Het klinkt goed. ‘Wij zetten alles in de cloud’. In de praktijk betekent het dat uw gegevens en eventueel ook uw programmatuur ergens op een server staan. In ieder geval niet meer fysiek binnen uw organisatie. Dat heeft nogal wat voordelen. U hoeft niet te investeren in eigen hardware. De schaalbaarheid van de opslag en de installatie is waarschijnlijk eenvoudiger dan wanneer u het zelf zou moeten doen. U kunt mogelijk vanaf iedere plek met een geschikte verbinding bij uw gegevens en programma’s komen. Maar er zitten ook wat andere kanten aan het werken met ‘de cloud’. Zo bent u v.w.b. de kennis over de hosting voor een deel afhankelijk van de provider bij wie u de cloud diensten afneemt.  Sommige diensten zitten feitelijk al in de cloud , zoals Dropbox, Google Docs, Skydrive, zonder dat u zich dat heeft gerealiseerd,.

Waar staat het?
De opslag van uw applicaties en data is vanwege veiligheidsredenen vaak over meerdere servers of serverparks verspreid. Als onze minister van VWS beweert dat haar EPD’s op Nederlandse servers staan, dan moet ze de Amerikaanse provider geloven op zijn blauwe ogen, want controleren kan ze dat vrijwel niet. De controle op de toegang tot uw gegevens is ook voor een belangrijk deel afhankelijk van de provider en als uw wilt meten hoe het staat met het netwerkverkeer dan is dat ook weer een onderwerp waarvoor u de provider nodig heeft.

Virtualiseren

Virtualisatie is een van de basistechnieken waarop cloud computing is gebaseerd. Die virtualisatie zit eigenlijk tussen het besturingssysteem en de hardware in. Daarmee is er eigenlijk een extra laag ingevoegd t.o.v. de klassieke manier van applicaties installeren. Die werken rechtstreeks via het besturingssysteem op de hardware. Om het geheel ‘in de lucht’ te houden wordt op grote schaal gebruik gemaakt van geautomatiseerd beheer. Daarmee wordt opnieuw een extra element aan de IT omgeving toegevoegd in vergelijking tot de klassieke manier van opslag. Met al deze extra elementen neemt de kwetsbaarheid van het werken met cloud computing toe. Dat is een punt om goed over door te vragen wanneer u kiest voor een provider die daarmee werkt.

Beveiliging
Een volgend aspect is de authenticatie. Om de belasting voor de gebruiker niet te groot te maken wordt in veel gevallen gebruik gemaakt van single sign on. Dat wil zeggen wanneer een gebruiker in zijn eigen (buiten de cloud) omgeving inlogt dan worden die inlog gegevens vaak gebruikt om ook de toegang te regelen tot de applicaties in de cloud. Echter daarmee ontstaat het probleem dat de authenticatiegegevens vanuit uw netwerk moeten worden overgedragen naar de cloud. Oftewel: uw inloggegevens gaan buiten uw netwerk een rol spelen. Om te voorkomen dat daarmee een onverantwoord veiligheidsrisico ontstaat is het van belang zeker te stellen dat de authenticatie gegevens goed worden beveiligd bij uitwisseling. Technieken als Identity Federation moeten daarvoor zorgen.

Veiligheid vs. efficiency
Providers van clouddiensten bieden hun diensten aan meer dan één gebruiker aan. Uit overweging van schaalgrootte is het voor een provider aantrekkelijk om niet per gebruiker een aparte omgeving te creëren, maar in veel gevallen verschillende gebruikers in één omgeving te zetten. Vanuit efficiency oogpunt prima, maar niet altijd handig vanuit veiligheidsoogpunt. Wordt die fysieke omgeving gehackt of gecompromitteerd, dan zijn opeens meerdere gebruikers daardoor getroffen. Op die manier wordt een economisch voordeel opeens een organisatorische nachtmerrie. Bent u van plan om kwetsbare data op te slaan in zo cloud omgeving dan is het goed concrete garanties te vragen voor het geval een situatie zoals hiervoor geschetst optreedt.
Cloud computing is in. Niet alleen voor gebruikers, maar in toenemende mate ook voor lieden die minder positieve bedoelingen hebben. Eenmaal binnen in zo’n serverpark hebben hackers vaak vrij spel en het duurt soms lang voordat ze ontdekt worden. Eén van de manieren om dat tegen te gaan is het versleutelen van de data. Een andere manier is om actieve gegevens te scheiden van niet actieve.

Monitoring
Providers van cloud diensten zijn gewone bedrijven die ook failliet kunnen gaan en last kunnen hebben van stroomstoringen. Allemaal aspecten die moeten worden meegenomen bij het maken van een keuze voor cloud computing überhaupt en meer specifiek voor een bepaalde provider.
Eén van de manieren om ongewenste verrassingen buiten de deur te houden is het toepassen van een goed monitor systeem. Zo’n monitorsysteem moet verder gaan dan alleen het bewaken van de beschikbaarheid van de netwerk verbinding. Feitelijk moet de hele keten van gebruiker tot en met applicatie en data continu worden bewaakt. Alleen zo kunt u op tijd weten of er problemen kunnen ontstaan. In dit verband is te overwegen om de rapportages en logfiles zeer regelmatig te analyseren op eventuele afwijkingen. Daarbij is het zinvol om als opdrachtgever/gebruiker een vinger aan de (virtuele) pols te houden.

Samengevat
Cloud computing is zonder meer een faciliteit met veel mogelijkheden. De voordelen vanuit kostenoogpunt zijn meestal vrij evident, maar de vraag is of dat ook geldt voor de continuïteit van de business. Beide aspecten zullen met elkaar in evenwicht moeten zijn. Een eenvoudig ‘buiten de deur zetten’ van de IT lijkt aantrekkelijk maar er is een groeiend aantal organisaties die leergeld hebben betaald door het niet goed organiseren en inrichten van hun cloud gebruik. Ook hier geld: vertrouwen is goed, maar controle is beter. En verder: een goed begin is soms toch maar het halve werk. U bent gewaarschuwd.

Herman Timmermans / 120228