Werner Vogels: Beveiliging van de cloud is een gedeelde verantwoordelijkheid

Tijdens het AWS-event in Den Haag kregen we de mogelijkheid om met Werner Vogels te spreken, de CTO van Amazon en Amazon Web Services. Zo konden we wat brandende vragen over AWS beantwoord krijgen en wat uitspraken uit de markt aan hem voorleggen. Vogels was daarbij erg spraakzaam over de veiligheid en beveiliging van de cloud. 

Amazon was met AWS de eerste public cloud provider, maar bedrijven als Google en Microsoft volgden al vrij snel. We vroegen ons dan ook af of Vogels geschrokken is van de enorme groei die Azure heeft doorgemaakt. Vogels liet duidelijk merken het allemaal wel prima te vinden, in het eerste kwartaal van 2018 is AWS immers met 49 procent gegroeid ten opzichte van het eerste kwartaal in 2017. Zolang AWS met dat soort cijfers blijft groeien zal hij zich geen zorgen maken.

“We zijn continu bezig om te kijken naar wat de klant wil en daaraan te voldoen.”

Verder benadrukt Vogels dat Amazon met zijn strategie de klant centraal stelt. “We zijn continu bezig om te kijken naar wat de klant wil en daaraan te voldoen.” Volgens Vogels moet je het team achter AWS meer zien als een groep uitvinders die continu bezig zijn met nieuwe features waar klanten om hebben gevraagd. Als de klant er niet om vraagt, zal AWS het niet ontwikkelen. Zo simpel is het.

Die klantfocus is enorm belangrijk en dat zorgt ook echt voor groei, die overigens elk jaar groter wordt. Niet dat er iets mis is met een business gedreven strategie, zegt Vogels, maar het is niet AWS’ strategie.

Opvatting van focus op ontwikkelaars

Sommige IT’ers hebben nog weleens het beeld dat AWS meer is gericht op ontwikkelaars en Azure meer op bedrijven. We vroegen Vogels of hij het daarmee eens is. Vogels erkent dat bij de lancering van Amazon Web Services het bedrijf inderdaad een duidelijk focus had op ontwikkelaars. Op dat moment was die groep het makkelijkst te overtuigen. Een ontwikkelaar die kiest voor de AWS-cloud is twee tot drie keer zo productief.

“Maar toen het balletje eenmaal ging rollen, hadden bedrijven maar een paar maanden nodig, juist in het enterprisesegment, dat het simpelweg te goed was om niet te gebruiken.” Veel innovatieve bedrijven stapten dan ook vrij snel in, om workloads naar de cloud te brengen. Het biedt meer flexibiliteit en zorgt ervoor dat er eenvoudiger en sneller kan worden ontwikkeld, maar dus ook geld kan worden verdiend.

De huidige groei is vooral te danken aan grote bedrijven die besluiten naar de cloud te migreren en in één keer honderden of duizenden servers migreren. Volgens Vogels worden deze grote migraties niet gedreven door ontwikkelaars maar door diverse redenen, namelijk:

  • Veel meer elastische infrastructuur, waarbij je niet vast zit aan een maximale hoeveelheid rekenkracht of opslagcapaciteit;
  • Afkomen van rondes waarbij grote hoeveelheden hardware vervangen worden en data gemigreerd. In de cloud heb je altijd de nieuwste hardware;
  • Productiviteitsverbetering, veel bedrijven zijn twee tot drie keer zo productief;
  • Sneller en efficiënter applicaties kunnen bouwen en implementeren;
  • Voor sommige bedrijven is het simpelweg goedkoper om te migreren naar de cloud, omdat er op veel andere fronten kosten kunnen worden bespaard;
  • Beveiliging is ook een hele belangrijke reden om te migreren naar de cloud. Op een operationeel niveau heeft AWS veel meer beveiligingen dan de meeste bedrijven. De tools die AWS tot zijn beschikking heeft zijn voor veel bedrijven onhaalbaar.

Jaren geleden was IT nog niet meer dan een kostenfactor. Inmiddels is IT veel meer, doordat je de gehele organisatie sneller, efficiënter, productiever en beter kan laten werken. Het hele digitale transformatie-verhaal laat ook zien dat IT inmiddels veel meer is dan een kostenfactor. Competitiever zijn in de markt is voor veel directies een belangrijke pijler in hun strategie. De eerste tool die daarbij komt kijken tegenwoordig is het goed inzetten van IT en daar de voordelen uithalen.

Concurrenten van AWS

We hebben ook wat vragen gesteld over concurrenten van AWS, hoe Vogels tegen bepaalde diensten aan kijkt. Hij liet al meteen weten niet graag over concurrenten te praten. Wel wilde hij reageren op wat kritiek rond VMware on AWS. We horen nog weleens van concurrenten dat VMware on AWS niet meer is dan een lading bare metal servers binnen AWS die door VMware worden beheerd, dat AWS daar verder geen rol in speelt. Vogels zegt hierover: “Dat is erg kort door de bocht, want VMware maakt wel gebruik van de beveiligingen binnen AWS en de beveiligingsisolatie die we bieden. Daarnaast is VMware on AWS enorm populair en veel bedrijven maken er gebruik van, daar komt wel wat meer bij kijken.”

Verder kijkt Vogels niet naar concurrenten en diensten. Hij zegt hierover: “We hebben inmiddels miljoenen bedrijven die klant zijn bij AWS. Die geven zo ontzettend veel feedback, die zorgen voor een roadmap die eindeloos lang is. We hoeven echt niet naar concurrenten te kijken om onze producten door te ontwikkelen. Natuurlijk kan dat af en toe best interessant zijn, maar wij richten ons gewoon volledig op de wens van de klant.”

Beveiliging binnen AWS

We horen nog weleens in de markt, vooral bij beveiligingsbedrijven, dat public clouds-providers de beveiliging niet uit handen gaan nemen. Aan de andere kant mag het duidelijk zijn dat de public cloud valt of staat met beveiliging. Als de public cloud niet veilig is, en er zou binnenkort iets misgaan, zou dat een enorme uittocht kunnen betekenen van bedrijven die weer kiezen voor on-premise. De vraag is dan ook hoe een speler als AWS daar tegenaan kijkt. Zij moeten zorgen dat hun cloud veilig is.

“Beveiliging van de cloud is een gedeelde verantwoordelijkheid”

Vogels benadrukt dat AWS beveiliging enorm serieus neemt, maar de “beveiliging van de cloud is een gedeelde verantwoordelijkheid”. AWS is verantwoordelijk voor de operationele beveiliging en zal altijd extra geld investeren of extra mensen inzetten voor operationele beveiliging als ze denken dat dat nodig is of als daar een directe reden voor is. De grootste teams binnen AWS zijn gericht op beveiliging. Dat kan zijn voor preventie of reactie op incidenten, maar ook steeds vaker gericht op het ontwikkelen van machine learning en kunstmatige intelligentie om de beveiliging naar een hoger niveau te tillen. Wat Vogels bedoelt met een gedeelde verantwoordelijkheid, is dat AWS de beste beveiligingen en sloten op de cloudomgeving kan zetten. Als de klant echter uiteindelijk de voordeur open zet, is er simpelweg geen redden aan. Dat is overigens niet anders dan in een on-premise omgeving.

Applicaties moeten tegenwoordig echt worden geprogrammeerd met beveiliging in het achterhoofd. Als een ontwikkelaar beveiliging niet serieus neemt en een product aflevert vol met beveiligingslekken is het wachten tot het mis gaat. Ook zijn er nog steeds bedrijven die geen duidelijk of goed wachtwoordbeleid hebben. Ook het tijdig patchen van virtuele omgevingen is iets wat bij de klant ligt en wel moet gebeuren. Zo zijn er tal van voorbeelden, maar dat geldt zoals vermeld ongeacht of je nu een on-premise omgeving hebt of een cloud omgeving.

Wel stelt Vogels dat de operationele beveiliging van AWS op een veel hoger niveau ligt dan de meeste bedrijven in hun eigen datacenter kunnen realiseren. Een voorbeeld hiervan is bijvoorbeeld beveiliging tegen DDoS-aanvallen, mensen die achter zo’n aanval zitten doen vaak eerst een paar kleine tests met een aantal verzoeken voordat ze een volwaardige aanval loslaten. Dat soort kleine speldenprikjes zijn door mensen niet waar te nemen. Door machine learning toe te passen kan AWS met regelmaat wel dat soort speldenprikjes detecteren, waardoor er sneller op gereageerd kan worden en problemen met het netwerk kunnen worden voorkomen. AWS heeft inmiddels een groot aantal toepassingen ontwikkeld op basis van machine learning en AI voor extra operationele beveiligingen.

Daarnaast biedt AWS diverse standaard beveiligingen en additionele tools aan klanten om hun beveiliging te vergroten en de kans op datalekken te verminderen. Zo is elke cloudomgeving bijvoorbeeld beschermd door een Web Application Firewall.

 

Controle over data en additionele beveiligingen

Met Amazon Macie is het mogelijk om alle data die is opgeslagen binnen Amazon te indexeren en te analyseren. Zo kan een bedrijf bijvoorbeeld zien op welke locaties er gevoelige data is opgeslagen, waar gegevens van klanten allemaal staan en of die mogelijk ook op ongewenste locaties zijn opgeslagen. Met dat soort preventiemaatregelen kan het uitlekken van data worden voorkomen. Een andere oplossing om datalekken te voorkomen is een tool voor S3-buckets. Klanten slaan data vaak op in S3-buckets. Standaard zijn die veilig afgesteld, maar als je de instellingen wijzigt kan een complete bucket open komen te staan waardoor alle data van buitenaf inzichtelijk is. AWS heeft tools ontwikkeld die daarop controleert en de gebruiker hierover informeert.

Ook zijn er klanten die met regelmaat broncode naar Github pushen, maar waar de geheime AWS-sleutels nog in de broncode staan of de database wachtwoorden. Dat is natuurlijk niet echt handig en gewoon een beveiligingsincident, dus ook daar is een tool voor ontwikkeld, en zodra dit wordt gedetecteerd wordt de AWS-klant gewaarschuwd. Amazon heeft tot slot ook een hele hoop blogs, whitepapers en trainingen met best practices rond beveiliging online staan, zodat IT’ers die de AWS-omgevingen beheren zichzelf kunnen onderwijzen over hoe ze de beveiliging kunnen verbeteren, welke mogelijkheden er zijn en hoe andere de beveiliging hebben ingericht. Educatie is uiteindelijk ook enorm belangrijk voor beveiliging. Als dat qua beveiliging nog niet voldoende is, heeft AWS ook nog een partnerecosysteem met een marketplace, daarin zijn allerlei additionele diensten te vinden die binnen AWS werken. Dat kunnen oplossingen zijn die specifiek voor een bepaalde sector zijn ontwikkeld, of bijvoorbeeld speciale beveiligingsoplossingen, waarmee de beveiliging naar een nog hoger niveau kan worden getild.

AWS groei vooralsnog niet te stoppen

Alles bij elkaar groeit Amazon Web Services nog steeds als kool, een groei van bijna 50 procent jaar-op-jaar. Grote bedrijven die steeds meer infrastructuur naar de cloud brengen is een van de voornaamste redenen, maar ook de strategie waarbij de klant centraal staat werpt zijn vruchten af. Ook qua beveiliging weet AWS enterprises en overheden te overtuigen. Ondertussen investeerden bedrijven als Google en Microsoft het afgelopen jaar ieder tientallen miljarden in hun publieke cloud. Daar lijkt AWS vooralsnog weinig last van te hebben.