De recente SolarWinds-hack maakt duidelijk dat overheden dringend moeten nadenken over hoe en waar ze gegevens van burgers opslaan. Maandenlang struinden buitenlandse hackers de netwerken af van minstens acht federale agentschappen in de VS. Hun doelwitten waren onder meer de ministeries van Financiën, Homeland Security, Energie, Buitenlandse Zaken en de National Nuclear Security Administration.
Naarmate er meer feiten boven tafel komen over hoe diep die aanvallen zijn doorgedrongen tot kwetsbare terreinen van de Amerikaanse overheid, nemen ook de belangrijkste inzichten toe. Een belangrijke takeaway voor mij, voortkomend uit mijn jarenlange werkervaring in overheids-IT, is dat de basis van IT-platforms in de publieke sector veiliger moet worden, vooral nu ze verschuiven van on-premise-infrastructuren naar opslag van gevoelige data op public cloud-platformen.
[su_row][su_column size=”1/4″]
[/su_column][su_column size=”3/4″]
CIO as broker
Download het ebook over de evolutie van de CIO-rol binnen overheidsorganisaties.
[/su_column][/su_row]
Te veel overheidsorganisaties dragen de verantwoordelijkheid voor het beschermen van gevoelige gegevens feitelijk over aan hun cloudleveranciers – een fout die hen uiteindelijk duur kan komen te staan. Een slimmere aanpak is om de risico’s en voordelen van verschillende IT-architecturen te doorgronden en aan de hand daarvan een keuze te maken.
Multi-tenant versus multi-instance IT-architectuur
Veel van de meest populaire leveranciers voor SaaS- en cloudopslag vertrouwen op zogenaamde multi-tenant IT-architecturen, waarbij de belangrijkste computer resources gedeeld worden door honderden of zelfs duizenden organisaties die niet aan elkaar gerelateerd zijn.
Daarentegen hebben te weinig overheidsorganisaties de voordelen ingezien van een multi-instance performance IT-framework. In een multi-instance structuur, zoals ServiceNow-oprichter Fred Luddy ontwierp als kernelement van het gelijknamige platform, beheert elke organisatie zijn eigen resources. Dit geeft IT-beslissers meer inzicht in datamanagement, terwijl operationele risico’s en downtime worden verminderd.
Een architectuur met meerdere instanties is niet noodzakelijkerwijs veiliger; geen enkele organisatie of systeem is immuun voor misbruik van kwetsbaarheden. Maar zo’n architectuur kan veel meer controle bieden over het belangrijkste bezit van een organisatie – haar data – op dit kritieke moment, waarin overheidsinstanties een belangrijk doelwit van cybercriminelen zijn geworden.
Gedeelde tabellen, gedeelde risico’s
Architecturen met meerdere ‘huurders’ bestaan al bijna net zo lang als computers. De oorspronkelijke cloudproviders waren leveranciers als Oracle, SAP en IBM, die enorme databases verkochten aan overheidsinstanties voor computeromgevingen op locatie. Dankzij virtualisatie ontdekten ze dat ze hetzelfde ‘onroerend goed’ aan meerdere klanten konden verkopen door bedrijfsapplicaties naar de cloud te verhuizen.
Het probleem: wanneer een cloudprovider een architectuur met meerdere huurders implementeert, deelt elke organisatie die op deze provider vertrouwt, gemeenschappelijke databasetabellen, bijvoorbeeld tabellen met de burgerservicenummers van werknemers of belastingbetalers.
Hoewel de IT-architectuur die gegevens logisch scheidt, zodat de ene overheidsinstantie geen toegang heeft tot de burgerservicenummers die door een andere organisatie zijn opgeslagen, delen meerdere ’tenants’ nog steeds een gemeenschappelijke codebase. Dus wanneer er een inbreuk of een systeemcrash plaatsvindt, lijdt elke organisatie die afhankelijk is van die tabel onder de gevolgen: een crash van één applicatie of diens zwakke beveiliging brengt alle klanten tegelijkertijd offline. Dat leidt vaak tot ongeplande downtime en onzekerheid over wanneer systemen weer online kunnen worden gebracht.
“Architecturen met meerdere tenants bestaan al bijna net zo lang als computers”
Om deze risico’s te beheersen, zijn cloudproviders sterk afhankelijk van SLA’s, die bepalen voor welke oplossingen (en vaak boetes) zij verantwoordelijk zijn bij gebeurtenissen zoals inbreuken of uitval. Maar in veel gevallen kan het lang duren om elke klant naar een backup-systeem te verplaatsen en weer online te brengen.
Met een multi-instance infrastructuur onderhoudt elke organisatie haar eigen gevirtualiseerde versie van kerndatabases en deelt het geen gegevenstabellen met andere organisaties. Als de software niet werkt, heeft de crash slechts gevolgen voor één organisatie tegelijk. En als er onderhoud nodig is, kunnen IT-managers dit plannen wanneer het hén uitkomt, niet wanneer het toevallig een goed moment is voor de cloud-partner.
Bij ServiceNow repliceren we als extra ‘backstop’ continu klantendatabases naar een secundair datacenter op een aparte locatie. Als een gegevenstabel een probleem tegenkomt in het datacenter, schakelt de betrokken workload automatisch over naar de secundaire site en wanneer het probleem is opgelost, schakelt deze terug. Dit elimineert de noodzaak voor downtime in de SLA.
Riskante business
Omdat deze meer computerresources verbruikt, is multi-instance-architectuur doorgaans duurder dan multi-tenant-architectuur, hoewel niet alle multi-tenant cloudproviders bekendstaan om het doorberekenen van die besparingen aan hun klanten.
Elke organisatie – publiek of privaat – die gevoelige gegevens in de cloud opslaat, moet de systeemarchitectuur van haar cloudproviders doorgronden, en beoordelen of lagere kosten eventuele extra risico’s rechtvaardigen. Bij overheidsinstanties is dit meestal niet het geval, en daarom zijn multi-instance-architecturen het overwegen waard.
Deze bijdrage is eerder verschenen op Workflow, de blogsite van ServiceNow.