Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

De cloud wint aan terrein bij gegevensopslag

 

Computable Expert

Kristof Vanderstraeten
Area Sales Director Benelux, Barracuda Networks. Expert van Computable voor het topic Security.

Uit een enquête die mijn werkgever begin dit jaar uitvoerde onder negenhonderd bedrijven bleek dat 83 procent van alle organisaties back-ups van een deel van hun bedrijfsgegevens in de cloud opslaat. Slechts 17 procent doet hiervoor geen beroep op de cloud. Meer dan de helft (53 procent) van organisaties die wel gebruik van de cloud maken, slaat er meer dan de helft van hun bedrijfsgegevens in op.

Ondanks deze indrukwekkende percentages lijken bedrijven het gebruik van de cloud voor de opslag van back-ups nog niet volledig te willen omarmen. Meer dan een kwart van de respondenten meent dat de cloud niet veilig genoeg is om er al hun back-ups aan toe te vertrouwen. Voordat de cloud op brede schaal zal worden ingezet als opslagmedium voor back-ups, moeten leveranciers een antwoord bieden op de zorgen van bedrijven rond gegevensverlies en de beveiliging. Klanten die back-ups in de cloud opslaan, moeten erop kunnen vertrouwen dat hun gegevens veilig blijven.

Volgens het onderzoek heeft een op de vijf organisaties die een beroep doet op de cloud van opslag ernstige problemen met hun leverancier ondervonden, zoals gegevensverlies en beveiligingsincidenten. Meer dan een derde maakte melding van situaties waarin hun gegevens niet beschikbaar waren toen ze die nodig hadden. Nog eens 42 procent gaf aan dat hun gegevens niet veilig waren.

Zorgen nog niet van de baan

De beveiliging is voor veel bedrijven een belangrijk aandachtspunt. Maar liefst 89 procent zegt dat de keuze voor een cloud-leverancier in hoge tot zeer hoge mate verband houdt met diens beveiligingsreputatie en -status. Bedrijven lijken positiever te staan tegenover leveranciers van opslagdiensten die blijk geven van een krachtige focus op de beveiliging en een goede track record op dit gebied. Resellers die een cloud-model willen implementeren doen er dan ook goed aan om nauw samen te werken met leveranciers van beveiligingsoplossingen. De aanbieders van cloud-diensten die het meeste vertrouwen genieten, zijn namelijk leveranciers die in de ogen van klanten qua beveiliging over de beste papieren beschikken.

Compliance is een ander punt van zorg. De juridische en morele verantwoordelijkheid voor de veilige opslag van bedrijfsgegevens, werknemersinformatie en klantgegevens ligt bij de organisatie zelf. Desondanks zegt bijna een op de vijf bedrijven niet te weten of hun cloud-aanbieder voldoet aan de wettelijke en brancherichtlijnen op het gebied van gegevensbeheer. Onwetendheid is geen excuus. Het is de verantwoordelijkheid van elk bedrijf om erop toe te zien dat aan alle nationale en internationale normen, richtlijnen en wetten wordt voldaan.

Deze blinde vlek kan een ernstig risicogebied vormen voor bedrijven en vormt daarom een belangrijk aandachtspunt voor managementteams in alle delen van de wereld. Managed service providers en technologiepartners moeten nauwer met klanten samenwerken om hen inzicht te bieden in de normen en richtlijnen waaraan zij moeten voldoen, en hoe zij de naleving daarvan kunnen realiseren en toetsen.

Rol voor ict-branche

Hoewel het gebruik van de cloud als medium voor gegevensopslag nog in de kinderschoenen staat en bedrijven nog niet bereid zijn om dit fenomeen volledig te omarmen, zijn medewerkers langzaam maar zeker bezig om de cloud binnen te halen. De populariteit van private cloud-infrastructuren als een soort van gulden middenweg geeft aan dat bedrijven graag een beroep willen doen op de cloud voor de opslag van back-ups, maar wel zoveel mogelijk op hun eigen voorwaarden.

Maar ondanks het feit dat organisaties voor een hybride oplossing kiezen die een mix omvat van verwijderbare opslagvoorzieningen, replicatie en private en publieke cloud-infrastructuren, staat of valt hun succes met de kwaliteit van hun back-upstrategie. Bedrijven zullen hun strategie pas verder ontwikkelen wanneer zij het gevoel hebben dat zij werkelijk kunnen vertrouwen in de mogelijkheden die tot hun beschikking staan.

Hiertoe hebben zij de onvoorwaardelijke hulp nodig van de ict-branche. Bedrijven, leveranciers en dienstverleners moeten samenwerken aan oplossingen voor netelige kwesties zoals compliance, privacy en informatiebeveiliging. De uiterst innovatieve nieuwe technologie voor cloud-opslag zal het mainstream gebruik van cloud-opslag pas kunnen stimuleren als deze wordt ondersteund door kennis, advies, ondersteuning en optimale klantenservice. Alleen dan is succes mogelijk.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5179845). © Jaarbeurs IT Media.

6,5


Lees meer over


 

Reacties

Als eerste is het de vraag wie je wat vraagt.....

Er zitten een aantal haken en ogen aan een back-up in de cloud. De eerste vraag is namelijk waarom je een back-up maakt. Teruglezen van terabytes aan data over een dun lijntje kost tenslotte dagen zo niet maanden en er zijn maar weinig providers die garanties over de RTO geven. Vandaar dus ook de hybride oplossingen met bijvoorbeeld D2D2C welke feitelijk dus alleen maar het medium vervangen.

Nu is het een publiek geheim dat veel gebruikers de cloud als back-up medium gebruiken, verhaal over de problemen met confidentialiteit is dus herkenbaar. Sterker nog ik heb hier al meerder opinies aan gewijd maar die waren voor alle cloud klutsers dus te obscuur.

Gek, want gisteren op Cloud Architect Alliance kwam dit onderwerp ook ter sprake en kreeg ik de indruk dat de zaal toch een iet wat andere mening toegedaan was. Weinig marketing dus en een goede uitwisseling van informatie in een aangename zetting, chapeau voor sponsors Reasonnet, Xebia, Arrows group en Cloud9.

En ik wil de exclusiviteit niet schenden door zonder toestemming uit de school te klappen maar strekking van de avond lag vooral op bewustzijn, noodzaak tot beveiliging van data begint namelijk bij de business annex gebruiker.

Vingertje van Henri met:"Euh...service?" werd door het interessante panel dan ook nogal bruusk beantwoord met: "Tot aan de voordeur!" Want een nog belangrijkere architecturele les werd gegeven door te stellen dat je eerst je governance framewerk op orde moet hebben voordat je aan oplossingen gaat denken.

Kortom, een welbesteedde avond waar Henri beterschap heeft beloofd voor zijn presentatie op Cloud Event van Ngi-NGN op 6 november;-)

Even een stukje structuur (echt een stukje maar). Back-up heb je voor data uit het DC en data van de werkplek. De data is voor een deel identiek, maar de aanpak zal moeten verschillen.

De meeste organisaties hebben voor de DC data wel een DR strategie. Is het met tapes in een koffer naar Lelystad of online, geclassificeerd en gededupliceerd naar de cloud.

Voor de data van de werkplek, zeker de mobiele werkplek en helemaal de mobiele werkplek geldt dit een stuk minder. Hier variëren de oplossingen (?!) van helemaal niet, via het zelf branden van een DVD-tje of maken van een kopie naar een server tot backup-oplossingen die door de organisatie aangeboden worden en de mogelijkheden die aanbieders als Microsoft en Apple integreren met hun devices.

Structuur brengen in en controle krijgen over deze laatste categorie aan gebruikersdata is een uitdaging voor veel IT-organisaties.

Backups (laten) maken interesseert me al meer dan 15 jaar geen fluit. Ik wil alleen praten over kopen of verkopen van restores. Hoe je dat verder inricht is bijzaak, daar zijn meer dan genoeg oplossingen voor.
En ja: de beperkingen van het terugzetten van hele grote hoeveelheden binnen een beperkte tijd gelden al voor een lokale tape drive, dus nog sterker voor een glasvezelverbinding...

All,

Het veiligstellen van data naar de Cloud blijft een transitie waar in je rekening met een aantal zaken moeten houden:

1. Welke data en hoeveel wil ik er weg schrijven?
2. Hoeveel tijd mag dit kosten?
3. Hoeveel tijd heb ik nodig om het weer terug te zetten?
4. Wat is mijn dagelijkse/wekelijkse/maandelijkse periodieke groei in data?

Afhankelijk van hoe je die vragen beantwoord. De welbekende RPO/RTO discussie kan je de juiste technologie kiezen.

Alles in de Cloud veiligstellen levert uitdagingen op, op het gebied van:

1. Doorlooptijd. Hoe meer je er in gooit des te langer het duurt. En idem dito als je een complete DR uitvoert.
2. Onlosmakelijk verbonden met doorlooptijd is bandbreedte. Hoe dikker de pijp, hoe sneller het er door heen en ook weer terug kan.
3. Compliancy. Niet ieder bedrijf wil, kan en mag zijn company data in de Cloud veiligstellen. De NSA en patriot act verhalen dragen hier negatief aan bij.

Hoe vang je dit dan af. Punt 1 en 2 kan je oplossen door slimme trucjes uit te halen zoals:

1. Deduplicatie. Het ondubbelen van data voor dat je het veiligstelt levert veel voordeel op
2. WAN acceleratie. Caching en allerlei andere netwerk trucs kunnen ook enig voordeel hebben. Dat zal ook wel het achterliggende doel van Mr. Baracuda zijn
3. Data classificatie. Niet alles hoeft veilig gesteld te worden. En niet alles hoeft even frequent veiligsteld te worden. En er zijn natuurlijk ook genoeg NL en andere Europese aanbieders die niet onder de NSA en patriot act vallen.

Het veiligstellen van data blijft een vak apart. Per omgeving/klant kan dit verschillen. De definitie van de RPO/RTO/SLA is altijd leading voor de keuze die er op het gebied van technologie gemaakt moet worden. Classificeer eerst op prestatie en herstelbaarbeid je data. En kijk dan pas waar dit het beste kan landen en past. Doe je het anders om dan is de kans op een teleurstelling, hoge kosten en uiteindelijk dus dataverlies zeer groot.

Ik heb hier in het verleden al vrij veel overgeschreven. Voor de mensen die dat gemist hebben, hierbij nogmaals links:

http://www.computable.nl/artikel/opinie/storage/5162344/1277017/backup-one-size-doesnt-fit-all.html

http://www.computable.nl/artikel/opinie/storage/4635530/1277017/wijze-van-opslaan-bepalend-bij-veiligstellen-data.html

http://www.computable.nl/artikel/opinie/storage/4635530/1277017/wijze-van-opslaan-bepalend-bij-veiligstellen-data.html

http://www.computable.nl/artikel/opinie/storage/4531116/1277017/zonder-data-geen-bedrijfsvoering.html

http://www.computable.nl/artikel/opinie/cloud_computing/4463114/2333364/bandbreedte-nog-te-vaak-ondergeschoven-kindje.html

Snik ...

Citaat:
"en bedrijven nog niet bereid zijn om dit fenomeen volledig te omarmen, zijn medewerkers langzaam maar zeker bezig om de cloud binnen te halen"

Op het moment dat medewerkers zelf bedrijfsgegevens in de cloud zetten (om wat voor reden dan ook) terwijl het bedrijf zelf de cloud nog niet ingezet heeft als "officieel opslagmedium" moet je je serieus af gaan vragen waar deze werknemers mee bezig zijn.

Dit klinkt bijna als een 2e vorm van BYOS: Bring Your Own Storage :(


Na de gevonden USB sticks en PC's met data van afgelopen jaren, krijgen we binnenkort de gehackte dropboxen et cetera met gevoelige data vrees ik.



De meeting van gisteren waar Ewout aan refereert (Cloud Architect Alliance) was inderdaad een top-avond, met veel interactie. De grootste nachtmerrie lag inderdaad in de social engineering en de mens als zwakste schakel, maar er passeerde ook andere interessante informatie de revu over het mitigeren van risico's.

En deze toelichting maakte het stuk van Ewout minder obscuur :-)

Daarbij merk ik wel op dat het niet alleen maar consensus is wat gisteren bereikt werd. Niettemin geweldig om zoveel knappe koppen bij elkaar te zien met zoveel passie voor het vak.

Ook zag je dat de roots van velen lag bij infrastructuur en de software kant (ik zeg: Services) een beetje onderbelicht bleven, maar daarvoor zal ik een lans breken de 6e :-)

@Henri
Dat je mijn schrijven als obscuur bestempelde is hetzelfde als ambtenaren die roepen zich niet te herkennen in de conclusies van een onderzoeksraad. Ik plaatste als reactie op het SOA denken hier eerder een passage uit WRR rapport waarin ronduit gezegd werd dat alle data als een 'dame van lichte zeden' is die door iedereen gebruikt wordt maar waar niemand zich verantwoordelijk voor voelt.

"If I had asked people what they wanted, they would have said faster horses" - Henry Ford

Veel cloud oplossingen zijn Palomino's, commerciële hobbelpaarden die één beweging maken waar je niet zonder kleerscheuren vanaf kunt komen doordat deze stilletjes steeds sneller zijn gaan galoperen. Duizend-en-één datacontainers waarvan niemand weet waar de data wegkomt, waar deze landt of wie ervoor verantwoordelijk is zal in 90 van de 100 gevallen namelijk non-compliant zijn.

Hopelijk heb je nu geleerd dat IT architecturen meer als de kikkers zijn welke governance framewerken in de kruiwagen moeten houden. Zeg maar de non-functionele requirements die telkens weer vergeten worden in de roep om service in plaats van resultaat.

Backup op tapes, Lelystad, een restore en recovery die meer dan 12 uur duurt ?

Compleet onnodig en behoorlijk outdated denk ik. Je zou toch mogen aannemen dat iedere cloudleverancier gebruik maakt van block-level incremental backups, toch ?

Wat grappig, één suikerklontje voor het paard van Sinterklaas.

Dan maar even een aardige anekdote.
Een groep van 15 bedrijfsadviseurs die voor hun vennootschap een eigen server kochten en een fortinet router om de boel naar internet dicht te timmeren, en dat zit/zat goed dicht (natuurlijk niets gedokumenteerd en een konflikt met de leverancier).
Alleen was dat toch wel lastig dus werden dropbox, googledrive etc. gebruikt om gegevens uit te wisselen . . . en voor het gemak stond teamviewer 24/7 open!
Voorts wensten de heren dat verschillende poorten geopend werden omdat skype toch wel handig is en ftp ook enz. enz.

Ach ja, "beveiliging is voor veel bedrijven een belangrijk aandachtspunt" zolang het niet lastig wordt.

Dat cloud-opslag toeneemt is logisch omdat het praktisch is, maar de klant begeleiden in de keuze voor een betrouwbare leverancier is minder eenvoudig.

Alhoewel Ewout dat niet graag hoort, is "cloud" (of SAAS) soms een betere oplossing. Bij een groep met een semi-ict-er, die van IT-management geen kaas gegeten heeft maar wel bepalen wil wat er op IT gebied draait is extern beheer heel veel beter.

Ewout, ik zal het oppervlakkig houden. Wat ik heb gehoord is dat security een shared responsibility is. De dienstverlener heeft een taak hierin en de afnemende organisatie (en de ontwikkelaars, et cetera). In de basis is dat ook wel zoals ik er zelf altijd in gezeten heb. Een secure infrastructuur met end-points op het internet die vervolgens SQL Injection toelaten levert een onveilige cloud op.

Perfecte security bestaat niet en het blijft een levend iets van actie en reactie.

Een ander aspect wat steeds terug kwam is dat "de business" security vaak nog steeds niet als top prioriteit ziet. Dus dat veilig zijn het af moet leggen tegen gemak, kosten, opbrengst, snelheid, en zo verder.

Juist omdat security voor een grote cloud provider paramount is, heb ik wel het idee dat zij een goede keus zijn in ieder geval voor de zaken die niet onder de hoogste confidentiality vallen.

Daarnaast zien we steeds meer mogelijkheden om versleuteling in de hele keten toe te passen. Helaas, worden de sleutels echter vaak nog beheerd door de providers wat inzage van overheden dus niet voorkomt.

@Henri
Term 'shared responsibility' klinkt uit jouw mond heel erg als de participatiemaatschappij als we kijken naar de praktijk waarin IT verantwoordelijk is voor het veiligstellen van alle data, de digitale continuïteit van de business. Wat sales director niet weet, diep weggstopt is in rapporten maar gangbare praktijk is dat bij meeste uitwijktesten IT een dikke USB-disk mee neemt met daarop data die niet veilig gesteld wordt in proces. Duizend-en-één datacontainers blijken niet alleen gemist te worden in back-up maar ook in configuratie management.

Nog zo'n proces wat graag aan IT overgelaten wordt terwijl het de basis van elk governance framewerk vormt. Betreffende opmerking dat beveiliging 'paramount' is voor grote providers denk ik dat je abuis bent, imago is leidend want geen één van de grote Amerikaanse providers neemt volgens mij 'shared responsibility' voor de data van Europese bedrijven zoals dat bijvoorbeeld gedefinieerd is in HIPAA. En dat is geen technisch maar een juridisch probleem wat we op kunnen lossen met encrytie maar dus wel een nieuwe uitdaging (en kosten) introduceert.

Ik heb trouwens alleen maar verhalen gezien en gehoord die uitgingen van 'private' oplossingen, veelal met aanvullende maatregelen. Ik zal er wel één suikerklontje voor krijgen maar ik denk dat Jan wat gemist heeft, al 20 jaar dus als je niet snapt dat uitbesteden geen 'shared responsibility' is als de controle niet op orde is. Betreffende onderwerp SaaS heb ik trouwens al eens wat geschreven in WA-verzekering in de cloud waar het ook om de data gaat en niet de service. Maar ik kan duizend-en-één keer zeggen dat de cloud bedrijven misschien Enterprise mogelijkheden geeft maar dat daar ook Enterprise verantwoordelijkheden bij komen.

Als je geen controle framewerk hebt ben je non-compliant, is 'shared responsibility' een farce en heb je dus uiteindelijk geen souvereniteit over je data.

Dat is zoiets als je tanks verkopen terwijl je geen vervangend wapensysteem hebt waardoor je aan de 'goodwill' van anderen overgelaten bent. Oftewel je bent net zo afhankelijk voor zowel je positie als de richting en snelheid doordat je geen eigen alternatieven hebt. Behalve misschien een oud kompas dat geen rekening houdt met de magnetische declinatie, de verschuiving van het ware noorden.

In computable verschijnen steeds vaker artikelen over afnemen van IAM services en zelfs uitbesteden van regie. Verder enthousiaste verhalen over gestapelde Cloud, waarbij de Cloud provider ook weer gebruik maakt van andere providers. Lekker core-businessen zonder moeilijk nerd-geneuzel. Als je al uitgaat van gedeelde verantwoording, want dit artikel spreekt alleen over verantwoording van de eindklant. Die kiest zijn provider kennelijk aan de hand van beveiligingsreputatie en geeft tegelijkertijd vaak aan dat men geen idee heeft waar de data staat en of dat de provider aan wettelijke en branche richtlijnen voldoet. Security by obscurity, maar dan dat ook de verantwoordelijken en uitvoerenden geen idee hebben. Soort woekersecurity :-)
Reputatie : wachtwoordbeleid bij Apple, ICT onderzoek Ton Elias, SSL bij Diginotar, Ideal bij ING.

Voor de geïnteresseerden wellicht interessante links van video's van twee individuen die ervoor gezorgd heeft dat de hele wereld is wat meer bewust is geworden van de veiligheid van internet. Privacy is zwaar onder druk komen te staan en er wordt zelf geadviseerd om Dropbox te droppen, met Facebook te stoppen en Google(+) te vermijden. In hoeverre zijn deze wijze woorden ook van toepassing op dit onderwerp?

http://www.newyorker.com/new-yorker-festival/live-stream-edward-snowden
http://www.ted.com/talks/glenn_greenwald_why_privacy_matters

Kijk Ewout hier ben ik het met je eens:
"dat de cloud bedrijven misschien Enterprise mogelijkheden geeft maar dat daar ook Enterprise verantwoordelijkheden bij komen"
Echter geldt die verantwoordelijkheid ook als je geen cloud gebruikt. Wanneer je een groep mensen mobiel wilt laten samenwerken is een eigen server (waarvoor geen beheerder is) niet de beste oplossing.
Helaas zie ik hier weer dat het labeltje "cloud" op van alles geplakt wordt, dat leidt tot diskussies over appels en peren.

Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×