Eigen beveiliging is gatenkaas

Makkelijker in de cloud

Hiermee wil ik helemaal niet zeggen dat elke cloudleverancier helemaal perfect is en dat cloudproducten geen dataverlies kennen en geen downtime. Dat is evengoed ver van de waarheid, en ik ben ook cloudleveranciers tegengekomen die in elke categorie onder de maat presteerden. Een enkele leverancier die ik controleerde heeft een technologisch kaartenhuis, en er hoeft maar ergens iets fout te gaan of het ligt direct helemaal in puin. Maar over het algemeen hebben cloudleveranciers het veel beter voor elkaar dan het gemiddelde bedrijf.

Een van de grootste voordelen van het draaien van een cloud is dat een enkele fix direct voor alle klanten kan worden uitgerold. In de meeste bedrijven van vandaag is het patchen van kritieke beveiligingsgaten bijvoorbeeld een kwestie van dagen tot weken, van het moment dat de patches worden uitgebracht tot het moment dat alles systemen up-to-date zijn. Een cloudleverancier hoeft maar één keer te patchen om al zijn klanten te beschermen.

Zelfs het verbeteren van de beveiliging is makkelijker in de cloud. Google heeft onlangs bijvoorbeeld https aangezet voor Gmail. Https is normaal gesproken alleen vereist voor beveiligde login-schermen en voor gevoelige informatie. In termen van prestaties is het erg kostbaar om het voor alle transacties in te zetten. In vergelijking met een http-transactie is een https-transactie 2 tot 3 keer zo langzaam. Het nemen van zo'n beslissing zou in een normaal bedrijf maanden van wikken en wegen betekenen, en vervolgens nog een paar maanden om het in te voeren, als het al wordt ingevoerd. Maar nu nam Google de beslissing en direct is de beveiliging van miljoenen klanten opgevoerd.

Daar staat natuurlijk tegenover dat de gebruikers van Gmail die het niet wilden er niets tegen konden doen. Bovendien gaat de meerderheid van zulke beslissingen in de cloud over features, en niet over beveiliging.

Gevaren van gedeelde cloud

De echte vraag is natuurlijk hoe veilig die clouddiensten zullen zijn als de hele wereld erop draait. Waarschijnlijk zal het allemaal niets bijzonders opleveren. Er zullen leveranciers zijn die het wat beveiliging betreft beter doen dan anderen, net zoals dat vandaag de dag gaat in de gedecentraliseerde softwarewereld. Aanvallers zullen zich voortaan niet meer richten op de desktop, maar op de cloud. Zij volgen altijd de gebruiker en de data.

Sommige mensen, waaronder ik, zijn bezorgd over de nadelen van een grote gedeelde cloud. Zal één kwetsbaarheid in de cloud niet direct alle gebruikers in gevaar brengen? Zeker, maar nu is het al niet veel anders. De Robert Morris worm haalde zowat het hele internet neer in 1988, en de Slammer worm nam binnen tien minuten de meerderheid van de kwetsbare clients op internet te pakken.

De meeste beveiligingsproblemen die we in de toekomst het hoofd moeten bieden zullen veel gemeen hebben met de dreigingen van vandaag, maar het zal meer tijd en moeite kosten om het probleem in een fix te vatten. Voor een cloudleverancier, die 24 uur per dag personeel aan het werk heeft, is het makkelijker om de schade te beperken en het systeem snel weer online te krijgen, waarschijnlijk sneller dan voorheen. Wie is beter bekend met het systeem en de applicaties dan de experts die het systeem draaien, zeker als het hun enige systeem is en hun enige verantwoordelijkheid?

Volwassen

Opnieuw: hiermee wil ik niet zeggen dat cloudleveranciers geen data verliezen en geen downtime hebben, want dat doen ze en hebben ze wel. Maar de problemen die er nu nog zijn terwijl de cloud in opkomst is, zullen snel worden opgelost als het groeit en volwassen wordt. Dat herinnert me aan Dr. Robert Metcalfe, die zich er zorgen over maakte of het internet betrouwbaar genoeg zou zijn om belangrijk zakelijk verkeer over af te wikkelen. Als een van de belangrijkste uitvinders van netwerken zoals we die nu kennen, was het heel goed dat hij alarm sloeg. En ik ben er zeker van dat hij nu tevreden toekijkt, nu het internet volwassen genoeg is om elk soort van verkeer aan te kunnen.

En nu ben ik er om te zeggen dat de beveiligingsproblemen van de cloud buiten proporties worden opgeblazen in de media, zeker als je ze vergelijkt met het doorsnee bedrijf. Ik zeg: "Kom er ook in, het water is lekker."

Bron: Techworld