Toegegeven, McAfee is niet echt een cloud vendor. McAfee heeft een soort omgedraaid cloudmodel. In plaats van dat klanten hun belangrijke bezittingen op de cloud van McAfee plaatsen, downloaden en installeren klanten van McAfee hun software op hun belangrijke bezittingen, desktops en servers. Daarmee vertrouwen ze McAfee met het updaten zonder dat ze er toezicht op houden. McAfee heeft dat vertrouwen nu op de meest vreselijke manier beschaamd: Het heeft duizenden computersystemen neergehaald.

Hetzelfde kan gebeuren met cloud vendoren en hun klanten, maar dan is de schade nog veel groter. Het McAfee debacle bracht bijvoorbeeld vooral schade toe aan Windows XP SP3 desktops. Servers en data bleven onaangetast. Maar als zoiets gebeurt met een echte cloud vendor, dan is de situatie precies omgekeerd. De tijd en ergernis die in het opnieuw imagen, herstellen of herinstalleren van duizenden desktops is gaan zitten, verbleekt bij het geweldige verlies aan data of bij het voor langere tijd niet beschikbaar zijn van applicaties. Dat zou iedereen dwars moeten zitten die zijn vertrouwen schenkt aan een cloud die hij niet zelf beheert.

Natuurlijk is het zo dat je voor allerlei delen van de IT moet vertrouwen op anderen, maar dat geldt voor gebieden die goed ingekaderd kunnen worden en die je kunt aftimmeren met een goede backup strategie. Je vertrouwt je storagevendor, maar je maakt ook een backup op hun arrays. Je vertrouwt je serverleverancier, maar je houdt een reserveserver bij de hand en je implementeert virutalisatie of clustering om jezelf te beschermen tegen hardwarefalen.

Maar als je je applicaties en data in de cloud zet, laat dat geen ruimte over voor een goed backup-plan, tenzij je die backups lokaal hebt en je je kunt veroorloven om de applicaties en de data zelf weer online te brengen als de cloud het laat afweten. Maar waarom zou je gebruik maken van de cloud als je toch alles lokaal kunt draaien?

En deze bezwaren gelden niet alleen in het geval van storingen en verlies van data. Het gaat ook over beveiliging. Als we het McAfee-voorbeeld nog eens bekijken, dan kun je verwachten dat McAfee heel strikte policies en procedures heeft voor het testen van elke DAT-update die ze uitsturen. Je zou verwachten dat het bedrijf hele labs heeft, vol met hardware die dezelfde besturingssystemen en service packs draaien als hun klanten, om er zeker van te zijn dat de updates niet schadelijker zijn dan de virussen waar ze tegen beschermen.

Je zou ook verwachten dat je cloudleverancier teams van goed getrainde beveiligingsprofessionals heeft die jouw data bewaken. Je zou verwachten dat ze continu bezig zijn met het monitoren van interne en externe bedreigingen, en dat ze de laatste technologieën gebruiken om jouw bezittingen veilig te houden. Daar zou je gelijk in kunnen hebben. Tenzij, of totdat er ergens een probleem ontstaat kun je daar niet zeker van zijn.

Er worden nu eenmaal fouten gemaakt. Dat kan gebeuren in je eigen IT-afdeling, bij leveranciers, bij klanten, overal. Maar als je de complete controle behoudt over alles wat je beheert, dan kun je goede vangnetten inzetten voor de onvermijdelijke menselijke fouten. Als die niet goed genoeg blijken te zijn, dan heb je er niet goed genoeg over nagedacht. Maar dan is het in ieder geval je eigen probleem. Als een ander struikelt en jouw data meeneemt in zijn val, dan is jouw enige fout geweest dat je geloofde dat je belangrijke data en applicaties veilig bij iemand anders kon stallen.

Noem me maar paranoïde, maar dat risico wil ik gewoon niet nemen. Nu niet, en misschien wel nooit niet.

Bron: Techworld