Dutch IT Chanel Logo mobile
Search icon
Redactie - 04 februari 2014

Security? Daar zorgt mijn cloud provider toch voor?

Cloud

 

Als afnemer van cloud diensten ga je er vanuit dat jouw cloud provider security serieus neemt. Soms is veiligheid zelfs de reden om te kiezen voor cloud. Een cloud provider zou betere security moeten kunnen leveren dan jij dat zelf kan.

Maar deze redenering laat vaak gevaarlijke gaten vallen in de verdediging tegen snoodaards en ander gespuis. Ik ga hier niet uitleggen dat er van alles mis kan gaan, daarvoor hoef je alleen maar het nieuws te volgen.

Het is dus van belang om zelf wat meer te weten over cloud security en niet blind te vertrouwen op de cloud provider. De twee belangrijkste vaardigheden als het gaat om cloud security zijn:

1. Kunnen beoordelen of een cloud provider zijn eigen zaakjes op orde heeft;

2. Begrijpen wat de cloud provider wel doet, en wat die niet kan doen.

Het eerste punt is niet nieuw. Dat hadden we al met alle traditionele vormen van outsourcing. Dezelfde methoden van ‘assurance’ zijn hier deels van toepassing, al moeten die wat hervormd worden om schaalbaar te zijn. Je snapt dat niet elke klant van elke provider regelmatig door het datacenter kan lopen.

Het tweede punt is karakteristieker voor cloud computing als leveringsmodel. Omdat het om online dienstverlening gaat spelen er andere zaken. Het technische en zakelijke koppelvlak bevindt zich niet alleen tussen de gebruiker en de applicatie, maar mogelijk ook tussen computers onderling. Daarmee is niet vanzelf duidelijk wie welke verantwoordelijkheid heeft. Dat geldt zeker op het gebied van beveiliging.

Een paar vragen om te stellen in de contract fase:

Wat staat er allemaal in de SLA (Service Level Agreement)?

Wordt daarin duidelijk wat de provider wel en niet doet?

Is er een audit rapport, en zo ja: wat is er eigenlijk ge-audit?

Heeft de provider disaster recovery en business continuity adequaat ingericht?

Kunt u dit uitproberen?

Om een voorbeeld te geven: een infrastructuur provider (IaaS) levert virtual machines, en is verantwoordelijk voor bijvoorbeeld elektriciteit en het netwerk van de server. Maar wie is verantwoordelijk voor de applicatiebeveiliging of voor het patchen van het operating system? Dat ligt genuanceerd en verschilt van dienst tot dienst. Ook afnemers van Software as a Service hebben nog wel wat beveiligingsverplichtingen , te beginnen met goed beheer van gebruikers en hun rechten.

Kortom, veilig cloud computeren vergt iets meer dan vertrouwen op de blauwe ogen van de provider.

Door: Peter Van Eijk, cloud trainer 

Wil je weten wanneer de volgende cloud security training is? Kijk op Club Cloud Computing of neem contact op met Peter H.J. van Eijk via peter@clubcloudcomputing.com of +31 6 22 68 49 39.

 

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!