AWS blackout bewees SPOF van veel websites, applicaties en het IoT

Toen vorig jaar het programma voor de Cebit 2017 bekend werd gemaakt keek niemand op van het onderwerp IoT. Logisch dat de grootste beurs in Europa daar prominent en over de volle breedte aandacht aan zou gaan besteden. Ook bij ISP Today en de zusteruitgave Channel Connect hadden we het voornemen daar over te schrijven.

Maar zie wat er in betrekkelijk korte tijd is veranderd. IoT moet nog steeds een van de hoogtepunten van Cebit worden, maar het begrip heeft ongekende schade opgelopen. Het Mirai botnet, de spionage poppen en sinds gisteren ook nog eens de uitval van AWS hebben velen aan het denken gezet. Zeker die twee laatste incidenten hebben een impact die nog als een olievlek groeit.

Op Cebit zou IoT worden gepresenteerd als the next big thing, dat inmiddels de kinderschoenen is ontgroeid en waarmee al echte resultaten worden behaald. Dat verhaal staat ook nog steeds, maar een deel van de standhouders heeft als het goed is het verhaal op de nodige punten gewijzigd. We zien inmiddels in de berg persberichten over Cebit het begrip security steeds vaker voorkomen en dat is op zich een goede ontwikkeling. De vraag is alleen of het voldoende zal zijn.

Want of we het nu leuk vinden of niet zeker de black-out bij AWS van dinsdag heeft een aantal hele rare dingen laten zien die we eerder niet scherp op het netvlies hadden. Het blijkt dat er op grote schaal van slechts een regio gebruik wordt gemaakt. Een van de grootste voordelen van cloud, namelijk makkelijk tot redundantie te komen, is daarmee niet gerealiseerd. Het ontbreken daarvan zorgde voor onder andere het onbereikbaar zijn van websites en toepassingen die op enige wijze met die AWS locatie gekoppeld waren.

Hier komt IoT weer om de hoek kijken, want ook Nest blijkt een gigantische SPOF te hebben: alles in 1 datacenter (en het was niet de enige die door de mand viel). Niet eerder was het zo duidelijk dat IoT “as we know it” ook van partijen die we voor veel volwassener aanzagen dan een fabrikant van poppen of IR camera’s lijkt te staan voor onvolwassenheid en onveiligheid.

Dat moet dus veranderen en dat moet op meerdere manieren. Ingrijpen zoals bij de spionage poppen door toezichthouders zal voor een deel van de problemen werken. De business van hosters, IT leveranciers et cetera heeft een heel andere uitdaging. We zullen de blackout bij AWS moeten aangrijpen om klanten uit te leggen dat ook zij applicaties of websites kunnen hebben waarin de bouwers een SPOF hebben ingebouwd door te vertrouwen op een stukje non-redundante cloudfunctionaliteit. We hebben het daarbij niet om de mega e-commerce platforms of banken, wie bladert door de klaagtweets ziet dat ook veel kleinschaligere toepassingen dinsdag ophielden te werken.