Cloud Security: Hoe ver moet een provider gaan?

Recent onderzoek heeft uitgewezen dat Cloud providers meer uitdagingen hebben als het gaat om valse inschrijvingen dan standaard hosting- en colocatie providers.

Het gebruik van Cloud diensten is natuurlijk een eenvoudige stap voor organisaties om in plaats van te investeren in fysieke infrastructuur en deze dan zelf in de boeken af te schrijven. Maar te kiezen om gebruik te maken van Cloud / Virtuele gebaseerde Infrastructuur welke per tijdseenheid variërend van een duizendste van een seconde (0.0001) tot aan jaarcontracten.

Het ad-hoc kunnen inzetten van schaalbare infrastructuur is voor organisaties en personen een toegevoegde waarde als het gaat om snel zaken te kunnen ontwikkelen en uittesten. Deze toegevoegde waarde is steeds vaker ook “slachtoffer” van personen welke niet met de goede intensities gebruik maken van Cloud diensten (IaaS,PaaS).

Uiteraard zijn er allerlei regels en richtlijnen te bedenken voor providers om ze te beter te laten worden als provider. Denk aan de STAR Certificering en het inzetten van de CCM (Cloud Control Matrix) waarmee providers zichzelf kunnen verbeteren. Maar toch blijft het voor providers een uitdaging om te kunnen verifiëren of “de klant” ook daadwerkelijk de persoon is welke hij claimt te zijn. Zo gaan er steeds meer providers over tot een inzetten van meerdere security lagen van contacten. Denk hierbij aan het inschrijven met een e-mail adres waarna middels een SMS bericht een account daadwerkelijk geactiveerd wordt. Je ziet dat er Cloud providers op deze wijze steeds meer worden gedwongen om zich op te stellen als controleur in plaats van dienstverlener.

Cont(r)actloos klant zijn
Als we kijken naar de traditionele klant leverancier verhouding dan is het vaak zo dat er een vorm van persoonlijk contact is tussen beiden. Cloud computing heeft inmiddels laten zien dat dit steeds minder gebeurd. De transactie handelingen tussen leverancier en klant blijven beperkt tot een prepaid tegoed of proforma factuur waarna de dienstverleing wordt geleverd. Met dit gegeven in het achterhoofd is het voor providers steeds lastiger om te controleren wie je klant is. Nog los van het feit wie er verantwoordelijk is bij overlast, klant of provider.

Natuurlijk is dat niet bij iedereen zo, maar de toekomst (en dat is binnen een jaar of twee) zal uitwijzen dat men volledige infrastructurele bestellingen bij providers zal laten uitvoeren op de infrastructuur zonder dat hier een contract, SLA  of iets dergelijks voor wordt afgesloten met alle uitsluitingen en aansprakelijkheden.

Certrificering
Een provider zal steeds meer zichzelf moeten gaan conformeren om de dienstverlening te leveren welke meetbaar is conform certificering en richtlijnen al dan niet opgesteld of gelegd door branche verenigingen. Maar de klant heeft steeds minder verantwoordelijkheden waaraan ze zich moet conformeren. Dat gaat wellicht niet goed komen voor beide partijen. Wellicht is het tijd voor een certificering waaraan een klant zich moet conformeren. Het zal de uiteindelijke kwaliteit alleen maar verbeteren.


Marco van den Akker is partner bij 123Cloud en ComputeNext. Is bestuurslid van de Cloud Security Alliance. Marco heeft brede ervaring op CTMT gebied (Cloud, Telecom, Media, Technologie) vanuit meerdere rollen. Is zijn internet carrière begonnen met videotex, BBS en html.