Cloud Caveats Over security en andere valkuilen in de wolken Jan Guldentops ( j@ba.be )

1. Cloud Caveats Over security en andere valkuilen in de wolken Jan Guldentops ( j@ba.be ) BA N.V. ( http://www.ba.be )

2. Wie ben ik ? • Jan Guldentops (° 1973) • Denk na over technologie en zijn toepassingen • Dit jaar bouw ik 17 jaar server en netwerk-infrastructuren • Founding partner Better Access (° 1996) en BA ( °2003) • Open source fundamentalist ( na mijn uren ) • Betrokken bij : • Infosecurity & Storage expo • Breng heel veel tijd in het lab door • R&D -> journalistiek

3. Ik ben een koele minaar van cloud

4. Ik ben een koele minaar van cloud • Alles is cloud vandaag de dag • Elk product heeft wel ergens iets cloud • Cloud = de oplossing voor al onze problemen • Marketing • Voor het eerst noemt de industrie de gebakken lucht die het verkoopt ook echt bij zijn naam. • Ook vragen durven stellen • Veel blabla en niet altijd evenveel boemboem

5. Cloud is zo oud als de straat • Heeft al veel namen / gedaantes gehad in de afgelopen 30 jaar • Time sharing (mainframes) • ASP (Application Service Provider) • Grid Computing • Utility Computing • Virtualisatie • Outsourcing • Collocatie

6. De cloud bestaat niet ! • Complexe mix van mogelijkheden : • IAAS – Infrastructure as a service • SAAS – Software as a service ( of security-as-a-service) • DAAS – Desktop as a service • PAAS – Platform as a service • Everything as a service • Wat voor wolk ? • Private • Hybride • Public

7. Mijn definitie • Infrastructure on tap • Schaalbaar • Enige wat de klant moet hebben is er connectiviteit naartoe • Twee grote toepassingen : • Serverprocessen • Aka virtualisatie • (thin) Client • Citrix, Terminal services, VDI, browserbased • Extern gehoste applicaties

8. Cloud belooft • In theorie : • Koop je een oplossing met alles erop en eraan • Betaal je voor wat je gebruikt • Is de oplossing schaalbaarheid • Zijn alle vervelende problemen geoutsourced : • Backups • Security • Onderhoud • datacenter

9. MAAR • Eenvoudige boodschap : • Wees kritisch en denk na ! • If it sounds to good to be true, it usually is ! • Geloof niet in zwart / wit • Het is niet cloud of geen cloud, 0 of 1 • Evolutie • Voor cloud geld net hetzelfde als voor elke andere soort ICT of business process

10. Stappenplan naar de cloud • Evolutie • Private cloud -> Hybrid cloud -> Public Cloud • Quick wins bv Disaster recovery – Backups in the cloud • IAAS -> PAAS • Quick wins bij bijvoorbeeld nieuwe toepassingen • Cloud kan disruptive worden • ICT-sector lokale overheid kan totaal veranderen • Niet 5 dominante spelers die alles doen maar meer gespecialiseerde partijen ? • Last van de schouders • Vraag is wie die cloud gaat leveren ?

11. Caveats • Industrie is verre van volwassen en wordt door marketing gedreven ! • Cloud is vooral gericht op de Amerikaanse markt • Security kader • Juridisch kader • Totaalplaatje moet kloppen • Gebruikers drijven ons voort: Consumerism

12. Industrie = niet volwassen • Lange lijst van debacles • Qua projecten • Lopen voor men kan stappen • Er zijn ook wel een paar high profile problemen geweest : • Wie is er allemaal zwaar down geweest de afgelopen 6 maanden ? • Skype, Gmail, Hotmail, Twitter, Office365, Siri, Blackberry, etc. • Recente uitvallen voor dagen van Amazon EC2 wat op zijn beurt een hele hoop Internet Startups met zich meetrok.

13. Markt = Amerika • KMO versus SME • In BE is een bedrijf van 250 werknemers geen KMO meer, in de states begint de definitie van SME bij 250 werknemers • België en bij uitbreiding Europa is een sideshow voor deze mensen • Schaal is helemaal anders : • Bijvoorbeeld VMWare Essentials product

15. Security • Er moet dezelfde graad van veiligheid bereikt worden als bij de huidige applicaties • Garanderen van CIA • Confidentiality ( Confidentialiteit ) • Integrity ( Integriteit ) • Availibility ( Beschikbaarheid ) • Wettelijke vereisten: • Minimale normen voor informatiebeveiliging

16. Security: Confidentialiteit • Zware stap – je geeft je vertrouwen ( en je data) aan een derde partij • Vele debacles • Typevoorbeeld is dat je geen persoonsgegevens op bv Google Drive • Er zijn al voldoende debacles geweest ( dropbox, etc.) • Waar is je data geografisch ? ( Patriot Act!) • Voeg extra veiligheidsniveau's toe : bv encryptie • Integreer zoveel mogelijk met je huidige veiligheidsmechanismes

17. Security: Integriteit • Integriteit is eigenlijk veel belangrijker dan confidentialiteit. • Zorg voor een gedegen controle van de integriteit van je systemen : • Hostbased ids • Controlesystemen in je data • Log al je transacties op een correcte manier

18. Security: Beschikbaarheid • Maak duidelijke beschikbaarheidsafspraken ! • RTO • Recovery Time Objective • RPO • Recovery Point Objective • Zorg voor backups van de cloud ! • Iedereen backuped naar de cloud maar niemand backuped de cloud. • Liefst naar fysieke infrastructuur in eigen handen • Liefst ook offline

19. Security samengevat • Eerst nadenken : • Is dit een goed idee ? • Kan/mag het juridisch ? • Extra safeguards inplannen • Alle afspraken duidelijk maken en juridisch afdekken • Meten is weten : Logs, realtime controle ! • Audit, audit, audit,... • Zorg voor een backup van de cloud !

20. Totaalplaatje moet kloppen • De hele infrastructuur van client tot applicatie moet werken in een cloud-omgeving • Vergeet niet de connectiviteit • Moet beschikbaar zijn ( SLA ) of redundantie • Quality-of-service ( QoS ) • Client-toestellen moeten meekunnen • Type toestellen • (be)veilig(d) • Moet werken met de applicaties • Details: bv printers

21. Eindgebruiker drijft ons voort • BYOD • Eindgebruikers vooral de verantwoordelijken brengen hun eigen speelgoed mee • Consumerism • Eindgebruikers gebruiken allerlei cloudservices • IT manager is de controle kwijt • Moeilijk kluwen rond toelaten en niet toelaten • Bv. Sociale media

22. Dank u voor de aandacht! • Meer informatie : • Twitter: JanGuldentops • Website: http://www.ba.be • Linkedin: http://be.linkedin.com/in/janguldentops/ • E-mail: j@ba.be • Telefoon: +32 16 29 80 45