Certificering van cloud oplossingen: noodzaak en stand van zaken
Voor de ICT industrie bestaan al diverse soorten certificeringen. Er is echter nog geen enkele breed geaccepteerde certificering voor cloud oplossingen. Zijn er initiatieven gaande? Hoe zien die er dan uit, wie zijn erbij betrokken en hoe wordt een initiatief dan een "de facto" standaard?
Het is een utopie om te denken dat slechts één certificering het gehele spectrum van cloud computing kan bestrijken. De servicemodellen van Infrastructuur (IaaS), Platform (PaaS) en Software (SaaS) verschillen al dusdanig van elkaar dat een aparte benadering voor elk van deze modellen nodig zal zijn om op te kunnen certificeren. Vanuit ISO bestaat al de ISO 2700x normering, maar die is meer voor algemeen informatiemanagement en zeker niet gericht op cloud computing.
ISO, IEEE, ENISA, NIST, CSA, EuroCloud en cloud certificering
Een aantal organisaties is al begonnen om de eerste stappen op dit gebied te zetten. Maar met het brede werkgebied van cloud computing, de benodigde expertise op de diverse deelgebieden en de benodigde steun om een wereldwijde standaard neer te kunnen zetten, mag dit aangemerkt worden als een behoorlijke klus, maar zeker geen mission impossible.
De organisaties die hier al mee bezig zijn en het verst gevorderd, zijn ENISA (European Network and Information Security Agency), ISO (International Standards Organisation), NIST (National Institute of Standards and Technology), IEEE (Institute of Electrical and Electronics Engineers), CSA (Cloud Security Alliance) en EuroCloud.
De facto standaard
EuroCloud heeft zelfs al twee complete certificeringsprogramma's klaar. Eén voor datacenters (IaaS) en één voor cloud softwareoplossingen (SaaS) en lijkt daarmee het beste geëquipeerd om een de facto standaard neer te kunnen zetten. EuroCloud heeft dit programma opgezet met input van ENISA en ISO en rolt dit programma al op het Europees continent uit. Commerciële organisaties hebben ook certificeringsprogramma's voor cloud oplossingen, maar die zijn meer gericht op hun eigen producten en de toepassing daarvan in de cloud.
Andere initiatieven vinden mogelijk plaats via of bij Sarbanes Oxley (SOX), SAS 70, SSAE 16 en ISAE3402, maar deze zijn minder bekend en de verwachting is dat zij geen voortrekkersrol in dit certificeringsgeweld op zich zullen nemen.
Cloud computing invoeren in een bedrijf
Er is nog veel onzekerheid op het gebied van cloud computing die de ontwikkeling van deze zogenaamde paradigmaverschuiving remt. Die onzekerheid komt voort uit het feit dat veel mensen nog steeds niet de basisconcepten van cloud computing ten volste begrijpen en op welke manier ze dit in hun bedrijfsvoering kunnen toepassen. Hiervoor is inmiddels een boek op de markt met de titel "Een heldere kijk op cloud computing", geschreven door ondergetekende.
Vertrouwen in de veiligheid van cloud oplossingen
Om cloud oplossingen te vertrouwen en om veilig met cloud oplossingen te kunnen werken, zoekt de afnemer naar methoden om de cloud oplossingen te kunnen laten meten en te laten classificeren. Om dit proces onafhankelijk en erkend te kunnen laten plaatsvinden, zijn certificeringsprogramma's nodig.
Zonder dergelijke programma's is er geen meetinstrument om oplossingen met elkaar te kunnen vergelijken. En loopt de markt het risico dat het overspoeld wordt met oplossingen van gelukszoekers, die in het huidige cloud geweld de boot niet willen missen, voor hun eigen commerciële kansen gaan, maar de veiligheid en robuustheid van hun oplossing onvoldoende overdenken, wat op haar beurt de markt weer kan schaden.
De rol van de Europese Commissie in cloud certificering
De Europese Commissie heeft dit ook onderkend en laat momenteel onderzoeken welke mogelijkheden er zijn om tot cloud computing certificeringen te kunnen komen. Uitgangspunt hierbij is dat een dergelijk programma door het cloud werkveld geleid wordt en vrijwillig kan plaatsvinden bij organisaties die hier behoefte aan hebben.
Uiteindelijk is de verwachting dat organisaties zich vrijwillig zullen certificeren op hun IaaS, PaaS en/of SaaS oplossing omdat er zonder certificering weinig meetbare veiligheid voor cloud oplossingen aanwezig zal zijn, wat het vertrouwen weer geen goed doet. In de tweede helft van 2012 worden de resultaten verwacht waarmee we hopelijk niet alleen een robuuste cloud markt tegemoet kunnen zien, maar ook één die gecertificeerd kan worden.
Maurice van der Woude is General Director van Eurocloud Europa en vice-voorzitter van de Nederlandse tak. Van der Woude is tevens strategisch adviseur op het gebied van Cloud Computing.
Tags:
cloud computing, saas, maurice van der woude, paas, iaas, certificering, veiligheid
