Veiligheid cloudnetwerken vaker op de proef gesteld

Dit artikel delen:
Target

De beveiliging van netwerken in de cloud wordt steeds vaker onder vuur genomen. Ruim een op de zes bedrijven (16 procent) had het afgelopen jaar te maken met een lek in de cloud. De belangrijkste aanvalsvectoren die hierbij werden waargenomen, zijn zwakke configuraties, misbruik van inloggegevens en accounts alsmede schaduw-it.

Dit zijn de voornaamste conclusies uit een onderzoek dat Sans Institute (securitytraining en -certificering) deed onder bedrijven en instellingen in Noord-Amerika, Europa en Azië. Het onderzoek richt zich op de vraag hoe cloudbeveiliging de bedrijfsinfrastructuur heeft veranderd. Dit als reactie op Covid-19 en de trend naar thuiswerken. Verder werd bekeken of organisaties de cloud zien als een integraal onderdeel van hun bedrijfsnetwerk. Een andere vraag was hoe netwerkverkeer en metadata worden gebruikt voor opsporing en respons. 

Tweederde van de ondernemingen die aan het onderzoek deelnamen, beschouwt saas-, paas- en iaas-platforms voor cloudlevering als onderdeel van hun netwerkperimeter. De belangrijkste netwerk-beveiligingscontroles die in openbare cloudomgevingen worden gebruikt, zijn firewalls voor webtoepassingen (waf's), netwerktoegangscontroles en detectie en preventie van het binnendringen van netwerken. Sans constateert dat sinds 2019 het aantal kwetsbaarheden binnen de cloud sterk is toegenomen. Gevoelige data kwamen op straat te liggen. Openbare cloudomgevingen bleken niet veilig.

Microsoft Azure

"Openbare cloudomgevingen bleken niet veilig"

Het rapport noemt als voorbeeld de problemen die Microsoft in 2019 en 2020 met Azure had. In die periode deden zich verschillende storingen voor. In 2019 werd de Azure-database getroffen. Oorzaak waren wijzigingen in de dns-configuratie en enkele fouten in het automatiseringsscript. In december 2019 meldde Microsoft dat het per ongeluk een grote database met customer supportdata binnen Azure had blootgelegd. Hierbij werd de schuld bij ‘verkeerd geconfigureerde securityregels’ gelegd. 

In 2020 zorgden tal van Office 365-storingen ervoor dat organisaties hierdoor downtime ondervonden en geen toegang tot hun cloudapplicaties en -data hadden. In april van dit jaar maakte cloud- en hostingprovider DigitalOcean een inbreuk bekend op de factureringsdata van klanten zonder inzicht te geven over hoe dit kon gebeuren.

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Joh. cloud=andermans computer maar met JOUW data. denk goed door hoe de belangen en 'rekeningen' dan komen te liggen mochten er zaken mis gaan. veel succes met bijv MS voor de rechter te krijgen!

swa, als je cloud als andermans computer ziet, dan heb je een ietwat versimpeld beeld van de werkelijkheid die niet erg praktisch is.

@henri, ik zou niet zo judgemental zijn als ik jou was. Lees het oorspronkelijke stukje nog maar eens goed. misschien is het u die 'the point' niet zo begrijpt? verder, steeds MEER scherpe randjes / addertjes uit het gras: https://www.security.nl/posting/712996/"Veel+slachtoffers+van+ransomware+beschikken+over+betrouwbare+back-ups"

@henri: oh no... niet weer een voorbeeld: https://www.security.nl/posting/713008/Ransomware-aanval+op+hostingprovider+Cloudstar+raakt+honderden+bedrijven

JOUW data op een andermans computer en je hebt geen poot om op te staan als het mis gaat!

Hoewel er naast de publieke cloud van met name de grote Amerikaanse spelers ook nog wat andere oplossingen zijn die gebruik maken van 'IP Computing' gaat de strekking van het verhaal om eerste, de uitbesteding van een bepaalde workload in de bedrijfsvoering naar één van de bekende hyperscalers. En het gaat daarbij inderdaad al lang niet meer alleen om mijn data op de computer van een ander want er is ook nog zoiets als metadata. Vraag hoe gegevens over netwerkverkeer en metadata worden gebruikt is daarom interessant want de commerciële waarde hiervan is groot.

swa, ik doelde op als je de cloud alleen maar ziet als andermans computer, je zo'n simpel beeld hebt van cloud dat een discussie daarover geen zin heeft. En waarom mag ik niet zo judgemental zijn?

En wat is jouw punt? Dat als je data opslaat die niet op jouw computers staan, dat dit een slecht idee is? De wereld denkt daar anders over. Nagenoeg ieder bedrijf gebruikt Microsoft 365. De paar bedrijven die dat niet gebruiken, gebruiken Google Workspace.

Waar zeg eens? Waar host jij je mailbox? En je privé mailbox? Als je data elders opslaan zo'n slecht idee vind. Welk OS gebruik jij eigenlijk? En wat voor smartphone heb je?

Dus ik ben heel benieuwd: Wat is je punt precies?

Omdat je geen account hebt op computable krijg ik overigens geen notificaties op je reacties. Dus mogelijk duurt een antwoord wat langer dan je van mij gewend bent.

@henri

"Waarom mag ik niet zo judgemental zijn?"

- omdat je niet door hebt dat je misschien een verkeerde judgement maakt? En dat is ook zo zoals ik helemaal aan het einde bij je laatste vraag zal beargumenteren.

"Dat als je data opslaat die niet op jouw computers staan, dat dit een slecht idee is?"

- ja en afhankelijk van het type data is dat een enorm bedrijfsrisico zelfs.

"Waar host jij je mailbox?"

- lokaal aan een universiteit in NL en die leeg ik ook netjes dagelijks.

"En je privé mailbox?"

- nvt, heb ik niet.

"Welk OS gebruik jij eigenlijk?"

- Linux, RHEL varianten professioneel (CentOS en Rocky) en Ubuntu op laptop.

"En wat voor smartphone heb je?"

- Geen, zoals wel eens gezegd wordt, de 'smart' zit aan de phone niet in de phone.

"Wat is je punt precies?"

- De punt is dus duidelijk dat JIJ het punt van dit artikel niet begrijpt [dat als jou DATA op een andermans systeem is, en er gebeurt iets, dat je dan afhankelijk bent in de opties die de 'andermans' aanbiedt en niets meer]. Als MS hun office 365 plat legt of gelegd wordt, [om welke reden dan ook], dan heb jij OOK downtime en dus effectief een DOS [Denial Of Service]. Als de zaak in Azure niet op orden is en JOUW data gelekt wordt heb JIJ ook een probleem [dit is dus ook het punt van de originele post. lees de laatste paragraaf over Azure nogmaals en de link eerder gepost]. Als jij je backups extern in de cloud hebt en je moet een restore doen, dan betaal JIJ de prijs van de transfer en de tijd die daarbij gepaard gaat [zie eerder geposte link].

De enige 'stok' die je hebt, om DAN die cloud partijen meer in JOUW dan hun EIGEN belangen te handelen, is eigenlijk maar afwachten en anders naar een rechter gaan, en daarbij wens ik JOUW met partijen als google en MS succes als MKBer!

Ik sta er overigens niet van te kijken dat je 'the point' niet hebt begrepen omdat je al tijden als cloud advocate deze aspecten niet duidelijk durft/kunt benoemen. Misschien is het wel zo dat je er andere belangen bij hebt en dat dit soort nieuws niet goed voor JOUW bottom line is? Als dat zo is, fijn voor je klanten om te weten dan dat je heel goed nadenkt/gedacht hebt over hun DATA en belangen die JIJ de cloud in praat/geshift hebt [zoals MS en google ook jouw hebben weten te overtuigen van hun laatste nieuwste 'shiny' :P] en dan hoop ik maar voor je dat ze geen computable posts bekijken...

swa, ik zal het kort houden: Onze meningen zijn uitersten van elkaar. Dat kan op geen enkele manier overbrugd worden waardoor een discussie met jou geen zin heeft en dus niets oplevert. Ik laat het aan de lezer over aan welke mening deze meer waarde hangt. Jij denkt dat ik het niet snap of wil snappen, ik denk dat jij het niet snapt of wil snappen. Prima zo.

@henri

je kunt het als een 'menig' afschuiven all day long, maar het staat er toch heel duidelijk in het originele stukje.

"In 2020 zorgden tal van Office 365-storingen ervoor dat organisaties hierdoor downtime ondervonden en geen toegang tot hun cloudapplicaties en -data hadden. In april van dit jaar maakte cloud- en hostingprovider DigitalOcean een inbreuk bekend op de factureringsdata van klanten zonder inzicht te geven over hoe dit kon gebeuren."

Verder zijn er inmiddels genoeg andere voorbeelden waar je inhoudelijk ook steeds maar niet op reageert... Dat is wel heel erg tekenend....

@SWA
het gevaar data te verliezen is minstens zo groot als je alles in huis hebt.
Een brandje of 1 e-mail geopend met een trojaner en je bent de pineut.

De afgelopen jaren heb ik meermaals data gered omdat die in "een cloud" stonden.
Met communicatie via HSTS en DOH heb je hier al e.e.a. dichtgetimmerd.

Een goede cloudleverancier is mijns inziens niet slechter als on premise met fatsoenlijk beheer.

Veiligheid in internet is een heikel thema, er zijn te veel geheimdiensten/criminelen onderweg, daar helpt ook
Linux niet meer, alleen vlijtig updates/patches laden en hopen dat het ooit beter wordt.
Momenteel leven we in een tijdperk met "insecurity by design" en dat is gewild door de politiek.

@jan

maar als het dan mis gaat in die cloud... en tja tegen brand kun je je nog verzekeren en een tapje of wat disks in een kluis leggen elke maand oid is ook nog te overzien. het mooie is dat je dan een data diefstal ook meteen ZIET :). Wees gewoon open minded, niet alles is een vooruitgang en niet alles was vroeger zo stom of slecht... let op voor mensen die woorden als 'niet meer van deze tijd' gebruiken. die proberen je te overtuigen van iets maar hebben duidelijk geen inhoudelijk argument daarbij. gisteren op Nieuwsuur ook weer zo een mooie rakker van een zorgverzekeraar die alle huisartsen verplichten wil digitaal consults te gaan doen. meteen daarna een item over hoe slecht het bij MBK nederland vwb cyber security is als 10j lang. laat me niet lachen! overigens mensen die 'dat is traditie' zeggen idem dito voor opletten!

Het onderzoek van het Sans Institute geeft aan dat het over de schutting gooien van een verantwoordelijkheid niks hoeft op te lossen. De veiligheidsaspecten bij publieke cloud, private cloud, of conventionele netwerken zijn in principe hetzelfde. De vraag is hoe je er mee omgaat. In ieder geval moet je goed nadenken over wat je als bedrijf nodig hebt, welke flexibiliteit gewenst is, wat je zelf kan doen en hoeveel geld je kan besteden. Daarna moet je het regelen. Mis je daarvoor de tijd of kennis zoals bij het MKB vaak de situatie is, huur dan iemand daarvoor in. Nog belangrijker is dat er een goede afstemming is tussen je partijen.
Een voorbeeld van waar het fout kan gaan staat in artikel waar SWA op wijst. Bedrijven weten vaak niet hoe de restore procedure verloopt (of ze hebben niet eens een procedure). Ze weten niet hoeveel tijd een restore kost want de restore is nooit getest. Ze weten niet of de back-up ook versleuteld kan zijn. Ze weten ook niet of de restore bij een specifieke aanval kan werken omdat bijvoorbeeld servers gewist kunnen zijn. Wellicht kennen ze ook niet de kosten van down time.
Door de inzet van ICT kan je sneller up and running zijn, beter dan bij een paper office, maar dan moet jij en de leverancier het wel goed voorbereid hebben.

@SWA
"cloud" neemt de plicht niet weg om voor backups te zorgen ook als die niet in jouw kluisje liggen.
Denk je werkelijk dat je meteen ziet of een medewerker data aftapt? Dat is naief.
De bedrijfsmodellen met of zonder "cloud" zijn verschillend net als de randvoorwaarden.
Het oude of het nieuwe afwijzen uit principe toont een gebrek aan flexibiliteit.

@Jaap
inderdaad, restore wordt zelden getest, het kost tijd en velen zien de noodzaak niet, helaas.


"Denk je werkelijk dat je meteen ziet of een medewerker data aftapt? "

ja ik denk dat mensen vlugger ziet dat een kluis gebroken is dan dat ze door hebben dat er digitaal heimelijk een exfil van data is geweest...

Misschien wil Henri even reageren op het feit dat 'cloud-enabled' oplossingen extra data opleveren welke ook tot op de persoon identificeerbare informatie kan bevatten, data die commercieel interessant is want zoals Henri zelf altijd zegt ben je in de cloud het product en niet de klant. Op plaats één (met stip op pagina 5) staat dan ook de zorg over welke data er nu precies in de cloud verwerkt wordt en waar. Want judgemental of niet zijn er wettelijke vereisten waaraan voldaan moet worden als je tot op de persoon identificeerbare informatie gaat verwerken. De vraag of je data diefstal ook meteen ZIET wordt m.i. dan ook met NEE beantwoord want de veiligheidsaspecten bij de publieke cloud zijn in principe niet hetzelfde omdat je door uitbesteding veelal te maken hebt met extra partijen die toegang hebben tot bepaalde I/O stromen, zie pagina 11 voor de conclusies. De essentie van een lek in de cloud gaat niet om de uitval van een services, het gaat om meekijkende ogen die niet geautoriseerd zijn. En ook het geautoriseerd meekijken kent restricties omdat het middel proportioneel moet zijn tot het doel, het grote sleepnet van de overheid levert nog niet veel maatschappelijke discussie op terwijl een eerdere referendum duidelijk maakte dat de meerderheid sceptisch hierover was.

Oja, ik denk dat er technische maatregelen mogelijk zijn om te constateren welke medewerkers ongeautoriseerd data aftappen door het fenomeen logging. Het rapport geeft aan dat 70% van de respondenten die gebruik maken van metadata vroegtijdig lekken konden identificeren, 64% gaf aan dat ze het commando- en controleverkeer (C2) van malafide/niet-goedgekeurde services konden identificeren wat dus meer vertrouwen geeft dan de fatalistische houding van laat maar waaien. Punt blijft echter wat de 'bijvangst' is en wat ermee gedaan wordt want zoals ik 11 jaar geleden stelde in een opinie zullen de goeden onder de kwaden leiden door een laag (Zero Trust) vertrouwen in de medewerkers of klanten.

Net als dat cloud provider een aanbieder is van een dienst, generen dienst praktisch altijd data en in het geval van persoonsgegevens, data over anderen en vallen daarmee onder de AVG.

Je kan zelf je stroomvoorziening regelen, dan ben je niet afhankelijk van een energieleverancier, maar in de praktijk is het praktischer en goedkoper door stroom te laten leveren.

Praktisch ieder bedrijf (en consument) kiest tegenwoordig voor cloud oplossingen. De gradatie kan wat verschillen, maar om de discussie to cloud or not to cloud te voeren, daar besteed ik mijn tijd niet meer aan. En als er mensen zijn die principieel roepen "zelluf doen!", dan mogen ze dat van mij, maar ik ga er verder geen energie aan besteden.

Waar een oudlid op doelt is dat de overheid waarin een cloud aanbieder zich bevind ook een vinger in de pap heeft als het gaat om toegant tot data en dat het uitmaakt waar een cloud dienst van origine vandaan komt. Bert Hubert vult dat nog pragmatisch aan door expliceit aan te geven dat veel werk ook nog uitbesteed wordt aan andere landen met andere overheden en dat de vraag "wie kunnen bij mijn data?" dus niet zo eenvoudig is te beantwoorden. En dan hoef je nog niet eens klant te zijn van die cloud provider.

Vul daarop aan dat een dienstverlener zomaar de dienstverlening stop kan zetten en je hebt een behoorlijk scala aan risico's te managen. Zoals oudlid aangeeft, logging en detectie doet al een hoop (maar zeker niet alles!), maar je zal ook een back-up plan moeten hebben voor dit soort zaken of een ransom ware aanval.

Zoals we hebben kunnen zien is een storing bij een grote gecentraliseerde DNS aanbieder (Akamai) ook nog eens een factor van betekenis en dat maakt het vak uitdagend en interessant.

Betekent het dat je beter geen cloud zou moeten gebruiken? Blijkbaar niet, want bedrijven en personen kiezen massaal voor clouddiensten.

Terug naar het begin: Waar ik op "triggerde" is door clouddiensten plat te slaan tot andermans computer. Dat is heel ver van de werkelijkheid en wordt vooral gebruikt om zoals dat in Rotterdam heet "gers" te doen. Mensen die cloud als iemand ander zijn computer proberen af te doen hebben verder niet veel boeiends te melden, dus ga ik daar niet op door.

Simpel toch? Laten we het nu weer over zinnige zaken hebben...

Mee eens Henri, laten we eens kijken hoe we gebruikers motiveren backup en restore te oefenen.

ja, laten we het over zinnige zaken hebben.
zoals waarom je op de snelweg altijd 2 soorten mensen ziet.
zij die langzamer rijden dan jij, dat zijn slome sukkels.
zij die sneller rijden, de gevaarlijke gekken.

“andermans computer”

Even los van allerhande technische en niet-technische invalshoeken: dit is toch helemaal *niet* relevant?!

Clouddiensten worden en-masse ingezet - soms bewust; maar meestal onbewust. En onbewust in termen van "site-effects" bij het gebruik. Zie van een willekeurige SaaS-dienst maar eens te achterhalen waar alles nu daadwerkelijk opgeslagen is. Of zie maar eens een geautomatiseerde backup te maken - laat staan een (handmatig?) herstel bij een calamiteit.

Tot nu toe geen SaaS-dienstverleners gezien die hier serieus werk van maken - anders dan wat generieke statements zoals “wij voldoen aan alle wettelijke regels” of “wij maken dagelijks een backup”. Met als uitsmijter “u bent zelf verantwoordelijk voor een goede backup”.
Maar hoe dan? Anders dan handmatig een CSV-achtige export doen? Of een vergelijkbare aanpak van een log-export?

Platgeslagen: ja - cloud biedt zeer zeker mogelijkheden. Maar nee - alles bij elkaar opgeteld behoren “makkelijker” en “goedkoper” in ieder geval niet tot die mogelijkheden; in ieder geval niet voor topics als governance/compliance en continuïteit. Met die invalshoek heeft een “eigen” kompjoeter nog altijd de voorkeur… ;-)

@herni

- "Vul daarop aan dat een dienstverlener zomaar de dienstverlening stop kan zetten en je hebt een behoorlijk scala aan risico's te managen."

Dank u voor het bevestigen van mijn punt. Hoe manage je dat als een hacker bij MS de Azure ransomwared? Ga je bij MS aankloppen en dan 'boos' doen? Ga je ze uiteindelijk voor de rechter dagen? [Begin niet dit als 'dat gebeurt nooit' weg te wuiven, want er zijn immers al incidenten en voorbeelden!]

- "Mensen die cloud als iemand ander zijn computer proberen af te doen hebben verder niet veel boeiends te melden, dus ga ik daar niet op door."

Dat is dus ongefundeerd judgemental zijn en tekent eigenlijk eerder je gebrek aan begrip en inlevingsvermogen. Zeker als het originele stuk enkele duidelijke voorbeelden benoemd en er extra voorbeelden gegeven worden. Het simpel feit dat je daar maar niet op in wilt gaan wekt bij mij dus de suggestie op dat andere belangen de overhand hebben bij jouw. Misschien is het wel zo dat die 'reductie' die gedaan is een heel duidelijk pijnpunt bloot legt? Een groot deel van de point van het originele stukje misschien? Want vooralsnog hoor ik je tegen die stelling roepen maar heb nog geen enkel inhoudelijk argument of iets van je gehoord terwijl er wel voorbeelden en argumenten aangedragen zijn die de stelling ondersteunen. Tja.

- "Betekent het dat je beter geen cloud zou moeten gebruiken? Blijkbaar niet, want bedrijven en personen kiezen massaal voor clouddiensten. "

De historie zit vol met voorbeelden van bedrijven die dingen deden en waarvan ze achteraf dachten tja was dat nu zo slim en handig. Daar hoef ik je toch geen voorbeelden van de geven toch? Veelal valt dan de rekening 'bij de klant' of 'bij het volk'. Ook hier proef ik dan dus duidelijk een smaak van 'andere belangen' die bij jouw lijken te prevaleren. Afwimpelen en 'business as usual' dan maar?

- "Simpel toch? Laten we het nu weer over zinnige zaken hebben..."

Ha ha ha the understatement of the year! Hoe vaak ik dat niet hoor van groene studenten die het denken te weten. Vraag je dan een beetje door and the cookie crumbels....

Beste Herni, mijn laatste poging, eigenlijk tegen beter weten en ervaring met types zoals je lijkt te zijn in!

Lees het originele stuk nog nog eens rustig door en probeer eens niet zo vast in je eigen denk draad en geloof daarbij te zitten. Zoek niet de bevestiging van je eigen mening daarbij, maar probeer nu eens kritisch naar jezelf te zijn en denk daarbij eens in je leven een keertje, 'ik vind dat nu wel, maar waarom nu eigenlijk en waar baseer ik dat dan op?'. Je zult zien dat je dan veel verder gaat komen en minder vergissingen in het leven zult begaan en dat je meer successen zult gaan boeken! Goed bedoeld advies...

@will

- "Even los van allerhande technische en niet-technische invalshoeken: dit is toch helemaal *niet* relevant?!"

Ik denk dat je je daarin vergist. Als het niet jouw computer is, dan is je enige en laatste escalatie red middel naar een rechter gaan en dat punt bereik je vrij snel als jij een kleine partij bij een grote Big Tech bent. Zij bepalen hun business model en jij past je daarbij maar naar hun aan. Als het dan mis gaat, dan zullen zij HUN belangen voorop stellen. Voorbeelden genoeg inmiddels. Succes met MS of Google of Oracle of IBM voor de rechter te dagen...

Daarentegen, is het jouw computer, dan heb je heel rap door dat JIJ ook verantwoordelijk voor dingen bent en je kunt de 'schuld' niet (fictief) weg managen naar een ander. Je zult dingen zelf moeten regelen zoals steevast blijkt dat je eigenlijk ook bij vele off premise cloud oplossingen moet doen. Maar ja dat gaat inderdaad tegen de verkooppraatjes in... Types genoeg die daar wel in instinken, net als bij phishing mails of whatsapp fraudes etc.

Risicomanagement is veel meer dan 'hup lift & shift' naar de cloud 'want glossy folders' en je doet jezelf meer dienst als je daarbij goed blijft onthouden dat "off premise cloud = andermans kompjoeter met jouw data, wat als dat mis gaat?". Dat dwingt je dan even stil te staan bij de techno euforie die je dan op dat moment hebt in de algemene digidrang. Bezint eer ge begint!

@Will
"Met die invalshoek heeft een “eigen” kompjoeter nog altijd de voorkeur… ;-)"

Even een voorbeeld.
Het zoontje wist per ongeluk en grondig het gehele e-mail-programma waar met POP alle emails fijn op de eigen computer staan.
Backup? Wat backup, ik kopier mijn bestanden toch op de externe schijf!

Met Imap en de e-mails op de server installeer je de klient nieuw, zet de login-gegevens er in en je hebt alle emails weer.

Dit is 1 zeer simpel voorbeeld maar illustratief en voor iedereen begrijpelijk.

Dat is geen "cloud" maar gewoon internet dat vaak als "cloud" betiteld wordt.

"Nieuwe" techniek van slechts 40 jaar oud kan ook voordelen hebben.

@swa en @jan:

Dat is wat ik bedoelde. Oftewel: de leeftijd, naam en omschrijving van het cloud-beestje in de glossy folders (of waar dan ook) lijkt me niet of nauwelijks relevant. Je hebt te handelen alsof alles op je “eigen” kompjoeter staat. Dat is dus inclusief passende beschermingsmaatregelen; waaronder een calamiteiten plan.

Een vergelijkbare situatie is er ook voor de meta-gegevens en AVG: formeel is er een stok om mee te slaan. Maar voor tech-giganten is dat vooral een papieren, tandenloze en juridische tijger = mocht het al tot een boete komen, dan is die paar duizend euro hooguit een druppel op de gloeiende-miljarden-plaat die winstgevendheid heet.
Hier is verder weinig aan te doen – anders dan terug naar “eigen” kompjoeters (en zelfs dan...).

@wil

- "Dat is wat ik bedoelde. Oftewel: de leeftijd, naam en omschrijving van het cloud-beestje in de glossy folders (of waar dan ook) lijkt me niet of nauwelijks relevant. Je hebt te handelen alsof alles op je “eigen” kompjoeter staat. Dat is dus inclusief passende beschermingsmaatregelen; waaronder een calamiteiten plan."

met dien verstande, met het onder deze voorwaarden gaan naar die externe cloud, je introduceert dan daarbij wel nog steeds extra complexiteit en risico's door het bij een grote partij op een kompjoeter te zetten die je negeert of weg managed in geval daar iets mis gaat. je point is: 'there is no such thing as a free lunch' en die is well taken, maar je point zet dan ook meteen grote vraagtekens bij welke motivaties en redenen je wel nog zou kunnen hebben om dingen bij een 3e partij te plaatsten en die te betalen als je toch zelf weer alle zooi in de gaten zult moet houden. kijk als de wetgeving nu zo was dat je overduidelijk in je recht staat (en er geen tandeloze AP was) dan heb je een kans nog bij Big Tech in geval van een calamiteit aan hun zijde, maar dat is nu gewoonweg nog niet zo en zal ook altijd fundamenteel in andere wetgevingen blijven 'bijten' zoals GDPR en AVG. Die laatste dingen passen gewoon niet in hun buisnes model en 'if push comes to shove' delf jij weer het onderspit als eenvoudige NLer.

we hebben het hier dus niet over zoontjes en diskjes en POP e-mail enzo, we hebben het over MKBers en bedrijven wiens bestaansrecht in gevaar gaan komen bij een malware uitbraak of een cloud hick/f-up. daar zitten dan ook weer (enkele) gezinnen achter.

lees het laatste paragraafje van de originele post nog maar weer een keer.

bezint eer ge begint!

Oke swa,

In het verleden heb ik veel artikelen geschreven over cloud computing en wat dit is en betekent. Vaak krijg ik dan veel weerstand van mensen die vasthouden aan on-premises en denken dat ze het zelf beter kunnen dan een cloud provider zoals Microsoft met Azure, Amazon met AWS, Google met GCP, etc.

Niet alleen hebben de cloud providers hun security vaak veel beter op orde dan bedrijven die hun serverpark zelf beheren, maar zijn de dienst veel meer dan iets wat op een computer draait. Als ik een bestandje opsla in een CDN, dan staat het niet op een computer, maar op honderden computers, redudant en met een API gateway zodat het nagenoeg niet ge-DDOS-ed kan worden. Met piekbelasting schakelt de dienst automatisch bij en krimpt weer op basis van andere regels.

Ik kan nagenoeg op ieder device overal ter wereld werken. Dat is niet alleen gemak, maar ook redundantie, veerkracht en flexibiliteit.

Als jij denkt dat je het beter en veiliger kan met jouw computer dan is de kans heel groot dat je aan zelfoverschatting doet. En als jij je verdiept in wat ik doe (ik ben bepaald niet anoniem), dan weet je dat ik er geen belang bij heb om cloud computing te verkopen en dus niets daarin te verbergen heb. Ik praat dus over dit onderwerp vanuit een volledig onafhankelijke positie.

Als jij cloud computing vergelijkt met wat "jouw computer" kan, dan ben ik snel uitgepraat.

Voor de risico's die ik beschrijf is er dus ook een plan.. en voor de verandering.. die testen wij ook.
Naturlijk; als AWS ons toegang tot de infrastructuur ontzegt, dan heb ik inderdaad een probleem, alleen al omdat ik mijn DNS daar ook beheer en als ik die wil overzetten zonder hun medewerking dan is dat een probleem, maar niet onoverkomelijk. Als ik alles wil doen wat ik doe zonder cloud computing... dan is dat nagenoeg onmogelijk en/of verschrikkelijk duur.

Maar goed... muziek luisteren doe ik via Spotify, series kijken via Netflix, kantoorautomatisering via Google, support leveren via Atlassian, GIT via Bitbucket, content creëren via Adobe Creative Cloud, backups maken via een back-up provider, en ja wij maken ook offsite offline back-ups. Niet alleen van data, maar ook van configuraties, code, etc.

Als we de great reset er maar even bijsleuren met build back better... we own nothing and we are happy :-)

Maar ik respecteer het hoor dat jij liever blijft bij jouw computer. Ik vind mensen die helemaal zelf sustainable leven ook heel knap, maar je moet er heel wat voor laten...

Heb je nu voldoende antwoord?

Het valt me op dat er vanuit zoveel verschillende standpunten gekeken wordt en zoveel verschillende zwaartes toegekend worden aan diverse aspecten (beveiliging/continuïteit, afhankelijkheid / beheer, rechten/privacy, financiën). Daarbij worden veel zinnige opmerkingen geplaatst, maar de visies botsen behoorlijk. Desondanks vinden sommigen dat men hun keuze maar beter kan opvolgen. Voor niet-ICT-ers is dat niet te volgen. Maar het gaat niet alleen om mijn computer vs. jouw computer, maar ook om mijn situatie vs. jouw situatie.

Jaap, ik snap wat je schrijft, maar als je naar de praktijk kijkt kiest de overgrote meerderheid voor Microsoft 365 en de rest voor Google Workspace. Ergo, situaties schelen niet zoveel van elkaar en als je het niet weet is het antwoord in ieder geval niet "jouw computer".

@swa

“maar je point zet dan ook meteen grote vraagtekens bij welke motivaties en redenen je wel nog zou kunnen hebben om dingen bij een 3e partij te plaatsten en die te betalen als je toch zelf weer alle zooi in de gaten zult moet houden”

“we hebben het over MKBers en bedrijven wiens bestaansrecht in gevaar gaan komen bij een malware uitbraak of een cloud hick/f-up. daar zitten dan ook weer (enkele) gezinnen achter.”

Die zitten doorgaans op laag 8, 9 en 10 van het OSI-model = politiek, geloof en geld (niet noodzakelijkerwijs in die volgorde).
* Geld: zoveel mogelijk schuldenvrij maken van de balans (d.w.z. van CAPEX naar OPEX)
* Geloof: iets aan “innovatie” te kunnen doen zonder hoge aanloopkosten/voorinvesteringen/schulden
* Politiek: gebrek aan vertrouwen in de eigen IT-teams (en ook niet de bereidheid hebben om hier wat aan te doen)

Er wordt vaak ook iets geroepen over voordelen in termen van schaalgrootte, kennis en continuiteit. Maar dat blijkt in de praktijk allemaal wel mee te vallen = het is meer een geschuif met taken en kosten.

@Will: haha die lagen van OSI model kende ik nog niet, maar wel prikkelende reactie! :-)

Henri, ik ben ervan overtuigd dat je voor jouw bedrijf een goede keuze hebt gemaakt, ook voor de support en de development activiteiten. Kantoorautomatisering in de vorm van Microsoft 365 en Google Workspace is voor velen handig. Ze hebben het door COVID-19 dan ook extra goed gedaan. De Amerikaanse bedrijven kunnen bovendien beter belasting ontwijken/ontduiken en dus goedkoper kantoorautomatisering leveren. Als bedrijf moet je wel scherp onderhandelen omdat 24*7 anders duurder kan uitvallen. (Wie meet het interne gebruik voorafgaande aan de contractonderhandelingen met de cloud leverancier?)

Maar ik weet ook dat er bedrijven zijn die voor hun kantoorautomatisering niet voor Microsoft Corporation of Alphabet Inc kiezen vanwege juridische implicatie of klanteisen, zoals bedrijven in de juridische dienstverlening. Zo ken ik vele uitzonderingen. In de maakindustrie / industriële automatisering is men vaak nog niet zover om naar de cloud te kunnen. Te grote stappen daar kunnen grote uitglijders worden. De bestaande grote banken zijn voor hun kernactiviteiten ook geen early adopters van publieke cloud-first- of (multi) cloud-only-strategie. Ze weten dat nog geen betrouwbaar verhuis- of rollback-scenario hebben. Natuurlijk zie je ook sterke verschuivingen naar de cloud, zoals in de agrarische sector, althans daar waar betaalbare internetverbindingen mogelijk zijn. Kleine financiële dienstverleners zien ook meer heil in de multi-cloud, dan in zelf doen. Gevaren zoals hacking en DDoS het hoofd moeten bieden, heeft bij hen juist voor meer belangstelling voor de publieke cloud gezorgd.

@henri

een heel verhaal over hoe mooi en handig jij (en anderen) de cloud vind. fijn voor je.

het artikel gaat over een fundamenteel probleem dat zich het beste laat inbeelden door die gedachte 'cloud = andermans kompjoeter met jouw data'.

terug naar de les:

- hoe groot is de rekening bij jouw als je zaak 4h out of business is door een cloud storing?
- hoe manage je dan die down-time bij azure/google?
- wat als een groot deel van azure/goole door een ransom plat ligt?
- wat doe je als ms/google jouw data heeft gelekt met bedrijfsgeheimen?
- wat doe je als ms/google personeelsdata heeft gelekt en de AVG/GDPR grof heeft overschreden en jij een melding mag gaan doen bij de AP?
- wat doe je als ms/google jouw totaal niet als prioriteit heeft in zo een calamiteit?

ik daag je uit... doe eens wat inhoud over deze vragen [die het onderwerp zijn van de originele post]....


N.B. the cookie crumbles....

@will

ik denk dat de slager hier om de hoek als MKBer niet zo in jouw OSI toevoegingen past. die slager heeft een gezin en als de tent dicht is omdat zijn bestel, betaal en boekhoud softwarez in de cloud down zijn en geransomed, dan heeft dat gehele gezin een probleem als dan de slager failliet raakt.



https://www.networkcomputing.com/cloud-infrastructure/future-ransomware-attacks-cloud-services:

" This culmination of cloud service adoption and phishing is creating a perfect security storm. "

https://managedmethods.com/blog/ransomware-in-the-cloud/:

" Do you think Google and Microsoft are protecting your data in the cloud? It’s time to think again "

https://securityboulevard.com/2021/05/google-cloud-ransomware/:

"Google licenses operate under a shared responsibility model. In simple terms, that means:

Google must prevent failed software or hardware, or a natural disaster or power outage, from causing an interruption of their services.
Schools are responsible for protecting themselves against someone accidentally deleting data, insider DLP risks, and hackers, ransomware attacks, and other malware."

en

"The attacks are becoming more sophisticated all the time, and current research shows that the majority of all malware now enters via cloud applications. Just one person clicking the wrong link in an email can lock you out of all your cloud files."



Goog luck met bellen naar google onder hun 'shared responsibility model'.



efin, bezint eer ge begint....

en wordt het al een beetje zinnig ?
die zoogdieren die zo nodig uit het water moesten kruipen. Was vroeger toch ook nergens voor nodig.

@dino

een stadia twee geval van "First they ignore you, then they laugh at you, then they fight you, then you win." ?

@swa: ik denk te snappen wat je zegt/bedoeld.
Hiermee zijn we weer op hetzelfde punt als een paar reacties terug.

Maar vooruit - een laatste ronde... ;-)

“ik denk dat de slager hier om de hoek als MKBer niet zo in jouw OSI toevoegingen past. die slager heeft een gezin”

Laatst voor een klein transportbedrijf een raming gemaakt:
* 6700 euro eenmalig voor de aanpak van meerjarig, achterstallig (firmware, OS en applicatie) onderhoud.
* 135 euro per maand voor geautomatiseerd onderhoud, beveiliging en een goede backup; alles met voorzieningen om ransomware tegen te gaan en inclusief monitoring/logging.

Reactie: nee meneer – dank u voor het aanbod. Maar is te duur – gaan we niet doen… het gaat immers al jaren goed en wat valt er bij ons nou te halen...

Voor de volledigheid wat context:
* Hebben in totaal 3 vrachtauto’s en 4 gezinnen te onderhouden = jaarlijkse cashflow van (ongeveer) 600k.
* Gerekend over een periode van 3 jaar was de raming 0,65% van de cashflow over diezelfde periode…

Het geheel vertaalt naar de eerder genoemde hogere OSI-lagen:
Geld: mag niks kosten
Geloof: gaat al jaren goed = ons kan niks gebeuren
Politiek: wat valt er bij ons nou te halen = type struisvogel(?)

Terug naar je reactie… leg me nu nog eens uit waarom een (soortgelijke) OSI-uitleg niet zou passen bij die slager om de hoek? Of welk ander MKB-gezin dan ook?

Ik hoor het graag!

:-)

@will

jouw OSI toevoegingen waren niet zo zeer het onderwerp van de draad, maar niet iedereen is zoals jij beschrijft en hoewel misschien vele zo zijn zoals je ervaring beschrijft (dat erken ik), is het niet meteen gezegd dat mijn slager net zo is als jouw transport bedrijfje :). er zijn ook omgevingen die al veel beter 'fire and forget' en goedkoper in remote beheer in te richten zijn, niet in de cloud en niet met die consumenten software pakketten van MS. MS systemen zijn nu altijd al meer 'beheer belastend' geweest om te onderhouden en vereisten altijd ruigere hardware dan mogelijke alternatieven. bij MS zit je dan ook eerder in een koppel-verkoop-vendor-lockin-buisness-model situatie waarbij je als een stuk vee gemolken gaat worden. niet perse meteen erg, maar naïef om te doen alsof dat niet zo is! leuke read daarover: https://www.cnet.com/news/rockin-on-without-microsoft/

terug naar het onderwerp "cloud = andermans kompjoeter met jouw data en dat is niet altijd zo slim": heb je de ontwikkelingen van ransomware een beetje gevolgd? wat zou henri nou toch gaan doen als hem dat overkomt bij zijn bedrijf?

@Will: Spot on! Vinger op de zere plek.

Swa wil het niet snappen. Als je zelf je IT moet opwekken kun je ook net zo hard geransomd worden en de problemen die hij noemt zijn niet fundamenteel anders dan dat hij opsomt.

Ook als je on-premises geransomd wordt zul je een melding moeten maken bij AP. Iedereen kan ermee te maken krijgen. Het gaat erom welke maatregelen je genomen hebt. En of je nu zelf je infra beheerd of dit bij een provider zet, beide gevallen zul je een plan moeten hebben als je slachtoffer wordt. Dan komt swa met wat speculatieve links over wat er kan gebeuren. Nee swa roeptoetert maar wat rond en snapt niet dat als je schaalbaar zaken wil doen, het handig is om daar goede leveranciers bij te gebruiken. Maar hij wil het niet snappen en ik ga daar geen moeite in steken.

Dus bij deze swa, als je niets zinnigs naar de tafel brengt ga ik er zeker geen antwoorden op geven.

"Ik praat dus over dit onderwerp vanuit een volledig onafhankelijke positie" dus ik heb gelijk en als je het niet met me eens bent "dan is de kans heel groot dat je aan zelfoverschatting doet" :-P

@henri,


ha ha ha

btw vwb schaalbaarheid... dit is het soort hardware waar IK mee werk:

https://userinfo.surfsara.nl/systems/snellius

mijn beste henri, wat jij als 'roepen' ervaart is dus duidelijk het signaal dat je nog steeds het punt niet wilt erkennen dat dit artikel bloot legt, je speelt maar leuk op de man en duidelijk niet op de inhoud:

- hoe groot is de rekening bij jouw als je zaak 4h out of business is door een cloud storing?
- hoe manage je dan die down-time bij azure/google?
- wat als een groot deel van azure/goole door een ransom plat ligt?
- wat doe je als ms/google jouw data heeft gelekt met bedrijfsgeheimen?
- wat doe je als ms/google personeelsdata heeft gelekt en de AVG/GDPR grof heeft overschreden en jij een melding mag gaan doen bij de AP?
- wat doe je als ms/google jouw totaal niet als prioriteit heeft in zo een calamiteit?


.... het is stil aan de overkant?

Nu snap ik het, de nieuwe geloofsoorlog. De heilige OnPremise aan de ene kant de hoge Cloud aan de andere kant.
Ter herinnering, men geeft zijn/haar geloof niet op maar knuppelt de tegenpartij dood, zo hebben we dat altijd al gedaan.

Ja Dino sind we uit die soep gekropen zij is er niet zo veel veranderd. Of toch we zijn de boom in gegaan . . .

swa,

Als we het over agenda's hebben.

Snellius... is dat jouw computer of iemand anders zijn computer? Dus een surfsara computer is anders dan een Google computer? En wat als surfsara door een ransomware aanval wordt platgelegd?

- hoe manage je dan die down-time bij azure/google?
Hoe manage jouw down-time als je on-premises geraakt wordt? Of als de kabel / internetverbinding naar je on-premises geraakt wordt? Het lijkt maar niet tot je door te dringen dat je *altijd* afhankelijkheden hebt van andere partijen.

Als je dan gewoon zegt; ik vertrouw Amerikaanse (cloud) leveranciers niet.

En ik kan **prima** geheimen bewaren op wiens computer dan ook. Dat noem je end-to-end versleuteling. Praktijk is echter dat 99,99% van je data geen relevante bedrijfsgeheimen bevat.

Ik zou met liefde overstappen op een nederlandse of europese clouddienst, ik heb werkelijk geen enkele liefde of loyaliteit naar google / amazon / microsoft.

Ik wil gewoon een business draaien en zoals dit nu is, draait die het eenvoudigst op een cloud provider van amerikaanse afkomst. Ik weeg gewoon business doelen af, manage mijn risico's en verleen diensten.

Jij laat je verblinden door allemaal zaken, downplayed cloud providers als inferieure keuzes en je zit er gewoon keihard naast. Waarom zit je er keihard naast? Omdat praktisch alle bedrijven kiezen voor Microsoft 365. Maar nee, swa weet het beter dan al die bedrijven. I guess not.

En dat is prima. Je mag doen en zeggen wat je wilt. Dat is vrijheid. Maar ik heb genoeg van je geneuzel en nu ga ik er echt geen tijd meer aan je besteden,

Jan: Dit heeft in mijn ogen niets met geloof te maken. Geloven is niet zeker weten. Ik neem gewoon rationele beslissingen over wat werkt. Als on-premises een betere keuze was, dan had ik daar voor gekozen. Maar on-premises zie je nauwelijks meer. Iedereen besteed dingen uit. Van de verbindingen tot en met de hardware, software en beheer. Eigenlijk triest dat ik na 13 jaar dat ik hierover schrijf, nog steeds deze discussie voer....


De wet dwingt, de tijd dringt maar de praktijk wringt want ik vrees dat het voorbeeld van Will tekenend is voor de verkeerde Hollandse zuinigheid. Veiligheid kost geld dus het eerste waarop bezuinigd wordt is veiligheid omdat velen nog altijd geloven dat ze niks kan gebeuren omdat er al zo lang niks gebeurd is. Dat is - mede door Internet - een misplaatst vertrouwen maar het zorgt er dus wel voor dat de kleine zelfstandige vaak de zwakste schakel in de keten is als we kijken naar het probleem van mijn persoonsgegevens op de computer van een ander. Regel twee, eerste alinea heeft het over lekken en inderdaad geldt er een verplichting aangaande het voorkomen en melden hiervan maar dat geldt dus alleen de persoonsgegevens.

Zoals Will duidelijk maakt kan de leverancier uiteindelijk alleen adviseren en niet dwingen en de vele exoneratieclausules vrijwaren dan ook vooral van (vervolg)schade omdat je sommige verantwoordelijkheden gewoon niet uit kunt besteden. Dat is niet mijn uitspraak maar een uitspraak van het Europese Hof want to cloud or not is niet zo relevant omdat het uiteindelijk gewoon om een vorm van uitbesteding gaat. Het shared responsibility model is prima te gebruiken alleen dan moet je middels een RASCI-matrix wel eerst duidelijk hebben wie dan precies voor welke deel verantwoordelijk is. Het bezint eer ge begint van SWA lijkt me vooral om de boodschap te gaan dat je eerst de governance moet regelen voordat je gaat uitbesteden. Een consistent management met een samenhangend beleid waarin de processen met de beslissingsrechten duidelijk zijn gaat niet om de technische IT maar de bestuurlijke IT welke helaas nog teveel ingevuld wordt met papieren tijgers.

Mijn (onderzoeks)data op de computer van een ander geldt m.i. uiteindelijk ook de hardware waar SWA mee werkt en lijkt me niet de wereld van de slager om de hoek. Ik vermoed eerder een organisatorische gelijkenis met de wereld van providers als ik lees dat de onderzoeksgroepen zelf verantwoordelijk zijn voor hun data, data die helaas daardoor nog weleens rondslingert. Maar zoals gezegd, als er geen persoonsgevens in zitten hoef je er ook geen melding van te doen ook al betreft het gevoelige onderzoeksdata. Misschien moeten we het daarom even hebben over het dreigingsbeeld statelijk actoren, er zijn tenslotte wel wat meer risico's waar rekening mee gehouden moet worden dan een technische falen.

Swa, om toch nog even formeel te reageren op je vragen in het kader van het artikel:

Iedereen en alles kan downtime veroorzaken en veel van die zaken heb je zelf domweg niet in de hand. Dus als de dienstverlening van Microsoft faalt, dan kan dit gebeuren en is de kans inderdaad laag dat ze jouw schade betalen of jou hoge prioriteit geven. Dit is iets waar je wat moet zeggen in je continuïteitsplan. Maar dat moet je ook met je on-premises zaken. Als iemand jouw kabel eruit graaft, dan is dat gewoon een feit en moet je daarop een plan maken.

Nu heeft bijvoorbeeld Microsoft een prima trackrecord en een enorm belang om deze in stand te houden. Maken ze fouten? Jazeker. Hebben ze incidenten? Absoluut. Maar als ik kijk naar mijn /onze skills om deze risico's te managen en die van Microsoft, dan zijn die van Microsoft veel beter en bepaalde verantwoordelijkheid zoals intrusion detection, back-ups maken en recoveren, dat kan ik zelf. Maar rampen kan ik niet voorkomen. Je kan de beste zorgverzekering ter wereld hebben, als je geraakt wordt door een auto is die verzekering geen garantie dat je er bovenop komt. Dus beter kijk je uit bij het oversteken.

En dit geldt voor al je punten. Ja, er is een risico, ook bijvoorbeeld als blijk dat de gehele MS cloud zich niet aan de AVG kan houden en de wet verbiedt nog verder zaken met ze te doen. Dan moet je aanpassen en daarnaar schikken.

De geschiedenis tot nu toe blijkt echter gunstig uit te vallen ten voordele van Microsoft. Wat je daarvan ook mag vinden. En men kiest massaal voor de oplossing. Het kan zijn dat al die bedrijven roekeloos en onwetend deze keuzes maken.

Waar ik niet in meega is al dat sentiment daarover, want dat is een glijdende schaal. Als je zo doorredeneert mag je geen kinderen meer krijgen, niet meer op reis en liefst haal je helemaal geen adem meer, want dat is ook CO2 uitstoot.

En nu heb ik er echt alles over gezegd wat ik erover wil zeggen en mijn standpunten onderbouwd, waarin ik in ieder geval de moeite heb ondernomen mijn keuzes en gedachten toe te lichten.

Het is niet alleen een kwestie van geloof in eigen of andermans kunnen, betrouwbaarheid, enz. Steeds meer MKB-ers zijn de laatste jaren sterk afhankelijk geworden van grote bedrijven als hun leverancier en/of afnemer. Daardoor worden de MKB-ers onderdeel van een sterk geautomatiseerde supply chain. De MKB-er moet steeds vaker gebruik maken van een cloud dienst naar keuze van hun leverancier en/of afnemer, onder gebruiksvoorwaarden waar zij doorgaans weinig of geen inspraak in hebben gehad. Voor franchisenemers geldt dit in nog grotere mate. Die MKB-ers moeten hopen dat hun leverancier, afnemer, franchisegever ook voor hen de beste keuzes hebben gemaakt en dat kan uitleggen.

@henri

sjeezus, keep your hair on!

een heel verhaal, maar nog steeds niet de erkenning dat de reductie 'cloud = andermans computer met jou data' een beeld blootlegt vwb cloud waar je even stil bij moet staan vwb bedrijfsrisico's.

daarnaast is je antwoord dat het on-prem OOK mis kan gaan eerder een 'whataboutism' type antwoord. natuurlijk is het zo dat er on-prem ook risico's heeft, maar over het algemeen werk je dan samen met lokale kleinere partijen die jouw prioriteiten ook hoger op de agenda hebben staan dan een Amazon / Microsoft. die zijn beter bereikbaar, handelen in dezelfde tijdzone, zien jouw als een grotere belangrijke partij, minder kleine lettertjes in zware contracten. etc. etc. etc.

maar goed, ik lees nog steeds niet hoe jij dit soort dingen daadwerkelijk in de praktijk op gaat pakken als het bij MS mis gaat [en de kans dat het bij MS een keer mis gaat? tja, lees oorspronkelijke artikel nogmaals. mensen grappen wel eens 'office 364, office 363...'].

dan als het mis gaat met MS vwb AVG/GDRP is jouw antwoord simpeltjes " Dan moet je aanpassen en daarnaar schikken."?

ha ha ha weer zo een onderschatting van jewelste: doe eens een rekensommetje op een papiertje wat er allemaal moet gaan gebeuren om over te schakelen van bijv MS naar AWS/Google (als daar dan niet dezelfde AVG/GDPR of ransom ellende is). check eens waar de 'pijn punten' nu toch zo kunnen liggen? hint: data transfer kosten en vendor lockin issues. en de oplossing met hybride cloud? katching.... had je het net zo goed allemaal on-prem weer kunnen doen stel ik dan! terug on-prem? ik vermoed dat dat nooit never als optie door henri serieus bekeken zal worden (variantje op sunken cost fallacy).

laten we eerlijk, de garantie/verantwoordelijkheden die je aan Azure/AWS/Google kunt overlaten, beperken zich voornamelijk tot een server voor jouw 'up, up to date and running' te houden met enkele redundantie. dat is nu net het eenvoudige werk. maar... en hier is again the main point... als je dat aan een partij hebt overgelaten waar je geen enkele grip meer op gaat hebben, ook uiteindelijk niet meer via een rechter, dan ga je uiteindelijk een keertje voor de bijl! je hebt alles maar te slikken en te accepteren!




nou, nu dan nog wat 'pareren' op enkele van die goedkope, op de man spelende, opmerkingen van je (dit is dus een bijzaak en niet de inhoudelijk main point van deze post voordat je dat weer niet door hebt):

- snellius andermans computer? ja. onze essentiële bedrijfsdata op die machine? nee. afhankelijk? nope, snellius niet werkend, dan overschakelen op een tier-0 machine voor het grotere werk en een deel dan op onze eigen lokale HPC clusters. data transfer kosten? met 1Gb in 10 min gedaan! mijn motivatie om snellius te noemen? je deed (weer) een ongefundeerde conclusie over mijn kennis en begrip vwb schaalbaarheid: https://en.wikipedia.org/wiki/Parallel_computing#Amdahl's_law_and_Gustafson's_law

- die vlugge 'ik niets zinnigs te melden' conclusie (weer)? ha je hebt ook nog de bijdrage van de 'ontvanger' van de bi directionele informatie stroom. je hebt het zelfs niet eens door dat andere ook scherpe opmerkingen maken over je beliefde cloud en wel erkennen wat de clue van mijn 'platgeslagen statement' nu was.

- "Jij laat je verblinden door allemaal zaken, downplayed cloud providers als inferieure keuzes en je zit er gewoon keihard naast. Waarom zit je er keihard naast? Omdat praktisch alle bedrijven kiezen voor Microsoft 365. Maar nee, swa weet het beter dan al die bedrijven. I guess not."

het is nu wel een beetje gênant aan het worden hoor...

1) het is duidelijk hoor. ik ben alleen maar bezig mijn geponeerde stelling "cloud = andermans computer met jouw data" aan het verdedigen met argumenten en inhoud omdat dit de main point van het oorspronkelijke artikel is. de stelling die jij 'ongezien' als 'onzin' ongefundeerd wegwuifde en daarbij dan mij persoonlijk ongefundeerd weg zet. ik haal daarbij enkele extra voorbeelden bij ter illustratie, niet zo zeer meteen als argument. als argumenten gebruik vooral retorische vragen waarop vooralsnog maar geen sterke antwoorden op terug komen.

2) ook hier, in je gênante zooi die ik citeer, is je logica eerder een 'whataboutism'/'iedereen doet het' dingetje dat je vooral bij kinderen ook ziet. mensen hebben met z'n allen eeuwen gedacht dat de aarde plat was en er is genoeg historie vwb zaken die en-masse bij bedrijven een mislukking waren. je hoeft maar naar management en al die 'deze manier van agile is het antwoord op alles' methodieken te kijken :P [noot: het woord agile is hier ook te vervangen voor een andere methodiek waar men heilig in geloofd (heeft) en dient slechts ter illustratie]. advies: leer zelf denken ipv bewilderd achter anderen aan te lopen als een knudde dier [puns intended]!




het ga je goed henri, met je roze brilletje, je te rappe conclusies, het op de man spelen en daarbij het ontwijken van inhoud. het is iedereen nu wel duidelijk, de stelling blijft overeind. "cloud = andermans computer met jouw data" en daar moet je echt even bij stil staan voordat je 'vol in zee' gaat met 'de wolk' [en hou daarbij dan je kosten plaatje goed in het oog]. dus wederom: bezint eer ge begint! laten de voorbeelden [en de gebrekkige antwoorden op de kritische (retorische) vragen] die hier in alle posts en in het originele artikel de revu gepaseerd zijn daarvoor als illustraties gelden!

Q.E.D. over en uit nu!

=====

@swa

“is het niet meteen gezegd dat mijn slager net zo is als jouw transport bedrijfje”
Eens – de stelling was erg algemeen. Maar wel illustratief voor MKB-land tot (pak-hem-beet) 10 werkplekken.

“er zijn ook omgevingen die al veel beter 'fire and forget' en goedkoper in remote beheer in te richten zijn, niet in de cloud en niet met die consumenten software pakketten van MS”
Ik weet het niet – de prijs/prestatie van MS365 (zowel prive als zakelijk tot 300 werkplekken) is wel erg goed. Ik heb redelijk wat combinaties bekeken en uitgewerkt. Maar heb hier tot nu toe geen alternatief voor gevonden = dus als je nog suggesties hebt hou ik me aanbevolen

Ook een paar keer beroep moeten doen op MS365 support & backup – in alle gevallen laat in de avond en in het weekend. Binnen een half uur een ter zake kundig iemand aan de telefoon. En in alle gevallen binnen 3 uur opgelost – ook met gegevens waarvan ik zelf geen backup had. Als ik dat via een dienstverlener wil organiseren loop ik helemaal leeg – want overuren/toeslagen/blablabla.

“MS systemen zijn nu altijd al meer 'beheer belastend' geweest om te onderhouden”
Even met de topics remote beheer, beveiliging en continuiteit van werkplekken en lokaal opgeslagen gegevens als referentiekader:
Ik heb medio 2020 de nodig PoC’s en pilots gedaan met Windows (mits Professional of Enterprise), macOS en Linux . En ben tot de conclusie gekomen dat het bij een functionele like-for-like allemaal niet zoveel uitmaakt – de nuances schuiven wat.
Vanaf 300 werkplekken wordt allemaal anders – dan begint het bij MS365 serieus in de papieren te lopen doordat de prijs per werkplek ineens verdubbeld; o.a. door de kosten voor een (min-of-meer) gedwongen instap in Azure-AD op het onderdeel identity management.

Aan de andere kant: je merkt wel dat organisaties van die grootte hier vrijwel blind instappen. En die paar die dat niet doen stappen in bij Google Workspace. Waardoor er weinig of geen alternatieven zijn – zeker niet in combinatie met macOS of Linux. Maar ook hier: als je nog suggesties hebt hou ik me aanbevolen.

En tot slot downtime (ongeacht oorzaak en vorm): als je hier serieus wat mee wil zit er niet veel anders op dan alles dubbel uit te voeren – een paar voorbeelden(!):
– de combi MS365 en Google Workspace voor je KA-omgeving
– Internet via KPN en Ziggo zodat je verschillende dragers hebt (of een van twee i.c.m. 4G/5G)
– Op kantoor alles dubbel uitgevoerd; waaronder een paar reserve werkplekken
– Een 3-2-2-backup beleid (of beter – mits eventuele herstel-procedures daarin kunnen volgen)
– … wat-dies-meer-zij …
Wellicht technisch allemaal te doen – maar dan begint het toch wel erg in de papieren te lopen = je risico profiel en je risk appetite zijn hier leidend… toch?

=====

@Henri

Ik denk dat SWA het wel snapt. Maar dat hij/zij vooral reageert vanuit een stukje frustratie(?) rondom die cloud leveranciers. Immers, als een van die besmet raakt en daardoor ook zijn gegevens verloren gaan, dan zullen die niet per definitie in mea-culpa modus gaan draaien door alles-op-alles te zetten om zijn gegevens terug te halen. Immers, je bent zelf verantwoordelijk voor een goede backup – zo is dan de stelling.

Aan de andere kant – om vertrouwen te winnen in de aanloop naar een mogelijke opdracht hebben vooral SaaS-leveranciers in de folders (en wellicht later ook in de overeenkomst) “iets” opgenomen over een “dagelijkse backup”. Maar waarvan precies staat er niet bij. En in hoeverre je als afnemer zelf nog iets moet regelen staat er ook niet bij; laat staan hoe je dat voor elkaar moet krijgen.

Bij een calamiteit (in welke vorm dan ook) wordt het vervolgens een steekspel annex trial-on-error om e.e.a. weer operationeel te krijgen. Waarbij betrokken SaaS-partijen zoveel mogelijk hun straatje schoonvegen door te gaan wapperen met bepalingen in contracten en leveringsvoorwaarden. Een MKB-er heeft niet die bijbehorende financiele/juridische slagkracht en delft dan uiteindelijk het onderspit.

Het zou al helpen als SaaS-leveranciers expliciet(er) zouden zijn in de reikwijdte van hun dienstverlening bij een calamiteit. Liefst door de klant (eventueel i.s.m. met zijn huisleverancier) erop te wijzen wat ie toch echt zelf moet regelen; aangevuld met concrete voorbeelden over hoe dat dan te regelen.

=====

@Jaap van Belkum

Ook waar – en ook daar geldt backup-is-king. En voor zover dat niet via die “geautomatiseerde supply chain” kan: dan zit er niet veel anders op dan zelf vastleggen wat en wanner er iets ingestopt is. Kan allemaal wel – ook geautomatiseerd – maar is niet iets wat je “eventjes” regelt.

=====

@Jan

Mijn geloof zit niet in on-prem of cloud; enkel in mijn GBV-certificaat… en dan nog… ;-)

=====

swa, we praten in cirkels. Ik ben de makkelijkst te vinden persoon online. Ik sta je met liefde te woord en kan eventueel mijn scherm delen waarin ik stap voor stap laat zien hoe ik mijn zaken regel. En als je dat kan/wil kan ik ook met jou meekijken.

Die uitnodiging staat in ieder geval.

QED? Hold my beer :-)

@swa
voor het geval je het nog niet begrepen hebt, Henri heeft een andere mening als jij en
jouw mening is niet de heilige graal waarvoor je hem houdt.


Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-07-21T11:57:00.000Z Alfred Monterie