30 januari 2011

Checklist Cloud Security

SURFnet heeft in samenwerking met Gartner en SURFibo de ‘Checklist Cloud Security’ opgesteld. Het document fungeert voor de aangesloten instellingen van SURFnet als een leidraad bij het veilig overstappen naar cloud-diensten en het uitbesteden van ICT-diensten aan cloud providers. In de ‘Checklist Cloud Security’ is vastgelegd welke vragen en processen de opdrachtgever zelf dient in te vullen en welke aspecten bij de cloud-leverancier aandacht behoeven.

Het document is primair geschreven voor ICT-verantwoordelijken van onderwijs- en onderzoeksinstellingen die gebruik maken van cloud computing of overwegen gebruik te gaan maken van cloud computing.

Hoger onderwijs en onderzoeksinstellingen

Steeds meer onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing: Google Apps en Microsoft Live@edu zijn voorbeelden van diensten waarbij de resources worden gedeeld door een grote groep eindgebruikers. Er zijn aantrekkelijke voordelen voor het hoger onderwijs en onderzoeksinstellingen bij het uitbesteden van ICT-diensten aan cloud providers. Deze liggen op het vlak van flexibiliteit, beheer, up-front investeringen en abonnementstarieven. Mogelijk negatieve aspecten aan overstappen naar de cloud liggen besloten in het feit dat resources in de cloud niet langer onder volledige controle van de instelling zijn, de impact van een security-incident groot is en providers de instellingen uniforme afspraken voorleggen.“Vanuit beveiligingsoptiek is het niet bezwaarlijk om diensten in de cloud af te nemen, mits aan bepaalde (beveiligings)richtlijnen is voldaan. Deze staan in de checklist beschreven. We zien dat veel instellingen nog niet voldoen aan deze checklist. Een alternatief is dan om wel al over te stappen op cloud-technologie, maar vooralsnog in de afgeschermde omgeving van een zogenaamde private cloud. In 2011 onderzoeken wij de mogelijkheden om binnen het hoger onderwijs en onderzoek bestaande private clouds gezamenlijk in te zetten”, aldus Rogier Spoor, Manager Middleware Services van SURFnet.

IaaS, PaaS en SaaS

In het document is gekeken naar de drie leveringsmodellen die cloud kent: IaaS (Infrastructure as a Service), PaaS (Platform as a Service) en SaaS (Software as a Service). Bovendien is gekeken naar vier typen afnamemodellen, die voor onderwijs-en onderzoeksinstellingen in aanmerking komen, en is rekening gehouden met uitbreidbaarheid, toegankelijkheid en complexiteit.

Overige cloud-publicaties

Privacy-aspecten van cloud computing zijn dermate specifiek dat SURFnet hiervoor een aparte publicatie schrijft met de titel “De wolk in het onderwijs”, deze komt in februari beschikbaar. De bredere context van cloud computing in het onderwijs, te weten achtergronden, mogelijkheden, valkuilen en ontwikkelingen zijn beschikbaar in de publicatie “Cloud computing in het onderwijs”, die SURFnet samen met Kennisnet heeft uitgebracht in 2010.

De Checklist Cloud Security komt mede tot stand met steun van SURF, de organisatie die ICT-vernieuwingen inhet hoger onderwijs en onderzoek initieert, regisseert en stimuleert door onder meer het financieren van projecten. Meer informatie over SURF is te vinden op de website www.surf.nl.