Selecteer een cloudprovider in 4 stappen

13 Sep 2013

Joris Snoek - Business Dev
+31 (0)20 - 261 14 99

Het lekken van geheime documenten door Edward Snowden heeft een spoor van vernieling achtergelaten in de ‘cloud’. Zijn e-mail provider, Lavabit, is uit de lucht evenals de services van Silent Circle. Volgens het toonaangevende Britse dagblad ‘The Guardian’ zijn de tijden van veilig computeren in de cloud voorbij. Ook de Europese Unie is aangetast: zij het door het Britse Tempora programma of door activiteiten van de Amerikaanse NSA in Duitsland.
Het is dus tijd om je cloudstrategie te herzien. Geluk bij een ongeluk: een spoor van vernieling herken je aan troep en schade, maar het biedt ook een kans om opnieuw te beginnen: beter en veiliger. We helpen je daarbij met een manier om in vier stappen de cloudprovider te vinden die bij je past.

#1 : Bepaal waar je cloud hangt.

Hoewel de cloud evenals het internet wereldwijd vertakt is, bewijst het NSA-programma PRISM dat het uitmaakt waar je cloud hangt – en hoe de privacywetgeving in dat land wordt nageleefd - en in hoeverre de informatie versleuteld is. Locatie is dus een belangrijk criterium bij de keuze van een provider. Overschat nooit de macht van een provider en geloof niet zo maar dat er niemand bij je gegevens kan. Bovendien: niemand beschermt je data als de overheid hardop dreigt met vervolging. En er zijn beschaafde landen waar dat gebeurt!

Versleuteling

Sommige providers claimen dat de data zó goed versleuteld zijn achter je eigen wachtwoorden, dat zij ze zelf niet eens kunnen bekijken. Dat is een broodje aapverhaal. Als hun server de codes kan ontcijferen om ze bij je terug te brengen uit de cloud, dan kan dat ook voor iemand anders. Bedenk daarbij dat ze je wachtwoord iedere keer binnenkrijgen wanneer je verbinding maakt. Daarom was stoppen met draaien volgens Ladar Levinson de enige optie voor Lavabit. Hij raadt iedereen af om data toe te vertrouwen aan Amerikaanse cloudproviders.

Onthoud

Natuurlijk is versleuteling van data nuttig en belangrijk. Maar je privacy blijft begrensd. Alles hangt af van hoe de overheid met dataverkeer omgaat in het land waar je provider zetelt. Vergewis jezelf hier eerst van en eis dat er geen backups van je gegevens boven andere landen zweven. Want de zwakke schakel kan overal zitten.

#2 : Kies voor ‘open source’ technologie.

Puntje twee op de lijst is technologie. Ook daar kan veel mis gaan op privacygebied. Onlangs werd bekend dat Microsoft de NSA zonder morren op enkele zwakke punten in haar applicaties heeft gewezen. Waarschijnlijk is Microsoft niet de enige die dat doet.

Open Source vs licentie

Geloof je nu nog in de morele superioriteit van bepaalde landen en volkeren? Nee toch? Het meest vervelende is nog dat je de software waarvoor je een licentie gekocht hebt, niet kunt vertrouwen. Het zou wel eens verstandig kunnen zijn te kiezen voor ‘open source’ software. Natuurlijk is open source niet automatisch absoluut veilig. In álle software zitten bugs. Ook open source heeft zwakke plekken en soms duurt het even voor die gevonden en verholpen zijn. SELinux bijvoorbeeld was even verdacht omdat de NSA er veel gebruik van maakt. Maar de NSA is zuinig op haar informatie, dus dat zou juist weer vóór SELinux pleiten.

Onthoud

De beste systemen waar het om privacy gaat, zijn gebaseerd op gezamenlijke ontwikkeling van software. Vaak is daarbij meer aandacht besteed aan de veiligheid, gezien vanuit de klant. Dat wil overigens niet zeggen dat open source componenten die door derden aan elkaar zijn geplakt, nog steeds even veilig zijn.

#3 : Neem een bedrijf dat actief open source technologie ontwikkelt.

Je derde criterium is bijdrage aan en betrokkenheid bij technologische ontwikkeling. Als je een cloud service provider zoekt of iemand die jouw private cloud beheert, is het belangrijk dat diegene veel en goede verbindingen kan leggen in de cloud. Hij moet namelijk snel kunnen reageren op aanvallen en andere bedreigingen van je privacy en een standaard werkwijze hebben om samen met jou die bedreigingen (pro-) actief het hoofd te bieden.

Grote bedrijven werken veelal samen met overheden

Sommige providers zijn zo groot dat ze complete systemen alleen kunnen ontwikkelen. Dat klinkt veilig en vertrouwd. Maar vaak zijn dat juist de bedrijven die met de overheden samenwerken. Voor een deel van de privacybedreigingen hebben ze geen actieplan; ze laten het gebeuren, uit angst voor represailles.

Onthoud

Ga niet over één nacht ijs bij het kiezen van degene die je deze technologie en diensten gaat leveren. Kijk of ze actief betrokken zijn bij het ontwikkelen en onderhouden van de technologie die ze aanbieden. Lopen ze alleen een beetje mee, dan kun je beter uit hun buurt blijven. Zoek uit waar de belangrijkste motoren van de technologie in kwestie werken. Met dát bedrijf wil je in zee.

#4 : Weet wat je zelf kunt doen.

Open source IT-oplossingen hebben een ingebouwde veiligheidsknop: je kunt de hele berg data ook oppakken en zelf beheren, zonder gegevens of productiviteit te verliezen. Als het nodig is, kun je jezelf dus beschermen tegen de gevolgen van wetswijzigingen, bedrijfsreorganisaties en dergelijke. En je werkt met een ‘open standaard’ die overal vrij verkrijgbaar is.

Onthoud

Kies voor een oplossing die zo veel mogelijk bestaat uit ‘open standaarden’ om je open source technologie te beheren. Dan kun je altijd uitwijken als er toch iets mis gaat. Kijk uit voor ‘open core’ aanbiedingen die worden verkocht als open source.

Aan de slag!

Heb je deze vier stappen gevolgd, verpruts het dan niet door de leveringsvoorwaarden zonder lezing goed te keuren. Het project Terms of Service; Didn't Read kan je daar bij helpen. Maak een keuze uit de kandidaten die aan alle voorwaarden voldoen. Maak een wijze keuze, want goedkoop kan duurkoop zijn als je leverancier het beloofde servicepakket op de lange termijn niet kan waarmaken. Een aanbieding is o.k. zolang die geloofwaardig is. Als het te mooi klinkt om waar te zijn, is dat ook meestal zo; op de grond én in de cloud.

Blijft er niemand over die aan je voorwaarden voldoet? Dan kun je kiezen: of je eigen cloud runnen of je wensen bijstellen; meer risico nemen met de beloofde service. Hoe dan ook: er is altijd een aanvaardbare en werkbare oplossing in open source.

Bron

"It's not where you take it from, but where you take it to" - Steve Jobs
Hier is de 'from': http://opensource.com/business/13/8/four-steps-cloud-providers

Comments

Nóg meer
kennis nodig?

Check ons ons blog archief >