Nederlandse overheidsinstanties mogen straks commerciële clouddiensten gebruiken

Ze begrijpen het echt niet in Den Haag. Het gaat er niet om dat grote cloud aanbieders het beter/goedkoper/veiliger kunnen. Het gaat er om dat je als overheid goed moet nadenken van welke partij je afhankelijk wil zijn en aan wie jij dus je data toevertrouwd.

Als burger vertrouw je er nu op dat de Nederlandse overheid jouw gegevens goed bewaard. Ik heb geen toestemming gegeven deze gegevens op te slaan bij een partij die onder US Gov. valt.

Daarnaast wil je gewoon niet dat Biden in de toekomst zou kunnen zeggen; goh Nederlandse overheid... ik ben niet zo blij met jullie. Dus ik denk dat ik jullie AzureAD accounts maar laat cancelen. Dus werk maar gewoon mee. Nee, dit wil je niet. Echt niet. Maar Den Haag snapt het gewoon niet.

Reken maar dat de Russen nooit aan zullen denken om een US Gov. cloud dienst af te nemen.

[Reactie gewijzigd door KopenMetBitcoin op 22 juli 2024 19:31]

Grappig.
Veel cloud diensten zijn naast PCI-DSS ook al HIPAA gecertificeerd.
Dus als je het proces rondom die diensten zelf goed inricht kun je heel goed en veilig bijzondere persoonsgegevens verwerken.

Met studenten van de TU Delft hebben we in 2018 al laten zien dat we met AWS Serverless Public Cloud componenten een EPD konden maken waarbij de patiënt op elk gewenst moment rechten kon geven en intrekken en die rechten ook kon delegeren en dat het hosten daarvan minder dan 1 miljoen euro per jaar zou kosten, voor alle Nederlanders samen.

Terwijl we beveiliging en schaalbaarheid op een ongekend hoog niveau kregen. Elke transactie elke call werd door een aparte server uitgevoerd die na zijn handeling gewoon weggegooid werd. Dus zelfs als de server in die paar milliseconden tijd gehackt zou worden, heeft de hacker een seconde later niets meer.

Die manier van werken kan nog steeds, inmiddels zijn de hosting kosten lager geworden, de compliance nog hoger en ondersteund de set-up http/3 en TLSv1.3.

Je moet alleen geen traditionele partijen in je public cloud nemen die alles in een VPC, op een VM of Docker container willen hebben.
Dat brengt zeer hoge beheerkosten en heel veel extra risico's met zich mee.

Dus het devies: go Serverless only. Je zult versteld staan. Ik heb functies die in 1/3 milliseconde worden uitgevoerd. Dynamische websites die in 70ms volledig gerenderd zijn.
Simpelweg door slim toepassen van Serverless techniek.

En de kosten? Extern laag, en zijn sites met miljoenen bezoekers die nog geen tientje per maand aan hosting kwijt zijn - en dat is nog voordat de korting er af is.

Er is hypotheek verstrekker met meer dan 2 miljoen klanten die nog geen €36,- per maand kwijt in aan de 'mijn hypotheek' omgeving.

Ook moet de keuze gemaakt worden om 'full cloud native' de tooling in te richten, dus niet tools van een 3e partij, dat geeft namelijk integratie issues en complexiteit. Alleen maar onnodige consultancy kosten en extra complexiteit. Lastigere uitbesteding omdat vendor X tool Y gebruikt en vendor Q tool H omdat het 'cross vendor' zou werken. Maar vervolgens verlies je in de native tools het inzicht wat bij wat hoort, moet je extra andere tools kopen of laten bouwen voor dingen die cloud native gewoon gratis bij de dienst horen of slechts een paar euro per maand en in een paar minuten zijn ingericht - na het goedkeuringproces.

Zorg ook dat je niet alle diensten van de cloud zelf opnieuw wil goedkeuren voor gebruik, ook niet uitbesteden aan een 3e partij of tool.
Goedkeuren kan veel simpeler: is de Diest HIPAA en PCI-DSS, gebruik je encryptie voor transport en opslag? Is least privilege ingericht ? Gebruik je alleen 1 Cloud vendor en alleen, Cloud native Serverless diensten?
En is dat dezelfde vendor voor al je data verwerking?
Ja, dan ok als je je eigen processen ook compliant inricht. En dat valideren we met de cloud native tool die daarvoor beschikbaar is.

Want de leverancier heeft er ook belang bij dat er geen data lekt en de processen goed lopen, want dan gaan we zijn platform meer gebruiken. Hoe goedkoper dat kan, hoe meer wij er naar toe zullen brengen, dus de langetermijn strategie van bijvoorbeeld AWS komt overeen met de strategie voor de overheid.

Let bij selectie van 'welke grote cloud partij' graag ook op hoe snel de leverancier verzoeken feature requests wereldwijd doorvoert. Mijn ervaring is dat bij Microsoft we jaren moeten wachten op een simpel te implementeren en duidelijk meerwaarde toevoeging aan hun product. Dat we zelf actief moeten zoeken naar andere klanten van Microsoft die het ook willen etc.

Bij AWS is mijn ervaring de afgelopen 6 jaar dat ik zo'n 20 nieuwe features per jaar bedenk en dat ze allemaal in een paar dagen tot weken wereldwijd voor alle klant gratis worden toegevoegd. Dus geen maatwerk, maar integratie in de basis van de service. Zo is het voor ons zeker dat het blijft werken ook bij updates, en dat als we nieuwe mensen inhuren met ervaring, dat ze de feature ook kennen, en anders ook graag willen leren kennen,want ze kunnen het zonder enige aanpassing elders ook toepassen. Goed voor een duurzame arbeidsrelatie: de mensen roesten niet vast dat ze elders niets aan hun kennis hebben, de kennis blijft up-to-date en bruikbaar, zeker bij gebruik van native Serverless diensten van AWS.

Let op er zijn partijen die met native cloud en Serverless andere dingen bedoelen. Hier gaat het om diensten en producten die pay-per-use zijn, die geen kosten hebben als er geen bezoekers zijn of berekening draait, en die via 'events' worden getriggerd en gestart. En dat binnen enkele milliseconden doen. Waar je geen OS of server meer voor nodig hebt, je logica, data en wat verbindings code is alles.
Dit zorgt voor veel minder beheer werk en veel minder verstoringen, upgrades hoef je alleen toe doen als je programmeertaal een nieuwe versie krijgt. Of als je iets geprogrammeerd hebt, waar nu gewoon een managed service voor is.

Je kunt zo heel goed je data scheiden van je logica / algoritmes/ beslissingen en die weer van je servers.
Door Serverless te gaan met NodeJS en Python code en cloud native infrastructuur als code (AWS CDK / AWS Cloud formation - geen taal van een 3e partij), Data in JSON en Apache Parquet heb je juist de flexibiliteit.
Je data en logica zit dan namelijk in open standaarden en is niet verbonden aan programma of container techniek.

Je kunt daardoor altijd exit zonder verlies of lock-in van data of logica. Juist door gebruik van native tools. De grote paradox. Dat komt omdat Cloud vendoren dezelfde diensten maken, allebei hebben ze CVE scanners etc. dus neem die en niet de gene die je al onprem hebt of de gene die beweerd het goed op elke cloud te doen. Want die brengen extra integratie problemen, extra consultancy kosten en gemis aan inzicht in de standaard gratis dashboards die je in de cloud krijgt.
Die dashboards zijn er om te zorgen dat over al die activiteiten en vele data centra (cloud heeft er meerdere per regio soms zelf 9 in een provincie of land, en jouw data wordt zonder extra kosten veilig in al die plekken ondergebracht) het overzicht houdt.

Gebruik ook cloud native encryptie, denkt dat als jij een sleutel in brengt de 'cloud' hem in jou opdracht moet gebruiken en hem dus ook 'heeft'. Het is dus onnodig complex en juist een groter risico als je de 'kluis' zelf beheerd of elders beheerd wordt. Je moet die sleutel dan namelijk veilig overbrengen. En het liefst ook elk uur een nieuwe.
In cloud heb je gewoon een dienst die dat gratis doet, waar de sleutel zelfs niet door code of mensen te zien is. Hij wordt op de achtergrond simpelweg toegevoegd aan het verzoek op het moment dat de juiste privilege aanwezig zijn. Verkeerde privileges? Dan wordt er geen óf een verkeerde sleutel toegevoegd en blijft alles dicht.

In cloud kun je door de event structuren en de automatische fail-over re-tries en SLA's zelfs een 100% data delivery guarantee maken met services die geen 100% uptime hebben. En garanderen dat data als hts 1x wordt afgeleverd.

En dat allemaal binnen de data compliance standaarden, encryptie, en logging tot in het kleinste detail. Elke api call, elke data lees, schrijf, verplaats, transformeer actie, elke knop die geklikt is, alles wordt vast gelegd in logs waar de account eigenaar van bepaald wie er bij kan. De cloud leverancier zelf kan er niet bij.
Het mooie is dat voor al die logs ook standaard tabellen beschikbaar zijn en je zonder data in te laden in een database je direct vanaf Blob storage (S3) de data kunt doorzoeken, tegen $5,- per terrabyte aan data die je doorzoekt .

Dus ik hoop van harte dat deze tips worden gevolgd. Dat bespaart heel veel kosten complexiteit en maakt de systemen zeer robuust, snel, schaalbaar en betrouwbaar.

Ik werk zelf bij een internationaal bedrijf met een paar miljard aan omzet, tientallen miljoenen klanten en tienduizenden medewerkers, dit al een paar jaar succesvol toepast. We zijn zelf in al die valkuilen getrapt ik hoop dat de overheid minder fouten hoeft te maken en deze tips ter harte zal nemen.