‘ISO 27001 is niet voldoende’

Hosting-bedrijf Tilaa maakte onlangs bekend twee ISO-certificaten én een PCI/DSS-accreditatie te hebben verworven. Met name de accreditatie is opmerkelijk, aangezien Tilaa geen speciale focus op de financiële sector heeft. “Security is van cruciaal belang in de cloud”, zegt CEO Gerben van de Ven. “ISO 27001 geeft klanten weliswaar een beeld van onze beveiligingsprocedures, maar de strenge eisen die de creditcardmaatschappijen via PCI/DSS aan een datacenter stellen, geven pas echt zekerheid.”

Gerben van de Ven van Tilaa: “Er is geen bedrijf dat zijn data niet belangrijk en concurrentiegevoelig vindt. Dus iedere klant heeft er recht op dat wij er alles aan doen dat zijn gegevens bij ons veilig zijn.”

IaaS-aanbieder

Tilaa is een hosting-bedrijf uit Amsterdam dat zich gespecialiseerd heeft in Infrastructure as a Service. Het bedrijf beschikt over ruimte in twee datacenters (in Amsterdam en Haarlem) en heeft er voor gekozen een eigen netwerk toe te passen. “Wij zijn een pure IaaS-partij. Klanten kunnen bij ons een gevirtualiseerde server afnemen. Desgewenst kunnen wij daarop voor hen een besturingssysteem installeren plus nog wat extra software voor bijvoorbeeld beheer-op-afstand. De applicatie installeert de klant vervolgens zelf.”

Automatiseren

Anders dan bij veel andere IaaS-diensten biedt Tilaa echter ook de mogelijkheid dat het technisch beheer van een applicatie - of een deel daarvan - door de hoster wordt overgenomen. “Wij zijn een nogal technisch bedrijf. Wij hebben zelf tools ontwikkeld waarmee wij tal van taken hebben geautomatiseerd. Hierdoor heeft de klant eigenlijk nauwelijks hulp van bijvoorbeeld een helpdesk nodig om een server of een applicatie in gebruik te nemen. Op diezelfde manier kunnen we ook met geautomatiseerde tools helpen om het beheer van de server, het OS en eventuele andere geïnstalleerde systeemsoftware en ook de applicatie te beheren.”

‘Overbooking’

Veel klanten van Tilaa vragen in eerste instantie om een private cloud-aanpak. “Dat heeft vaak te maken met ervaringen die men met public cloud heeft opgedaan. Men heeft hierdoor het idee dat een shared cloud per definitie traag is. Dat hoeft echter helemaal niet. Die slechte performance heeft in veel gevallen vooral te maken met ‘overbooking’ door de cloud-leverancier. Met andere woorden: de cloud provider verkoopt zoveel VM’s per fysieke server dat deze VM’s elkaar als het ware in de weg zitten, omdat er nagenoeg geen resources beschikbaar Wij beheren de capaciteit actief en zorgen voor voldoende recources.”

Cluster

“We doen ook geen shared storage, omdat een dergelijk platform dan een ‘single point of failure' wordt. Hoewel shared storage in de markt vaak wordt verkocht als een ‘high availability’-oplossing, is het dat feitelijk niet. Wij werken daarom met local storage en zorgen er met een algoritme voor dat iedere virtuele server die de klant bestelt op een andere fysieke host terecht komt. Mocht er onverhoopt iets gebeuren met een fysieke host, dan draaien de andere virtuele servers van de klant gewoon door. Als de klant dan meerdere virtuele servers clustert, is hiermee een echte HA-oplossing mogelijk. Bijvoorbeeld drie webservers naast elkaar achter een load balancing-cluster.”

Uitstraling

De ISO-certificeringen passen volgens Van de Ven bij de kwaliteitsuitstraling die Tilaa dus nastreeft. “Met ISO 9001 laten we zien hoe wij de kwaliteit van onze dienstverlening borgen. Dat blijkt in de praktijk goed te werken. Uit onderzoek onder klanten blijkt dat 98 procent van hen onze dienstverlening aan anderen zou aanbevelen. Met ISO 27001 geven we aan hoe we security hebben geregeld. Maar dat laatste vonden wij eigenlijk niet genoeg. Wie ISO 27001 goed bestudeert ziet dat deze eigenlijk nog redelijk vrijblijvend is. Wij zochten daarentegen naar een manier om te kunnen aantonen dat onze beveiligingsaanpak goed in elkaar zit.”

Niet vrijblijvend

Daarmee kwam Tilaa uit op PCI/DSS. Deze zogeheten ‘Payment Card Industry Data Security Standard’ is in het leven geroepen door de creditcardmaatschappijen. “PCI/DSS is alles behalve vrijblijvend. Er wordt heel duidelijk aangegeven hoe je bepaalde zaken op het gebied van security moet aanpakken. Voldoe je niet aan die eisen of wil je bepaalde zaken anders regelen, dan krijg je simpelweg deze accreditatie niet. Daarmee is PCI/DSS voor ons ideaal. Het levert namelijk het bewijs dat onze beveiligingsaanpak uitstekend in elkaar zit.”

Serieus nemen

Dat PCI/DSS gericht is op de financiële sector, terwijl Tilaa geen speciale focus op deze branche heeft, is voor Van de Ven niet zo relevant. “Niet alleen financiële bedrijven werken met gevoelige gegevens. Datzelfde geldt voor bijvoorbeeld de gezondheidszorg. Maar wij willen daar eigenlijk een stap verder in gaan. Er is geen bedrijf dat zijn data niet belangrijk en concurrentiegevoelig vindt. Dus iedere klant heeft er recht op dat wij er alles aan doen dat zijn gegevens bij ons veilig zijn. De PCI/DSS-accreditatie is bedoeld om hen duidelijk te maken dat wij die opdracht heel serieus nemen.”

Robbert Hoeffnagel is hoofdredacteur van CloudWorks