Home
Onderstaande bijdrage is van een externe partij. De redactie van Computable is niet verantwoordelijk voor de geboden informatie.

De ene ‘cloud’ is de andere niet

Veel mythes rond cloud computing

Hans Bos, Manager Technology Office bij Microsoft

Hans Bos, Manager Technology Office bij Microsoft

Er doen over cloud computing veel mythes de ronde, niet in de laatste plaats over de Patriot Act. “Er is een enorm verschil tussen de perceptie en de werkelijkheid”, constateert Hans Bos. “Sommige mensen hebben bijvoorbeeld het beeld van ‘een grijpgrage’ Amerikaanse overheid die op basis van de Patriot Act wat al te gemakkelijk data kan opvragen. De werkelijkheid is dat er heldere voorwaarden zijn als het gaat om het opvragen van informatie in verband met een justitieel onderzoek en dat de Amerikaanse overheid juist heel gematigd is in het gebruik van dit instrument, gematigder dan de Nederlandse overheid.”

Het is één van de vele mythes die rond cloud computing de ronde doen. "De aannames die mensen doen, stroken vaak totaal niet met de praktijk. Dat komt niet in de laatste plaats door allerlei wilde verhalen die de ronde doen", vindt Hans Bos, Manager Technology Office bij Microsoft.

Controle

De eerste onduidelijkheid bestaat vaak al over de vraag waarom bedrijven naar de cloud willen. "De cloud lijkt soms eerder een doel dan een middel. Dat is de omgekeerde volgorde. Het moet natuurlijk altijd beginnen met een businessvraag. Als die vraag is om kosten te besparen of bepaalde processen te verbeteren, dan kan de cloud een middel zijn om dat doel te bereiken", verduidelijkt Bos.

De volgende mythe is dat organisaties door cloud computing de controle over hun data kwijtraken omdat die op afstand staat. "Die mythe bestaat uit twee onderdelen: in de eerste plaats de aanname dat bij cloud computing het per definitie niet bekend is waar je data staat. Dat hoeft natuurlijk helemaal niet. Microsoft is bijvoorbeeld transparant over de locatie van de data. Bovendien kun je ook kiezen voor een private cloud of voor een mix van beide."

De tweede aanname is dat, zodra de technologie en data op afstand staan, er altijd anderen zijn die daar bij kunnen. "Dat is een verkeerd beeld", meent Bos. "Er is rechtmatige en onrechtmatige toegang tot de data van een organisatie. Natuurlijk moet een cloud service provider beschermen tegen onrechtmatige toegang tot data. De eigenaar van de data bepaalt wie rechtmatige toegang heeft, en de beheerder hoeft om de kwaliteit van de dienstverlening te kunnen blijven garanderen geen inhoudelijke toegang tot de data te hebben."

"Bovendien", zo vult Ton van Gessel aan, "is Microsoft transparant richting de klant over dergelijke onderhoudswerkzaamheden. Daardoor weet de klant wie wanneer welke werkzaamheden waarom heeft uitgevoerd."

Security

Van Gessel is Chief Security Advisor bij Microsoft en volledig op de hoogte van de securitymaatregelen die Microsoft neemt, inclusief wet- en regelgeving waar de clouddiensten aan moeten voldoen. Hij ziet ook op dit front veel vragen, onduidelijkheden en mythes. "Die zijn vaak goed weg te nemen. Zo krijgen we soms vragen over het auditen van onze datacenters. We laten dat door onafhankelijke organisaties doen, die verklaringen afgeven op onze veiligheidscertificeringen. Die onafhankelijke toetsing, waarover we maximaal transparant zijn, geeft vertrouwen bij de gebruikers. Dat hoort ook zo."

In het Microsoft Trust Center staan alle maatregelen die Microsoft op securitygebied heeft genomen. Zo vindt u op http://www.microsoft.com/nl-nl/office365/trust-center.aspx maatregelen met betrekking tot de dienst Office 365. En op http://www.windowsazure.com/en-us/support/trust-center/ die voor Windows Azure. Bos: "De reden waarom wij aan zoveel normen en certificeringen op het gebied van veiligheid en privacy kunnen voldoen, is omdat wij de investeringen die daarmee gemoeid zijn kunnen verdelen over de vele duizenden klanten. Een wat kleinere onderneming zal die grote investeringen in beveiliging economisch niet kunnen verantwoorden, waardoor het gebruik van diensten uit ons datacenter voor die organisaties vaak impliciet een verbetering is van de informatiebeveiliging en de kwaliteit van dienstverlening."

 

Patriot Act

Securitymaatregelen zijn bedoeld om onrechtmatige toegang tegen te gaan. Maar wat als het gaat om rechtmatige toegang door bijvoorbeeld een overheid in het kader van een opsporingsbevel? Ook hierover doen vele verhalen de ronde, ervaart Van Gessel. "Er bestaan al heel lang veel afspraken en verdragen over de uitwisseling van informatie tussen verschillende overheden in het kader van opsporing. Die afspraken hebben betrekking op alle data, of ze nu in de cloud staan, in het datacenter van de klant of in een ouderwetse archiefkast."

Het meest is te doen over de Patriot Act, wat een samenvoeging is van vier al langer bestaande amendementen. Deze Amerikaanse wet is in 2001 in het leven geroepen om makkelijker terrorisme te kunnen bestrijden In meer landen bestaat vergelijkbare wet- en regelgeving, die de overheid vergelijkbare rechten geeft als de Amerikaanse. En het feit is dat de Amerikaanse overheid relatief gezien heel gematigd is met het gebruik van dit instrument. "Het is dan ook een mythe om te denken dat de Amerikaanse overheid ‘grijpgraag' is en ‘maar zo' allerlei data wil inzien", zegt Bos.

"Bovendien", zo vult Van Gessel aan, "zijn er andere instrumenten en bestaande internationale afspraken die kunnen worden gebruikt in het kader van internationale afspraken en samenwerking bij opsporing."

Hybride model

Kortom, het is vooral de perceptie dat je met de cloud gemakkelijk de controle over je data verliest. De praktijk is heel anders. Van Gessel: "Ik vraag bedrijven vaak: wat hebben jullie nu dan precies geregeld? Dan blijkt dat security soms nauwelijks een aandachtspunt is geweest of dat het momenteel allemaal niet zo veilig is als ze zelf gedacht hadden. De praktijk is meestal dat organisaties met de cloud juist een sprong voorwaarts in hun beveiliging maken."

Bos constateert dat mede vanwege overwegingen rond de toegang tot data het hybride model veel voorkomt: een deel in de private cloud en een deel in de public cloud. Een organisatie kan door dataclassificatie en applicatiesegmentatie een verdeling maken van haar informatiesystemen tussen eigen datacenter, public cloud of elders.

Een voorbeeld is een organisatie die periodiek veel berekeningen maakt op haar data. Zij gebruikt hiervoor reken- en opslagcapaciteit uit de public cloud, waarbij de data en de berekeningen zelf worden versleuteld. De brondata staan in een private cloud, waardoor de veiligheid maximaal is gegarandeerd. Bos: "Er worden soms algemene (dis)kwalificaties aan ‘de cloud' gegeven, terwijl de ene cloud toch echt de andere niet is. Waar het voor de ene categorie van data onhandig of onwenselijk is, kan public cloud voor een grote andere categorie de meest effectieve invulling zijn."

Bos en Van Gessel willen organisaties oproepen zich niet vooraf al te laten beperken door mythes en zich vooral te verdiepen in de feiten. "Natuurlijk is er altijd de zorg voor het onbekende, dat is een heel menselijke reactie. Maak dat bespreekbaar. Vergelijk het met de huidige situaties en de werkelijke mogelijkheden. Dan kom je er vrijwel altijd achter dat veel van de mythes gestoeld zijn op aannames die niet kloppen."

 

Deel dit artikel via LinkedIn
Deel dit artikel via Facebook
Deel dit artikel via Twitter

Video

Toepassing van de cloud bij Talpa Digital

Applicaties rond tv-formats bij Talpa

Hoe Talpa de kijkers meer betrekt

Samenwerking Talpa met mediapartners

Visie SaaSplaza op veiligheid in de cloud

Visie SaaSplaza op evolutie cloud

SaaSplaza over de cloud-transformatie

SaaSplaza over de cloud-toekomst

Cloud belangrijker voor Winvision

Oplossing Winvision bij Serious Request

Migratie Winvision naar Hyper-V

Keuze Winvision voor Server 2012

Datacenter Breda naar private cloud

Het nieuwe werken bij Gemeente Breda

Migratie virtualisatie-platform Breda

Server 2012 bij Gemeente Breda

Cloud Computing in het onderwijs

Feiten over cloud computing

De gebruiker centraal

De weg naar IT als dienst

Kiezen tussen public of private cloud

Wat is IT on demand?

Duurzame cloud economie

Vertrouwde cloud omgeving

Beginnen met de cloud