Acceptatie verschuift naar pro-cloud door aandacht voor security
Met cloud computing worden alle processen uitgevoerd op de plek waar ze het best tot hun recht komen. Het is een efficiënte manier om ICT aan te wenden en bespaart organisaties hoge eigen investeringen. Althans, dat is de theorie. In de praktijk worden processen lang niet altijd in de cloud uitgevoerd terwijl de meeste hordes wel zijn weggenomen. Waar liggen de grenzen van de cloud?
Iedere partner die cloudoplossingen verkoopt, weet onderhand wel dat de cloud niet voor alles, en niet aan iedereen, te slijten is. Eindklanten kunnen veel tegenargumenten aanvoeren. Soms technische of praktische, soms juridische maar vaak zijn het onderbuikgevoelens.
Wat betreft de technische grenzen van de cloud, is er één harde natuurkundige limiet waar cloud computing mee te maken heeft. Zo stelt Gregor Petri die als research vice president bij Gartner gespecialiseerd in cloud computing en cloudstrategie. “De snelheid van het licht is voor iedereen hetzelfde”, zegt hij. “Dat redelijk democratisch gegeven bepaalt waar je het beste kunt processen.”
‘De lichtsnelheid bepaalt waar je data het beste kunt processen’
Op zich lijkt dat iets om je schouders over op te halen. De omtrek van de aarde is iets meer dan 40.000 kilometer, terwijl licht in een seconde ruim 300.000 kilometer aflegt. Toch maken de millisecondes waar je dan over spreekt steeds vaker uit. “Een applicatie met augmented reality moet in realtime, en werkt ontzettend storend als dat niet goed kan”, zegt Petri. Dat geldt zelfs voor de kleine schaal van de Nederlandse markt. “Bij high speed banking en trading gaat het echt om kilometers. Daar worden datacenters voor miljoenen euro’s twee kilometer verplaatst om de latency te verlagen. Maar voor het overgrote deel van de applicaties geldt dat de schaal van Nederland te overzien is.” Natuurlijk, met snellere hardware en innovaties als edge computing is dat tot op zeker hoogte te ondervangen, maar uiteindelijk is er dus wel een grens voor de locaties vanuit waar je de cloudapplicaties kunt draaien. Het is een van de redenen dat de Amerikaanse aanbieders die vroeger applicaties alleen vanuit datacenters in eigen land aanboden, dat nu over de hele wereld doen.
Juridisch steeds meer mogelijk
Het is dus op technisch gebied al wenselijk dat data binnen redelijke afstand van gebruikers blijft. Dat geldt natuurlijk dubbel op juridisch gebied. Er zijn op dat punt natuurlijk veel positieve ontwikkelingen en vooral in Europa. “Ik denk dat Europa door GDPR echt een voorloper is in de wereld”, zegt Patrick Conte, Global Head of Field Operations en Chief Revenue Officer bij cloudbeveiligingsbedrijf HyTrust. Tot nu toe zijn regulering en standaarden volgens Conte heel prescriptief. Ze schrijven voor wát je doelen moeten zijn, maar niet hoe je die behaalt. “Dat gaat veranderen. Met GDPR moeten bedrijven al best practices invoeren en verantwoordelijkheid nemen. Dat is anders dan bijvoorbeeld de PCI-standaard. Die wel heel duidelijk is over wat je moet doen, maar is niets waard als het alsnog mis gaat.”
Volgens Conte gaat de aandacht bij het voorkomen van problemen nu vooral uit van de beveiliging van het netwerk. Logisch, want netwerkbeveiliging is als markt erg volwassen. “Bedrijven worden er door GDPR van bewust dat het niet om de perimeter gaat, maar om de workload. Daardoor wordt encryptie steeds belangrijker.” Op dat punt ziet Conte nog wel wat uitdagingen. “Vaak zijn encryptieagenten niet persistent tussen verschillende clouds”, zegt hij. “Als een virtuele machine wordt verplaatst van de ene cloud naar de andere, moet de hele encryptie opnieuw worden gedaan. Dan kunnen fouten ontstaan. Daarom richten wij ons bijvoorbeeld op portabele encryptie.” Ook Petri ziet het belang van encryptie toenemen in de verbreding van de grenzen. “De regulators begrijpen dat klanten cloud willen gebruiken en zelfs zelf gebruiken. Ze worden minder star en zijn al tevreden met een inspectiemogelijkheid”, schetst hij. “Juridisch zijn een hoop hordes weggenomen. Maar we moeten wel zeggen dat we geen enorme ramp hebben gehad waarbij een grote cloudleverancier alle data van alle klanten kwijt is geraakt. We denken dat grote cloud-leveranciers beter grip hebben op security dan kleinere individuele bedrijven en klanten, maar dat wil niet zeggen dat het nooit helemaal mis kan gaan.”
Meer pro-cloud
De emotiele houding wordt volgens Petri steeds meer pro-cloud omdat leidende providers zeer professioneel aandacht besteden aan security. “Maar incidenten kunnen die positieve houding tijdelijk verstoren. Ik verwacht echter niet dat het compleet zal omslaan, ook doordat er inmiddels zo’n breed pallet aan aanbieders is. De hele grote aanbieders doen aan risicospreiding, hebben meerdere datacenters en werken met geïsoleerde toegang. Maar iedereen weet… vertrouwen komt te voet en gaat te paard.”
‘De sleutelvraag blijft: wat wordt geaccepteerd, en wat niet?’
Mede daarom pleit Conte ook voor security-policies die ervoor zorgen dat bepaalde gegevens ook alleen op bepaalde locaties kunnen worden geopend. Dat is technisch mogelijk. Wat volgens hem echter nog niet echt kan, is dat de eigenaren van data met policies hard kunnen afdwingen waar cloudproviders hun data plaatsen.
“Zo zou het moeten werken, maar in de praktijk zie ik dat niet gebeuren”, zegt Conte. “Het concept van multi-tenancy vereist dat de workload daar gaat waar capaciteit is. Grote jongens bouwen overal datacenters en geven een garantie dat het lokaal blijft. Je kunt het alleen een beetje sturen met rooted trust van onderliggende hardware, iets dat alleen IBM op dit moment doet. Gebruikers moeten dus vertrouwen op de blauwe ogen van de cloudproviders. Het is een gecalculeerd risico.”
De sleutel
Mede doordat cloud providers steeds meer bereid zijn om harde toezeggingen te doen over locatie en beveiliging zal de acceptatie van cloud computing verder toenemen, waardoor de grenzen steeds verder komen te liggen.
“Je moet al het redelijke doen om ervoor te zorgen dat het niet mis gaat”, zegt Petri. Nog maar zo’n 10 jaar geleden waren veel bedrijven ook heel terughoudend met het gebruik van internet voor klanten en medewerkers, terwijl dat nu algemeen geaccepteerd is. Zo’n verschuiving is vergelijkbaar met hoe consumenten omgaan met de financiële sector.
[Dit artikel is eerder gepubliceerd in het Datacenter & Cloud Dossier 2017]