Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 99, views: 22.730 •

Externe clouddiensten, zoals die van Amazon, Salesforce en Google, zijn volgens de regering niet geschikt voor gebruik door de Rijksoverheid. Er zijn privacyrisico's en veel aanbieders zijn nog niet 'volwassen' genoeg voor de overheid.

Minister DonnerDat schrijft minister Piet Hein Donner van Binnenlandse Zaken aan de Tweede Kamer. De minister komt tot de conclusie dat de nadelen van cloudcomputing 'op dit moment globaal zwaarder wegen dan de voordelen'. Zo is de markt volgens Donner 'onvolwassen'. Slechts een klein aantal aanbieders van clouddiensten zou 'volwassen genoeg' zijn om voor overheidsdoeleinden te kunnen worden ingezet.

Ook zijn er volgens de overheid beveiligings- en privacyrisico's verbonden aan het gebruik van externe clouddiensten, blijkt uit de brief van Donner, evenals aan opslag in het buitenland. Vrijwel alle grote leveranciers van clouddiensten gebruiken servers buiten Nederland.

Wel vindt de overheid dat cloudcomputing bepaalde voordelen heeft. De ontwikkeling van een 'rijkscloud' wordt dan ook voortgezet. In januari werd de introductie van een cloudinfrastructuur voor de rijksoverheid al aangekondigd en de overheid heeft besloten dat deze intern wordt gehost. Er zal worden geëxperimenteerd met het opzetten van interne clouddiensten en overheden zullen zoveel mogelijk dezelfde software gebruiken, om kosten te besparen.

Reacties (99)

Reactiefilter:-199094+166+211+30
Veel aanbieders zijn nog niet "volwassen genoeg" ?????? Nee, de overheid gaat lekker volwassen om met ICT projecten.

Verder is de overheid groot genoeg om het gewoon zelf te doen. Dan heb je ook meteen zelf controle over wat er met welke gegevens en door wie gebeurd. Aan de andere kant gaan ze gewoon weer het wiel opnieuw proberen uit te vinden, iets waar ze niet echt goed in zijn.

[Reactie gewijzigd door Distael op 22 april 2011 16:22]

Nou, kijk even naar de clouddienst van Amazon. Die ligt er toch al een tijdje (deels) uit. Niet handig voor een overheid die 24/7 bij gegevens moet kunnen lijkt me zo. Dat lijkt mij toch een teken van "niet volwassen genoeg".
Van MS stonden ook vele adresboeken van hun hosted omgeving wagenwijd open. Het is waarschijnlijk beter zo'n dienst van een kleinere partij af te nemen dan van de marktleiders. Als daar iets mis gaat gaat het ook goed mis.
Dat is ook wel weer waar, maar in het geval van de overheid geef ik ze wel gelijk dat ze het zelf doen. Ergens geeft me dat een beter gevoel, hoewel het waarschijnlijk kosten technisch weer gigantisch uit de klauwen gaat lopen (zoals altijd bij de overheid }> )
Het belangrijkste punt is opslag in het buitenland en denk dat juist met gevoelige data deze onder controle van diezelfde overheid in nederland opgeslagen moet liggen.

Daarnaast bestaat er ook een private cloud, gewoon een boel server in paar verschillende datacentra die onderling via glasvezel met elkaar verbonden zijn. Er zijn er genoeg grotere bedrijven die zo een private cloud hebben als dan niet zelf in beheer bij een datacenter.

De overheid kan er ook voor kiezen om bijv 2 of 3 datacentra zelf neer te zetten onderling verbonden waar alle overheidsdata opgeslagen ligt.

Bij de belastingdienst werkt het ook redelijk goed. Je btw aangifte moet je iedere maand of 3 maanden ook doen en dat zijn ook een miljoen aangiftes per maand.
Could is ook niet per definitie in het buitenland, je kan gerust onderhandelen zodat je data allemaal in nederland wordt opgeslagen. Dit is wel een beperking voor diegene die de cloud diensten aanbiedt, maar als je daar wat geld tegen aan gooit, moet dat zeker wel lukken.
Want de overheid heeft een indrukwekkende portfolio als het aankomt op gegevensbescherming?

De Eerste Kamer 2 heeft het zelf aangegeven bij het Elektronische Patientendossier dat ze de beveiliging niet afdoende acht in verband met de belangen die beschermd dienen te worden.

Wel respecteer ik het dat ze inzien dat het tevens geen verstandig idee is om gebruik te maken van bedrijven als Google, welke hun inkomsten indirect binnenhalen met gegevens van haar gebruikers.
De amerikaanse overheid neemt geen diensten van Google af omdat deze geen enkele garantie kan geven over waar de data wordt opgeslagen. Ze weten het simpelweg niet. De enige garantie die ze wel konden geven was dat het in ieder geval niet in Iran, Afghanistan etc zou staan. Hoezo snapt -Tom het niet? Hij slaat de spijker op zijn kop.

Overigens zijn opmerkingen als 'jij snapt er niks van' zonder argumentatie geen pepernoot waard.
Het spijt me, maar RieIN heeft gewoon gelijk. En ook jijzelf snapt er weinig van en kraamt onzin uit. Je geeft weleenswaar argumentatie, maar onderbouwd deze niet.

De Amerikaanse overheid neemt gewoon cloud diensten af van Google :

http://news.cnet.com/8301-1023_3-20024398-93.html
Je had dan kunnen weten dat Google niet in alles kan faciliteren. Ja, speciale bedrijfsdeels zijn mogelijk, maar Google kan geen garanties leveren over waar data is opgeslagen. Dit is 1 van de redenen dat een universiteit geen Google service heeft afgenomen. Dat ging simpelweg mis omdat Google niet kon faciliteren binnen de Nederlandse wet voor persoongegevens.
Dan snap jij niks van Google Apps en hun speciale diensten voor dit soort partijen.
Google Apps for Govt is leuk voor de USA, maar niet voor hier. Google heeft heel duidelijk te kennen gegeven dat we niet moeten zeuren, en onze data opgeslagen wordt waar google dat wil. En dus niet is af te stemmen dat dat binnen Nederland blijft.
De marktleiders zijn dat niet voor niets. Dan kiest de overheid voor zo'n klein kutbedrijfje wat dus helemaal niks kan.
nee, ze gaan het zelf doen, waardoor ze zelf lekker veel geld kunnen weggooien om zelf kennis op te bouwen. Vervolgens mag je dat bedrag x2 doen, (oeps budget overschreden ;) ) en zal je binnen 5 jaar horen dat het toch niet zo'n goed idee was

overheden en ICT :O
Dat komt omdat de overheid vind dat er een bepaald maximum salaris is gekoppelt aan ambtenaren. Iemand die ervaring heeft met dergelijke grote projecten en ze succesvol kan laten verlopen kan veel meer verdienen dan de Balkenende norm. Waarom zou zo iemand zich laten afschepen met een paar ton. Een ministerspost kan wellicht nog eens goed uitpakken als je daarna een hoge leidinggevende positie kan krijgen bij een grote multinational, maar "projectleider ICT bij de overheid" heeft echt geen meerwaarde boven bijvoorbeeld "projectleider bij Microsoft".
Het probleem is niet dat de overheid niet de juiste mensen kan (of wil) aannemen, maar dat ze desondanks toch kiezen voor complexe projecten, die alleen kunnen slagen als ze die mensen wel hadden aangenomen. De overheid wordt nooit gedwongen om dingen ingewikkelder te maken dan ze aan kunnen, daar kiezen ze altijd zelf voor.
Inderdaad , men mag gooien met SLA's zo veel men wil , ALS het down gaat , dan sta je als klant machteloos. Een oplossing lokaal bied op dergelijk moment meer controle.

Cloud en Cloud is natuurlijk niet hetzelfde , maar bijvoorbeeld voor cruciale diensten als firewalls en dns vind ik Cloud toch nog steeds te gevaarlijk.

Naar management toe is Cloud snel verkocht , die geilen op SLA's en kostenplaatjes. Technische mensen staan er dikwijls sceptisch tegenover en hebben vaak geen inspraak.

Ik kan deze beslissing enkel toejuichen. Het is niet omdat mensen vinden dat het momenteel niet optimaal loopt dat men een nog groter risico zou moeten gaan lopen met een Cloud dienst.
Ligt er geheel aan wat je gebruikt en waarvoor. E-mail bv. kan je internet verbinding er ook uitleggen, dan maakt het niet uit of je in de cloud, hosted of locaal e-mail heb. Je kan niet versturen of ontvangen. Daarbij durf ik mijn hand in het vuur te steken dat de e-mail van de overheid er vaker uit ligt dan Google Apps for Business of Government.

SLAs zijn er voor de business, net zoals de hele IT infrastructuur er voor de business is. Een SLA is er niet voor om te zorgen dat je het krijgt, maar dat je er recht op heb en als de SLAs niet worden gehaald daar consequenties tegenover staan bij de leverancier.

Waar ik gewoon bang voor ben is dat onze Piet niet zo goed is ingelicht en men weer eens de fout maakt dat er naar techniek wordt gekeken ipv. oplossingen. De overheid wil bepaalde diensten gebruiken waar weer eisen aan zitten, als een cloud oplossing aan die eisen voldoet en goedkoper is in implementatie en onderhoud, waarom zou men daar dan niet voor kiezen? Google heeft Apps for Government, specifiek om te kunnen voldoen aan de eisen van de locale regeringen en Google heeft een groot datacenter staan in Groningen. Dus ik snap hier geheel het probleem niet.
Zaken als opslag in het buitenland zijn voor een overheid gewoon niet acceptabel. Ook zijn de voorwaarden van de meeste cloud aanbieders gewoon niet acceptabel. Dan kun je twee dingen doen, een cloud aanbieder een specifiek product voor jou laten neerzetten of het zelf doen.

Aangezien "cloud" veel hype en voor de rest gewoon redundante virtualisatie is, zijn er genoeg oplossingen voor een prive cloud die redelijk simpel zijn te gebruiken.

Alles uitbesteden lijkt op dit moment niet echt de beste strategie. Wat mij betreft maakt donner hier de juiste keuze, al kan dit besluit over 2 jaar al achterhaalt zijn.
Mijn probleem is dat er wordt gesproken over de 'meeste' dit of dat, dat betekent dat er wel degelijk aanbieders zijn die zich kunnen houden aan de regels die nodig zijn voor de overheid. En volgens mij zijn er wel degelijk leveranciers die daar aan voldoen. En dan vraag ik me af waarom de 'cloud' geen optie is voor de overheid.
Het aantal leveranciers en cloud diensten is vrij groot, maar slechts een klein deel
daarvan is bedrijfsmatig volwassen genoeg om daadwerkelijk ingezet te kunnen worden voor de Nederlandse overheid.
Als ik de betreffende brief en de daar aan gerelateerde documenten doorlees dan zie ik geen specifieke voorbeelden van leveranciers die wel/niet voldoen aan de gestelde eisen. Ik vind de stelling dan ook buitengewoon ondoorzichtig en het riekt naar een niet publieke agenda die wordt nagestreefd.

Een privé cloud zou ik eerlijk gezegd ook de beste oplossing vinden voor een staat, maar de staat heeft daar nul ervaring mee en als vorige IT projecten enige indicatie zijn dan zal dit ook duurder worden dan gepland of nodig is, langer duren dan gepland of nodig is en nog steeds een 50/50 kans hebben om zwaar te falen.
Een overheid zal ook rekening houden met lock-in. Als slechts één leverancier de diensten kan leveren zoals gewenst, betekent dat dat de overheid binnen x jaar waarschijnlijk geen andere keuze zou hebben dan (duur) het contract te verlengen of alsnog zelf aan de slag gaan.
Lees zjin een-na-laaste zin aub.
Om aan alle eisen te voldoen moet je in principe een binnenlands datacenter hebben met gereserveerde servers voor de overheid waar nooit een ander systeem op kan draaien. Dan mag je het zowel zelf doen.

Een cloud is gewoon een datacenter (of een set servers) met virtuele servers erop die (als alles goed is) automatisch wordt doorgestuurd naar een ander systeem als er een probleem optreedt of meer resources nodig heeft. Het is dus in andere woorden: Shared Virtual Server Hosting met een betaalde meter erop waar je betaalt per computer-eenheid (bandbreedte, CPU, ram) - die oplossingen bestaan reeds sinds de 90'er jaren en vroeger noemde men die: een mainframe. Het grote verschil is dat de mainframe tegenwoordig bestaat uit honderden kleinere servers waar vroeger honderden CPU's in dezelfde kast zaten.

[Reactie gewijzigd door Guru Evi op 22 april 2011 22:38]

Één van de voordelen van een cloud is dat je het niet zelf hoeft te doen, dat kan flink wat kosten besparen. Daar komt nog eens bij dat de staat al flinke problemen heeft normale servers te beheren, laat staan een private cloud, een systeem waar ze al helemaal geen ervaring mee hebben.

Een leverancier die voldoet aan de gestelde eisen, ook al is het er ééntje van een handjevol leveranciers die aan die eisen voldoet, heeft wel de benodigde kennis en infrastructuur in huis. Als bv. Google een half miljoen tot een miljoen Nederlandse ambtenaren te verwerken krijgt dan zou het kinderspel zijn om deze te voorzien van een eigen server cluster, er worden dan gewoon tig servers uit de supply kast gertrokken, waarvan ze er al tig van hebben staan en daar wordt de betreffende software op geïnstalleerd. Alleen in plaats van dat ze deel worden van de cluster voor Apps for Business of Education, wordt er nu een aparte Apps for Government (Netherlands) cluster gemaakt. Het is namelijk niet alleen in Nederland zo dat de data op Nederlands grondgebied moet blijven, daar hebben veel meer landen last van, dus heeft Google hier enige tijd geleden al een oplossing voor gemaakt. Er zullen ongetwijfeld meer leveranciers zijn die het kunnen, maar ik verwacht dat Google de grootste is.

Verder is de naam van die honderden kleine servers een server cluster.

Wat een voordeel van de uitbesteding is dat je een vast bedrag per jaar kwijt bent en niet enorm hoge opstart kosten met de kans dat implementatie nog mislukt. Vaste kosten zijn wenselijker dan onvoorspelbare kosten en onvoorspelbare uitkomsten.
Die kostenbesparing komt uit schaalgrootte, net zoals vroeger. Dus voor een klein bedrijf een een grote cloud provider interessant. Voor een groot bedrijf zal het snel interessant zijn om het zelf te doen, de schaalgrootte heb je toch al, en je steekt de winst van de cloud provider in eigen zak.
Die kosten besparing zit hem niet alleen in de schaalgrootte, maar ook in de ontwikkel kosten en personeel, geen kennis en ervaring bij de staat aanwezig (voor cloud computing). En of de staat het inderdaad goedkoper kan dan een leverancier die er al veel langer ervaring mee heeft is ook nog eens de vraag.
De vraag is niet of er geen storingen optreden maar waar treden er meer op. Als Amazone al probelmen met hosting heeft hoe veel beter zouden ambtenaren het dan doen?

Het is een beetje als vliegen vs rijden. Vliegtuigen zijn veeel veiliger maar als het mis gaat heeft het meer impact. Dat maakt vliegen niet minder veilig en cloud niet minder stabiel
(edit, spelfouten)

[Reactie gewijzigd door QQ2 op 22 april 2011 21:30]

Dat is het nou juist, het nog kleine overheids ICT kind heeft een echt flinke volwassen provider nodig voor de compensatie ;)
Lijkt me ook niet dat een overheid zou willen doen, die willen juist toch alles in hun eigen handjes houden (kijk naar de VS)
Huh? Verschillende overheden in de VS hebben net cloud deals met Google en Microsoft gesloten. (De twee bedrijven slepen elkaar daarover ook voor de rechter) Deden ze maar als de VS. Ik weet zeker dat MS, Google en Amazone zo er voor zorgen dat er een nederlandse overheids cloud komt die alleen in Nederland is gehost.
MS heeft al maatregelen om precies dat te regelen.

Google heeft aangegeven dat ze dat zeker niet gaan leveren, ze weigeren de data binnen Nederland te houden, of zelfs binnen Europa.

[Reactie gewijzigd door arjankoole op 23 april 2011 15:04]

de overheid die zich druk maakt om privacyrisico's 8)7 als er iemand is die ik op dat gebied niet serieus kan nemen dan is het Donner wel, op misschien Hirsch Ballin na. Laat staan over zijn oordeel wat betreft ICT |:(
Denk je dat Donner dit antwoord zelf heeft zitten bekokstoven op zijn kamertje? Ga er maar gerust van uit dat hier meerdere mensen bij betrokken zijn, die doorgaans wel verstand van zaken hebben.

Persoonlijk zou ik het ook niet voorstellen voor de overheid, maar wat ik wel een beetje rare opmerking vindt is: "Slechts een klein aantal aanbieders van clouddiensten zou 'volwassen genoeg' zijn om voor overheidsdoeleinden te kunnen worden ingezet."
Je hebt ze toch niet allemaal nodig? 1 goede partij is toch voldoende? Of zie ik dat verkeerd.
Helaas hebben we te maken met een europese aanbesteding.
Je hebt dus 3 goede partijen nodig ;)
Vervolgens kan je elke 5jaar het aanbestedings traject opnieuw gaan beginnen en met een beetje geluk zit je elke 5 jaar aan een andere leverancier vast :/

Nee liever zelf doen, op de lange termijn is dat goedkoper.
Goede zaak. Het lijkt me onverstandig om zulke gegevens bij derde onder te brengen.
Daar ben ik het mee eens. Er word als voorbeeld Google genomen in het bericht, dus doe ik het hier ook maar even.. Stel je voor dat Google de servers van de Nederlandse overheid in zijn datacenters krijgt. Is het dan niet zo dat Google nog meer macht krijgt? Zij kunnen toegang krijgen tot de data zonder enige moeite, en zij kunnen uiteindelijk ook gaan dreigen met het opdoeken van de service aan de overheid als de overheid iets doet wat Google niet leuk vind.. Het lijkt mij verstandig dat de overheid zichzelf voorziet, dan ben je nooit afhankelijk van iemand en er kan vrijwel geen een bedrijf zorgen voor problemen.

Ik heb ook niet erg veel verstand van datacenters en grote websites, maar dit is in ieder geval wat ik denk. Mocht ik het echt helemaal verkeerd hebben dan hoor ik het graag van iemand die er meer verstand van heeft :P
Als Google dreigt dan stap je gewoon over naar een andere aanbieder :) voor zover Google dat ooit doet.
Maar ik ben het er ook helemaal mee eens dat de Overheid dit gewoon zelf moet doen.
Want stel er is een of andere ramp en de netwerkverbindingen liggen eruit, dan kan de hele overheid opeens niks meer. En wat als een hoster kan ook onder druk worden gezet door de b.v de Amerikaanse of Chinese overheid. Die kunnen dan even snuffelen in de Nederlandse documentatie. Zou heft de CIA met afluisteren van Airbus Boeing ooit geholpen in biedingsstrijd. Eigen belang voor...

[Reactie gewijzigd door Mr_gadget op 22 april 2011 17:04]

Want stel er is een of andere ramp en de netwerkverbindingen liggen eruit, dan kan de hele overheid opeens niks meer. En wat als een hoster kan ook onder druk worden gezet door de b.v de Amerikaanse of Chinese overheid. Die kunnen dan even snuffelen in de Nederlandse documentatie. Zou heft de CIA met afluisteren van Airbus Boeing ooit geholpen in biedingsstrijd. Eigen belang voor...
De rampen beginnen zodra de overheid zelf iets met IT gaat doen. ;)
De overheid buigt zelf trouwens al zo makkerlijk onder de druk van de Amerika (bijv. de inzage in al het Europese betalingsverkeer dat ze krijgen) dat een derde partij misschien wel veiliger is.
dat een derde partij misschien wel veiliger is.
Als die derde partij zelf een Amerikaans bedrijf is? Vergeet 't maar. Dan zijn ze zelfs wettelijk verplicht mee te werken. Hier heb je - in theorie - nog de EC en het EP er tussen zitten, die toch nog geregeld (Het EP iig) dwars liggen.
[qoute]Als Google dreigt dan stap je gewoon over naar een andere aanbieder [/quote]
Dat klinkt natuurlijk leuk, maar als jij een organisatie zo groot als de overheid heb, dan ben je niet zo maar even "over" naar een ander ;)
Sterker nog, je MAG het niet eens zomaar even van provider wisselen ivm de aanbestedingswetgeving. En zelfs de versnellingen zijn niet instantaan. Verder als je x-TB of misschien zelfs richting een PB aan data hebt, en die wil je effe verplaatsen, dan ben je wel even bezig. :)
Ten eerste zullen de datacenter(s) op Nederlands grondgebied moeten staan (die in Groningen bv.). Vervolgens is dergelijke afzetterij enorm strafbaar, helemaal als dit de staatsveiligheid in gevaar brengt. Nederland zou in het ergste geval het datacenter altijd nog kunnen nationaliseren. Ten tweede, toegang zonder moeite, blijft nog steeds strafbaar en dat risico zou een bedrijf zoals Google niet nemen, de boetes die het zou kunnen krijgen zouden enorm zijn en ik betwijfel dat er nog maar iemand zakelijk gebruik zou maken van een Google dienst.
Alsof de Nederlandse staat nu zo veilig omspringt met de data, het is namelijk niet de eerste keer dat er in Nederland iets op straat ligt wat er niet zou mogen liggen. De core business van de staat is bureaucratie en niet IT, van een 3e partij is IT wel de core business.
Wij (bij Defensie) mogen alleen openbare tot confi bestanden op het intranet zetten, daarboven gerubriceerd is streng verboden.
En dan zou je een clouddienst willen gebruiken? Ik denk niet dat Defensie daar in mee gaat werken.

Goede beslissing van Donner, maar ga alsjeblieft niet denken aan het zelf groots opzetten! Gebruik het desnoods alleen voor mail en openbare documenten zoals wetten, besluiten, jurisprudentie en zo. En mail eigenlijk ook liever niet...
Och gus ome Piet heeft een menig over ICT.... Maar anderzijds...de overheid hoort zijn eigen data goed en veilig te beheren en niet op een wolk in [met name] Amerika te stationeren. Amerikanen staan er nu niet echt erg bekend om dat zij een boodschap hebben aan de vertrouwelijkheid van die data. Het is overigens inderdaad wel voor het eerst dat iemand als Donner ZEGT zich druk te maken over privacy, uniek moment, onthouden dit ;)
Meneer Donner heeft er volgens mij niet zo veel van begrepen.
Ik weet niet wat voor beveiligings issues hij het over heeft, maar als je de cloud van google of amazon gebruikt, kun je nog steeds je eigen beveiligingslaag er tussen bouwen...
Dit is gewoon weer een of ander politiek excuus om bakken met geld door de plee te spoelen aan een of ander bedrijfje die dat 'wel even doet' en we jaren later met een gefaald systeem komen te zitten.
Meneer Donner heeft er volgens mij niet zo veel van begrepen.
Ik weet niet wat voor beveiligings issues hij het over heeft, maar als je de cloud van google of amazon gebruikt, kun je nog steeds je eigen beveiligingslaag er tussen bouwen...
En hoe had jij dat in gedachten dan? Je applicatie draait op een server waar je geen controle over hebt, in een datacenter waar je geen controle over hebt, je data staat in databases waar je geen controle over hebt, op schijven in een SAN waar je geen controle over hebt. Waar ga jij die beveiligingslaag inbouwen? Je kunt je data wel encrypten, maar alleen terwijl de sleutel ook in dezelfde, onvertrouwde, omgeving beschikbaar is, wat dus betekent dat een ander, per ongeluk of expres toegang tot je gegevens kan krijgen.
Je hebt volledige controle over de (virtuele) server die draait. Verdiept u zichzelf s.v.p. even iets verder in wat clouddiensten precies (kunnen) inhouden, en kijkt u a.u.b. ook naar een aantal voorbeelden van hoe deze worden toegepast voor dit soort uitspraken te doen.

suggestie: google op 'cloud security'
Je mag dan wel controle hebben over de (virtuele) server, je hebt geen controle over het datacentrum of de communicatielijnen.

Dat maakt de cloud niet noodzakelijk een slechte oplossing. In tegendeel, ik denk dat de cloud een ideale oplossing is voor overheden, maar ze moeten deze dan wel zelf beheren.

Denk maar aan 3 tot 4 datacenters zo veel mogelijk geografisch verspreid binnen de landsgrenzen (met eventuele backup op een ander continent in een ambassade of zo) waarbij alle IT van de overheid binnen die cloud draait. Dus geen enkel departement nog verantwoordelijk voor zijn eigen hardware (op servergebied dan toch). Als je dat doet voor alle IT kan ik me trouwens wel voorstellen dat de kosten voor de overheid niet noodzakelijk de spuigaten uitlopen.
Vertel mij maar hoe ik kan controleren wie er in de fysieke ruimte waar mijn servers staan komen, vertel mij maar hoe ik kan voorkomen dat er iemand even een kopietje van mijn vm maakt? Vertel mij even hoe ik kan voorkomen dat het netwerkverkeer tussen mijn servers wordt afgeluisterd.

Maar misschien moet je ook zelf even googlen.

Een publieke cloud biedt geen enkele bescherming tegen insiders bij de cloud provider. Het enige wat je kan doen is aannemen dat elke server op een openbaar netwerk zit. Een veiligheidslaag bouwen waarbij je het fysieke en virtuele netwerk niet kan vertrouwen is vrijwel onmogelijk. Wie geloofd dat zijn informatie bij een cloud provider veilig is geloofd in sprookjes. Cloud providers hebben belang bij het beschermen van je gegevens maar ook bij het onderhouden van goede relaties met de amerikaanse overheid (in het geval van google micosoft en amazon).
Vertel mij maar hoe ik kan controleren wie er in de fysieke ruimte waar mijn servers staan komen
Niet, de bedoeling is dat je dat niet hoeft te controleren.
vertel mij maar hoe ik kan voorkomen dat er iemand even een kopietje van mijn vm maakt?
Niet, je zorgt er voor dat alle data binnen de VM versleuteld is en niemand anders er wat mee kan.
Vertel mij even hoe ik kan voorkomen dat het netwerkverkeer tussen mijn servers wordt afgeluisterd.
SSL? TLS?

[Reactie gewijzigd door Avdo op 22 april 2011 21:01]

Niet, de bedoeling is dat je dat niet hoeft te controleren.
Toch wel, je wil niet dat iemand een hardware netwerk sniffer kan plaatsen in je cloud. Je data mag dan wel geëncrypteerd zijn, datastromen (van waar naar waar de data gaat) en fluctuaties in gevraagde rekencapaciteit kunnen vaak in combinatie met externe factoren interessante informatie opleveren.
Niet, de bedoeling is dat je dat niet hoeft te controleren.
Tegen die logica is niet op te redeneren. Ik neem aan dat je snelheidscontroles ook zinloos vindt aangezien iedereen toch weet dat men zich aan de maximum snelheid moet houden.
Niet, je zorgt er voor dat alle data binnen de VM versleuteld is en niemand anders er wat mee kan.
Al zijn je vm's versleuteld een kopietje is zo gemaakt. Ook hebben bepaalde buitenlandse overheden immense rekencapaciteit ter beschikking en kunnen er zwakheden in de encryptie algoritmes zitten. Encryptie werkt tegen overheden hooguit vertragend maar is geen 100% veiligheid.
SSL? TLS?
Sinds wanneer voorkomt ssl of tls dat verkeer wordt afgeluisterd? Het is alweer enkel een vorm van encryptie en dan ook nog 1 die eenvoudig via een man in the middle attack is te omzeilen. Daarnaast, even de communicatie met je sql server via beveiligde verbindingen laten lopen is niet best voor de performance.

Punt is dat je bij een externe dienst veel zaken uit handen geeft die je als groot bedrijf of overheid gewoon zelf wil controleren. Een prive cloud in een afgeschermd datacenter geeft een mate van controle die een flink stuk boven die van een extern beheerd netwerk in een publiek datacenter ligt.
De meeste lekken komen via verloren USB stikjes. Je theoretisch verhaal gaat in de praktijk vaak niet op.

Die stikjes heb je met de clouddienst niet meer nodig.

[Reactie gewijzigd door RielN op 23 april 2011 00:14]

Och och, daar hebben we de verloren USB sticks weer. Als je de reacties op Tweakers.net mag geloven, gaan alle ambtenaren elke middag om vijf uur met een handvol USB sticks de deur uit, om die te verspreiden over treinen, huurauto's, restaurants en Peter R. de Vries.

Hoeveel van die verloren USB sticks zijn er de afgelopen paar jaar in het nieuws geweest? Een stuk of 5, 10 misschien?

Trouwens, weet je waarom je niet wil dat mensen met data op USB sticks rondlopen? Omdat je dan de controle over je data kwijt bent. Precies zoals je de controle kwijt bent als je je data op een server in het buitenland zet.

En die stickjes heb je nu ook al niet meer nodig...

[Reactie gewijzigd door jeroenr op 23 april 2011 09:05]

Een prive cloud geeft dezelfde mogelijkheden als een publieke cloud. Enkel met meer controle. Ik zeg niet dat een cloud slecht is (en Donner ook niet) wel dat het riskant is al je overheidsgegevens in handen van een vrijwel oncontroleerbare derde partij te leggen.
Hebben ze dan zoveel controle over de de servers die de staat nu gebruikt, die worden ook beheert door een legioen externen en internen die aan de strijkstok zijn blijven hangen. De beveiliging van die systemen is ook niet erg goed te noemen, zowel op locatie als remote.
Dat bedrijfje 'doet' dat doordat het aanbesteed moet worden, iets waar 'het volk' in feite om gevraagd heeft.
Quiz vraag:
Van wie is de data op Google's Cloud?
a.) Van Google: Hun harddisk, hun bits
b.) Van de overheid alleen
c.) Data transport diensten
d.) Overigen

Wie kan er meekijken en de data bekijken?
a.) De systeem beheerders van de cloud service
b.) Alleen de overheid
c.) De burgers
d.) Overigen
Hoe kan het toch dat er nog steeds dinosaurussen in Den Haag zitten die over dit soort beslissingen gaan? Die man heeft werkelijk geen flauw idee waar hij het over heeft.
Denk je nu echt dat meneer Donner vanochtend achter zijn bureautje is gaan zitten en een memootje in elkaar heeft geklust? Natuurlijk niet. Dit beleid wordt verzonnen door de ambtenaren op zijn ministerie en daar zitten ook heus wel mensen tussen die wel verstand van ICT hebben. En hoewel ik het zelden met Donner eens ben, vind ik dit een uitstekende beslissing. Je wilt gewoon niet dat je gegevens bij een externe partij staan, zeker niet als die externe partij niet in Nederland zit en al helemaal niet als het over overheidsgegevens gaat.
Natuurlijk heeft hij zijn puppets die deze zaken voor hem uitzoeken, hij is slechts eindverantwoordelijke. Ik zou als eindverantwoordelijke graag het fijne willen weten van iets voordat ik er een uitspraak over doe.

Hoe dan ook, ik ben het niet eens wat betreft de externe partij met je om de volgende redenen:
1. De externe partijen leveren deze diensten al jaren en hun 'beveiliging' is ondertussen wel redelijk goed gebleken. Data versleutelen moet sowieso gebeuren.
2. De partijen (Google, Amazon) bieden jou de mogelijkheid te bepalen waar jouw virtuele machines draaien. Als jij deze graag in nederland of elders in europa wilt hebben, dan kan dat gewoon.

Mijn grootste argument om het via een van deze partijen te doen - waar je eventueel mee in gesprek zou kunnen gaan om dingen apart voor je op te zetten - is dat zij ontzettend veel ervaring hebben op het gebied.
De problemen van het opzetten van je eigen systemen:
1. Tijdrovend en daarmee ook DUUR
2. Alles moet zelf onderzocht worden, waarbij je de ervaring van de aanbieders (google, amazon) mist, met als waarschijnlijk gevolg veel kinderziektes.

Bij de OV Chipkaart is ook besloten zelf een systeem op te zetten ipv te praten met landen (frankrijk, spanje, noorwegen) waar zulke systemen al jaren feilloos draaiden.
Ga jij nou eerst zelf eens wat meer over cloud diensten lezen. Zo te zien denk jij bij cloud diensten alleen maar aan het hosten van een virtuele server.
Dat is nou voor de overheid echt TOTAAL NIET INTERESSANT!

Cloud oplossingen zijn leuk voor het MKB, maar niet voor groter enterprises of overheden. Die kunnen beter een interne cloud maken.

Gelukkig dat die ambtenaren dat zelf ook door hebben. (of goed advies hebben gehad)
Zo te zien denk jij bij cloud diensten alleen maar aan het hosten van een virtuele server.
Het is mij volstrekt onduidelijk op basis waarvan u deze conclusie trekt. In het geval van de overheid lijkt mij dit echter wel het geval, i.v.m. beveiliging etc. Afijn.
Dat is nou voor de overheid echt TOTAAL NIET INTERESSANT!
Legt u mij s.v.p. uit wat precies de interesse van de overheid is?
Die conclusie trek ik op basis van jouw reacties die duidelijk alleen maar gericht zijn op dat hele kleine onderdeel van clouds.

En de interesses van de overheid zijn gelijk aan die van elke grote enterprise. (Ik werk zelf voor een grote enterprise) En daarbij is het kunnen hosten van een virtuele server gewoon niet zinvol.
Dat kunnen we goedkoper en veiliger zelf!

Het voordeel voor de overheid van een cloud is dat het een grote hype is.
Daardoor kunnen ze die hype aangrijpen om die extreem versnipperde overheid via clouds te gaan centraliseren in een paar datacenters.
Daarom is het opzetten van een eigen cloud voor hun de beste oplossing.

En laten we nou niet doen alsof daar nieuwe expertise voor nodig is en er kinderziektes in zitten. De cloud is gewoon een nieuwe naam voor dingen die we al jaren doen.
U heeft gelijk Mr. grote enterprise (ik dacht dat een enterprise per definitie groot was, ala)
Als het geld er is, moet het uitgegeven worden, en is er geen reden om te kijken hoe kosten bespaard kunnen worden.

Ik weet alleen nog steeds niet wat nou de interesse is van de overheid, legt u dat alsnog even uit aan dit studentje?
Ik zou als eindverantwoordelijke graag het fijne willen weten van iets voordat ik er een uitspraak over doe.
Dan zul jij een slechte eindverantwoordelijke zijn. Een minister kan onmogelijk verstand hebben van alles waar hij uitspraken over moet doen. Datzelfde geldt voor een manager of directeur. Hoe hoger je in de boom zit, hoe minder je je met details bezig moet houden.
1. De externe partijen leveren deze diensten al jaren en hun 'beveiliging' is ondertussen wel redelijk goed gebleken. Data versleutelen moet sowieso gebeuren.
Je kan je data niet versleutelen als je volledige server onder controle van een ander staat. De server zelf zal immers toegang tot de data moeten hebben en dus zal de sleutel ook op diezelfde server staan. Versleutelen heeft dus weinig zin.
De partijen (Google, Amazon) bieden jou de mogelijkheid te bepalen waar jouw virtuele machines draaien. Als jij deze graag in nederland of elders in europa wilt hebben, dan kan dat gewoon.
Ten eerste geven die partijen die garantie vaak niet en ten tweede, is je data toch nog in handen van een buitenlandse partij, die het mogelijk aan een externe overheid (Amerikaans, in de meeste gevallen) moet overhandigen als die daar om vraagt.
Mijn grootste argument om het via een van deze partijen te doen - waar je eventueel mee in gesprek zou kunnen gaan om dingen apart voor je op te zetten - is dat zij ontzettend veel ervaring hebben op het gebied.
Volgens mij draait de Nederlandse overheid al veel langer servers dan Amazon en Google bij elkaar.
De problemen van het opzetten van je eigen systemen:
1. Tijdrovend en daarmee ook DUUR
Het grote voordeel van bedrijven als Google en Amazon is dat ze schaalvoordeel hebben, de Nederlandse overheid is groot genoeg om zelf ook een schaalvoordeel te behalen.
2. Alles moet zelf onderzocht worden, waarbij je de ervaring van de aanbieders (google, amazon) mist, met als waarschijnlijk gevolg veel kinderziektes.
Alsof er helemaal niets zit tussen "alles aan Google of Amazon geven" en een ambtenaar in een hok gooien met een stapel servers, een CD'tje en de woorden 'zoek het maar uit'. Als de Nederlandse overheid zelf een cloud zou gaan bouwen doen ze dat heus niet helemaal alleen. Ze zullen het waarschijnlijk ook uitbesteden en alleen maar de eisen op papier zetten, maar, het zal dan wel in een datacenter in Nederland draaien, op servers die onder controle van de overheid zijn.
Dan zul jij een slechte eindverantwoordelijke zijn. Een minister kan onmogelijk verstand hebben van alles waar hij uitspraken over moet doen. Datzelfde geldt voor een manager of directeur. Hoe hoger je in de boom zit, hoe minder je je met details bezig moet houden.
Daar heb je gelijk in.
Je kan je data niet versleutelen als je volledige server onder controle van een ander staat. De server zelf zal immers toegang tot de data moeten hebben en dus zal de sleutel ook op diezelfde server staan. Versleutelen heeft dus weinig zin.
Je zou bijvoorbeeld een centrale key server op je kantoor kunnen zetten die de sleutels beheert. Deze kan door je cloud servers opgehaald worden over een SSL verbinding. Dit is maar een voorbeeld.
Ten eerste geven die partijen die garantie vaak niet en ten tweede, is je data toch nog in handen van een buitenlandse partij, die het mogelijk aan een externe overheid (Amerikaans, in de meeste gevallen) moet overhandigen als die daar om vraagt.
Uitgaande van een commercieel georienteerde externe partij denk ik dat je hier wel een contract voor zou kunnen maken.
Volgens mij draait de Nederlandse overheid al veel langer servers dan Amazon en Google bij elkaar.
Als je kijkt naar de fragmentatie van alle diensten, dan hebben google en amazon iets toch fundamenteel beter gedaan.
Het grote voordeel van bedrijven als Google en Amazon is dat ze schaalvoordeel hebben, de Nederlandse overheid is groot genoeg om zelf ook een schaalvoordeel te behalen.
Absoluut mee eens. Je kunt je echter afvragen wat het doel is. Hun eigen diensten schaalbaar maken, of een schaalbaar systeem maken waar andere mensen op mee kunnen liften. Daarnaast krijg je dan ook de discussie of er wel andere instanties op dezelfde servers mogen werken.
Mijn aanname is dat het minder tijd kost om een dienst te bouwen op een bestaande cloud, dan het eerst zelf opzetten van die cloud. Volgens is de dienst het doel, niet de cloud.
Alsof er helemaal niets zit tussen "alles aan Google of Amazon geven" en een ambtenaar in een hok gooien met een stapel servers, een CD'tje en de woorden 'zoek het maar uit'. Als de Nederlandse overheid zelf een cloud zou gaan bouwen doen ze dat heus niet helemaal alleen. Ze zullen het waarschijnlijk ook uitbesteden en alleen maar de eisen op papier zetten, maar, het zal dan wel in een datacenter in Nederland draaien, op servers die onder controle van de overheid zijn
Er zijn meerdere voorbeelden uit het verleden waaruit blijkt dat er zakken geld aan bedrijven worden gegeven om iets te ontwikkelen, wat een bodemloze put blijt te zijn, en het produkt uiteindelijk niet of erg gebrekkig blijkt te functioneren.
Mijn vrees is dat dit weer een projekt in dat rijtje wordt. Iedereen weet dat het uitgeven van geld vrij makkelijk gaat als 'het er gewoon is' en het niet verdiend hoeft te worden. Belastingcentjes zijn namelijk niet prestatie afhankelijk.
Je zou bijvoorbeeld een centrale key server op je kantoor kunnen zetten die de sleutels beheert. Deze kan door je cloud servers opgehaald worden over een SSL verbinding. Dit is maar een voorbeeld.
Dan is die sleutel daarna toch beschikbaar op die server? Los van dat het niet werkt is het ook nog een verschrikkelijke houtje-touwtje oplossing.
Als je kijkt naar de fragmentatie van alle diensten, dan hebben google en amazon iets toch fundamenteel beter gedaan.
De fragmentatie bij de overheid heedt 2 oorzaken: 1. Historie. In het verleden is elk clubje wat een automatiseringsbehoefte had, zelf iets gaan ontwikkelen. In het bedrijfsleven is dat precies hetzelfde. Bedrijven die al langer bestaan en al vroeg met automatisering begonnen zijn, hebben ook vaak een gefragmenteerde omgeving. Doordat er bij een bedrijf uiteindelijk één directie bovenstaat kan die fragmentatie bedwongen worden. Maar wie gaat de automatiseringsafdeling van het ministerie van financiën dwingen samen te werken met die van EZ? De minister-president?
De tweede oorzaak is eilandjes. Iedereen die ergens voor verantwoordelijk is wil de controle over "zijn" stukje overheid houden en is er van overtuigd dat wat hij doet significant anders is dan wat anderen doen en dat hij ook andere automatisering nodig heeft. Dat ga je niet oplossen met een cloud... want elk clubje is er van overtuigd dat zij een andere oplossing nodig hebben dan de rest.
Ik zou als eindverantwoordelijke graag het fijne willen weten van iets voordat ik er een uitspraak over doe.
Alsof dat op dat niveau, of het niveau van een grote multinational nog kan?

Donner is een politicus, hij heeft misschien wat verstand van wetten maken, en hopelijk heeft ie zich ingelezen in wat het ministerie waar hij nu de baas is doet. Voor de rest bepaald hij niet op ieder inhoudelijk vlak van A-Z wat en hoe. Dat kan ie ook niet want hij is geen expert op ICT gebied. Dat hoeft ie ook niet te zijn, want hij is minister van een ministerie wat zich niet primair bezig houdt met ICT. Een minister van ICT zaken zou weer wel veel meer moeten weten. (maar alles is onmogelijk in dit vak)
Maak je geen zorgen hij heeft dit heus niet zelf bedacht/uitgezocht. Die dinosauriërs hebben een leger van adviseurs die als het goed is wel weten waar ze het over hebben.
Over de mensen die vinden dat de ministers er geen verstand van hebben, dat hoeft ook helemaal niet. Daar hebben ze ambtenaren voor, als die maar verstand hebben van deze materie.
In het verleden was er een centrale plek waar alle computer zaken gedaan werden.
Het RCC (Rijks Computer Centrum) door verzelfstandiging, fusies en overnames is dat Pink Roccade geworden en later Getronics.

Alles in eigen hand nemen is een beetje "Back to the Future"-idee.

Het hele cloud-gebeuren vind ik toch erg veel op thin client-fat server lijken.
Ik moet daar wel bij zeggen, dat ik me oppervlakkig heb verdiept in het cloud-gebeuren.
Eén centrale plek en verder allemaal cliënts, zodat iedereen zijn werk kan doen waar ook ter wereld, ben je gelijk van het hele USB-stick verliezen af.
Ik vraag me zelf ook sterk af of er op deze schaal nog wel voordelen te halen zijn bij het uitbesteden naar partijen als Amazon.
Als de rijksoverheid gewoon een 'rijkscloud' opzet waar de rijksoverheid zelf, provincies, gemeentes en overheidsorganisaties gebruik van kunnen maken, dan heb je al zo'n enorme vraag dat ik mij af vraag of je dan nog 'serieus' geld bespaart door het uit te besteden bij nog grotere partijen.
- Even alle vooroordelen en grappen over overheid en ICT daar gelaten.
de rijksoverheid is bezorgd over hun privacy. ik ben weer bezorgd mijn privacy die de rijksoverheid schendt. het gaat zo maar door.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Smartphones Sony Microsoft Games Apple Politiek en recht Consoles Smartwatches

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013