Romeo en Julia, wie kent ze niet? U kunt eigenlijk niet Romeo zeggen zonder meteen aan Julia te denken. Zo is het ook met cloudoplossingen en security: u kunt bijna niet over de mooie kanten van cloudoplossingen praten zonder ook meteen een gesprek over security en privacyrisico’s te hebben.
Cloudoplossingen, zoals IaaS, PaaS en SaaS brengen ons veel moois. Zoals het uitsparen van investeringen. Investeren in infrastructuur en applicaties doet de Cloud Service Provider (CSP) voor u, de afnemer. Als afnemer van cloudoplossingen betaalt u alleen voor de operationele kosten. Ook biedt de cloud elasticity. Dat betekent dat bij sterk fluctuerende vraag het aanbod van de CSP meebeweegt.
Een voorbeeld om dit duidelijk te maken. Stel dat uw bedrijf een succesvolle marketingactie voert die veel toeloop op de website genereert. Dan is dus tijdelijk veel rekenkracht en storage nodig. Het cloud aanbod doet zich dan voor als een schijnbaar oneindige capaciteit, en uw website raakt niet overbelast. Is er vervolgens na de campagne weer minder capaciteit nodig, dan schaalt het CSP-aanbod weer af. U betaalt voor wat u afneemt en niet meer. Metered Service heet dat in het cloud jargon.
Prachtig toch? Zeker, maar ieder voordeel heeft zijn nadeel, en dat geldt dus ook voor cloudoplossingen. De keerzijde is namelijk te vinden in een aantal voor de cloud kenmerkende security en privacy risico’s die u in een door uzelf gehoste omgeving niet zult tegenkomen. In volgende blogs zal ik nader ingaan op deze materie, en ik geef u alvast twee voorbeelden.
Beschikbaarheid
Bij cloudoplossingen schuift de aandacht voor securityrisico’s al snel naar privacyvraagstukken. Vertrouwelijkheid van gegevens is zeker een belangrijk aandachtspunt, maar beschikbaarheid verdient natuurlijk ook uw aandacht. Zo werd het bedrijf Cloudfare in 2012 slachtoffer van massale DDoS-aanvallen door hackers. Alle klanten van Cloudfare werden hiervan slachtoffer: hun clouddiensten waren wekenlang niet of sterk verminderd beschikbaar. Recent ging de Amazon S3 service wereldwijd plat. De schijnbaar oneindige capaciteit van de CSP heeft dus soms toch een grens, en zelfs de beste providers hebben soms een beschikbaarheidsprobleem. Als maatregel kunt u overwegen om een extra CSP in de arm te nemen, met een ‘slapend’ contract, dat u activeert in noodgevallen als deze.
Privacy
Op basis van de komende Europese privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG), moet u extra goed letten op het beschermen van de persoonsgegevens die u verwerkt. Dat geldt eens te meer wanneer deze data op locaties buiten de EU wordt opgeslagen. De wet vereist dat gegevensoverdrachten niet mogen worden gedaan naar landen buiten de EU die geen adequate beschermingsniveaus waarborgen. Maar kenmerkend voor de cloud is dat u niet altijd weet waar de CSP de data opslaat. Vaak zijn CSP’s weliswaar transparant over de primaire locatie, maar minder duidelijk over de locaties waar zij zelf back-ups opslaan. Toch bent u verantwoordelijk als er iets misgaat. Als maatregel kunt u hier overwegen nadrukkelijk in het contract te laten vermelden dat alle locaties waarop uw data wordt opgeslagen aan de eisen van uw beveiligingsbeleid moeten voldoen, en dan met name uiteraard op het punt van toegestane locaties.