Cloudwatervrees overwinnen: de overstap naar de public cloud
Databeveiliging is belangrijk voor iedere organisatie. Datalekken hebben grote gevolgen, waaronder schade voor personen en aan reputatie en torenhoge boetes. Voor overheidsorganisaties is databeveiliging zo mogelijk nog belangrijker, gezien de gevoeligheid van de gegevens waarmee ze werken en de belangrijke rol die ze spelen in de samenleving. Lange tijd hadden publieke organisaties daarom maar twee opties voor het bewaren van data en het hosten van applicaties: on premise systemen of de private cloud gebruiken. Hier begint echter verandering in te komen.
Eind 2022 is in Nederland het Rijksbreed Cloudbeleid goedgekeurd. Dit beleid zet de voorwaarden uiteen waaronder overheidsinstanties (enkele uitzonderingen daargelaten) gebruik mogen maken van public cloud services. Ondanks de invoering van dit nieuwe beleid zijn veel instanties nog altijd huiverig om public cloudtechnologie te omarmen. Dit wordt vaak ‘cloudwatervrees’ genoemd. Deze term verwijst naar de angst om als organisatie gebruik te maken van de public cloud wanneer men er niet volledig van overtuigd is dat gegevens of systemen daarin veilig zijn. In het bedrijfsleven ziet men ook wel cloudwatervrees: waar jonge tech startups bijvoorbeeld alles in de cloud doen, vinden oudere gevestigde organisaties het nog vaak lastig om de public cloud te vertrouwen. Dit kan ook te maken hebben met de gedachte dat het migreren van oude legacy systemen naar de cloud lastig en tijdrovend is.
Public cloud met beleid inzetten
De voordelen van de public cloud zijn voor de meeste organisaties groter dan de nadelen, mits ze vooraf goed in kaart brengen welke clouddiensten ze afnemen en nagedacht hebben over een goede exitstrategie. Toch zullen er altijd organisaties beter af zijn in een private cloud omgeving. Dit zijn allemaal afwegingen die uitgebreid uiteen worden gezet in het Rijksbreed Cloudbeleid. Waarbij de belangrijkste omslag die gemaakt is in het beleid, is het uitgangspunt: ‘Public cloud first’.
Door rekening te houden met wat de publlic cloud wel en niet voor je doet, wordt duidelijk waar je zelf voor verantwoordelijk bent. Daarnaast is het belangrijk om je bewust te zijn van de gevolgen van bepaalde technologiekeuzes. Door met beleid gebruik te maken van de public cloud kun je de voordelen ervan oogsten, zonder de nadelen te ervaren.
De belangrijkste onderwerpen vatten we hieronder samen:
| Waarom public cloud | Wat zelf doen | |
| Gedeelde veiligheid en verbeterde bescherming | ‘Security of the cloud’: schaalvoordelen voor security investeringen | ‘Security in the cloud’: Veiligheid van de applicatielaag, docker scanning, encryptie. ISO certificering. |
| Regie op data & naleving van de AVG | Je kunt kiezen waar gegevens worden opgeslagen en hoe deze worden verwerkt | Gebruik van Europese datacenters en EU-principes m.b.t. ‘pushing’ en ‘pulling’ van gegevens |
| Vendor lock-in vermijden | Containerisatie maakt het eenvoudiger om van provider te wisselen | Softwarecomponenten selecteren met een exitstrategie in gedachte |
| Managed services | Snellere implementatie en time-to-value, lagere kosten | Voer kosten/baten-analyses uit van managed services op basis van de specifieke benodigde oplossing |
| Serverless technologie | On demand beschikbaar, kosteneffectief bij geringe of fluctuerende datavolumes | Bepaal wanneer serverless technologie te gebruiken en wanneer clusters te configureren – neem verwachtingen m.b.t. volumes mee in het ontwerp van oplossingen en vergelijk verwacht en werkelijk gebruik |
| Flexibele schaalbaarheid | Services worden dynamisch op- en afgeschaald om aan de load te voldoen, dit verlaagt kosten en de CO2-uitstoot | Kies tools met het oog op service- en operationele kosten |
| Duurzame oplossing | De grote public cloudproviders hebben een lager elektriciteitsverbruik en lagere emissies. Daarnaast hebben ze ambitieuze klimaatdoelen | Bepaal wanneer serverless technologie te gebruiken en wanneer clusters te configureren – neem de emissiedoelen van klanten mee in het ontwerp van oplossingen |
Koplopers in de banksector
Waar het gebruik van de public cloud vroeger als te riskant werd gezien, zijn deze tegenwoordig aantoonbaar veilig, zelfs voor sterk gereguleerde sectoren. Kijk bijvoorbeeld naar de financiële sector. De overstap van deze sector naar de public cloud had nogal wat voeten in de aarde. Strenge veiligheidseisen en de gevoelige aard van financiële gegevens vroegen om een voorzichtige aanpak. Banken hebben deze overstap kunnen maken door robuuste encryptieprotocollen te implementeren, zich te houden aan strenge beveiligingsstandaarden en door gebruik te maken van de geavanceerde beveiligingsinfrastructuur van de cloudproviders. Deze factoren, samen met de schaalbaarheid en de kostenefficiëntie van de cloud, wogen uiteindelijk zwaarder dan de aanvankelijke zorgen en baanden de weg voor de succesvolle migratie van veel financiële instellingen. Ohpen, bijvoorbeeld, ontwikkelde ’s werelds eerste corebanking platform voor waarbij alle data in de cloud worden opgeslagen. Andere koplopers zijn Raisin Bank, één van de eerste Duitse banken die volledig in de cloud werkt, en Capital One, de eerste grote financiële organisatie in de VS die volledig is overgestapt naar de public cloud.
Conclusie
Een public cloud first strategie zal voor het merendeel van de organisaties voordelen opleveren. Systemen kunnen betrouwbaar, altijd beschikbaar en veilig zijn, daarnaast wordt de time-to-market van nieuwe services lager, net als de kosten en de uitstoot van broeikasgassen. Een public cloudomgeving kan net zo veilig, zo niet veiliger zijn dan een private cloud.
