat ontwikkelaars wordt geboden in de private cloud moet op hetzelfde niveau liggen als hetgeen je kunt krijgen in de publieke cloud. Door een minder functioneel alternatief nodigt ontwikkelaars uit de ‘goedgekeurde’ optie te omzeilen.

Ik verwacht niet dat de teneur op cloudcongressen snel zal veranderen. Security zal altijd als een wolk boven de discussie blijven hangen. De grote vraag is of degenen die zich op dit onderwerp blijven richten achtergesteld raken bij diegenen die het werk hervatten. Cloud computing begint meer en meer een geaccepteerd verschijnsel te worden ; erken je dit niet, dat moedig je vooral schaduw IT aan. Dit is geen goed tijdstip voor langdurige beraadslagingen.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips
promotionele afbeeldingen promotionele afbeeldingen

Topbedrijven met ICT vacatures

Computerworld nieuwsbrief

Ontvang tweemaal per week een overzicht van de laatste achtergrondartikelen in uw mailbox.