Publieke cloud; de koudwatervrees voorbij
Het ministerie van Justitie en Veiligheid heeft ervoor gekozen een deel van haar ICT-infrastructuur onder te brengen in de publieke cloud van Microsoft. Dat deed ze uiteraard niet zomaar. Strategisch adviseur informatiebeveiliging Arjan Deij en senior analist Chris Eyzenga leggen uit wat Trusted Cloud betekent en waarom bestuurders moeten gaan wennen aan de markt als hostingpartner van de overheid.
Door Karina Meerman
Beeld iBestuur, Nina Schollaardt
Wie op internet inlogt op het zakelijk netwerk om de agenda in te zien, doet dat in de cloud. Software die via het netwerk gebruikt kan worden om bestanden te maken en te bewerken: in de cloud. Met elkaar Teamsen, Zoomen of Webexen: allemaal diensten die draaien in de cloud. Via een internetverbinding maken we contact met servers en databases die ergens ter wereld in een of meerdere datacenters staan. Wie de cloud wil visualiseren tekent geen wolk, maar een verzameling genetwerkte dozen waarin software draait op eigen hardware (private cloud) of die van een ander (public cloud).
Waarom dit zo uitleggen? Omdat ‘wat is de cloud’ de vraag is die bestuurders het meest stellen aan Chris Eyzenga, senior analist bij het Security Operations Center (SOC) van het ministerie van Justitie en Veiligheid. En dat is zelfs in 2022 niet raar, vindt Eyzenga. “De cloud kent een hoge mate van abstractie, terwijl mensen vaak nog in traditionele beelden denken bij computers en computing. Dat maakt het lastig concreet uit te leggen en dat veroorzaakt onzekerheid.”
Arjan Deij is strategisch adviseur informatiebeveiliging bij JenV. Hij ziet dat bestuurders soms tussen twee vuren zitten. “Aan de ene kant staan de deskundigen die zeggen dat de publieke cloud veilig kan zijn. Aan de andere kant staat de top van de organisatie met schroom en koudwatervrees.” Dat laatste komt ook door het restrictieve beleid dat de overheid lang hanteerde wat betreft de cloud. Maar tijden veranderen.
Chris Eyzenga, senior analist SOC-JenV
Afwegingskader
JenV startte in 2021 met een trusted cloud in de publieke cloud van Microsoft Azure. Dit is een verlengstuk van de eigen ICT-infrastructuur; servers en netwerken waarvan JenV-organisaties gebruik kunnen maken voor bepaalde diensten.
Voordat een online omgeving het predicaat trusted cloud kan krijgen, moet ze aan een reeks voorwaarden en voorschriften voldoen. Die staan allemaal beschreven in het Cloud afwegingskader van de afdeling Informatievoorziening en Inkoop van JenV. Ze zijn van toepassing op afname en gebruik van IaaS (infrastructure as a service), SaaS (software as a service) en PaaS (platform as a service). Alles is gericht op het waarborgen van de onafhankelijkheid, zelfbeschikking en beveiliging van JenV wat betreft de inzet van clouddiensten.
Bijvoorbeeld: om aan Europese wet- en regelgeving te kunnen voldoen, blijven de data binnen de Europese landsgrenzen. Data moeten geclassificeerd en gerubriceerd zijn en voorzien van het juiste beveiligingsniveau. In geval van de trusted cloud is dat departementaal vertrouwelijk. Deij: “Ik durf te stellen dat de cloud die wij hebben uitgekozen misschien wel veiliger is dan de eigen omgeving. Maar ik begrijp ook dat deze stelling bestuurlijk nog even moet doorsijpelen”.
De cloud kent een hoge mate van abstractie, dat maakt het lastig concreet uit te leggen
Arjan Deij, strategisch adviseur informatiebeveiliging bij JenV
Naar een regierol
Niet dat JenV achterover kan leunen. Eyzenga zegt: “Een veilig product moet je ook veilig houden. Dat betekent dat we niet alleen de buitenste randen van onze cloudomgeving beveiligen tegen ongeautoriseerde toegang en gebruik, maar ook de inrichting en het beheer.” De uitvoering daarvan ligt bij de cloudleverancier, volgens de wensen en eisen van het ministerie. Deij legt uit: “Als ministerie gaan we daardoor van een uitvoerende rol naar een regierol. De organisatie maakt afspraken met de cloudleverancier hoe de dienstverlening eruit moet zien. Dashboards en monitoring maken naleven van de afspraken meetbaar.”
Dat is een uitkomst voor de complexe organisatie van JenV, waar de onderliggende organisaties verschillende gradaties van autonomie hebben. Zij kunnen dus zelf afspraken maken met, in dit geval met Microsoft, over de uitvoering van de dienstverlening binnen de kaders van JenV trusted cloud.
Oude dametjes
Uitbesteden van beheer betekent een verandering van rol voor de traditionele technische en functionele beheerders. Het is niet langer hun taak om software en hardware actueel te houden, de virusscanners, de patches, de beveiliging in het algemeen. “Zij kunnen zich bijvoorbeeld meer gaan richten op de ontwikkeling en uitrol van applicaties”, zegt Eyzenga. Deij vult hem aan: “Juist de uitbesteding van die beheerstaken maakt de public cloud een veilige plek. Het tempo van de ontwikkelingen is voor ons als overheid niet meer bij te benen.” Eyzenga vervolgt: “Niet elke beheerder kent elk plekje in de hele infrastructuur en in plaatsen waar je nooit komt gaan muizen zitten. De cloudleverancier kent alle hoeken en gaten.” Hij gaat geruststellend verder dat de traditionele rol blijft voor de legacydiensten die in de eigen datacenters van JenV draaien. “Dat zijn oude dametjes die nog jarenlang meegaan.”