Cloud Computing: Een e b bliksembezoek se be oe aan aa de juridische aspecten Alan Steele Nicholson Jeroen van der Lee
– wie zijn wij? KENMERKEN onafhankelijk sinds 1991 beëdigd informaticadeskundigen best practices
ONAFHANKELIJK IT – ADVIESBUREAU VANUIT DISCIPLINES: bedrijfskundig technisch bedrijfs juridisch kundig
technisch
ITIL / ISPL / PRINCE2
kwaliteitsaanpak (MIRKA)
Cloud en Grid Computing Symposium 21 April 2009
juridisch
21 April 2009
professioneel netwerk huisleverancier IT-advies IT advies
Cloud- en Grid Computing Symposium
2
1
Juridische aandachtspunten
21 April 2009
Cloud- en Grid Computing Symposium
Juridische aandachtspunten
3
21 April 2009
Cloud- en Grid Computing Symposium
4
2
Agenda
Inleidende kenmerken
Een Cloud Computing leverancier is een serviceorganisatie die: via het internet of andere datanetwerk IT-middelen (functionaliteit en/of gevirtualiseerde systeem g y componenten) p ) op een zeer flexibele wijze ter beschikking stelt aan klanten welke betalen op basis van gebruik.
Inleiding Ontbreken van fysieke controle Flexibiliteitsvraagstukken Exit- / transitievraagstukken g Onbehandelde kwesties / vragen
21 April 2009
Cloud- en Grid Computing Symposium
5
21 April 2009
Cloud- en Grid Computing Symposium
6
3
Verschillende soorten clouds
Inleidende kenmerken Een Cloud Computing leverancier is een serviceorganisatie die: via het internet of andere datanetwerk IT-middelen (functionaliteit en/of gevirtualiseerde systeemcomponenten) g y p ) op een zeer flexibele wijze ter beschikking stelt aan klanten welke betalen op basis van gebruik Verschillende soorten clouds
User Level “software as a service”
Developer Level
Cloud- en Grid Computing Symposium
• Developers can design, build and test applications that run on the Cloud provieder’s infrastructure and then deliver those applications to end-users from the provider’s servers
“platform as a service”
IT Level “Infrastructure as a service”
21 April 2009
• Companies host applications in the cloud that many users access through Internet Connections. The service being sold or offered is a complete end-user application.
7
21 April 2009
• System administrators optain general processing, storage, database, management and other resources and applications through the network and pay only for what gets used.
Cloud- en Grid Computing Symposium
8
4
Ontbreken van fysieke controle
Ontbreken van fysieke controle Beveiliging
Beveiliging Opschortingsrecht - retentierecht Compliance
21 April 2009
Cloud- en Grid Computing Symposium
9
21 April 2009
Cloud- en Grid Computing Symposium
10
5
Beveiliging Afscheiding van andere afnemers Data-integriteit
Beveiliging Afscheiding van andere afnemers Data-integriteit Beveiliging uitbesteden? Opschortingsrecht/retentierecht Compliance 1. Privacy 2. Financieel toezicht (DNB / AFM) 3. Licentiekwesties
Due Diligence: -
21 April 2009
What’s in the contract? What backup systems are in place? Data recovery? How long? Tested? Often? Audit rights? Upgrade effects? Long-term viability?
Cloud- en Grid Computing Symposium
11
21 April 2009
Cloud- en Grid Computing Symposium
Bron: Cloudsecurity.org
Ontbreken van fysieke controle Bron: Cloudsecurity.org
Ontbreken van fysieke controle
12
6
Privacy
Ontbreken van fysieke controle Bron: Cloudsecurity.org
Beveiliging Afscheiding van andere afnemers Data-integriteit Beveiliging uitbesteden? Opschortingsrecht/retentierecht Compliance 1. Privacy NL Privacy regels (CBP, WGBO) Financiele instanties (DNB/“Patriot Act”) (SWIFT) (EU) Grensoverschrijdende verwerking
21 April 2009
Cloud- en Grid Computing Symposium
13
Wet Bescherming Persoonsgegevens: Passend beveiligingsniveau gelet op: risico’s en aard van gegevens rekening houdend met: stand van de techniek en kosten van de tenuitvoerlegging
21 April 2009
Cloud- en Grid Computing Symposium
14
7
Ontbreken van fysieke controle
Licentiekwesties: “Normale” setting
Bron: Cloudsecurity.org
Beveiliging Afscheiding van andere afnemers Data-integriteit Beveiliging uitbesteden? Opschortingsrecht p g - retentierecht Compliance 1. Privacy (vervolg)
Licentiegever
Licentienemer (Klant)
CBP, WGBO DNB/“Patriot Act” (SWIFT) (EU) Grensoverschrijdende verwerking
2. Financieel 2 Fi i l ttoezicht i ht (DNB / AFM) 3. Licentiekwesties 21 April 2009
Cloud- en Grid Computing Symposium
15
21 April 2009
Cloud- en Grid Computing Symposium
16
8
Licentiekwesties – SaaS setting
Licentiegever
Licentiekwesties – Cloud setting ?
Licentienemer (SaaS Provider)
Licentienemer (Klant?)
Licentiegever
? ?
Sublicense?
21 April 2009
Functionaliteitsafnemer (Klant)
Cloud- en Grid Computing Symposium
Cloud Provider
17
21 April 2009
Cloud- en Grid Computing Symposium
18
9
Flexibiliteit
Exit / Transitie
Schaalbaarheid en elasticiteit Ruimte voor maatwerk op applicatieniveau? Interoperabiliteit met systemen van klant/andere leveranciers: Cloud Cloud-to-cloud to cloud standaarden Multi-tenancy - overboeking
21 April 2009
Cloud- en Grid Computing Symposium
19
Migratie naar een andere Cloud Dataconversie Licentiekwesties Dataretentie / archiveren (Her)bouwen van een nieuwe infrastructuur?
21 April 2009
Cloud- en Grid Computing Symposium
20
10
Onbehandelde aandachtspunten
Vragen? Per e-mail:
Overige informatie Internet:
21 April 2009
Cloud- en Grid Computing Symposium
21
21 April 2009
[email protected] [email protected]
www.mitopics.nl www.twobirds.com
Cloud- en Grid Computing Symposium
22
11
Comparison Grid vs. Cloud Computing Feature
Grid
Cloud
Resource Sharing
Collaboration (VOs, fair share).
Assigned resources are not shared.
Resource Heterogeneity
Aggregation of heterogeneous resources.
Aggregation of heterogeneous resources.
Virtualization
Virtualization of data and computing resources.
Virtualization of hardware and software platforms.
Security
Security through credential delegations.
Security through isolation.
High Level Services
Plenty of high level services.
No high level services defined yet.
Architecture
Service orientated.
User chosen architecture.
Software Dependencies
Application domain-dependent software.
Application domain-independent software.
Platform Awareness
The client software must be Grid Grid-enabled. enabled
The SP software works on a customized environment environment.
Software Workflow
Applications require a predefined workflow of services.
Workflow is not essential for most applications.
Scalability
Nodes and sites scalability.
Nodes, sites, and hardware scalability.
Self-Management
Reconfigurability.
Reconfigurability, self-healing.
Centralization Degree
Decentralized control.
Centralized control (until now).
Usability
Hard to manage.
User friendliness.
Standardization
Standardization and interoperability.
Lack of standards for Clouds interoperability.
User Access
Access transparency for the end user.
Access transparency for the end user.
Payment Model
Rigid.
Flexible.
QoS Guarantees
Limited support, often best-effort only.
Limited support, focused on availability and uptime.
Source: “A Break in the Clouds: Towards a Cloud Definition”, Vaquero, Rodero-Merino, Caceres, Lindner, 1/09
21 April 2009
Cloud- en Grid Computing Symposium
23
12