Struisvogelpolitiek? Of de koe bij de horens vatten?

Share this post:

Door Marc Steenbergen

Public cloud, security en compliancy: voor velen een gevoelig gespreksonderwerp. Ik zie dan ook vaak dat het onderwerp “security en compliancy” naar achter geschoven wordt in een cloud-gerelateerde discussie over architectuur, sourcingmodellen en platformkeuzes. Niet slim, denk ik, omdat het een fundamenteel onderwerp is wat vele andere theoretische keuzemogelijkheden wel of niet doorkruist. En dus zeg ik: als eerste oppakken en keuzes maken.

De basics: waarom maken veel klanten zich zorgen om de veiligheid van de publieke cloud? Het meest gehoorde argument is dat de klant dan niet weet waar zijn data staat. Een begrijpelijk zorgpunt, maar er zijn public cloud dienstverleners zoals IBM´s SoftLayer waar jij zelf bepaalt in welk datacenter en in welk land je data staat, en die op geen enkele wijze die data, voor wat voor (backup) reden dan ook, elders neerzetten. Je kunt binnen Softlayer zelfs voor bare metal services en voor single-tenant virtual machines kiezen en tot op datacenter, rack en serverniveau zien waar de data staat of draait.

“Kan ik dat dan ook controleren?” is een vraag die dan vaak opkomt. De online portal vertelt je exact waar de data staat en via de API is diezelfde informatie beschikbaar. Maar je kan niet even het datacenter binnenlopen en fysiek kijken of … tja, wat ga je dan eigenlijk fysiek controleren? Of de lichtjes van de server knipperen?  Maar natuurlijk zijn er ISO27k rapporten en certificeringen, en natuurlijk zijn er SOC1, SOC2 en SOC3 rapporten, die je verzekeren dat de data daar staat waar hij ook zou moeten staan.  Wil je daar niet op vertrouwen, en wil je het echt fysiek zelf kunnen aanwijzen, dan is publieke cloud geen optie. Dan moet je kiezen voor een private cloud platform, met bijbehorende dienstverlening. Veel klanten kiezen uiteindelijk voor een hybride variant waar een deel van de IT omgeving draait in een publieke cloud en een deel in een private cloud. Afhankelijk van type applicatie en data maak je die risico-inschatting. Security en compliance spelen dus op dit belangrijke kruispunt een cruciale rol.

Kortom, security en compliancy zijn de heipalen waar je het huis op bouwt. Als dat fundament niet klopt, kun je beter stoppen en een ander huis gaan bouwen. Voer deze discussie dus aan het begin, want ik heb meerdere malen meegemaakt dat dit onderwerp pas als laatste laatste punt op de agenda stond, waarna het hele team tot de conclusie kwam dat maanden werk voor niks was geweest en men weer van voor af aan kon gaan beginnen.

Mijn credo: steek niet je kop in het zand als een struisvogel wanneer het gaat over security en compliance in relatie tot cloud, maar pak de koe bij de horens. En belangrijke koeien als eerste!