2012 En verder

he t va k bl a d ov er c l ou d c omp u t ing

w w w.c l ou dwor k s .n u

Jaargang 3, nr. 3 / 2012

En verder Veilig samenwerken met externe partijen buiten de bedrijfsfirewall | Mike Sheldon van NHR (gebruikte IT-apparatuur): ‘Het gaat om meer dan alleen prijs’ | Zwarte Pieten over verantwoordelijkheden bij security-problemen | Zorgen over cloud storage - perceptie of realiteit?| Voorkom dure misstappen |

Robbert

Hou die dag vrij! 24 mei 2012 Op die dag organiseert DatacenterWorks - zusterblad van CloudWorks - het DatacenterWorks Voorjaarscongres 2012

Rij

Rack

Fysieke datacenterinfrastructuur

Ruimte

Gebouw

Introductie van de enige geïntegreerde fysieke datacenterinfrastructuur Flexibele en gebruiksvriendelijke geïntegreerde Waarom datacenters van Schneider Electric? > Vermindering van de ontwerpen implementatieperiode datacenters van Schneider Electric van maanden naar slechts enkele weken

De enige geïntegreerde infrastructuur die uw bedrijf op de voet volgt Schneider ElectricTM heeft moderne datacenters opnieuw gedefinieerd. We hebben Facilities en IT op unieke wijze aan elkaar verbonden met een

end-to-end architectuur ondersteund door all-in-one managementsoftware. Het resultaat? Maximale beschikbaarheid en maximale energie-efficiency.

> Out-of-the-box configuratie met geïntegreerde software > Bewezen expertise, erkend “thought leadership” en services gedurende de gehele productcyclus, geleverd door één organisatie

Business-wise, Future-driven.TM

Wij noemen dit holistische systeem ‘de fysieke datacenterinfrastructuur’. Deze aanpak verandert niet alleen het datacenter als systeem, maar ook het dagelijkse werk van de datacenter manager. Zo is deze infrastructuur eenvoudig en snel te implementeren. Bovendien profiteren managers met de managementsoftware van een totaaloverzicht, van rack tot rij en van ruimte tot gebouw. En de infrastructuur is flexibel, zodat goed kan worden ingespeeld op de specifieke behoeften van uw bedrijf — vandaag én morgen.

TM

APC by Schneider Electric is pionier op het gebied van modulaire datacenterinfrastructuur en innovatieve koeltechnologie. De TM producten en oplossingen, waaronder InfraStruxure , maken deel uit van het IT-portfolio van Schneider Electric.

Download white paper “Virtualization and Cloud Computing: Optimized Power, Cooling, and Management Maximizes Benefits” en maak kans op een iPad 2! Ga naar www.SEreply.com code 17694p ©2012 Schneider Electric. All Rights Reserved. Schneider Electric, APC, InfraStruxure, and Business-wise, Future-driven are trademarks owned by Schneider Electric Industries SAS or its affiliated companies. All other trademarks are property of their respective owners. APC Benelux - Postbus 219 - 4130 EE Vianen - Nederland, Tel.: 0800 020 3244, Fax 0347 325225 • 998-4729_NL_B

Thema van het congres is: ‘De impact van de cloud op het datacenter’ Het DatacenterWorks Voorjaarscongres 2012 wordt georganiseerd in samenwerking met een reeks van kennispartners: •B ICSI (beroepsvereniging van datacenter- en netwerkspecialisten) •D HPA (Dutch Hosting Providers Association) • E urocloudNL (vereniging van cloud-aanbieders) • e n brancheorganisatie IT Room Infra Het congress richt zich op de technische infrastructuur van het datacenter: keeling, power, netwerkbekabeling en dergelijke. Dat is het fundament waarop ieder datacenter is gebaseerd. In deze tijden van cloud computing is dat meer dan ooit een cruciaal onderdeel vande IT-strategie van ieder bedrijf en iedere organisatie. Een keur aan bedrijven verleent als sponsor medewerking aan het congres. De komende weken zullen nog mee namen bekend worden, maar nu al kan ik bekend maken dat Active Power, All IT Rooms, AssetGen, DataContainer, Deloitte, Emerson Network Power, Newave, PonPower, profITbox, Schäfer IT-Systems, Schneider Electric en Wagner hun medewerking verlenen. De komende weken maken wij de keynote sprekers bekend. Een eerste naam kunnen we nu al noemen: Joachim Faulhaber

van het gerenommeerde TÜV Informationstechnik. Hij zal spreken over het auditen van datacenters. Het voorjaarscongres vindt plaats op de RDM Campus te Rotterdam. Net als bij het congress dat DatacenterWorks in april 2011 organiseerde, geldt ook bij het komende voorjaarscongres dat leden van BICSI door het bijwonen van dit congres in aanmerking voor CEC’s ofwel studiepunten die van groot belang zijn voor hun certificering. Naast een zeer inhoudelijk programma zal het DatacenterWorks Voorjaarscongres 2012 ook volop ruimte bieden om te netwerken met collega’s, conculega’s, prospects en klanten. Kijk voor meer informatie en registratie op www. datacenterworks.nl/congres Robbert Hoeffnagel Hoofdredacteur DatacenterWorks • PS1 Deelname is gratis! • PS2 Tijdens het DatacenterWorks Voorjaarscongres 2012 vinden ook twee Live Talk Shows plaats. Deelnemers aan het congress kunnen dan in discussie met onze kennispartners en sponsors.

Colofon CloudWorks maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorks vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]

Advertentie-exploitatie Bureau voor Marketing & Media Jos Raaphorst, sales director e-mail: [email protected] +31 (0) 634 735 424

Hoofdredacteur/uitgever: Robbert Hoeffnagel [email protected] +31 (0) 651 282 040

Druk: Drukkerij Profeeling

Postadres redactie: Maredijk 17, 2316 VR Leiden e-mail: [email protected]

Vormgeving: Studio Kees-Jan Smit BNO

inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: ‘Overgenomen uit CloudWorks, de publicatie over cloud computing’, plus jaargang en nummer. © Copyright 2012 FenceWorks BV.

Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de

CloudWorks is een uitgave van FenceWorks BV.

CloudWorks - April 2012

3

6

&

nog veel meer...

Transparantie en kwaliteit zijn cruciaal voor duurzame en effectieve cloud computing. Dat vraagt om normering en toetsing. EuroCloud Nederland heeft geïnventariseerd welke Nederlandse initiatieven voor certificering gaande zijn en hoe vooraanstaande brancheorganisaties over cloud certificering denken. Tijdens de ‘EuroCloud Nederland Public Briefing Certificering van cloud computing: de status quo in Nederland’ op 20 maart is hiervan verslag gedaan.

Inhoud

Markt 6 Nog geen orde in de certificeringschaos Serious business (apps) van SAP, T-Mobile, 10 Magnus TopForce en T-Systems

12

Certificering en cloud - nog geen orde in de chaos

4

Inhoud

Voorkom dure misstappen In welke fase van migratie naar de cloud een bedrijf zich ook mag vinden, er komen altijd weer nieuwe vragen op. Wat doen we met security? Waar komt mijn data te staan en wie is eigenlijk eigenaar van deze data? Hoe zijn de SLA’s ingeregeld? Hoe zorg ik ervoor dat ik voldoe aan (internationale) regelgeving? En hoe maak ik mijn organisatie klaar voor het beheer van cloud computing? Bedrijven realiseren zich dat er veel moet gebeuren, maar hebben over het algemeen onvoldoende inzicht in alle stappen die ze moeten doorlopen om ‘naar de cloud’ te gaan. Hierdoor starten ze projectmatige initiatieven zonder oog voor het grote geheel. Vaker wel dan niet resulteert deze aanpak in een valse start en dure misstappen.

Coverfoto De foto op de cover van deze editie van CloudWorks is beschikbaar gesteld door F5 Networks. Deze security-specialist heeft onlangs

12 Voorkom dure misstappen

Ashar Aziz (FireEye): ‘Het security-probleem is 32 veel groter dan veel bedrijven denken’

36 Voorbeschouwing beurs Overheid & ICT

Trend Mike Shelton van NHR (gebruikte IT-apparatuur): 16 ‘Het gaat om meer dan prijs alleen’

30 Zorgen over cloud storage

Als het gaat om cloud-beveiliging zijn er verschillende percepties. Bedrijven die de cloud overwegen, maken zich bijvoorbeeld zorgen over de veiligheid van hun applicaties of bedrijfsdata. Of ze zien risico’s in virussen of phishing-aanvallen. Wat de angst ook is: in de afgelopen jaren is cloud-beveiliging een grote zorg geworden voor IT-beslissers die overwegen om applicaties en data uit het eigen datacenter onder te brengen in de cloud. De vraag is of deze zorgen alleen op perceptie berusten of gebaseerd zijn op de harde realiteit?

Opinie ‘Zwarte Pieten’ over verantwoordelijkheden bij 18 security-problemen Technologie Cloud en platform-security: Microsoft Azure 20 nader bekeken

30 Zorgen over cloud storage

Event

24 DatacenterWorks Voorjaarscongres 2012

Praktijk

26 Firewalls voor datacenters

Rubriek

28 The Legal Look

40 Cloud startup nieuws

42 Nieuws van DHPA

44 EurocloudNL-nieuws

Column Floris van den Dool (Accenture): ‘Beveiligings46 probleem? Security komt juist uit de cloud’

een nieuwe generatie datacenter-firewalls gelanceerd. Zie ook

Go!

pagina 26-27. CloudWorks - April 2012


5

Markt Certificering van cloud computing:

Nog geen orde in de chaos Transparantie en kwaliteit zijn cruciaal voor duurzame en effectieve cloud computing. Dat vraagt om normering en toetsing. EuroCloud Nederland heeft geïnventariseerd welke Nederlandse initiatieven voor certificering gaande zijn en hoe vooraanstaande brancheorganisaties over cloud certificering denken. Tijdens de ‘EuroCloud Nederland Public Briefing Certificering van cloud computing: de status quo in Nederland’ op 20 maart is hiervan verslag gedaan.

door Theo Loth,

Eurocloud Nederland

Cloud Computing is een containerbegrip. Een ding is zeker: cloud, in welke vorm ook, is een complexe keten van technologieën, services en leveranciers. En de keten is net zo sterk als de zwakste schakel. De gebruiker wil weten waar hij aan toe is en heeft behoefte aan transparantie. De roep om een normenkader met een certificeringsysteem daarachter is groot. Allerlei organisaties in binnen- en buitenland zijn bezig met certificering van deelaspecten van cloud computing. Soms door bestaande programma’s op te rekken en soms door met iets nieuws te komen. “Het is al met al een beetje een chaos”, aldus Nan Zevenhek, IT Auditor en bestuurslid van EuroCloud Nederland. Zevenhek heeft vanuit EuroCloud Nederland een tweetal roundtables begeleid waarvoor een aantal organisaties is uitgenodigd om hun visie en activiteiten te delen. Genodigde organisaties waren onder meer AMS-IX, Belastingdienst, Cloud Credential Council, Cloud Security Alliance, DHPA, Forum Standaardisatie, ICT-Office, NEN, NGI, NGN, NOiV, NOREA, VNO-NCW, VRI, Zeker Online/Twinfield. Economische prikkel Tijdens de Public Briefing in Huis Beukenrode in Doorn heeft Zevenhek de uitkomsten van de roundtables gepresenteerd. “Het is ongewenst dat een groot aantal (elkaar beconcurrerende) initiatieven voor certificering dreigt te ontstaan. Met de inventarisatie willen we bewerkstelligen dat er afstemming komt.” Enkele uitkomsten: een eensluidende definitie en classificatie van cloud-modellen wordt noodzakelijk geacht als belangrijke stap naar algemeen gedragen certificering. Verder is een Europese standaard voor de omgang met privacygevoelige informatie noodzakelijk om te voorkomen dat er per land afwijkende normering ontstaat. Certificering is mooi, maar het moet wel praktisch hanteerbaar zijn. Het verdient aanbeveling startende ondernemers vrij te stellen van strikte certificeringseisen. Om de correcte werking van certificeringsinstellingen te waarborgen, is een accreditatielichaam nodig. Certificering zou zich verder langs twee sporen moeten ontwikkelen: het spoor van de providers en het spoor van de professionals. Die laatste categorie is minstens zo belangrijk als de eerste, omdat van hen verwacht mag worden door de bomen het cloud-bos te kunnen zien en te kunnen beoordelen welke certificering voor welk toepassingsgebied binnen hun organisatie relevant is. Zevenhek: “Gemiddeld is 80 procent van een norm algemeen en 20 procent branchespecifiek. Bij certificaten zou afhankelijk van de business en de specifieke risico’s een soort ‘pick and place’ en gradatie in zwaarte van toepassing mogelijk moeten zijn. Het bepalen wanneer iets toereikend is, blijft professional judgment.” Om actief bij te dragen aan de ontwikkeling van de standaardisatie in normen en certificaten heeft EuroCloud Nederland zich aangesloten bij de werkgroep Cloud Computing van NEN, het Normalisatie Instituut Nederland. Zevenhek: “Uit

6


ervaring blijkt dat het land dat de lead heeft in de vaststelling van een Europese of een wereldnorm, voordeel heeft bij het aantrekken van industrie die de betreffende diensten conform de norm kan leveren. Actief bijdragen aan normontwikkeling biedt dus economisch perspectief. Standaardisatie kan het gebruik van de cloud en de ontwikkeling van de cloud-industrie in Nederland stimuleren.” Dynamische certificering Dat het omgaan met certificering en normering geen sinecure is, bleek uit de presentatie van EDP Auditor Jan Matto, partner bij Mazars Management Consultancy. Matto is ook projectleider van het SBR/XBLR project voor het standaardiseren en normaliseren van financiële informatie. “Gangbare normen en standaarden kennen beperkingen. Auditors zien zich dan ook nog eens voor de fundamentele vraag gesteld: ’We doen de audit goed, maar doen we ook de goede audit?’ Zeker als het om cloud computing gaat is dat een uitermate relevante vraag. Frictie kan ontstaan als elke ketenpartner een eigen deelaudit laat uitvoeren met eigen normenkaders. Bewaking van het geheel is dan een grote uitdaging. Er kunnen blinde vlekken ontstaan en onontdekte risico ́s optreden.” Zeker als het om cloud gaat, is een integraal oordeel gewenst over de gehele keten. “In de praktijk is echter veelal sprake van een gefragmenteerd oordeel verdeeld over ketenpartners, deelverantwoordelijken en systeemlagen.” Matto benadrukt dat cloud-certificering ruimte moet bieden aan de dynamiek die de technologie en de business van de gebruiker met zich meebrengen. “Control frameworks vereisen voortdurende aanpassing aan de veranderende context.” Hij signaleert dat veel EDP auditing wordt verricht vanuit de managementprocessen. “Dat doet tekort aan de dynamische, snel veranderende IT-werkelijkheid. Leg bij cloud de focus op IT. Je kunt je door die dynamiek zelfs afvragen of toekomstgerichte certificering überhaupt haalbaar is.” Verder is het belangrijk het doel en de doelgroep van certificering goed helder te krijgen. “Er worden hoge eisen gesteld aan de deskundigheid van IT auditors en multidisciplinaire benaderingen zijn nodig.” CloudWorks - April 2012

7

Klarenbeek van de Belastingdienst ziet vanuit zijn ‘business’ wel degelijk grote voordelen van standaardisatie. “We willen toe naar boekhouden en aangiften doen zonder menselijke tussenkomst. Dat is in het belang van de Belastingdienst zelf, maar ook van die tienduizenden kleine ondernemers die ons land telt. Dan moet je wel bouwen aan een veilige online basis. Nederland loopt hierin voorop in Europa.” Het Europa-breed invoeren van ‘onze’ aanpak voor de integratie van administraties en de systemen van de Belastingdienst zal weerbarstig zijn.

Europa Euro-commissaris Kroes heeft een duidelijke cloud-strategie. EuroCloud Europe is betrokken bij de verdere uitwerking daarvan. In lijn daarmee heeft EuroCloud Duitsland in samenwerking met onder meer het Frauenhofer Instituut en KPMG al een ver uitgewerkt certificeringsraamwerk laten ontwikkelen, de EuroCloud Star Audit. “De StarAudit is door de EuroCloud-organisaties in diverse landen inmiddels geadopteerd.” Dat zegt Maurice van der Woude, General Director van EuroCloud Europe. Het certificeringsprogramma biedt een set aan certificaten in oplopende zwaarte, van één ster tot en met vijf sterren. De basiscertificering met één ster is bijvoorbeeld geschikt voor testomgevingen of softwareontwikkeling, waar cloud delivery maar een beperkte impact heeft. Vijf sterren is dan vooral van toepassing op bedrijfskritische en sterk geïntegreerde omgevingen en heeft betrekking op alle lagen van Cloud Computing, van infrastructuur tot en met softwarefunctionaliteit. EuroCloud Nederland onderzoekt momenteel of het raamwerk ook in ons land kan worden toegepast. Vooral de juridische kanten van de zaak vragen om nader onderzoek. Van der Woude verwacht dat het Star Audit Programma ook in Nederland op belangstelling kan rekenen. “Temeer omdat kort geleden besloten is om een online self-assessment mogelijkheid toe te voegen, op basis van de eisen die voor 1-ster certificering bepaald zijn.” De Nederlandstalige module komt later dit jaar beschikbaar. Drugstest De Public Briefing werd afgesloten met een paneldiscussie, geleid door Peter H.J. van Eijk, onafhankelijk adviseur op het gebied van digitale infrastructuren. Panelleden waren Koos Ziere (NOREA), John van Huijgevoort (CSA), Theo Klarenbeek (Belastingdienst), Hans van der Meer (Microsoft) en Maurice Tijhuis (Twinfield). Stuk voor stuk professionals met een duidelijke visie op de mogelijkheden en onmogelijkheden van certificering. Zo merkte Van der Meer op: “De praktijk is weerbarstig. Je kunt van alles vastleggen in regels en policies, maar gebruikers gaan toch hun eigen gang. Waar blijf je dan met je beleid? Bovendien kunnen stringente regels een rem voor innovatie zijn.” 8


Het is sowieso lastig om te voldoen aan de regels in de diverse landen en rechtssystemen. Een voorbeeld geeft Maurice Tijhuis van online boekhoudleverancier Twinfield. “Wij deden onlangs mee aan een grote tender in het buitenland. Een van de vragen was hoe vaak we onze medewerkers onderwierpen aan een drugstest. In de VS is dat kennelijk heel gewoon, maar wij kijken daar in Nederland toch anders tegenaan.” Het geeft wel aan dat het voldoen aan standaarden niet altijd een vrije keuze is. Grote klanten eisen het, net als dit destijds met ISO gebeurde. Internationale standaarden en normen zijn dan ook noodzakelijk, zeker vanuit securityperspectief. “Cloud is nu eenmaal grensoverschrijdend, cybercrime ook. Je kunt het als land niet alleen”, zegt John van Huygevoort namens de Cloud Security Alliance. Ziere van Norea bepleit een praktische aanpak als het om certificering gaat: “One-size-fits-all gaat niet werken. Bekijk welke norm je het meest van toepassing acht. Onderzoek vervolgens nauwgezet wat er achter het stempel schuilgaat. Wat is de scope van het certificaat? En minstens zo belangrijk: past het wel bij mijn business? Een certificaat alleen zegt niet alles.” Alexandra Schless, voorzitter van EuroCloud Nederland en in het dagelijks leven Managing Director van TelecityGroup in Nederland: “Certificering is in onze industrie niet onderscheidend. Zonder de juiste certificaten tel je niet mee. Je maakt het verschil door transparant te zijn en de manier waarop je business doet.” Maar alteveel transparantie aan de aanbiederskant heeft ook een keerzijde. “Hoe meer je laat zien, hoe kwetsbaarder je wordt”, aldus Tijhuis. Theo Loth is oprichter en bestuurslid van EuroCloud Nederland. Hij is tevens publicist op het gebied van ICT in het algemeen en Cloud in het bijzonder.

Werkgroepen EuroCloud Nederland heeft twee werkgroepen in het leven geroepen, over Standaardisatie en Certificering (contactpersoon Nan Zevenhek) en over Security (contactpersoon Hans Timmerman). Stuur een mail naar [email protected] als u zich bij een van beide werkgroepen wilt aansluiten.

Connectivity of the Cloud TelecityGroup is Europa’s toonaangevende provider van premium netwerkonafhankelijke datacenters. We zijn gespecialiseerd in het ontwerpen, bouwen en beheren van robuuste, veilige omgevingen met hoge connectiviteit waar bedrijven hun bedrijfskritische web- en internet infrastructuren kunnen vestigen. Onze datacenters bevinden zich op de belangrijkste Europese connectiviteitsknooppunten. Een TelecityGroup datacenter is een dynamisch ‘digital ecosystem’ met directe toegang tot talrijke telecomoperators en contentdistributienetwerken, de grootste breedbandnetwerken, Europese internet exchanges en cloud hubs, waar het faciliteren van opslag, delen en distribueren van data, content, applications en media mogelijk is.

Markt SAP, T-Mobile, MagnusTopForce en T-Systems samen in zakelijke mobiele applicaties

Serious business (apps) door Hans Vandam,

journalist

SAP, T-Mobile, T-Systems en MagnusTopForce gaan nauw samenwerken op het gebied van zakelijke mobiele apps. Daarmee komt In-Memory Computing, Analytics en bijvoorbeeld EIM nu ook voor de mobiele gebruiker beschikbaar. Het voordeel? Beslissingen kunnen daarmee on the fly en op welke locatie dan ook worden genomen op basis van de meest actuele en relevante informatie.

De zakelijke mogelijkheden op het gebied van mobility ontwikkelen zich razendsnel. Van opkomende technologieën kun je nauwelijks meer spreken, want ze zijn marktklaar binnen maanden en worden zo vlug in gebruik genomen dat een traditionele ‘wenperiode’ niet meer bestaat. Deze mobile enterpise-trend brengt uitdagingen op allerlei fronten met zich mee. Waar het vooralsnog aan ontbrak was een partij die niet die deelproblemen aanpakt, maar een – zeg maar - totaaloplossing biedt. In dat gat is ‘Business At Your Fingertips’ gesprongen. Dit samenwerkingsinitiatief bestaat uit SAP, T-Mobile, T-Systems en MagnusTopForce. Samen bieden ze een end-to-end oplossing voor het ontwikkelen, implementeren en beheren van zakelijke apps, met name gericht op het naar boven halen van relevante data uit grote informatieverzamelingen. Dat deze focus op mobiele business-apps vruchten afwerpt, blijkt uit het feit dat Business At Your Fingertips sinds hun korte bestaan al met zeven ontwikkelingstrajecten bezig is. Verder dan BYOD Hoewel iedereen het tegenwoordig lijkt te hebben over BYOD, is het 10


interessanter om een stap verder te kijken. Je moet jezelf niet afvragen hoe men om moet gaan met tablets en smartphones op de werkvloer, maar hoe deze apparatuur optimaal is in te zetten ten gunste van de bedrijfsvoering. Rob van Loon, Chief Sales Officer van MagnusTopForce, en initiatiefnemer van de samenwerking: “Business intelligence en mobility zijn de afgelopen jaren uitgegroeid tot een serieus vakgebied en vergt een andere aanpak dan het optimaliseren van de traditionele bedrijfsprocessen. Er wordt tot nu toe te veel geredeneerd vanuit de techniek; ons credo is business smart en user centric. Wij leggen de nadruk op gebruiksgemak en toegankelijkheid voor de business.” Taakverdeling MagnusTopForce is expert op het gebied van onder andere mobile BI en voerde de afgelopen tijd diverse succesvolle BI verander-, verbeteren implementatietrajecten uit. Het bedrijf is de drijfveer achter Business At Your Fingertips en brengt de partijen bij elkaar. De inventarisatie van benodigdheden en het ontwerpen van de app wordt door MagnusTopForce gedaan.

SAP Nederland is dienstverlener op het gebied van onder meer business intelligence en mobiele toepassingen voor de zakelijke markt. SAP’s taak binnen het consortium is het aanbieden van een platform dat zorgt voor de verbinding met de onderliggende data. Hoewel zakelijke apps inmiddels gemeengoed zijn, kan het consortium dankzij het gebruik van de Sybase Afaria-technologie van SAP zich specifiek richten op mobiele BItoepassingen. Reindert Verbrugge, SAP NL Alliance Manager: “Business At Your Fingertips betekent dat iedereen op elk moment de juiste informatie tot zijn beschikking heeft om de best mogelijke beslissingen te nemen. Om dit zo effectief mogelijk te maken, stellen wij de gebruiker centraal: ongeacht type mobile device maken we een zo optimaal mogelijke BI beleving voor elke situatie waarin iemand zich bevindt. SAP Mobile BI maakt dit mogelijk en beheersbaar. Daarmee heeft iedereen, ongeacht tijd en plaats, altijd de beschikking over de beste informatie.” T-Mobile richt zich in toenemende mate op de telecom- en communicatiediensten voor zakelijk Nederland. Naast de connectiviteit en hardware

begeleidt het bedrijf de ontwikkelingstrajecten met advies over de benodigde dataverkeercapaciteit. Bovendien beschikt T-Mobile over een zeer krachtig en geavanceerd billing-systeem dat wordt ingezet om de kosten centraal door te berekenen. Op die manier ontvangt de klant slechts een overzichtelijke factuur. Robert de Vries, manager corporate sales bij T-Mobile: “We kregen steeds vaker vanuit onze zakelijke klanten vragen over zakelijke apps. Zowel betreft het ontwikkelen ervan, het beheer en hoe ermee om te gaan op de werkvloer. We hebben het maken van een app tot en met het beheer ervan nu onder een dak gebracht.” T-Systems stelt zijn mobile device management-platform beschikbaar, zodat organisaties in staat zijn wildgroei aan verschillende apps te voorkomen en een passend autorisatie- en toegangsbeleid te voeren. Het mobile device management-platform en de mobile security-oplossingen van T-Systems

dienen bovendien te voorkomen dat data in verkeerde handen valt. Gert-Jan Bruinsma, portfolio marketing manager T-Systems: “De kracht van dit samenwerkingsverband is de combinatie van innovatie, ervaring en slagkracht. Vier bedrijven met de creativiteit, kennis, vakmanschap en software die een unieke mix vormen voor mobiele vraagstukken. Daarom is het ook logisch dat er zo veel uiteenlopende bedrijven uit allerlei sectoren op onze prijsvraag reageerden. We bieden een totaaloplossing die feitelijk in elke markt is toe te passen. Het toenemende gebruik van smartphones en tablets biedt veel nieuwe mogelijkheden om traditionele processen efficiënter in te richten.” Vliegende start dankzij prijsvraag Business At Your Fingertips eerste publieke optreden was een prijsvraag waarin bedrijven hun beste idee voor een intelligente mobiele app mochten indienen. Het moest een nieuwe app zijn die de voordelen van mobiele

technologie koppelt aan business intelligence. Het team van ISS Facility Services bedacht een app die schoonmakers helpt om hun werk beter, efficiënter en doelgerichter uit te voeren. De jury roemde het innovatieve scenario van ISS dat behalve mobiele technologie en business intelligence ook slim gebruikmaakt van sensoren en augmented reality. De oplossing wordt momenteel daadwerkelijk gerealiseerd en op maat gemaakt door de samenwerkende partijen. Een ander praktijkvoorbeeld, en een van de genomineerden, is verffabrikant PPG Coatings. De jury was onder de indruk van PPG’s idee voor een app waarin verfadviezen en mengrecepturen waren verwerkt, zodat buitendienstmedewerkers klanten op locatie van een gedetailleerd advies kunnen voorzien.


11

Markt Een goede leverancier ondersteunt alle cloud-aspecten

Voorkom dure misstappen door Edwin de Brave, Solutions Director bij Dimension Data

In welke fase van migratie naar de cloud een bedrijf zich ook mag vinden, er komen altijd weer nieuwe vragen op. Wat doen we met security? Waar komt mijn data te staan en wie is eigenlijk eigenaar van deze data? Hoe zijn de SLA’s ingeregeld? Hoe zorg ik ervoor dat ik voldoe aan (internationale) regelgeving? En hoe maak ik mijn organisatie klaar voor het beheer van cloud computing? Bedrijven realiseren zich dat er veel moet gebeuren, maar hebben over het algemeen onvoldoende inzicht in alle stappen die ze moeten doorlopen om ‘naar de cloud’ te gaan. Hierdoor starten ze projectmatige initiatieven zonder oog voor het grote geheel. Vaker wel dan niet resulteert deze aanpak in een valse start en dure misstappen.

Niet nadenken over een langetermijnmodel voor de cloud resulteert ook in discussies binnen organisaties, en dan met name binnen de IT-afdeling. Want kiezen we voor een private cloud, een publieke cloud of een hybride model? En kiezen we voor een ‘build your own’-model of voor een managed service? Ook de CIO, CTO en COO mengen zich in de discussie, elk op andere niveaus. Omdat de tijd echter dringt, implementeren veel organisaties de cloudoplossing die een kortetermijnprobleem oplost, met als gevolg dat ze de onderliggende architectuur met iedere volgende stap opnieuw moeten inrichten en integreren. Dit levert vertragingen op en staat de kosten- en productiviteitsvoordelen van de cloud in de weg. Terwijl het cloudinitiatief (mede) om die redenen was gestart. De juiste partner In een langetermijnstrategie voor cloud computing houdt een bedrijf rekening met de eisen en behoeften van elke afdeling, applicatie en rol binnen een organisatie. Deze strategie biedt het fundament voor de keuze van een cloudmodel en -oplossing die volledig tegemoet komen aan de bedrijfsvereisten, in welke fase van cloud-migratie ze zich ook bevinden. De keuze van de juiste partner is in deze fase essentieel. Cloud is tenslotte geen ‘hit & run’-project, maar vereist een grondige aanpak, waarbij rekening wordt gehouden met uiteenlopende factoren. Een goede cloudpartner kan in ieder geval de volgende zaken leveren: • Een wereldwijd, beheerd platform voor publieke, private en hybride cloud-modellen. • Security, controlemechanismen en reporting- en analysetools. Deze moeten passen bij de huidige netwerkinfrastructuur of de mogelijkheid bieden om het systeemtype te kunnen migreren zodat deze cloud computing ondersteunt. • De juiste SLA’s, niet alleen op servers, maar mogelijk ook op de connectie naar de infrastructuur. • Een webgebaseerde gebruikersinterface voor controle. • Aen applicatie-interface (API) die integratie met eigen systemen en systeembeheerapplicaties van derde partijen faciliteert.

12


• Diensten die applicatiemigratie, systeemintegratie en -beheer mogelijk maken. • Flexibele modellen die risico’s voor de bouw, inzet en ondersteuning van de cloud-infrastructuur verlagen. • Serviceleveringmodellen die investeringen verlagen, verschillende opties voor het delen van capaciteit bieden en die een gecombineerde inzet van publieke en private cloud mogelijk maken.

{

Cloud is tenslotte geen ‘hit & run’-project, maar vereist een grondige aanpak

Cloud-leveranciers schieten momenteel als paddenstoelen uit de grond. Storage-partijen, hostingproviders en andere organisaties willen een graantje meepikken van deze sterk groeiende markt. Toegegeven: veel van hen zijn prima in staat om (een vorm van) cloud-dienstverlening aan te bieden. Wat veel partijen echter missen, is kennis van alle aspecten die het succes van een cloud-initiatief bepalen: security, compliancy, networking en datacenters. De leverancier moet kritisch durven zijn en door middel van een diepgaande analyse bepalen of de infrastructuur klaar is om (gedeeltes ervan) onder te brengen in de cloud. Daarnaast moet een partner een businesscase kunnen leveren voor cloud-migratie en de eisen aan storage in kaart kunnen brengen, zodat de juiste storage-tier is te bepalen. Leveranciers zijn vaak lokaal actief, waardoor ze internationale groeiplannen van klanten niet kunnen ondersteunen. De zoektocht naar een partner met kennis van en ervaring in al deze aspecten zou eigenlijk de eerste stap moeten zijn. CloudWorks - April 2012

13

Markt Continuïteit waarborgen Is eenmaal de juiste partner gevonden, dan is het tijd voor interne keuzes. Een bedrijf en de cloud-leverancier bepalen gezamenlijk welke data en applicaties in aanmerking komen voor migratie. Daarnaast moeten ze afspraken maken over de manier waarop de legacyinfrastructuur wordt beheerd tijdens de migratieperiode. Het onderhoud van bestaande fysieke systemen kan een kostbare zaak zijn, terwijl het lokaliseren en oplossen van fouten vaak handmatig moet gebeuren. Goede afspraken hierover zijn echter essentieel, want de continuïteit van de bedrijfsvoering moet zijn gewaarborgd. Ook tijdens de transitiefase is ‘de winkel’ tenslotte gewoon open. Door onderhouds-windows vast te stellen, tests in te plannen, een pilotproject in kaart te brengen en heldere afspraken te maken over waar een bedrijf zelf en waar een cloud-partner verantwoordelijk voor is, zijn veel problemen te voorkomen. Het komt ook regelmatig voor dat de transitiefase wordt onderschat. Inzicht in de impact van deze fase en de gevolgen van cloud computing voor bandbreedte, latency, gebruikerservaring en netwerkkosten moeten een vast onderdeel zijn elk cloud-project. Dit geldt ook voor een plan van aanpak voor de uitfasering van legacy-systemen. Mobiliteit en de behoefte van eindgebruikers om overal en via verschillende apparaten toegang te hebben tot bedrijfsdata is ook een factor om rekening mee te houden. Hoe faciliteer je dit als bedrijf en zorg je ervoor dat ze zijn ingebed in de cloud-oplossing? Cloud-leveranciers die echt meedenken, nemen dit al in een vroeg stadium mee in de plannen.

14


Geen doel op zich Als bedrijf kies je niet voor de cloud omdat de concurrentie het ook doet. De keuze is ingegeven omdat cloud computing daadwerkelijk waarde oplevert. Net zo goed als cloud geen doel op zich of een nieuwe dienst is, maar een doorontwikkeling op het as-a-service-model. En zo verschillend als bedrijven zijn, zo verschillend zijn de fases waarin ze zich bevinden in hun weg naar cloud computing. De leverancier van keuze moet in al die fases ondersteuning bieden; ongeacht of een bedrijf aan het startpunt staat of al profiteert van enkele voordelen van de cloud. Zijn er nog geen stappen gezet? Dan moet de leverancier kunnen adviseren over in hoeverre een bedrijf klaar is voor de cloud. De stand van zaken voor wat betreft virtualisatie, datacenterconsolidatie en technologiearchitectuur worden dan in kaart gebracht. Flexibiliteit is ook van belang. Een leverancier die alleen publieke of private cloud-diensten levert, biedt niet de mogelijkheid om te migreren van het ene naar het andere cloud-model als veranderende omstandigheden daarom vragen. Een publieke cloud biedt capaciteit via een flexibele, gedeelde dienst en kent vaak een ‘pay-asyou-go’-betaalmodel. Een goede publieke cloud-dienst omvat CPU, RAM en storage on demand. De private cloud kent een ander prijsmodel, maar dan beschik je als organisatie over dedicated capaciteit en een dedicated service. Dimension Data biedt klanten de mogelijkheid een private cloud te (laten) hosten in hun eigen datacenter of in die van Dimension Data. Vaak maken de cloud-infrastructuur, implementatie, cloud-orchestratie, automatiseringtechnologie en beheer ook onderdeel uit

{

Als bedrijf kies je niet voor de cloud omdat de concurrentie het ook doet.

van de private cloud. Dan is er nog het hybride model, dat beide variaties combineert. Een cloud-leverancier die meedenkt en meegroeit met zijn klanten, biedt ze de mogelijkheid om te migreren van het ene naar het andere model. Plannen, bouwen en beheren van de cloud is complex. Een gestructureerde aanpak in elke fase van de migratie is essentieel voor het succes van cloud-initiatieven. Kiezen voor een leverancier met kennis van netwerken, datacenters, systeemintegratie en security voorkomt kostbare misstappen. Tegelijkertijd zorgt het samen optrekken met de juiste partner die de flexibiliteit biedt om te migreren van het ene naar het andere cloud-model – publiek, privaat, hybride en in eigen datacenters of van de leverancier – ervoor dat bedrijven de risico’s die komen kijken bij de cloud minimaliseren. Zijn al deze facetten in orde, dan staat niets een ongestoorde overstap naar de cloud nog in de weg.


15

Trend

apparatuur, maar het gaat wel om systemen die wij zelf hebben gecontroleerd en waarvoor wij ook zelf garantie afgeven en waar wij service voor verlenen.”

Mike Sheldon van Network Hardware Resale (gebruikte IT-apparatuur):

‘Het gaat om meer dan alleen prijs’ door Robbert Hoeffnagel, Journalist De belangstelling van IT-managers voor gebruikte IT-hardware groeit sterk, constateert Mike Sheldon, topman van Network Hardware Resale. “Daarbij gaat het echter zeker niet alleen maar om het prijsvoordeel. Snelheid van leveren is in veel gevallen ook een belangrijke reden om voor ‘pre-owned hardware’ te kiezen.”

In Lijnden – net buiten Amsterdam – is het EMEA-hoofdkantoor gevestigd van Network Hardware Resale. Dit Amerikaanse bedrijf houdt zich al sinds 1986 bezig met het leveren van tweedehands netwerkapparatuur. Wat ooit begon als een lucratieve handel in gebruikte Cisco switches en routers, is inmiddels uitgegroeid tot een internationale operatie voor het leveren van gebruikte én nieuwe netwerkapparatuur van merken als Cisco, Juniper, Brocade/Foundry, Force10 (sinds kort onderdeel van Dell) en bijvoorbeeld Menara Networks (optische transportnetwerken). Het bedrijf zet inmiddels ruim 250 miljoen dollar om, waarvan ongeveer een kwart in EMEA. Het afgelopen fiscal jaar leverde het bedrijf een half miljoen switches en routers aan klanten. Mike Sheldon van Network Hardware Resale: “Voor veel IT-managers geldt dat een drie jaar oude switch goed genoeg is.”

Good enough “Voor highend klanten – denk aan de grote financiële instellingen – geldt dat zij altijd het nieuwste van het nieuwste en het snelste van het snelste willen hebben”, zegt Mike Sheldon, chief executive officer van Network Hardware Resale. “Daar staat tegenover dat een drie jaar oude switch voor veel andere bedrijven en overheidsorganisaties vaak nog uitstekend voldoet. Veel IT-managers zien helemaal geen noodzaak om ieder jaar weer veel geld te investeren in hun netwerk, om de eenvoudige redden dat het nog prima voldoet. Natuurlijk gaat er wel eens een systeem kapot of willen zij hun netwerk uitbreiden. In dat sort gevallen kiezen zij liever voor de merken en modellen die zij al hebben staan. Alleen blijkt dan al snel dat een bedrijf als Cisco die niet meer levert. Maar wij wel.” Interessant hierbij is allereerst het prijsverschil. “Afhankelijk van merk en type zijn wij in staat om netwerkapparatuur te leveren tegen pakweg 70 procent lagere kosten dan de fabrikant zelf. Natuurlijk leveren wij dan gebruikte

16


Levertijden Zeker in deze economisch lastige tijden is een prijsvoordeel van 70 procent natuurlijk aantrekkelijk. “Het is echter vaak niet de enige reden waarom IT-afdelingen bij ons kopen. De basis van onze business bestaat uit een grote database waarin wij van een zeer groot aantal merken, modellen en typen apparatuur alle belangrijke kenmerken vastleggen. Bovendien houden wij exact bij hoeveel we van welk type op voorraad hebben en waar: hier in EMEA, in Santa Barbara waar ons hoofdkantoor staat of in Singapore waar onze activiteiten in het Verre Oosten zijn geconcentreerd. Hierdoor kunnen we vaak binnen enkele dagen een bepaald type netwerkapparaat leveren. Dat geldt overigens niet alleen voor gebruikte netwerksystemen, maar ook voor nieuwe apparatuur. Van bijvoorbeeld Force10 of Foundry leveren wij namelijk ook nieuwe systemen. Door onze sterk geoptimaliseerde supply chain zijn wij vaak in staat veel sneller te leveren dan de oorspronkelijke fabrikant.” Waar haalt Network Hardware Resale de gebruikte apparatuur eigenlijk vandaan? “Wij kennen een programma voor wat wij noemen ‘asset recovery’. Wij kunnen ITafdelingen niet alleen helpen als het gaat om het leveren van apparatuur, maar zijn ook zeer geïnteresseerd in de overtollige apparatuur van een datacenter. Soms verkopen wij een IT-afdeling apparatuur en nemen wij de systemen die worden vervangen van hen over. In andere gevallen sluiten we met datacenters asset managementovereenkomsten waarbij wij apparatuur innemen die zij zelf niet meer gebruiken.” Controleren ‘Pre-owned’ zal voor veel IT-managers toch een risico inhouden. “Dat snap ik”, zegt Sheldon. ”Daarom gaan wij ook heel zorgvuldig om met de tweedehands apparatuur die wij aan klanten leveren. Alle apparatuur wordt door onze technische dienst gecontroleerd. Systemen die ooit gerepareerd zijn, komen niet in de verkoop, maar voeren wij af. Daarnaast wordt alle apparatuur grondig gecontroleerd, zodat wij onze klanten kunnen garanderen dat de door hen gekochte netwerkapparatuur honderd procent correct functioneert. Diezelfde technische dienst configureert ook alle apparatuur die wij leveren, zorgt voor het plaatsen van de juiste modules en dergelijke. Daarnaast zien we ook meer en meer vraag ontstaan naar software-diensten. Denk daarbij aan het upgraden van de systeemsoftware van apparatuur naar de laatste versie.” De relatie tussen leveranciers van pre-owned apparatuur en de oorspronkelijke fabrikanten is vaak complex, erkent Sheldon. “We worden nog wel eens gezien als concurrent, terwijl je ook heel anders naar die relatie kunt kijken. Een klant die tweedehands netwerkapparatuur via ons

{

“Om klanten optimaal te kunnen bedienen, is het voor hostingbedrijven en datacenters van cruciaal belang dat zij scherp inkopen en per direct beschikken over apparatuur”

aanschaft blijft in ieder geval wel zijn merk trouw en stapt niet over naar een concurrent. Dus voor de fabrikant geldt dat wij weliswaar die verkoop doen, maar dat de klant wel voor zijn wereld behouden blijft en dus op termijn gevoelig kan zij voor een upgrade naar een nieuwe generatie hardware.” Dell Lang niet alle fabrikanten hebben echter problemen met aanbieders als NHR. “Voor Force10 bijvoorbeeld geldt dat zij een gespecialiseerd datacenterproduct leveren en die markt is eigenlijk nog wat klein voor een tweedehandsmarkt. Dus leveren wij daar nieuwe apparatuur die we rechtstreeks van de fabrikant betrekken. Die ziet ons als onderdeel van zijn leveringskanaal naar de markt. En aangezien wij via pre-owned Cisco-apparatuur bij veel datacenters over de vloer komen, is het voor hen natuurlijk heel aantrekkelijk dat wij ook hun datacenterproduct aan onze klanten kunnen aanbieden.” Daarnaast geldt dat NHR zelf ook naar een verbreding van zijn productengamma kijkt. “Wij zijn bijvoorbeeld met Dell in zee gegaan en zijn nu formeel Premier Dell Partner. Dit betekent dat wij nu de volledige op enterprises gerichte reeks server-, storage- en netwerkapparatuur van Dell kunnen leveren. Dat is een belangrijke verbreding van ons pakket.” “De cloud speelt daarbij steeds vaker een hoofdrol. Voor ons is de cloud dan ook een zeer interessante ontwikkeling”, zegt Sheldon. “Veel IT-afdelingen en hosting-bedrijven investeren volop in het verder uitbreiden en verbeteren van hun datacenter en hun network zodat zij cloud computing services aan interne of externe klanten kunnen leveren. Om die klanten optimaal te kunnen bedienen, is het voor die datacenters van cruciaal belang dat zij scherp inkopen en per direct kunnen beschikken over de apparatuur die zij nodig hebben om hun dienstverlening aan te bieden. Dat is een uitdaging waar wij prima op kunnen inspelen.” CloudWorks - April 2012

17

Opinie Security-problemen

Zwarte Pieten over verantwoordelijkheden ‘Hackers maken wachtwoorden buit bij Proserve via Plesk-lek’. Dit kopte de website Tweakers op dinsdag 6 maart 2012 naar aanleiding van inbraken op lekke Plesk-servers. De redactie wekt hiermee de suggestie dat de betreffende hoster zijn zaken niet op orde heeft. Dit toont vooral de lastige positie van hosters en serviceproviders aan, want de feiten liggen anders.

door Michiel Steltman, Dutch Hosting Providers Association Professionele hosters – zoals Proserve – hanteren een beleid waarbij ze actie ondernemen bij de eerste signalen van leveranciers of betrokkenen. Zij adviseren klanten direct om patches te installeren. Ook in dit geval is dat gebeurd. Op de site van Proserve is te zien dat direct is gereageerd op de melding van Plesk-leverancier Parallels. Voor een veilig eindresultaat zijn echter naast de hoster ook de softwareleverancier en de klant nodig. De leverancier moet snel gaten in de software melden en de klant moet de adviezen direct opvolgen. Uit angst voor imagoschade verzuimt de leverancier soms om lekken in software te melden. Verder komt het voor dat klanten het risico onderschatten en adviezen gewoon in de wind slaan. Met als gevolg de situatie zoals geschetst in Tweakers. 18


Wettelijk verantwoordelijk Bij de levering van online diensten en sites zijn meerdere partijen betrokken. Hosters en serviceproviders verlenen toegang tot het internet en leveren datacenter- en computercapaciteit. Zij leveren die diensten aan de klant, die software op de server installeert, content plaatst of laat plaatsen door een derde. Als het gaat om opslag van persoonsgegevens is de klant zelfs wettelijk verantwoordelijk voor de kwaliteit en veiligheid van de installatie. Hij heeft de rol van ‘verantwoordelijke’ in de zin van de WBP. Veel klanten hebben echter onvoldoende kennis; ze onderschatten de risico’s van slecht onderhoud en het ontbreken van procedures voor informatiebeveiliging schromelijk. De actie ‘Lektober’ van Webwereld toonde aan dat sommige

gemeentes geen idee hadden hoe ze hun site of applicatie up-to-date moesten houden. Ze waren in de veronderstelling dat het wel mee zou vallen of dat het voor ze geregeld zou worden. Getuige het artikel op Tweakers krijgt de hoster vaak de zwarte piet toegespeeld als het mis gaat. Sterker nog, velen zien de hoster als de partij die verantwoordelijk is voor het voorkomen van datalekken, tegenhouden van illegale content, handhaving van auteursrechten, opsporen van kinderporno, blokkeren van illegale activiteiten, en ga zo maar door. Dit terwijl het principe van netneutraliteit hosters, internet-serviceproviders en telecomleveranciers juist verbiedt om de data van hun klanten te inspecteren.

Onbegrip Het onbegrip over de inrichting van de online leveringketens en de conflicten met betrekking tot rollen en verantwoordelijkheden uit zich ook in de houding van media, wetgever en opsporingsdiensten. Vanuit de onmacht bij het zoeken naar schuldigen slaan deze dan de plank mis en krijgen onschuldigen de zwarte piet toegespeeld. Recente kwesties illustreren dit. De vervolging van Megaupload leidde tot een ingreep bij hoster Leaseweb, waardoor deze in een lastig positie kwam. Door de ‘botte bijl’-methode werd daarbij ook schade toegebracht aan andere gebruikers. Bij de uitspraak van BREIN versus XS4ALL in de kwestie The Pirate Bay werd XS4ALL verplicht mee te werken aan het blokkeren, op straffe van een dwangsom. Dit terwijl

XS4ALL op geen enkele wijze zakelijk was betrokken bij The Pirate Bay. Bij de voorgestelde wetgeving voor meldingsplicht van datalekken is het niet ondenkbeeldig dat een hoster met de wijsheid achteraf een boete krijgt opgelegd, omdat hij er niet in slaagt om een bende van internationale criminelen tegen te houden.

Hosters spelen een cruciale rol bij het functioneren van grote delen van de economie. Cruciale centrale functies, zoals betaalsystemen en online registers, worden tegenwoordig gehost. Zonder deze systemen komen processen en hele sectoren krakend tot stilstand. Hosters hebben een eigen verantwoordelijkheid als het gaat om het voorkomen van ongeautoriseerde beheertoegang en toegang

tot apparatuur. Deelnemers van de Dutch Hosting Provider Association (DHPA) nemen die verantwoordelijkheid serieus en doen er alles aan om hun aandeel in de beveiliging en continuïteit te borgen. Bot ingrijpen in infrastructuur en hosters in de tang nemen is dan niet de oplossing. Beter is het om hosters te beschermen tegen doldrieste acties van handhavers en belangenorganisaties. Daarvoor is het zaak maatregelen en wetten af te stemmen op de specifieke rollen, activiteiten en verantwoordelijkheden in de online keten. Kortom: de wetgever moet de taal van de online wereld omarmen, in plaats van termen uit vorige eeuwen gebruiken. De DHPA biedt aan om samen met overheid en industrie modellen te ontwikkelen, die door de wetgever en handhavers dan effectiever zijn toe te passen voor het borgen en handhaven van online veiligheid en privacy. Deze aanpak laat hosters en providers als faciliterende partijen in hun waarde en stelt ze in staat hun werk effectief te blijven doen. CloudWorks - April 2012

19

Technologie Microsoft Azure nader bekeken:

Cloud en platform-security door Erik de Ruijter,

RI

Beveiliging onderscheidt zich grofweg in ‘user’ en ‘platform’. Het ene kunnen we definiëren als de toegangsrechten per persoon, het ander is de globale systeembeveiliging tegen elk ongewenst gebruik. Voor cloudsystemen geldt deze tweedeling nog steeds. Hoewel de cloud sommige platform-verantwoordelijkheden voor ons oplost brengt het ook nieuwe securityrisico’s, en blijven sommige oude beveiligingsproblemen gewoon bestaan. Hoe is dit geregeld bij het Azure-cloudplatform van Microsoft?

De belangrijkste insteek van dit artikel is platformbeveiliging bij clouds, met Azure als voorbeeldplatform. Om de problematiek te schetsen, is het onvermijdelijk eerst de cloud-wereld te duiden. Ook moeten we de afbakening met user security, en met juridische complicaties van confidentialiteitsbeveiliging ofwel encryptie, helder krijgen. Cloudservices bestaan grofweg in drie smaken: • IaaS - Infrastructure as a Service biedt ons ‘virtuele hardware die extern gehost is’. Voor grote delen van het beheer, zoals operating system en alle applicaties daarbinnen of het opslag-gebruik, zijn we nog altijd zelf verantwoordelijk. • PaaS - Platform as a Service biedt ons ‘applicatieservercapaciteit buiten de deur’. We bouwen en onderhouden nog steeds zelf de software, maar alle onderliggende zaken zoals CPU-capaciteit en database-functies kopen we vanuit de provider-kraan in. • SaaS - Software as a Service is de opvolger van de aloude ASP (Application Service Provider). We ‘kopen’ gebruiksrecht op extern gehoste en gedeelde software, waar natuurlijk wel vaak onze bedrijfsdata afgescheiden te vinden zijn. Net zoals Gmail of Hotmail gewoon SaaS-mailboxen bieden, met gratis en betaalde versies. Ook behoorlijk technische en infrastructurele services als virusscan en firewall in de cloud of Virtual Private Servers bij hostingbedrijven zijn in principe SaaS. Alles wat we als klant doen is immers (laten) configureren, niet programmeren zoals bij PaaS of overall technisch beheer zoals bij IaaS. Let wel: SaaS kan prima intern weer PaaS of IaaS gebruiken. Er zitten bijvoorbeeld heel wat SaaS providers op Azure, Amazon of Google. Dat is totaal irrelevant voor ons als gebruiker, wij ‘zien’ slechts de SaaS-functies. Twee vuistregels over de beveiliging alvast: • Bij IaaS is er eigenlijk geen specifieke cloud user security, want de hele VM valt evenzeer onder ons beheer als wanneer hij lokaal zou draaien. Voor PaaS en SaaS

20


is user security wél cloud-specifiek, met afspraken zoals SAML en identity federation. Azure biedt overigens ook uitstekende oplossingen op dit vlak via Azure Access Control Service. • Bij SaaS is er juist vrijwel géén specifieke cloud platform security, want hier is het hele platform een ‘zwarte doos’ onder beheer van de provider. Voor PaaS en IaaS hebben we hier als klant meer werk te doen. CIA Bij beveiliging, ook op platformgebied, draait het om te afkorting CIA: vertrouwelijkheid (Confidentiality), betrouwbaarheid (Integrity) en beschikbaarheid (Availability). De beschikbaarheidsdimensie ligt vrijwel volledig bij de cloud provider, hoewel zeker bij IaaS ook de afnemer nog keuzen en plichten heeft. Schoolvoorbeeld daarvan is een forse, dagenlange storing in een Amazon EC2-datacenter vorig najaar, die wel de ‘luie’ klanten trof maar niet de ‘slimme’ klanten, want die hadden geheel conform Amazon policy de applicatie over meerdere EC2-datacenters verspreid. Betrouwbaarheid zit deels in het PaaS platformontwerp en deels in de klantkeuzen, en bij vertrouwelijkheid spelen klantbeslissingen de grootste rol. Hier geldt een specifiek cloud-probleem, omdat ‘alle data die buitenshuis liggen niet alleen voor de provider maar in principe ook voor overheidsbemoeienis open staan’. De Europese wetten staan data-inzage toe (let wel: zonder melding aan de eigenaar!) na een wettelijk doorzoekingsbevel en de Amerikaanse Patriot Act gaat nóg een vrij fundamentele stap verder, omdat het ook diensten zoals de CIA doorzoekrechten geeft. Dat geldt voor alle datacenters en dochterbedrijven van Amerikaanse hosters, zoals ook Amazon en Microsoft. Op specifieke vragen antwoordt Microsoft slechts in vrij algemene bewoordingen zoals: “Microsoft speelt zeker niet ‘zomaar’ data aan overheden door. Onze duidelijkheid en transparantie geldt ook zeker hoe Microsoft omgaat met de data van klanten, de eigenaar van de data bepaalt de

toegang, andere partijen wordt toegang tot die data geweigerd. Er zijn juridische afspraken onder welke condities informatie beschikbaar moet worden gesteld binnen de EU, en dergelijke regelgeving is ook met de US afgesproken. Een normaal juridisch kader. Als bedrijven buiten de NL landsgrenzen opereren moet men immers aan internationale weten regelgeving voldoen. Microsoft zal hier altijd transparant in optreden.“ De Amerikaanse Patriot Act is echter beduidend ruimer dan wat wij in Nederland een normaal juridisch kader vinden. Punt van aandacht hierbij is dat ook Microsoft bij elke juridische opdracht tot het leveren van data dat níet aan de data-eigenaar mag melden, geclaimde transparantie of niet. Terug naar de technische gevolgen. Het medicijn voor bedrijven die bang zijn voor pakweg bedrijfsspionage-metoverheidssteun is simpel: dataversleuteling in de cloud ofwel encryptie. Dit kan uitstekend bij alle goede IaaS- en PaaS-diensten waaronder Azure. De crux zit ‘m er in om ervoor te zorgen dat de decryptie-sleutels níet bij dezelfde cloud provider staan of voor die provider onzichtbaar zijn. Een IaaS-VM is sowieso qua inhoud ontoegankelijk voor de hoster. Wie extra voorzichtigheid wil betrachten, zorgt er bij Azure voor dat de encryptie-techniek van third parties zoals PGP is en niet Windows PKI.

Fig. 1: Basis-opzet Azure CloudWorks - April 2012

21

Azure-rollen Voordat we de echte beveiliging van Azure kunnen langslopen, is eerst een tweede ronde verkenningen nodig n wel die van de diverse Azure-opties en ‘roles’. Die onderscheiden zich in twee niveau’s. De eerste is de role. Die vertaalt zich naar ‘type VM dat we consumeren’. Elke role zelf kan weer de Azurebouwstenen qua PaaS/IaaS services afnemen: Storage (files of database), Compute voor rekenwerk en Fabric voor configuratie. Die kennen dan nóg een niveau dieper aan componenten, zoals een service bus en (user) access control. Er zijn drie roles: • Web, bedoeld voor VM’s die browser-facing zijn; er zit een IIS web server aan boord. • Worker, bedoeld voor de ‘achterste’ lagen van een meerlaags applicatie dus zonder browsercontact.

Dat komt omdat PaaS-programmering altijd op belangrijke punten anders moet dan ‘lokale’ programmering. Dit wordt opgelegd door de cloud-situatie met latency en extreme schaalbaarheid. Daarnaast komt het misschien ook wel, omdat er slechts twee grote PaaS-spelers op de markt zijn: Google (AppEngine) en Azure. Beide aanbieders hebben er dus baat bij zoveel mogelijk soorten development te bieden. Azure biedt natuurlijk .Net (niet alleen C#, maar ook VB.Net en dergelijke), maar ook Javascript (‘node.js’), Java en PHP. Daarnaast biedt Azure een basislaag op een Windows VM die ook C++ of Python aan kan. Evenals Hadoop (big data-analyse), maar dat is een eigen library bedoeld voor meerdere ontwikkeltalen. De hele applicatieserver op de VM kunnen we eenmalig uploaden en dan als onderdeel van onze Azure-applicatie gebruiken. In het bouwen of kiezen van die server-laag moet natuurlijk wel voldaan worden aan de basiseisen van Azure zoals het geheel stateless werken en geen ‘lokale programmering’ aannames doen, zoals CPU-claims of geheugenallocatie.

• VM Deze laatste is nogal een buitenbeentje, want het is pure IaaS en geen PaaS. Momenteel ondersteunt Azure alleen Windows VM’s. De positionering is ook echt bedoeld voor ‘geleidelijke migratie van een zelfbouwapplicatie naar Azure programmering, maar wél al in de cloud hosten’. Geruchten in de media spreken ook over toekomstige Linux VM-support. Als ze bewaarheid gaan worden, dan zou dat verhaal van alleen-voor-geleidelijke-migratie toch wat moeten gaan veranderen. Overigens zouden we ook de Storage-bouwsteen IaaS kunnen noemen, want deze is ook vanaf lokaal op onze eigen servers draaiende applicaties aanroepbaar via RESTful services. Een ander buitenbeentje, niet zozeer als role maar als hosting, is de Azure appliance. Dit is een ‘zwarte doos’ (een server) waarmee Azure-applicaties in ons eigen datacenter kunnen draaien, dus zonder de niet onaanzienlijke kloof tussen lokale programmering (.Net en dergelijke) en PaaS-programmering die de hele markt kent. Microsoft positioneert de appliance onder andere voor applicaties waar we wél cloud-voordelen qua beheer willen, maar bijvoorbeeld door WAN-latency of privacywetgeving niet volledig extern kunnen gaan. De appliance is nog in ‘proeffase’, ook bij grote klanten. De exacte productformule inclusief beheer-taakverdeling moet nog bepaald worden. Potentie heeft het echter ook qua beveiliging. Bepaalde data die persé niet in de public cloud mag komen, zouden we on-premise kunnen plaatsen en toch in een hybride Azure-applicatie kunnen meenemen. PaaS-programmeren Het tweede niveau van onderscheid zit ‘m in de PaaSprogrammeeromgeving. Hier geldt veel minder dan in het lokale datacenter de stammenstrijd .Net versus Java. 22


Fig. 2: Management portal met Azure test-dialoog Betrouwbaarheid en vertrouwelijkheid Omdat beschikbaarheid (met uitzndering van de VM role) standaard door Azure geregeld wordt, kijken we vooral naar Integrity en Confidentiality voor de roles van Worker en Web. Dat is de kern van het PaaS-stuk van Azure. De VM role is zoals gezegd het IaaS-buitenbeentje en kent veel minder verschil met een gewone lokaal in het datacenter draaiende applicatie. Betrouwbaarheid leunt op twee zaken: een gedegen mechanism voor toegangscontrole en een gedegen inrichting en gebruik daarvan. Het mechanisme zit grotendeels ‘ingebakken’ in Azure. Er wordt bijvoorbeeld afgedwongen dat zowel programmacode als het VM-OS zelf read-only zijn voor gewone Azure-sessies. Alleen voor specifieke taken zoals softwaredistributie of MS OS-updates zijn changes toegestaan. Ook is er goed nagedacht over ‘rolling updates’, door Microsoft zelf of van onze applicatie, zodat er altijd nodes draaien die het verkeer afhandelen. Met andere woorden: tijdens de verbouwing blijft de winkel open.

Tegen malware kan alleen beschermd worden door volgens het boekje Azure te programmeren. Er kan geen scanner of iets dergelijks worden geïnstalleerd. Met uitzondering van de VM-role natuurlijk, daar is de hele VM van de klant en die moet ook Forefront of een andere malware-beschermer draaien. Access control Tot slot geldt in principe overal role-based access control. Voor de Azure-functies zelf is dat het user security-stuk, maar RBAC (Role Based Access Control) geldt ook voor alle beheertaken en voor bijvoorbeeld SQL-opslag. Nu komen we op de tweede, vaak zwakkere, betrouwbaarheidspijler: gedegen gebruik van de mogelijkheden. Hier ligt de verantwoordelijkheid precies zoals bij ‘lokale’ applicaties gewoon bij de klant. Hoe richten we dataopslag in? Met een ‘task-id’ dat de applicatie kent of op basis van de echte web-gebruiker? En wie hebben precies update-rechten op een applicatie en kunnen via ‘zijdeuren’ het systeem aanpassen en helpen, de goede kant op danwel ‘van de wal in de sloot’? Wordt dit zodanig ingericht dat we altijd de identiteit van de echte (beheers-)gebruiker kennen en kijkt een onafhankelijk persoon naar de Azure beheer-logs hierover? Het zijn allemaal aandachtspunten waarbij belangrijk is te beseffen dat dit in een PaaS cloud niet verander. Het is dus nog steeds even sterk of zwak is als het eigen beveiligingsregime van de gebruiker. Azure biedt de best mogelijke mechanismen, net zoals pakweg Windows Server of enterprise level Linux en waarbij geldt: ‘waar dat kan, wordt u de verantwoordelijkheid uit handen genomen als deel van het cloud-concept’. Maar in tegenstelling tot zoals het bij SaaS vaak gaat, hebben we bij PaaS nog heel wat eigen verantwoordelijkheid over en die kunnen we maar beter goed invullen.

mogelijkheden die ook lokale .Net-programmering biedt. Specifiek voor cloud-situaties – en dat geldt voor gebruik van zowel Azure en elke andere provider - geldt dan nog het boven gegeven advies: zorg ervoor dat de decryptiesleutels níet bij dezelfde cloud provider staan of voor die provider onzichtbaar zijn. Dus gebruik combinaties van meerdere providers of zelfs een key store die gedeeltelijk in het lokale datacenter staat. Op die manier kan zowel een kwaadwillende crimineel als een mogelijk goedwillende maar toch ongewenste overheidsinstantie nooit makkelijker bij onze data dan in de aloude ‘my datacentre is my castle’ situatie.

Fig. 3: Schaalbaar ontworpen Azure applicatie Cloud-balans De hoofdconclusie is dat Microsoft Azure zijn naam als leidend PaaS-aanbiederwaar maakt en alle mogelijkheden voor beveiliging biedt. Maar - en dat is evenzeer de conclusie van dit artikel - er blijven in een cloud-situatie nog genoeg platform-verantwoordelijkheden op onze eigen klantschouders liggen. Zoals het op sluitende wijze inrichten van de Role Based Access Control op alle technische resources. Aanvullend kunnen we, als vertrouwelijkheid van de informatie voor ons cruciaal is, nog de nodige inspanning steken in data-versleuteling. Gebruik makend van de standaardfuncties van Azure of juist doelbewust (ook) van encryptie waar de cloud provider, zelfs met een overheidsbevel, niet doorheen kan komen. Het is allemaal deel van de afwegingen die we maken bij cloud-inzet. Platformbeveiliging is een zeker niet onbelangrijke dimensie voor clouds.

Vertrouwelijkheid Vertrouwelijkheid, de tweede dimensie die we met Azure bekijken, heeft deels te maken met RBAC en deels met het echt technische platformgebeuren. Dat laatste is degelijk ingebakken in Azure. Er is bijvoorbeeld gegarandeerd dat alleen ‘valide’ software geïnstalleerd wordt, afkomstig van het user account en de PKI-sleutel die de service-afnemer zelf gespecificeerd heeft. Ook zijn heel wat technische taken standaard afgeschermd; remote debugging bijvoorbeeld of Terminal Services naar de Azure-VM’s zelf. Microsoft zet deze taken ‘optioneel’ open, maar dan wel met extra contracten vol disclaimers dat de klant hiermee extra risico’s schept en accepteert. Voor een normale, licht tot middelzwaar uitgevoerde Azure-applicatie moeten we als klant zonder deze technische taken kunnen. Een extra laag ‘vertrouwelijkheid’ die wél extra performance en CPU-gebruik kost, is encryptie. Azure biedt zowel een eigen key store (in principe alleen voor de klant inzichtelijk) als alle Cryptographic Service ProviderCloudWorks - April 2012

23

Event

in samenwerking met bicsi, dhpa, eurocloud nl en it room infra Met ondersteuning van o.a: Active Power All IT Rooms

dcw-congres DataCenterWorks-Voorjaarscongres 2012

thema: de impact van de cloud op het datacenter

AssetGen DataContainer Deloitte Emerson Network Power

Schrijf u nu in!

Dat heeft grote gevolgen voor de technische infrastructuur van het datacenter. Maar wat zijn die gevolgen nu precies? Dat thema staat centraal op het Voorjaarscongres 2012 dat DatacenterWorks in samenwerking met kennispartners 24


BICSI, DHPA, EurocloudNL en IT Room Infra en sponsoren AssetGen, DataContainer, Deloitte, Emerson Network Power, Newave, PonPower, profITbox, Schäfer IT-Systems, Schneider Electric en Wagner organiseert.

Dagvoorzitters: Robbert Hoeffnagel hoofdredacteur DatacenterWorks

Belangrijke onderwerpen die ter sprake komen zijn onder andere: • s tandaardisatie van computerruimtes om optimaal in te spelen op de cloud

Met sprekers van onder andere: TüV IT, EuroCloud NL, Dutch Hosting Provider Association (DHPA), Active Power, All IT Rooms, AssetGen, BICSI, Deloitte, IT Room Infra, Newave, Schäfer IT-Systems en Schneider Electric Tijdens het congres vinden tevens twee Live Talkshows plaats! Registreer op: www.datacenterworks.nl/congres

• d e voor- en nadelen van datacenters-ineen-container versus op maat gebouwde datacenters •m onitoring van de technische infrastructuur

Joop Ierschot voorzitter BICSI Benelux

PonPower profITbox

scan de QR-code of surf naar www.datacenterworks.nl/congres

datum: 24 mei 2012 locatie: rdm campus - rotterdam adres: heijplaatstraat 23, 3089 jb rotterdam registreer op www.datacenterworks.nl/congres deelname is gratis Programma De opkomst van Cloud Computing heeft een ongekende impact op de manier waarop bedrijven en overheidsorganisatie hun informatievoorziening aanpakken en organiseren. Het belang van het datacenter groeit hierdoor enorm. De klant stelt steeds hogere eisen aan beschikbaarheid, kosten en flexibiliteit.

Newave

Schäfer IT-Systems Schneider Electric Wagner

Attentie BICSI-leden:

BICSI Credits Inside!

Het DatacenterWorks Voorjaarscongres 2012 wordt georganiseerd in samenwerking met BICSI. Deelname aan de conferentie geeft recht op BICSI CECs (Continuing Education Credits) die gebruikt kunnen worden om aan de blijvende vormingsvoorwaarden voor BICSI-certificeringen te voldoen. CloudWorks - April 2012

25

Praktijk De frequentie, geavanceerdheid en diversiteit van netwerkaanvallen nemen zienderogen toe. Als gevolg hiervan komen conventionele stateful beveiligingsvoorzieningen aan de rand van het datacenter zwaar onder vuur te staan. Er is een nieuwe beveiligingsarchitectuur nodig die datacenters effectief beschermt tegen moderne aanvallen en tegelijkertijd de investeringskosten, ofwel capex, aanzienlijk terugdringt. Afnemers van cloud- en hosted toepassingen maken zich meer zorgen over beveiliging, dan functionaliteit. Door een nieuwe security-aanpak, zou dat niet langer hoeven.

door René Oskam,

F5 Networks

Application Delivery Controllers bieden nieuwe mogelijkheden

Firewalls voor datacenters De afgelopen 25 jaar waren stateful firewalls het kloppende hart van de beveiliging aan de rand van datacenters. Er beginnen zich echter gebreken te vertonen in conventionele, op firewalls gebaseerde architecturen. Cybercriminelen maken namelijk gebruik van nieuwe technieken en wereldwijde botnets om dit traditionele beveiligingsschild tot een risico om te vormen, en wel precies op het moment waarop dat schild het meest nodig is. Het soort bedreigingen is in de loop der jaren aanzienlijk veranderd. Traditionele firewalls zijn in staat om simpele netwerkaanvallen af te slaan, en zogenaamd geavanceerde firewalls kunnen een oplossing bieden voor kwetsbaarheden in het uitgaande verkeer van zakelijke datacenters. Desondanks kan alleen een nieuwe architectuur voor datacenter-firewalls, waarbij aan de rand van het netwerk gebruik wordt gemaakt van volledig proxy Application Delivery Controllers (ADC) met een hoge verbindingscapaciteit, de naleving van beveiligingsstandaarden 26


waarborgen. Een dergelijke architectuur kan kosten besparen door een einde te maken aan de noodzaak om firewall-apparatuur aan te schaffen en op te waarderen, en optimaal gebruik te maken van de overige ICT-bronnen binnen het datacenter. Drie aanvalscatogorieën Toekomstgerichte organisaties zijn momenteel bezig om hun beveiligingsdiensten te convergeren om, naast de traditionele netwerkaanvallen, bescherming te bieden tegen de twee belangrijkste nieuwe aanvalscategorieën waarmee hun datacenter wordt geconfronteerd: • Complexe DDoS-aanvallen (gericht op HTTP en DNS) • Kwetsbaarheden op applicatieniveau Nieuwe oplossingen voor datacenterfirewalls bieden een complete, geïntegreerde oplossing die bescherming biedt tegen elk van deze aanvalscategorieën. Dit omvat het beheer van het netwerkverkeer en firewall-services, de implementatie en het gebruik

van DNSSEC en DNS Express om cruciale DNS-services te beschermen tegen DoS-aanvallen en pogingen tot kaping, en firewall-services die bescherming bieden tegen de belangrijkste bedreigingen voor webapplicaties (de OWASP Top 10). Om de oplossing compleet te maken is ook voorzien in veilig beheer van de internettoegang en single sign-on (SSO) voor (cloud-)applicaties. De keuze voor datacenter-firewalls is traditioneel gebaseerd op selectiecriteria zoals certificering, investeringskosten en de prestatie. Omdat firewalls worden beoordeeld op hun doorvoercapaciteit is het eenvoudig om de investeringskosten af te zetten tegen de maximale omvang van het inkomende verkeer die de firewall kan verwerken. Toch is ‘bulkdoorvoer’ niet waar het allemaal om draait. Tijdens een gedistribueerde denial-of-service (DDoS)-aanval is het belangrijk hoe de firewall omgaat met gelijktijdige verbindingen en het aantal verbindingen per seconde.

Doorvoercapaciteit Een doorsnee conventionele firewall van 37.000 euro biedt gemiddeld een doorvoercapaciteit van 10 Gbps. Dit zou genoeg moeten zijn om een kleine of middelgrote aanval af te slaan. Maar firewalls uit deze categorie kunnen slechts tussen de 1 en 2 miljoen gelijktijdige verbindingen aan. Inmiddels is bekend dat de WikiLeaks-hackers in 2010 met slechts één botnet met het grootste gemak meer dan 2 miljoen gelijktijdige verbindingen wisten te genereren, waardoor firewalls overal in de Verenigde Staten het lieten afweten. Voor een conventionele firewall die een betere prestatie biedt voor gelijktijdige verbindingen (4 tot 10 miljoen verbindingen per seconde), komen de kosten al snel uit op zo’n 75.000 tot 111.000 euro. Hetzelfde geldt voor het aantal verbindingen per seconde. Wanneer een conventionele firewall een stateful inspectie uitvoert, verslechtert de prestatie bij elke tot stand gebrachte TCP-sessie. Een andere beperking van firewalls die op een conventionele architectuur

zijn gebaseerd, is het vermogen om het volledige spectrum van geavanceerde aanvallen af te slaan; aanvallen gericht op het volledige netwerk en ecosysteem van applicaties. Oplossingen om deze sterk variërende aanvallen tegen te gaan, worden traditioneel los van elkaar geïmplementeerd, en zijn ontwikkeld op basis van specifieke technologie die bescherming biedt tegen logische groepen aanvallen, zoals applicatie-, netwerken DDoSaanvallen. Deze standalone oplossingen van uiteenlopende leveranciers vergroten echter de beheercomplexiteit en gaan noodzakelijkerwijze gepaard met forse operationele en kapitaalkosten. Door alle beveiligingsdiensten samen tot één linie van ADC’s aan de rand van het datacenter te bundelen, voorkom je dit firewall-probleem. Het belang van deze aanpak wordt duidelijk zodra parallelle firewalls kunnen worden afgeschreven en uit het netwerk worden verwijderd. Hierdoor wordt het aantal apparaten

{

“Toch is ‘bulkdoorvoer’ niet waar het allemaal om draait”

sterk gereduceerd, met behoud van hetzelfde niveau van doorvoercapaciteit, compliance en bescherming tegen aanvallen. Native firewall-services die de netwerklaag beschermen bij een veel hogere verbindingscapaciteit dan traditionele firewalls staan aan de basis van zo’n architectuur. Deze omvangrijke capaciteit maakt het mogelijk om een enorme toevloed van gegevensverkeer af te vangen, en tegelijkertijd de poort- en IP-gebaseerde toegangscontrole te verzorgen die normaliter door een stateful firewall wordt uitgevoerd. CloudWorks - April 2012

27

KETENBEWAKING TM

Juridisch

The

MONITOR

VALIDATIE

TUNE

CONTROL

Legal

Look

door Mr. Victor A. de Pous, bedrijfsjurist en industrieanalist In ieder nummer van CloudWorks worden juridische vragen beantwoord. Is cloud computing een goed model voor de publieke sector? Zonder enige twijfel. Dat blijkt niet alleen uit het Europese beleid (Legal Look, CloudWorks 2012/2), maar ook uit de plannen van Washington DC. De federale Amerikaanse overheid hervormt namelijk sinds september 2009 haar eigen informatiehuishouding. Het moet anders, vooral efficiënter, doelmatiger en goedkoper. Daarvoor vormen clouddiensten, met name door derden te leveren, de oplossing. Daarnaast werkt het Witte Huis voortvarend een aan forse consolidatie van datacenters. Geen 2000 maar 1200 datacenters; een sluitingspercentage van 40 procent. Volgens de laatste informatie sluiten zelfs 962 overheidsdatacenters voor het einde van 2015 voorgoed hun deuren. De consolidatie levert een geschatte besparing van 3 tot 5 miljard dollar op.

voor iedereen op afstand afroepbaar via Internet, elastisch schaalbaar. Zorgen over ongewenste gevolgen van de reikwijdte van buitenlandse wetgeving — zoals de U.S. Patriot Act — ontbreken bij open data, omdat het niet om vertrouwelijke informatie of persoonsgegevens gaat. Wat betekent dit concreet door overheidsclouds? Wanneer de gevolgen van wetgeving van andere landen – let op: het gaat om meer dan alleen de Amerikaanse wet – onwenselijk worden geacht, dan geldt deze omstandigheid slechts voor een deel van cloud computing. Allereerst wanneer er sprake is van uitbesteding door, in dit kader, een overheidsorganisatie aan bepaalde categorie cloud service providers, die in voorkomende gevallen onder de reikwijdte van bijzondere, grensoverschrijdende regels vallen. En vervolgens wanneer het gaat om de verwerking van persoonsgegevens (van burgers of bijvoorbeeld personeel) of bijvoorbeeld staatsgeheimen.

Amerika is Nederland niet. Vormt de Patriot Act een bedreiging? Wat belangrijk is, is dat we zaken in perspectief zien. Volgens het beleid van de Europese Commissie luidt ‘open overheidsinformatie, tenzij’ de regel. Open data wordt gezien als een grondstof voor innovatie vanwege het beoogde gratis hergebruik. De beschikbaarstelling van overheidsdata verlaagt de investeringsdrempel voor nieuwe producten en diensten. Daar kunnen burger en bedrijfsleven mee aan slag. Denk aan informatie over verkeer, vervoer, water, informatie van het Kadaster, en wat dies meer zij.

Zelfs voor degene bij de publieke sector, die al dan niet met rede bezorgd zijn over de dreiging van buitenlandse overheidsbemoeienis, blijft er een ruime keus aan clouddiensten over. Zo heeft onze rijksoverheid gekozen voor een gesloten rijkscloud, zelf in te richten en te beheren, over een eigen, beveiligd netwerk. In weer andere gevallen, zoals bij open data, levert de uitbesteding van cloud computing geen juridische bezwaren op. En wie helemaal op safe wil spelen, versleutelt de te verwerken persoonsgegevens en andere, niet-open, overheidsdata.

Neem de casus dat een gemeente ‘open data’ met het oog op hergebruik aan burger en ondernemer wil aanbieden. Hiervoor komt al snel een (public) clouddienst in zicht vanwege zijn praktische karakteristieken: webgebaseerd,

Mr. V.A. de Pous is bedrijfsjurist en industrie-analist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

28


Voordelen van Ketenbewaking

TM

Verbetering van de beschikbaarheid, kwaliteit en performance van uw ICT-keten Opsporen en oplossen van prestatieproblemen binnen uw ICT-keten Meer controle op uw IT-organisaties Geen software investering Korte doorlooptijd

Telefoon 030 602 11 49 Email [email protected]

Technologie Perceptie of realiteit?

Zorgen over cloud storage Als het gaat om cloud-beveiliging zijn er verschillende percepties. Bedrijven die de cloud overwegen, maken zich bijvoorbeeld zorgen over de veiligheid van hun applicaties of bedrijfsdata. Of ze zien risico’s in virussen of phishing-aanvallen. Wat de angst ook is: in de afgelopen jaren is cloud-beveiliging een grote zorg geworden voor IT-beslissers die overwegen om applicaties en data uit het eigen datacenter onder te brengen in de cloud. De vraag is of deze zorgen alleen op perceptie berusten of gebaseerd zijn op de harde realiteit?

door Jeff Echols,

CommVault

Dat bedrijven de cloud als onveilig zien, zorgt voor een drempel om de cloud te overwegen als mogelijkheid voor dataopslag. Veel sectoren, waaronder de gezondheidszorg en financiële dienstverlening, hebben te maken met strenge regelgeving over het opslaan en terughalen van data. Zij kunnen geen risico’s nemen. De huidige angst zorgt er echter voor dat ze niet kunnen profiteren van de zakelijke, de kosten- en de operationele voordelen die de opslag van data in de cloud met zich meebrengt. De realiteit is dat alle elementen voorhanden zijn om een veilige cloud-gebaseerde opslagomgeving op te zetten. Een omgeving die ook voldoet aan de geldende regelgeving. Het moment is dan ook aangebroken dat IT-afdelingen hun mening over cloud-beveiliging baseren op basis van feiten en zo nodig bijstellen. Kostenvoordelen De economische voordelen die voortkomen uit het opslaan van data in de cloud, zijn te groot om te negeren. Dat geldt zeker voor organisaties die moeite hebben met databeheer. Leveranciers van cloud-storage halen het uiterste uit de capaciteit van architecturen doordat meerdere gebruikers de infrastructuurkosten delen. Dit resulteert in sterk lagere kosten ten opzichte van die van opslag op de eigen locatie. Zo betalen bedrijven aanzienlijk minder voor de infrastructuur, stroom en koeling. Datavolumes groeien continu. Veel bedrijven lopen tegen de grenzen aan van de opslagcapaciteit, koeling en stroomvoorziening van hun bestaande datacenters. Tegelijkertijd dwingt steeds strengere regelgeving organisaties om data 30


langer te bewaren. Het is lastig om een balans te vinden tussen capaciteit, voldoen aan regelgeving en kosten. Hiervoor is een flexibele, meerlaagse aanpak nodig. De cloud biedt die.

Dataveiligheid Cloud-beveiliging kent veel aspecten. Zo moeten applicaties, e-mails en andere data beschermd zijn tegen spam, hackers en phishing-aanvallen. Bedrijven die de cloud overwegen om data voor langere termijn te archiveren of voor retentie- of disaster recovery-doeleinden, zijn bang dat mensen van buiten de organisatie toegang krijgen tot gevoelige bedrijfsgegevens. In de gezondheidszorg komen daar zorgen over het al dan niet voldoen aan regelgeving bij. Daar komt fysieke beveiliging nog eens bovenop. Is het wel te voorkomen dat iemand het datacenter binnenloopt en een harddisk vol vertrouwelijke gegevens meeneemt? Veel IT-beslissers hebben sommige van deze angsten, of misschien wel allemaal. Om data in het eigen datacenter te beschermen, gebruiken bedrijven antivirus- en filtertools die e-mailaanvallen monitoren en voorkomen. Daarnaast zetten ze encryptie- en dataopslagtechnologieën in om te voldoen aan eisen op het vlak van weten regelgeving, recovery en retentie. Er mag zeker aangenomen worden dat leveranciers van clouddiensten deze zaken ook goed op orde hebben. Ze zetten vaak bewaking met mensen in om de fysieke veiligheid van hun datacenters te waarborgen. Bedrijven moeten bepaalde zaken in kaart hebben om er zeker van te kunnen zijn dat hun data is beschermd in de cloud. Een cloud-oplossing moet dan ook in elk geval de volgende elementen omvatten:

• geïntegreerde encryptie die databack-ups en -archieven beveiligt: onderweg naar én in de cloud; • functionaliteit voor alarmering, rapportages en verificatie zorgt ervoor dat het zeker is dat data veilig de cloud bereikt, zonder dat hiervoor handmatig scripten nodig is of losstaande gateway-appliances nodig zijn; • ingebouwde REST/http-integratie voor naadloos dataen informatiebeheer van storagearchitecturen op de eigen klantlocatie en in de cloud; • geïntegreerde functies, zoals deduplicatie en compressie, voor het efficiënt verplaatsen van back-up- en archiveringsdata over een netwerk ten behoeve van langetermijnopslag in de cloud. Het is niet te vermijden dat IT-afdelingen de stap naar de cloud maken om te blijven voldoen aan eisen vanuit de business. Het zal enige tijd kosten voordat zij hun data in handen durven te geven van een cloud-partij, maar het is van belang om angsten in het juiste perspectief te blijven zien. Nog niet zo lang geleden durfde haast niemand op internet een creditcard te gebruiken. Nu vindt een substantieel percentage van de creditcardbetalingen online plaats. De technologie die nodig is om data veilig en eenvoudig terug te halen, is beschikbaar. De verwachting is dan ook dat het slechts een kwestie van tijd is voordat de angsten wegebben en steeds meer bedrijven de voordelen van de cloud benutten.

Operationele voordelen Veel organisaties houden online gededupliceerde datakopieën beschikbaar, zodat ze snel zijn terug te halen. Door de enorme datagroei is hiervoor meer disk- en tapecapaciteit nodig. Cloud-storage biedt een voordelige opslaglaag die nieuwe compliancy-, disaster recovery- en databackupoplossingen mogelijk maakt. Data in de cloud is sneller beschikbaar dan offline opgeslagen data en biedt een oplossing voor diverse databeheeruitdagingen: • door retentiedata onder te brengen in de cloud, is het niet langer nodig de datacentercapaciteit te vergroten. Bovendien zijn de operationele kosten lager; • de archivering van ‘oude’ data in de cloud maakt capaciteit vrij in het eigen datacenter; • de cloud biedt kosteneffectieve disaster recovery voor bijvoorbeeld mkb-organisaties, en dit zonder grote aanvangs- en operationele investeringen; • de indexering van data voordat deze wordt overgezet naar de cloud, zorgt ervoor dat een bedrijf voldoet aan regelgeving en data snel kan terughalen; • back-ups van data op verschillende locaties direct in de cloud. CloudWorks - April 2012

31

Markt

Ashar Aziz, CEO van FireEye:

‘Het securityprobleem is veel groter dan veel bedrijven denken’

FireEye maakt deel uit van een groep relatief nieuwe security-bedrijven die momenteel van zich doet spreken. Het bedrijf heeft gekozen voor een hele andere aanpak dan we gewend zijn en dat begint al bij dat woord ‘oplossen’. Aziz: “Security is en blijft een kwestie van haasje-over-springen. De aanvallers met wie we te maken hebben, zijn vaak technisch zeer goed opgeleid en zijn in staat om zeer geraffineerde aanvalsmethodieken te bedenken en – minstens zo belangrijk – ook goed uit te voeren. Het is dus een illusie om te denken dat we het security-probleem kunnen oplossen. Wel kunnen we detectie- en verdedigingsmethoden bedenken die minstens zo geraffineerd zijn als waarmee de aanvallers het strijdtoneel betreden.” Verdacht of niet? Hét grote probleem met veel security-maatregelen is dat zij uitgaan van een ‘signature’, vertelt Aziz. “Vrijwel alle momenteel commercieel beschikbare security-producten hebben zo’n ‘handtekening’ nodig om te herkennen of een bepaalde stroom bits – of dat nu een per e-mail verzonden Word-document is of een betalingstransactie – eventueel gemanipuleerd is. Het vervelende is echter dat het aantal soorten en typen malware, malicious code of hoe we het allemaal willen noemen zo verschrikkelijk groot is dat de security-firma’s dat tempo niet kunnen bijhouden. Ze zijn simpelweg niet in staat om snel genoeg al die signatures te schrijven. En een tweede probleem is dat we bij deze aanpak dus per definitie achter de feiten aanlopen. We kunnen immers pas een signature opstellen nadat we een dergelijk gecompromitteerd bestand of object hebben ontdekt. Er blijft dus een groot gat in de verdediging bestaan en dat probleem kunnen wij oplossen.”

door Robbert Hoeffnagel, Journalist In eerste instantie maakten veel bedrijven bij cloud computing zich grote zorgen over de veiligheid. Daarna werd de redenatie populair dat een cloud services provider het op security-gebied ‘uiteraard’ beter doet dan een eigen IT-afdeling – zijn business model is er immers grotendeels op gebaseerd. Wie praat met Ashar Aziz, oprichter van securityspecialist FireEye, vraagt zich af of die vlieger wel op gaat. “Moderne aanvallen zijn zeer geraffineerd. Wij stellen vast dat meer dan 95 procent van de enterprise-netwerken – ook die bij hosting-bedrijven - beveiligingsproblemen kennen, zonder dat men daar zelf vaak erg in heeft.”

32


Ashar Aziz van FireEye: “Wij hebben een aanpak ontwikkeld die ‘in-line’ en ‘at wire speed’ ontdekt of een object verdacht is of niet.”

Het moet dus radicaal anders, stelt Aziz, die jarenlang werkzaam is geweest voor Sun Microsystems. Na een tussenstap bij Teraspring (datacenter automation en virtualisatie) richtte hij in 2004 FireEye op. Het centrale idee achter de aanpak van dit bedrijf is tweeledig. “Wij hebben een appliance ontwikkeld die ontdekt of een object of bitstroom verdacht is of niet. Wat niet verdacht is, kan zonder problemen door. Wat wél verdacht is, wordt in een speciale omgeving gebracht en krijgt daar de kans om – zeg maar – zijn gang te gaan. Die speciale omgeving heeft wel iets weg van een ‘sandbox’, maar dat is het niet. Behalve dat het om een zeer scherp beveiligde omgeving gaat, hebben we er bijvoorbeeld tal van tools aan toegevoegd om te kunnen ‘zien’ en meten wat er precies gebeurt als een verdacht stukje code actief wordt. Belangrijk hierbij is dat alles wat we van de detectiefase (dat noemen wij Phase One) naar deze Phase Two-omgeving overbrengen de status ‘verdacht’ heeft en dus niet ‘malware’ of ‘gevaarlijk’.”

Phase One en Two Een groot verschil ten opzichte van andere aanbieders is die detectiefase. Hoe is FireEye ‘at wire speed’ en zonder gebruik van signatures in staat verdachte objecten uit die enorme hoeveelheid netwerkverkeer te filteren? “Hierbij maken wij gebruik van door onszelf ontwikkelde algoritmes. Ik kan en wil hier niet al te diep op ingaan, maar in grote lijnen werkt het als volgt. Wij weten uit onder andere statistische analyses wat de kenmerken en attributen zijn van wat wij ‘objects’ noemen. Een object kunnen we het beste beschouwen als een verzameling bits met een bepaalde functie. Wij weten dus hoe een valide object er uit dient te zien en hoe deze zich dient te gedragen. Het verschil tussen goed en verdacht is dan vrij eenvoudig aan te geven: alles wat afwijkt van de normale kenmerken en attributen is in onze ogen verdacht. Let op: niet persé fout, maar zo’n verdacht object dient nader onderzocht te worden. Dat doen we dus in die Phase Two-omgeving.”

{

“Het verschil tussen goed en verdacht is op die manier vrij eenvoudig aan te geven.”

Dit mag geen statische omgeving zijn, want – zoals Aziz al eerder aangaf – doen de aanvallers technisch in veel gevallen niet onder voor de verdedigers. “Daarom leggen wij alle informatie vast die onze appliances genereren bij het detecteren en analyseren van het netwerkverkeer. Al die informatie verzamelen wij via een zogeheten Malware Protection Cloud, zodat wij continu kunnen volgen wat er gebeurt en we daarvan kunnen leren.” FireEye gebruikte de eerste jaren van zijn bestaan voor het ontwikkelen van de technologie die de basis vormt van zijn aanpak. Sinds 2008 heeft het bedrijf daadwerkelijk producten op de markt. “Inmiddels hebben we een reeks van producten gelanceerd dat webverkeer, e-mail en files beschermt tegen attacks zoals spear phishing en zero day attacks. Daarnaast hebben we een Malware Analysis System uitgebracht. In onze op web, mail en bestanden gerichte appliances werken we met de twee genoemde ‘phases’. Een object dat zich in Phase Two dusdanig gedraagt CloudWorks - April 2012

33

{

“Wat Operation Aurora heel duidelijk heeft gemaakt, is eerst en vooral dat de aanvallers beschikken over zeer geavanceerde technologie.”

dat meer onderzoek nodig is, kan naar dit analysesysteem worden overgeheveld. Daar is het dan bijvoorbeeld mogelijk om een verdacht object dagen of nog langer te bestuderen en te analyseren.” Operation Aurora Dat een dergelijke langdurige observatie en analyse vaak geen overbodige luxe is, heeft de IT-sector wel geleerd van het zogeheten Aurora-aanval. Die werd bekend op 12 januari 2010. Op die dag kwam Google naar buiten met de mededeling dat het één van meer dan twintig bedrijven was dat het slachtoffer was geworden van een zeer geavanceerde aanval. Het is niet geheel duidelijk of het bij deze twintig bedrijven is gebleven, maar het gaat om een gecoördineerde aanval op ondernemingen in tal van branches. Het doel was iedere keer om gevoelige gegevens te pakken te krijgen en de aanvalsmethode was zeer innovatief. Bij wat we inmiddels kennen als Operation Aurora is gebruik gemaakt van een tot dan toe onbekende ‘lek’ (zero day) in Internet Explorer 6.0. Hierdoor waren deze in staat een Trojan op de aangevallen machines te plaatsen. Deze Trojan was vervolgens in staat te communiceren met de command & control server van de aanvallers. Hierdoor waren deze in staat commando’s aan de Trojan te geven en konden zij tevens ‘payloads’ doorsturen en laten uitvoeren. In feite had men de besmette systemen overgenomen. Via deze tools waren de aanvallers in staat om het gecompromitteerde netwerk in kaart te brengen en te ontdekken waar zich in het netwerk gevoelige informatie bevond. Patenten en trade secrets Wat Operation Aurora heel duidelijk heeft gemaakt, is eerst en vooral dat de aanvallers beschikken over zeer geavanceerde technologie, vertelt Aziz. Men bleek in staat systemen over te nemen zonder dat de beheerders dit in de gaten hadden. Dat maakt ook meteen een ander punt zeer belangrijk: hoe goed zijn de security appliances die deze aanvallers moeten stoppen zelf eigenlijk beveiligd? Want wie die kan overnemen, is natuurlijk heer en meester in een netwerk. Security-firma’s gaan hier in de regel extreem ver in. Toch is de kans groot dat zij geheel onbedoeld toch veel informatie weggeven en wel via de octrooien die zij aanvragen. Aziz herkent het probleem. “Dat is een lastige kwestie voor firma’s als FireEye. Wij willen graag ons intellectuele 34


eigendom beschermen, maar een octrooiaanvraag vereist nu eenmaal een goede beschrijving van wat we nu eigenlijk willen beschermen. Dat bijt elkaar dus nog wel eens. Daarom hebben wij gekozen voor een ‘mixed approach’. Voor sommige aspecten kiezen we voor een patent, maar in andere gevallen kent de Amerikaanse wetgeving de mogelijkheid van zogeheten ‘trade secrets’. Dat biedt de mogelijkheid om bepaalde technologische vondsten te beschermen zonder dat we de manier van werken tot in detail behoeven te publiceren.”

it starts here

Threat Report 2011 Ze lezen soms als een ‘horror book’: de threat reports die security-firma’s met enige regelmaat publiceren. Ook FireEye rapporteert over de stand van de techniek bij aanvallers en de dreiging die daar vanuit gaat. In het laatste report (over de tweede helft van vorig jaar) springen vier bevinden er met kop en schouder bovenuit: De snelst groeiende categorieën malware waren in die periode: PPI (pay per install) en zogeheten ‘information stealers’. Er bestaan duizenden malware-‘families’. De top 50 daarvan genereert 80 procent van de succesvolle infecteringen. Bij meer dan 95 (!) procent van de enterprise-netwerken is sprake van één of meer security-problemen. Een techniek als ‘spear phishing attacks’ neemt in intensiteit sterk toe op die momenten dat security-afdelingen minder bemand zijn. Denk aan vakantieperiodes of bepaalde uren van de dag.

Previder - it starts here Datacenters Cloud Hosting ISP Services Connectivity

In de informatie- en communicatietechnologie is een nieuw tijdperk aangebroken. Een tijdperk waarin steeds meer organisaties alle zorgen over ICT letterlijk buiten de deur in datacenters plaatsen. Previder is hierin een absolute voorloper. Vanuit onze geavanceerde en streng beveiligde eigen datacenters leveren wij stabiele infrastructuren volgens de jongste stand der techniek. In nauwe samenwerking met onze partners creëren we oplossingen waarvan u als eindgebruiker de vruchten plukt. Met alle ruimte om op te schalen en te innoveren.

www.previder.nl Meest populaire vormen van malware in de tweede helft van 2011.

Markt

Deelnemerslijst

TOPdesk “TOPdesk ontwikkelt, verkoopt, implementeert en ondersteunt software waarmee organisaties hun dienstverlening efficiënt kunnen organiseren. De missie van TOPdesk richt zich op het ontwikkelen van gebruiksvriendelijke en betaalbare servicemanagement-oplossingen voor iedere soort organisatie. Dat doen we met software die snel en eenvoudig te installeren is. Of dit nu op het gebied van automatisering is, of op het gebied van facilitair beheer, technisch beheer, klachtenregistratie, servicedesk of dienstenondersteuning: met TOPdesk ondersteunt u al uw medewerkers, zakenrelaties, consumenten en burgers. We timmeren al sinds 1993 aan de weg. Aandacht voor de wensen van de klant is voor ons heel belangrijk bij de productontwikkeling. Het pakket is beschikbaar in vijf talen en in gebruik bij organisaties over de hele wereld. Dankzij onze gebruiksvriendelijke software ontvangen wij jaarlijks prijzen. We zijn marktleider in de Benelux. Vanuit Nederland, het Verenigd Koninkrijk, Duitsland, België, Denemarken en Hongarije ondersteunen wij meer dan 4000 klanten wereldwijd.”

36


Unisys Enterprise Cloud Solutions Net als bij veel andere nieuwe verschijnselen is de eerste stap naar het gebruik van Cloud redelijk eenvoudig. Selecteer een niet al te grote, niet te complexe en niet te kritische toepassing of omgeving en breng deze over naar één van de laagdrempelige cloudomgeving die de markt beschikbaar heeft. Voor Unisys begint het werk daarna pas. Welke waarde heeft cloud voor centrale, kritische systemen, moeten alle systemen naar de cloud, hoe ga je om met systeemintegratie, privacy, SLA’s en met beveiliging? Unisys helpt u op weg naar de Cloud Er kunnen meerdere redenen zijn waarom een organisatie kiest voor cloud computing. Het snel kunnen beschikken over computer capaciteit voor de ontwikkeling van een nieuwe applicatie (Infrastructure as a Service) kan een dergelijk eerste, laagdrempelige stap zijn. Cloud computing is een andere manier om informatiesystemen sneller, goedkoper en flexibeler in te zetten, maar het is geen Haarlemmer olie. De diensten en oplossingen van Unisys zijn er op gericht om de continuïteit en kwaliteit van de IT-dienstverlening te waarborgen (of verbeteren) en dat tegen realistische kosten. Voorbeelden zijn onze Cloud Adviesdiensten, onze Cloud Migratiediensten en specifieke diensten zoals Secure Mobility en ECM in the Cloud.

Adaptive Cloud Services van Centric! Als we het hebben over Cloud Computing, dan blijft er maar één boodschap over: je betaalt minder en krijgt meer. De argumenten hiervoor: gebruik maken van schaalvoordelen, altijd de laatste release van de toepassing, overal bereikbaar, snelle time-to-market en efficiënte beheerprocessen door zeer competent personeel van de leverancier. Op basis van een ruime ervaring in diverse marktsegmenten gecombineerd met een diepgaande kennis van de meest recente technologieën zijn wij in staat innovatieve cloud-oplossingen te ontwikkelen die tegemoet komen aan de behoeften van onze klanten. Ontzorgen zit Centric immers in het bloed. Met Adaptive Cloud Services zijn wij uitstekend in staat ook uw integratie- en beheervraagstuk op te lossen in de nieuwe wereld van Cloud. Meer weten? Doe mee aan de Cloud Tour en bezoek daarna opnieuw onze stand. Wij lichten graag wat uitgebreider toe hoe wij

PQR PQR is dé specialist voor professionele ICT-infrastructuren met focus op het veilig en beheersbaar beschikbaar stellen van data, applicaties en werkplekken met optimale gebruikerservaring. PQR voorziet haar klanten in innovatieve ICToplossingen die ervoor zorgen dat applicatiebeschikbaarheid en beheerbaarheid optimaal zijn, zonder dat processen complexer worden. Eenvoud in ICT, dat is waar PQR voor staat. PQR beschikt over aantoonbare referenties en brede expertise op het vakgebied, getuige de vele hoogste partner statussen en certificeringen. PQR is onder meer Citrix Platinum Solution Advisor, HP GOLD Preferred Partner 2011, Microsoft Gold Partner Advanced Infrastructures & Security, NetApp Star Partner, RES Platinum Partner,

VMware Premier Partner en Gold Authorized Consultant Partner. PQR richt zich op vier hoofdthema’s: • Data & System Availability • Application & Desktop Delivery • Secure Access & Secure Networking • Advanced IT Infrastructure & Management PQR is opgericht in 1990, gevestigd in De Meern en telt ruim 100 medewerkers. In het boekjaar 2010/2011 is een omzet geboekt van € 78,7 miljoen en een nettowinst na belastingen van € 4,9 miljoen. Highlights beurs Bring Your Own (BYO) - Wat komt er allemaal bij kijken? De voor- en nadelen van een BYOmodel bij Het Nieuwe Werken. CloudWorks - April 2012

37

Traxion Traxion is een onafhankelijke specialist in Identity & Access Management (IAM) en marktleider in de Benelux. Sinds de jaren ’90 hebben onze specialisten succesvolle IAM oplossingen gerealiseerd voor een breed scala aan doorgaans complexe organisaties als Philips, Essent, TomTom, Academisch Medisch Ziekenhuis Maastricht, Hogeschool Utrecht, Ministerie van Verkeer en Waterstaat en vele anderen. Traxion kijkt met een strategische, tactische en operationele blik door de ogen van haar opdrachtgevers. Op basis daarvan wordt de beste oplossing ontwikkeld, van advies en ontwerp (Consultancy) tot en met implementatie (Systeem integratie) en beheer (Services). In 2011 heeft Traxion IAM4Cloud geïntroduceerd, een veilig en compromisloos Cloud Identity Services Platform. IAM4Cloud biedt alle noodzakelijke diensten rondom Identity Management, Access Management, Access Control en Audit & Reporting in de Cloud en as-a-service.

Decos Decos is een Nederlands softwarebedrijf gespecialiseerd in oplossingen op het gebied van documenten informatiebeheer. Decos geldt als één van de belangrijkste spelers in deze markt en ruim 500 organisaties maken gebruik van onze oplossingen voor het organisatiebreed beheren van informatie. Met Decos Online kiest u voor document management via de cloud waarmee u eenvoudig uw documentstromen kunt digitaliseren en processen kunt automatiseren – zonder investeringen te doen en zonder dat het groot beslag legt op uw IT afdeling.

BrainForce Denk vanuit de gebruiker Wat zijn eigenlijk de behoeften aan Cloudintegratie? BRAIN FORCE heeft een aanpak om bedrijfsdoelstellingen naar ICT-projecten te vertalen. Onderscheidend is de gebruikersgerichte benadering. Door vanuit de gebruiker te denken worden slimmere keuzes gemaakt en beter investeringen gedaan. In 3 minuten ontdekt u specifieke aanknopingspunten in de Roadmap to the Cloud: assessments, proof of concepts, planning. Middels de roadmap wordt inzichtelijk gemaakt welke Cloud diensten en producten een bijdrage leveren aan uw bedrijfsdoelstellingen. U kunt op deze manier een juiste mix aan investeringen in uw eigen infrastructuur (on-premise) en in de Cloud vast te stellen. BRAIN FORCE is een zakelijke ICT-dienstverlener, die organisaties ondersteunt bij het optimaliseren van hun ICT- en Cloud-infrastructuren, met als doelstelling beheerskosten te verlagen en arbeidsproductiviteit te verhogen. Kom langs!

38


Zo biedt Decos voor elk type organisatie een laagdrempelige, pasklare oplossing zonder inwerktraject. Decos regelt voor u de hosting, beveiliging en heeft voor u de vijf meest gebruikte oplossingen vooraf ingericht: • Postregistratie • Contractbeheer • Personeelsdossiers • Klachtenregistratie • Projectbeheer Heeft u specifieke wensen? Decos Online levert ook maatwerk, dus het is uiteraard mogelijk om uw Decos Online omgeving geheel aan te passen op uw persoonlijke wensen en eisen.

Agile Software Agile Software is expert op het gebied van softwarelicenties voor middelgrote en grote organisaties. Wij bieden onze klanten licentie adviezen, leveringen en beheer voor onder andere Microsoft, Adobe, Citrix, McAfee, Oracle, RES, Symantec en VMware. Daarnaast kan Agile Software de licenties van vrijwel alle andere softwareleveranciers leveren. Onze visie op licentiebeheer Licentiebeheer is te belangrijk om niet goed te regelen. Daarom kijken we bij Agile Software altijd naar het totaalplaatje: bij nieuwe investeringen, maar ook bij contractverlenging en uitbreidingen. We zoeken dus altijd naar de juiste investering voor onze klanten.

InfraControl InfraControl is de grootste en meest innovatieve onafhankelijke Software Asset Management (SAM) en IT Asset Lifecycle Management (ITALM) consultancy organisatie van Nederland. Wij leveren advies en totaal oplossingen aan klanten zoals NS, ANWB, Enexis, RIVM, Delta Networks, GasUnie, Aegon en de Belastingdienst. InfraControl is geautoriseerd SAM partner van Microsoft, Oracle, Adobe, Symantec, Siemens en Autodesk.

Axway, (NYSE Euronext: AXW) Axway bedient vanuit Frankrijk de europeese markt en heeft sinds 2001 haar hoofdkantoor in de VS (Phoenix, Arizona) Axway mag, met kantoren over de hele wereld, inmiddels meer dan 11.000 organisaties in 100 landen tot haar klanten rekenen,. For more than a decade, Axway has provided leading organizations around the world with proven technology solutions that integrate, manage, secure and govern the business-critical interactions that accelerate enterprise performance. Our award-winning solutions span business-to-business integration, managed file transfer, business operations monitoring, process management, and email and identity security — offered on premise or in the Cloud with professional and managed services.

PinkRoccade Al meer dan dertig jaar ondersteunt PinkRoccade Local Government met een uitgebreid portfolio op het gebied van advies en infrastructuur de lokale overheid bij de uitvoering van haar wettelijke taken en bij het efficiënter inrichten van haar bedrijfsvoering. PinkRoccade Local Government vertaalt haar uitgebreide kennis en expertise voortdurend in nieuwe bedrijfsoftwareproducten en diensten. Daarbij draait alles om het ontzorgen van onze klanten.

Ontzorgende Cloud In lijn met het overheidsprogramma rond e-Overheid brengen we oplossingen die aansluiten op de snel veranderende wereld van overheidsautomatisering. Onze klanten zijn enerzijds op zoek naar kostenefficiëntie en anderzijds optimalisering van dienstverlening aan burgers en bedrijven. Door bijvoorbeeld applicaties onder te brengen in een private Cloud-omgeving, kunnen zij zich concentreren op hun kerntaak: informatievoorziening. Op basis van onze ervaring en competenties bieden wij lokale overheden de continuïteit, betrouwbaarheid en efficiency die zij zoeken. Ook in de cloud! Of dit ook iets voor u is? We gaan graag het gesprek met u aan op de beurs O&ICT.


39

Nieuws

Cloud startup nieuws De cloud-wereld zit vol met innovatieve startups. In deze rubriek behandelen we kort enkele voorbeelden hiervan. Suggesties of zelf werkzaam bij een startup? Laat het weten via [email protected].

Enterprise-variant op Dropbox (1): Huddle

Enterprise-variant op Dropbox (2): OwnCloud

Huddle is een Britse startup dat een collaboratiedienst levert waarmee gebruikers kunnen samenwerken aan projecten. De dienst biedt een dashboard waar gebruikers het overzicht hebben over de projecten waar zij aan werken. Gebruikers kunnen samenwerken aan documenten, ideëen met elkaar delen of met elkaar in discussie gaan. Zij kunnen bestanden online aanpassen in de web-gebaseerde editor van Huddle. Het is echter ook mogelijk de bestanden te openen in Microsoft Office. Huddle kan hiervoor worden geïntegreerd in het office-pakket van Microsoft, waardoor bestanden op eenvoudige wijze kunnen worden geopend vanaf of opgeslagen op Huddle. De dienst heeft onlangs de nieuwe feature Huddle Sync gelanceerd. Huddle Sync is een virtuele folder waarmee gebruikers bestanden in de cloud kunnen plaatsen. De bestanden zijn hierdoor toegankelijk vanaf ieder apparaat en kunnen door collega’s worden bekeken en bewerkt. De dienst is volledig gericht op bedrijven en pakt het synchroniseren van bestanden op geheel nieuwe wijze aan.

Dropbox heeft de fantasie van veel ontwikkelaars in gang gezet. Daarom in deze editie van Cloud Startup Nieuws nog een enterprise-variant op deze dienst: OwnCloud. Het idee achter deze startup is: kunnen we het gebruiksgemak van Dropbox combineren met enterprise-achtige features voor het plaatsen en beschermen van bedrijfsgegevens? Het gaat om software die in het eigen datacenter van de organisatie ‘draait’, maar die het mogelijk maakt om met externe cloud storage providers te werken. De aanpak is zo gekozen dat de IT-afdeling weer bepaalt waar de data wordt geplaatst: Google, Amazon of waar dan ook. Het is IT die de data upload en die in de beheersoftware de regels bepaalt hoe met deze data moet worden omgegaan. De eindgebruiker daarentegen merkt daar allemaal niets van. Die ziet ‘slechts’ een Dropbox-achtige opslagvoorziening. OwnCloud is beschikbaar voor Linux, Windows en Mac desktops en voor iOS en Android voor mobiele apparaten. Er is geen ondersteuning voor Symbian, Blackberry of Windows Phone.

Kijk voor meer info op www.huddle.com

Meer informatie is te vinden op www.owncloud.com

BigDoor: vijf miljoen dollar voor gamification-platform Het toevoegen van game-elementen aan websites en webservices wordt steeds populairder. BigDoor speelt hierop in met een ‘white label’ platform dat door andere partijen gebruikt kan worden voor het snel en eenvoudig ontwikkelen van gaming-extensie die vervolgens als een service aan de eigen webomgeving kunnen worden toegevoegd. Het bedrijf heeft onlangs een nieuwe investering ontvangen van Foundry Group, dat bereid bleek vijf miljoen dollar in het bedrijf te steken. Daarmee hebben investeerders nu in totaal dertien miljoen dollar aan het bedrijf beschikbaar gesteld.

levels, leaderboards, virtual currency en virtual goods voor andere websites te kunnen regelen. Deze worden vervolgens al seen service in de website van de klant ‘gehangen’. Meer informatie is beschikbaar op http://www.bigdoor. com

De diensten die BigDoor biedt draaien om het toevoegen van wedstrijdelementen aan websites. Op de website geeft het ebdrijf aan onder andere points, badges,

Symplified: identity en access management Venture capital-aanbieders Ignition Partners, Allegis Capital en Granite Ventures hebben samen met Quest Software 20 miljoen dollar geïnvesteerd in Symplified, een aanbieder van identity en access management tools voor cloud-applicaties. Het bedrijf telt inmiddels 3,6 miljoen ‘abonnees’. Dit zijn eindgebruikers werkzaam bij enterprise-klanten. Deze bedrijven gebruiken de tools van Symplified voor identity management, toegangscontrole, single sign-on, user management en auditing. Het bedrijf heeft technologie ontwikkeld – een zogeheten ‘proxy gateway architecture’ – waardoor dezelfde tools voor identity en access management gebruikt kunnen worden, ongeacht de vraag of een gebruiker nu on-premise of via de cloud van applicaties gebruik maakt. Tot de klanten behoren onder andere HP, Blue Shield, ESPN, Forest Laboratories, Moody’s, Zynga, Netflix, Rambus en geluidspecialist Dolby Laboratories. Daarnaast werkt het bedrijf nauw sa-

men met Amazon en biedt het een zogeheten Trust Cloud aan op Amazon’s Web Services-platform. Meer info kan gevonden worden op www.symplified.com

(advertentie)

Goodsie: goedkope maar uitgebreide webwinkels Of de naam nu gelukkig gekozen is of niet, het plan van Goodsie klinkt wel erg interessant. Het bedrijf wil iedere retailer – hoe groot of hoe klein ook – toegang bieden tot een geavanceerde maar zeer goedkope webstore. Het is een beetje een definitiekwestie of Goodsie een startup is – het bedrijf is namelijk opgezet door moedermaatschappij Flavors.me en dat bestaat al geruime tijd – maar het duikt in een mooi gat in de markt. Waar eBay, Amazon 40


en andere webstore-platformen vaak relatief beperkt zijn in de tools die zij de gebruiker bieden, heeft Goodsie juist onderscheidend vermogen gezocht in de vorm van uitgebreide analytische voorzieningen. De explotant van de webwinkel kan hierdoor het gedrag van klanten goed analyseren en uitgebreide rapporten draaien. Meer info op www.goodsie.com

Van 1 tot 100 m2 Gegarandeerd klaar voor de cloud! www.profitbox.nl CloudWorks - April 2012

41

Nieuws

Nieuws van DHPA

April 2012

42


Overleg DHPA en overheid In de afgelopen periode is er in de media veel aandacht geweest voor auteursrechtelijke zaken. De ACTA-wetgeving (Anti-Counterfeiting Trade Agreement), de arrestaties van de mensen achter Megaupload en de rechterlijke uitspraken

s at la n t p k i ld nd in oe ing t vi br y en ed os e da w is b r h n d nke o a fli rs ch eu t Te Le en t vo s v en cie en ei e ht PA De nem ite cc e e ran ren ijkh s l u ic H n i e e n el er e D 2 i eve ffi t s n w ev ip ge er ab ks 01 et t a he te e l rtic o n r. B an nd rlij i 2 . H me ien ach nd pa e m rs e aa r v e b o n r rs e z ge a A e ja 4 ju ee een Ge erw gev n te ive ek hik to D 1 erm er ie. , v an ve d spr esc kan op et ied og ties na ge og en e b et Zo or nol di Too nge jn n g akt t h vo ch e e t. aa r zi rin rvl me 60. te rig ms al . E nso pe tie 41 vo ko en ren po op ma 028 op bb se r s itie for -1 he po voo os in 06 ex n exp eer tel. de g m A: no or HP D

Hosting-survey Mazars bijna afgerond Mazars heeft zijn derde jaarlijkse hosting-survey bijna afgerond. De presentatie aan de DHPA-leden vindt in mei 2012 plaats. We presenteren de resultaten ook tijdens de DHPA Techday op 14 juni 2012.

Succesvol ondernemersevenement BusinessBase Het ICT-ondernemerevenement dat DHPA-endorser BusinessBase op 29 maart samen met ABN AMRO organiseerde, was een groot succes. Diverse gerenommeerde sprekers gingen in op het thema ‘Kansen in crisis’. Het blijkt dat er onder ICT-ondernemers grote behoefte is om regelmatig met elkaar van gedachten te wisselen over ontwikkelingen in de sector. BusinessBase organiseerde het event al voor het derde jaar op rij.

over het blokkeren van torrentsites door ISP’s, kwamen veel in het nieuws. De DHPA kijkt met de nodige zorg naar deze ontwikkelingen. Zij stelt zich op het standpunt dat de hostingsector faciliterend is en zich daardoor neutraal moet opstellen in zaken waar copyrightwetgeving speelt. De DHPA heeft hierover constructief overleg gevoerd met vertegenwoordigers van het ministerie van justitie. We merken dat deze onderwerpen ook voor de overheid zeer complex zijn en dat het ministerie overleg met organisaties als de DHPA dan ook zeer waardeert. De DHPA blijft deze contacten onderhouden. We pleiten daarin voor structurele en gedegen wetgeving, die recht doet aan de specifieke taak en de activiteiten van alle betrokken partijen.

de

Bezoek aan World Hosting Days 2012 Van 20 tot 23 maart vonden in Rust (Duitsland) de World Hosting Days 2012 plaats. Een DHPA-afvaardiging bezocht dit evenement en was onder de indruk van de kwaliteit ervan. De organisatie was uitstekend, de belangstelling groot en het niveau van exposanten hoog. Het event onderstreept dat de sector snel volwassen wordt. Zo zagen we verschillende aanbieders van gespecialiseerde oplossingen en tools. Daarnaast waren grote merken als Dell prominent aanwezig. Ook Parallels stond er met een grote stand. Uit gesprekken met vertegenwoordigers van dit bedrijf bleek dat het lering heeft getrokken uit de onrust rond het recente lek in hun Plesk-beheersoftware. Overigens was er tijdens dit evenement veel aandacht voor security.

Samenwerking met datacenterbranche De DHPA heeft contacten gelegd met enkele leidende spelers in de datacenterbranche. Doel is om onze gezamenlijke belangen in kaart te brengen en waar mogelijk samen op te trekken. De datacenterbranche is een van de snelst groeiende sectoren in ons land, maar kent nog geen centrale belangenbehartiging. De sector wordt tot op het hoogste politieke niveau beschouwd als een economische factor van belang. Er zijn duidelijke raakvlakken met de activiteiten van de DHPA-deelnemers. Die hebben we in de eerste informele gesprekken in een zeer positieve sfeer besproken. De gesprekken krijgen in april 2012 een vervolg.

vo

Escrow-dienst live Het DHPA-initiatief voor een escrow-voorziening voor internetdienstverlening is een volgende fase ingegaan. De Stichting Continuïteit Internet Diensten (SCID), die het toezicht op deze voorziening op zich neemt, is officieel opgericht. Daarbij is er nauwe samenwerking met ICTRecht. Twee DHPA-deelnemers starten begin april met het aansluiten van enkele klanten op de escrow-dienst. Het gaat in eerste instantie om een proefperiode, waarin alle partijen ervaring kunnen opdoen. De DHPA rolt de regeling in een latere fase breed uit. De organisatie heeft veel positieve reacties gekregen op dit initiatief, ook vanuit het buitenland. Het blijkt dat we met de escrow-dienst een unieke regeling hebben gecreëerd voor continuïteit in internetdienstverlening. Dat is cruciaal voor het opbouwen van vertrouwen in de online-industrie.

Nieuwe Microsoft-propositie van Sequint DHPA-endorser Sequint lanceert een nieuwe propositie die (kostbare) Microsoft Premier Support toegankelijk maakt voor kleinere afnemers. De DHPA juicht dit initiatief toe. Het sluit aan bij ons streven om klanten optimale ondersteuning te bieden en bevordert de professionaliteit en kwaliteit van op Microsoft gebaseerde dienstverlening. CloudWorks - April 2012

43

Nieuws

van EuroCloud

Reserveer alvast in uw agenda: 23 mei 2012, EuroCloud Day EuroCloud Europe bereidt de grootste gedistribueerde Cloud conferentie in Europa voor met een verwachte deelname van meer dan 10 landen met meer dan 3.000 volgers. Dit lijkt niet eerder gedaan op deze schaal gedaan. Het is een unieke gebeurtenis die we van plan zijn elk jaar te herhalen. We combineren lokaal gehouden evenementen met online presentaties van wereldklasse sprekers. Wat is EuroCloud Day? Op EuroCloud Day organiseert bijna elke nationale EuroCloud een eigen evenement. Hoe dat lokale evenement wordt georganiseerd, is helemaal aan die specifieke EuroCloud. Op een aantal momenten in de middag worden de lokale programma’s onderbroken voor een online sessie vanuit EuroCloud Europe. Tijdens die online sessies willen we de lokale deelnemers informeren over de Cloudontwikkelingen in Europa en buiten de Europese grenzen. In Nederland zullen we rondom de Paneuropese conferentie onze eigen Award-uitreiking houden, met netwerkborrel na.

De spreker line-up Er zijn drie sprekers voorzien, vanuit de politiek en de industrie. Uit China zal Forrest Lin, Director for Cloud Computing Sector van het China Institute of Electronics, het woord voeren. De sprekers zijn mensen die een duidelijke visie hebben op de ontwikkelingen in Cloud Computing. Volg de line-up op http://www.eurocloud. org/events-euro-cloud/eurocloud-day/ Deelnemers Het publiek bestaat uit politici, individuen, Cloud-providers en Cloudbeslissers, uit de publieke en de private sector. Iedereen met een zekere interesse in Cloud wordt uitgenodigd om te participeren. Sponsormogelijkheden EuroCloud Europe is een onafhankelijke, not-for-profit organisatie. Voor EuroCloud Day hebben we een interessant sponsoraanbod voor organisaties die op zoek zijn naar Paneuropese exposure. Stuur een e-mail naar [email protected] als u daar belangstelling voor hebt of als u meer wilt weten over het reguliere sponsoraanbod van EuroCloud.

EuroCloud werkgroepen Certificering en Security – sluit u aan EuroCloud Nederland heeft twee werkgroepen in het leven geroepen, over Standaardisatie en Certificering (contactpersoon Nan Zevenhek) en over Security (contactpersoon Hans 44


Timmerman). Stuur een mail naar [email protected] als u zich bij een van beide werkgroepen wilt aansluiten.

1 mei deadline inzending EuroCloud Nederland Awards Net als vorig jaar reikt EuroCloud Nederland Awards awards uit voor de beste business cases op het gebied van cloud computing. De winnaars zullen dit keer tijdens EuroCloud Day op 23 mei bekend worden gemaakt op de feestelijke Award-uitreiking. Noteer deze datum in uw agenda. De winnaars dingen tevens mee naar de Europese EuroCloud Awards. Deze worden in het najaar uitgereikt tijdens de EuroCloud Conference.

EuroCloud Nederland reikt Awards uit in de categorieën Best Business Case in the public sector en Best Business Case in the private sector. De jury van de EuroCloud Nederland Awards 2012 bestaat uit Richard Nijhoff (juryvoorzitter) – Director Productmanagement UPC Broadband; Bram Spitzer – Senior Consultant at Research Group Service Enabling Management TNO; Steven Debets – Partner Verdonck, Klooster

EuroCloud Briefing over Cloud Certificering succesvol De Public Briefing van EuroCloud Nederland over Cloud Certificering was goed bezocht en zeer geanimeerd. Een ding is duidelijk geworden: Cloud certificering is geen sinecure.

Een uitvoerig verslag vindt u elders in deze editie van CloudWorks. De presentaties zijn te downloaden op www.eurocloudnl.eu.

Oproep aan onze partners: plaats kosteloos uw informatie op de EuroCloud Nederland website! Onze partners hebben de mogelijkheid om content op de site te plaatsen. Daar zijn geen extra kosten mee gemoeid. Nog niet iedereen heeft gebruik gemaakt van deze mogelijkheid. Het gaat om een kort, op cloud computing toegespitst profiel (maximaal 150 woorden) en eventuele andere content, zoals blogs, opiniestukken, uitleg, etc. Let op: per content piece niet meer dan 400 woorden en maximaal 1 visual aanleveren. Of natuurlijk een hyperlink

naar content op uw site. De inhoud moet relevant zijn voor onze community, geen brochure of sales tekst. We behouden ons het recht voor content te weigeren. We plaatsen 1 content piece per maand. Kijk voor een voorbeeld van Interxion op http://www.eurocloudnl.eu/alle partners Content kunt u sturen naar [email protected]

Nieuwe Partners: goSaaS, InterMax, Previder goSaaS, InterMax en Previder hebben zich de laatste maand als Partner bij EuroCloud Nederland aangesloten. Welkom!

Meer informatie op www.gosaas.nl www.intermax.nl www.previder.nl

& Associates; Jan Aleman - Secretaris EuroCloud Nederland en CEO Servoy; Hans Timmerman – Bestuurslid EuroCloud Nederland en CTO EMC Nederland. Let op: de sluitingsdatum om in te zenden is 1 mei! Kijk voor meer informatie en voor inschrijving op onze website of stuur een mail naar [email protected].

Meldt u nu aan als partner of sponsor, en blijf op de hoogte! Met een aantal inspirerende bijeenkomsten in Nederland en andere landen, en een groeiende Europese organisatie met een vertegenwoordiging in meer dan 25 landen, is EuroCloud binnen twee jaar een belangrijk kennisnetwerk geworden op het gebied van Cloud Computing en Software as a Service. Daarnaast biedt EuroCloud een uitstekend platform voor netwerken met zowel leveranciers als gebruikers van Cloud Computing. Naast een actief bestuur hebben inmiddels al meerdere bedrijven zich ingezet voor EuroCloud door een financiële bijdrage te geven of middelen beschikbaar te stellen. Heeft u vragen of – nog beter – wilt u zich aanmelden als Partner, stuur dan een mail naar eurocloud.nederland@ gmail.com.

EuroCloud NL EuroCloud NL Theo Loth +31 87 87 65 65 6 [email protected] www.eurocloudnl.eu CloudWorks - April 2012

45

Column

Beveiligingsprobleem? Security komt juist

úit

de cloud

door Floris van den Dool, Senior Executive bij Accenture Hoeveel artikelen lezen we niet over de cloud als het gaat om veiligheid en privacy in combinatie met cloud computing? Iedereen roept moord & brand over de veiligheid in de cloud. Is die wel gegarandeerd? En hoe zit het nu met de privacy? Is die gewaarborgd? Het zijn vragen die je jezelf zeker moet stellen, maar de antwoorden hierop zijn veel rooskleuriger dan menigeen denkt. Sterker nog: ik durf te zeggen dat 99 procent van de bedrijven er qua security op vooruit gaat als zij naar de cloud gaat. Mijn tegenvraag aan ondernemers en managers die de veiligheid van de cloud in twijfel trekken, is dan ook altijd: hoe veilig is de organisatie nu dan? Weet u waar de gegevens zijn opgeslagen en wie er precies over welke gegevens kan beschikken? En hoe beveiligen we eigenlijk gegevens die op laptops zijn opgeslagen? Bijna niemand die het weet. Natuurlijk zijn er organisaties die security best aardig voor elkaar hebben. Maar het gros van de bedrijven en instellingen is toch niet bepaald gespecialiseerd in informatiebeveiliging. Een goede cloud service provider daarentegen heeft een uitgedokterd beveiligingsbeleid, met medewerkers die hierin gespecialiseerd zijn. Daar profiteren organisaties die naar de cloud migreren optimaal van mee. De cloud heeft overigens nog meer voordelen. Althans, migratie naar de cloud dwingt organisaties na te denken over beveiliging, want dat dit een belangrijk thema is, staat ook voor mij als een paal boven water. De migratie dwingt tot nadenken over de vraag welke applicaties we naar de cloud willen brengen. Of zoals sommigen zullen zeggen: welke applicaties je aan de cloud toevertrouwt. Niet alleen 46


werpen we daardoor nog eens een kritische blik op het applicatielandschap, we denken automatisch ook na over het beveiligingsvraagstuk rondom de verschillende elementen uit de IT-omgeving. Sommige zaken dienen gewoon extreem goed afgeschermd te zijn, vanwege het belang van deze data. Over een ding is iedereen het eigenlijk wel eens: gegevens moeten altijd beveiligd zijn. Het maakt geen enkele ondernemer uit hoe dat gebeurt. Het goed beveiligen van cloud-oplossingen gaat via encryptie. Dan versleutelen we in feite de informatiebron. Alleen mensen die hier toegang toe hebben, kunnen de codes ontcijferen. Hebben we dat goed op orde als organisatie, dan kan er niks gebeuren. Data mag dan ook op een laptop of een USB-stick staan, want niemand kan erbij komen. Data moeten we ten alle tijden beschermen, ook als we de data niet naar de cloud brengen. Zo bezien is cloud misschien wel een geschenk uit de hemel, erkennen steeds meer partijen. Het veranderproces en de partijen die hiervoor worden ingeschakeld lossen het beveiligingsvraagstuk namelijk voor een groot deel op. Ik wil er zelfs nog een schepje bovenop doen: we gebruiken steeds meer beveiligingsservices uit de cloud om data die niet in de cloud staat te beveiligen. Die tendens is echt al gaande. Ik geloof er heilig in dat security niet alleen nodig is om de cloud te beschermen, maar dat de bescherming van data juist uit de cloud komt.

Microsoft Private Cloud Oplossingen Lees meer op microsoft.nl/readynow

USERS MAKE THE SYSTEM WORK Voor de meeste organisaties is ICT het middel om een ander, hoger organisatiedoel te verwezenlijken. Cloud computing heeft als doel gebruikers virtueel ongelimiteerd te kunnen laten werken, zonder dat zij de infrastructuur hoeven te managen.

Een veelgehoord bezwaar tegen migratie naar de cloud is het gebrek aan support. Bright Migration neemt dit argument volledig weg. Wij zijn de specialist in het succesvol begeleiden van risicovolle en complexe migraties.

BRIGHT MY DAY It’s done when the user says: ‘it works great’ Een migratie is pas succesvol als de eindgebruiker geen hinder heeft ondervonden van de migratie. Bij de migratie betaalt u per eindgebruiker die bij de evaluatie een 8 of hoger scoort. Zolang dat niet het geval is blijft Bright Migration werken tot dit resultaat bereikt is.

+ 8

KIJK OP BRIGHTMIGRATION.NL VOLG ONS VIA @BrightMigration

2012 En verder

Recommend Documents