Cloud Caveats Over security en andere valkuilen in de wolken Jan Guldentops ( BA N.V. ( )

Wie ben ik ? Jan Guldentops (° 1973) Denk na over technologie en zijn toepassingen Dit jaar bouw ik 17 jaar server en netwerk- infrastructuren Founding partner Better Access (° 1996) en BA ( °2003) Open source fundamentalist ( na mijn uren ) Betrokken bij :  Infosecurity & Storage expo  Breng heel veel tijd in het lab door R&D -> journalistiek

Ik ben een koele minaar van cloud

Alles is cloud vandaag de dag Elk product heeft wel ergens iets cloud Cloud = de oplossing voor al onze problemen Marketing Voor het eerst noemt de industrie de gebakken lucht die het verkoopt ook echt bij zijn naam. Ook vragen durven stellen Veel blabla en niet altijd evenveel boemboem

Cloud is zo oud als de straat Heeft al veel namen / gedaantes gehad in de afgelopen 30 jaar Time sharing (mainframes) ASP (Application Service Provider) Grid Computing Utility Computing Virtualisatie Outsourcing Collocatie

De cloud bestaat niet ! Complexe mix van mogelijkheden : IAAS – Infrastructure as a service SAAS – Software as a service ( of security-as-a- service) DAAS – Desktop as a service PAAS – Platform as a service Everything as a service Wat voor wolk ? Private Hybride Public

Mijn definitie Infrastructure on tap Schaalbaar Enige wat de klant moet hebben is er connectiviteit naartoe Twee grote toepassingen :  Serverprocessen Aka virtualisatie  (thin) Client Citrix, Terminal services, VDI, browserbased Extern gehoste applicaties

Cloud belooft In theorie : Koop je een oplossing met alles erop en eraan Betaal je voor wat je gebruikt Is de oplossing schaalbaarheid Zijn alle vervelende problemen geoutsourced :  Backups  Security  Onderhoud  datacenter

MAAR Eenvoudige boodschap : Wees kritisch en denk na !  If it sounds to good to be true, it usually is ! Geloof niet in zwart / wit  Het is niet cloud of geen cloud, 0 of 1  Evolutie Voor cloud geld net hetzelfde als voor elke andere soort ICT of business process

Stappenplan naar de cloud Evolutie Private cloud -> Hybrid cloud -> Public Cloud  Quick wins bv Disaster recovery – Backups in the cloud IAAS -> PAAS  Quick wins bij bijvoorbeeld nieuwe toepassingen Cloud kan disruptive worden ICT-sector lokale overheid kan totaal veranderen Niet 5 dominante spelers die alles doen maar meer gespecialiseerde partijen ? Last van de schouders Vraag is wie die cloud gaat leveren ?

Caveats Industrie is verre van volwassen en wordt door marketing gedreven ! Cloud is vooral gericht op de Amerikaanse markt Security kader Juridisch kader Totaalplaatje moet kloppen Gebruikers drijven ons voort: Consumerism

Industrie = niet volwassen Lange lijst van debacles Qua projecten Lopen voor men kan stappen Er zijn ook wel een paar high profile problemen geweest : Wie is er allemaal zwaar down geweest de afgelopen 6 maanden ?  Skype, Gmail, Hotmail, Twitter, Office365, Siri, Blackberry, etc.  Recente uitvallen voor dagen van Amazon EC2 wat op zijn beurt een hele hoop Internet Startups met zich meetrok.

Markt = Amerika KMO versus SME In BE is een bedrijf van 250 werknemers geen KMO meer, in de states begint de definitie van SME bij 250 werknemers België en bij uitbreiding Europa is een sideshow voor deze mensen Schaal is helemaal anders : Bijvoorbeeld VMWare Essentials product

Security Er moet dezelfde graad van veiligheid bereikt worden als bij de huidige applicaties Garanderen van CIA Confidentiality ( Confidentialiteit ) Integrity ( Integriteit ) Availibility ( Beschikbaarheid ) Wettelijke vereisten: Minimale normen voor informatiebeveiliging

Security: Confidentialiteit Zware stap – je geeft je vertrouwen ( en je data) aan een derde partij Vele debacles Typevoorbeeld is dat je geen persoonsgegevens op bv Google Drive Er zijn al voldoende debacles geweest ( dropbox, etc.) Waar is je data geografisch ? ( Patriot Act!) Voeg extra veiligheidsniveau's toe : bv encryptie Integreer zoveel mogelijk met je huidige veiligheidsmechanismes

Security: Integriteit Integriteit is eigenlijk veel belangrijker dan confidentialiteit. Zorg voor een gedegen controle van de integriteit van je systemen : Hostbased ids Controlesystemen in je data Log al je transacties op een correcte manier

Security: Beschikbaarheid Maak duidelijke beschikbaarheidsafspraken ! RTO  Recovery Time Objective RPO  Recovery Point Objective Zorg voor backups van de cloud ! Iedereen backuped naar de cloud maar niemand backuped de cloud. Liefst naar fysieke infrastructuur in eigen handen Liefst ook offline

Security samengevat Eerst nadenken : Is dit een goed idee ? Kan/mag het juridisch ? Extra safeguards inplannen Alle afspraken duidelijk maken en juridisch afdekken Meten is weten : Logs, realtime controle ! Audit, audit, audit,... Zorg voor een backup van de cloud !

Totaalplaatje moet kloppen De hele infrastructuur van client tot applicatie moet werken in een cloud-omgeving Vergeet niet de connectiviteit  Moet beschikbaar zijn ( SLA ) of redundantie  Quality-of-service ( QoS ) Client-toestellen moeten meekunnen  Type toestellen  (be)veilig(d) Moet werken met de applicaties Details: bv printers

Eindgebruiker drijft ons voort BYOD Eindgebruikers vooral de verantwoordelijken brengen hun eigen speelgoed mee Consumerism Eindgebruikers gebruiken allerlei cloudservices IT manager is de controle kwijt Moeilijk kluwen rond toelaten en niet toelaten  Bv. Sociale media

Dank u voor de aandacht! Meer informatie : Twitter: JanGuldentops Website: Linkedin: Telefoon: