Waarom de cloud? Alleen de security al!

De securityvoordelen van de cloud beginnen al met de fysieke beveiliging. Met een eigen datacenter moet je zorgen dat niet iedereen er zomaar binnenloopt. Behalve sloten op de deur heb je ook een toegangssysteem en camerabeveiliging nodig, plus mensen die daarmee de boel bewaken. Een cloudprovider heeft de fysieke security van zijn datacenters tot in de puntjes geregeld. Hij weet precies wie er wanneer binnenkomt en zonder goede reden krijg je geen toegang tot zijn panden. Extra geruststellend is dat cloudproviders door een externe partij op dit soort veiligheidsmaatregelen worden gecontroleerd.

Uitgangspunt daarbij is dat hoe hoger je ‘in de stack’ gaat, hoe meer een cloudprovider je de security uit handen neemt. Ga je bijvoorbeeld voor infrastructure-as-a-service (IaaS), dan moet je zelf de virtuele machines waarop je infrastructuur in de cloud draait beveiligen. Bij platform-as-a-service (PaaS) zorgt je cloudprovider voor de nodige security. Dan ligt nog wel de beveiliging op netwerkniveau bij jou. Last but not least is er nog serverless, een mooi principe dat nog een stapje verdergaat. Daarbij hoef je zelf alleen de beveiliging van je gebruikers en je applicaties te regelen.

Een cloudprovider moet aan allerlei (internationale) standaarden voor online security voldoen en daar zien verschillende instanties op toe. Dat geeft veel zekerheden. Je weet bijvoorbeeld dat ze de ‘private key’ voor toegang tot de cloud van jouw bedrijf nooit aan een ander zullen geven. En doordat een cloudaanbieder met geavanceerde encryptie werkt voor het versleutelen van data, heb je geen last van pottenkijkers op je verbindingen. Is een fysieke server in een datacenter niet meer nodig? Dan vernietigt een cloudprovider de harddisk om te voorkomen dat je data in verkeerde handen vallen. Dat kan wel gebeuren als je bedrijf een overbodige server doorverkoopt of aan een medewerker meegeeft. Een cloudprovider controleert bovendien of de instellingen van je cloudresources wel compliant zijn met geldende standaarden. Denk aan de PCI DSS (Payment Card Industry Data Security Standard) voor de afhandeling van betalingen van betaalkaarten en kredietkaarten. Dat is weer een kopzorg minder voor je organisatie.    

Een bekender voordeel van de cloud is natuurlijk het gemak waarmee je dingen uitrolt. Als je een eigen datacenter hebt en je wilt je infrastructuur uitbreiden, dan moet je eerst een server kopen, in een rack zetten en configureren. In de cloud staat alles voor je klaar en heb je binnen een seconde een server erbij. Als je ineens heel veel meer computerkracht nodig hebt, is dat zo voor elkaar. Je kunt het opschalen zelfs volledig automatisch laten gebeuren, net als het afschalen trouwens. Bovendien heb je met infrastructure-as-a-code je hele configuratie in bestanden opgeslagen. Daarmee heb je dus in no-time een test- of productieomgeving ingericht die aan alle eisen voldoet. Zo voer je innovaties of wijzigingen aan je IT-omgeving snel door. Code schrijven of aanpassen, testen, in productie nemen, het neemt veel minder tijd in beslag en kan grotendeels geautomatiseerd.

Bij de schaalbaarheid van de cloud komt ook een kostenvoordeel, want je betaalt voor wat je per tijdseenheid aan cloudservices gebruikt. Met andere woorden: in de cloud is het pay-as-you-go. Doordat je zelf niet hoeft te investeren in bijvoorbeeld servers, hoef je ook je bedrijfskapitaal niet aan te spreken. Het is dus OPEX (operational expenditure) versus CAPEX (capital expenditure). Toch hikken sommige bedrijven tegen de kosten van de cloud aan. Doordat ze niet naar de total-cost-of-ownership kijken bij het vergelijken van een on-premise omgeving en een cloudomgeving, lijkt het duurder om naar de cloud te gaan. Ze nemen bijvoorbeeld niet de kosten mee voor hun fysieke beveiliging of voor de beheerders die al het patchwerk doen. Die kosten kunnen behoorlijk in de papieren lopen. Het patchen van je on-premise omgeving neemt bijvoorbeeld al snel een paar dagen per maand in beslag. 

De conclusie van dit verhaal? Een stukje van de security van je IT-omgeving zal altijd bij je bedrijf zelf liggen, ook als die in de cloud staat. Maar een cloudprovider kan een heleboel zorgen over de beveiliging wegnemen. Zo heeft je IT-afdeling de tijd om bezig te zijn met meerwaarde bieden aan de business, in plaats van met securitydetails. En daar wordt je bedrijf alleen maar beter van.