Hoe veilig is de Microsoft Cloud?

19/03/2015, Frederik Lefèvre, Cloud Solutions Consultant

Hoe veilig is de Microsoft Cloud?

“Ik stap niet over naar de cloud omdat ik dan niet weet wat er met mijn data gebeurt.”

 “Mijn data staat niet veilig in de cloud.”

“De NSA heeft toegang tot mijn data, dus ik stap niet over naar de cloud.”

Zomaar een greep uit de opmerkingen die ik regelmatig hoor van klanten, wanneer ik samen met hen de mogelijkheden over de cloud bespreek. Vaak worden deze argumenten door organisaties gezien als breekpunten om naar de cloud te migreren. Uiteraard zijn dit belangrijke vragen om bij stil te staan, maar ik merk daarbij ook dat over dit onderwerp veel onduidelijkheden zijn.

In mijn rol praat ik voornamelijk met klanten over de Microsoft cloudoplossingen. Klanten geven deze argumenten vaak als reden om geen gebruik te maken van de Microsoft Azure datacenters. Met dit artikel geef ik u via antwoorden op een aantal vragen een andere invalshoek op deze discussie. Er zijn namelijk wel degelijk argumenten en middelen waarop u kunt vertrouwen om veilig de stap naar de cloud te maken.

Wat zijn de belangrijkste kenmerken van de Azure datacenters?

Azure is de naam voor de wereldwijd verspreide datacenters van Microsoft. Eén daarvan staat in Amsterdam. Momenteel wordt daar ook een tweede datacenter gebouwd. Vanuit deze datacenters biedt Microsoft haar Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS) diensten aan. Maar ook bijvoorbeeld Xbox-services en maildiensten als Hotmail maken gebruik van deze datacenters.

Wanneer we het over veiligheid en privacy in de cloud hebben, valt op dat veel klanten de neiging hebben om de beveiliging hiervan te vergelijken met de beveiliging van de eigen datacenters. Deze vergelijking is niet helemaal correct omdat de schaal van de Azure datacenters zelden overeenkomt met de eigen datacenters. De schaal van de Azure datacenters is dusdanig groot, dat deze een heel andere architectuur en opbouw heeft dan de datacenters waar u mee bekend bent. Dit vraagt een andere manier van beveiliging. De schaal van deze datacenters heeft ook securityvoordelen. Wanneer er bijvoorbeeld op één server een veiligheidsrisico wordt ontdekt, worden direct alle andere servers die risico lopen hiervoor beschermd.

Waar wordt uw data opgeslagen?

U bepaalt zelf waar u de data opslaat. Dit kan in Amsterdam zijn met, indien gewenst, een kopie in Dublin of een ander datacenter. Maar u kunt uw data ook in eigen huis houden en alleen voor uw applicaties de voordelen van de cloud gebruiken. Microsoft verplaatst de data niet en deelt deze ook niet met derden. Maar als klant bent u wel verantwoordelijk dat de data wordt opgeslagen op de juiste plaats. U dient uw medewerkers te leren waar ze een en ander wel en niet mogen en kunnen opslaan. Hiervoor dienen duidelijke richtlijnen te worden opgesteld.

Dat Microsoft de data die zij beheert niet zomaar vrijgeeft, blijkt onder andere uit de rechtszaak die loopt tussen Microsoft en de Ierse overheid tegen de Amerikaanse justitie. Deze heeft data heeft opgevraagd die opgeslagen staat in Dublin, Ierland. U ziet dat deze informatie dus niet zomaar gedeeld wordt, zoals vaak wel wordt aangenomen.

Hoe wordt de beveiliging van Microsoft datacenters gegarandeerd?

Ik hoor vaak van klanten dat ze het vreemd vinden dat Microsoft niet publiceert welke firewalls en andere oplossingen ze gebruiken voor de beveiliging van de datacenters. De reden hiervoor is een logische. Als men precies weet welke middelen er gebruikt worden is het voor een kwaadwillige een stuk gemakkelijker om zich voor te bereiden op een hack. Microsoft datacenters worden door onafhankelijke derde partijen geaudit. Zij gaan goed na of Microsoft voldoet aan internationale standaarden & richtlijnen. Deze rapporten zijn zelfs na te lezen op het Microsoft trust center. In bepaalde situaties dient hier wel een NDA (non-disclosure agreement) te worden aangegaan, omdat het om gevoelige informatie gaat.

Recent is Azure als eerste datacenter ISO 27001/27002 gecertificeerd. Azure beschikt ook over certificeringen voor o.a. HIPAA, SOC 1/SSAE 16/ISAE 3402 en SOC 2. Hierbij wordt tot in de details gekeken of Microsoft zich houdt aan de internationale richtlijnen en standaarden die bij deze certificeringen horen. Er zijn dus veel organisaties die de Azure datacenters toetsen en nauwkeurig controleren, om te zorgen dat ook uw data veilig staat.

U wilt profiteren van de voordelen van de cloud, maar houdt liever uw data in eigen huis?

Mocht er desondanks geen vertrouwen zijn dat uw data veilig staat, of is het om andere redenen niet mogelijk data in de cloud te zetten? Dan bestaat de mogelijkheid om te kiezen voor de cloud in een hybride scenario. U houdt uw data zelf in huis en maakt gebruik van de cloudvoordelen door bijvoorbeeld alleen uw applicaties naar de cloud te migreren. Dit scenario zien we steeds vaker als gewenst model, ook omdat klanten vaak nog geen beleid hebben met betrekking tot hun data en de cloud. Toch willen zij vaak wel al graag de eerste stappen richting de cloud maken en van de voordelen profiteren.

Veiligheid en privacy zijn belangrijke pijlers voor het bestaansrecht van de Azure datacenters. Microsoft is er alles aan gelegen om deze pijlers te waarborgen. Vertrouwen moet verdiend worden, is de regel immers. Er wordt vertrouwen gevraagd wanneer u naar de cloud zou gaan, maar daar tegenover krijgt u de middelen om zaken te controleren. Denk hierbij aan operations logs, encryptie en auditlogs wanneer Microsoft-personeel bij de data of applicatie is geweest.

Daarnaast is het dus ook mogelijk data in eigen beheer te houden en toch gebruik te maken van cloud oplossingen in Azure. Ik hoop dat u met deze informatie een nieuwe kijk op de discussie over veiligheid in de cloud heeft gekregen. Uiteindelijk zijn er naast Microsoft immers weinig andere organisaties die dezelfde resources en middelen beschikbaar hebben om hun omgeving te beveiligen.

Wilt u meer informatie?

Neem dan contact op met Frederik Lefèvre of uw vaste contactpersoon binnen onze organisatie.

Neem contact op

Frederik Lefèvre

Frederik Lefèvre

Cloud Solutions Consultant

Deel deze pagina