Cloud Works WWW.CLOUDWORKS.NU | NUMMER 1 JUNI 2010
HET VAKBLAD OVER CLOUD COMPUTING
cloud computing
Voors en tegens Interview: Hoe landsgrenzen de cloud dwarszitten
Waar is mijn data? Begin met een exitstrategie
Kopen of uitbesteden? voor- en nadelen op een rij SECURITY VOLGENS HET JERICHO-MODEL | SERVICE LEVEL AGREEMENT 2.0: TRADITIONELE SLA’S VOLDOEN NIET MEER | ONDERZOEK: CLOUD IN NEDERLAND: VEEL INTERESSE, WEINIG IMPLEMENTATIE JUNI 2010 - CLOUDWORKS - 1
CLOUD COMPUTING?
SIMPLE IF YOU KNOWHOW_ ■ ■ ■
Bedrijfszekere, geavanceerde IT-faciliteiten Geheel op maat Tegen vaste, lage kosten per gebruiker
Qwise maakt Cloud Computing praktisch werkbaar voor elke organisatie. Op voorhand investeren in betrouwbare en op maat gemaakte IT-faciliteiten hoeft dus niet meer. Wees verzekerd van een omgeving die altijd en overal beschikbaar is. Op maat ingericht om uw bedrijfsproces zo optimaal mogelijk te laten verlopen.
Lees onze succesverhalen op
www.qwise.nl/cloud.
www.qwise.nl 2 - CLOUDWORKS - JUNI 2010
■
[email protected]
Colofon
Een nieuw
magazine?
Inderdaad! Uitgeverij FenceWorks lanceert het uitgeefproject CloudWorks, dat zich exclusief richt op het fenomeen cloud computing. Diverse uitingen, zoals een maandelijks magazine, een site, e-mailnewsletters en events op het gebied van cloud computing zullen onder de noemer CloudWorks op de markt komen. Belangrijke marktpartijen – Qwise, Sogeti Nederland en TelecityGroup Netherlands – hebben het belang onderkend van een publicatie die onderscheid maakt tussen feit en fictie op het gebied van cloud computing. Zij bieden u samen met FenceWorks dit magazine aan. Cloud computing is nu misschien nog een hype, maar zal de komende jaren veel fundamentele veranderingen in de toepassing van IT met zich meebrengen. De principiële voordelen van cloud computing – bijvoorbeeld op het gebied van beheer, kosten, schaalbaarheid en green IT – zijn vrij goed bekend. Toch zijn veel IT-organisaties nog huiverig om cloud computing op enige schaal toe te passen. Deze aarzeling heeft te maken met aspecten als security, vertrouwen, ownership van data, compliance, applicatie-integratie en dergelijke. CloudWorks stelt zich ten doel organisaties te informeren over de toepasbaarheid van cloud computing in de praktijk en over de ontwikkelingen op dit terrein. Hiermee krijgen decision makers en influencers een realistisch beeld van de nieuwste mogelijkheden, onder het motto ‘Realisme is goed, drempelvrees onnodig’. De redactie streeft ernaar cloud computing op een veelzijdige en objectieve manier te belichten. In dit eerste nummer bespreken we een breed scala onderwerpen. Van achtergrondartikelen over de voors en tegens van bepaalde cloudoplossingen tot en met securitymodellen, praktijkcases en aandachtspunten voor SLA’s. En hoewel onze titel – Cloud ‘Works’ – misschien suggereert dat wij per definitie voor de cloud zijn, streven wij er juist naar om onbevooroordeeld alle pro’s en con’s te bespreken. Kritisch zijn mag best, getuigen de twee tegengestelde columns over Eurocloud in dit nummer. Voorzitter Alexandra Schless krijgt de ruimte deze nieuwe branchevereniging te introduceren, terwijl columnist Gert Brouwer er een kritische blik op werpt. Voors en tegens... Het afwegen daarvan heeft tot gevolg dat cloud computing uit de sfeer van de hype komt en op z’n eigen merites beoordeeld wordt. Het is tijd dat de huidige discussie – waarbij de één juichend de voordelen noemt en de ander ‘het allemaal nog maar moet zien’ – op een hoger plan komt. Wij geven met CloudWorks een eerste aanzet daartoe. Nu bent u aan zet. Uw reactie is welkom!
CloudWorks maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorks vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via
[email protected]. Uitgever: Arnoud van Gemeren,
[email protected] +31 (0)6 53 57 34 90 Hoofdredacteur: Jeroen Horlings,
[email protected] Postadres redactie: Postbus 82, 2460 AB Ter Aar e-mail:
[email protected] Vormgeving: Ron Rossen Media Services Uitgeest B.V. Druk: Drukkerij De Globe, Amersfoort Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: ‘Overgenomen uit CloudWorks, de publicatie over cloud computing’, plus jaargang en nummer. © Copyright 2010 FenceWorks BV. CloudWorks is een uitgave van FenceWorks BV.
JEROEN HORLINGS (
[email protected]), HOOFDREDACTEUR ARNOUD VAN GEMEREN (
[email protected]), UITGEVER
JUNI 2010 - CLOUDWORKS - 3
24
38
44
6 10
40
4 - CLOUDWORKS - JUNI 2010
Inhoud
10
THEMA 8-9
Onderzoek: de cloud in 2010
10-12
Meer dan gebakken lucht
36-37
Disaster recovery in de cloud
40-42
Waar is mijn data?
44-45
Zelf bouwen of kopen
VASTE RUBRIEKEN 6-7
Nieuws
43
The Legal Look
SECURITY 20-22
Het Cloud Cube-model
CASE 24-27
Luchtvaartalliantie in de wolken
HARDWARE EN SOFTWARE
14 34
34-35
Cisco’s Unified Computing System
38-39
Novell’s Cloud Manager
COLUMNS 13
Alexandra Schless, Eurocloud
19
Paul Zeldenthuis, Qwise
33
Gert Brouwer, Brouwer Storage
EN VERDER 14-15
Interview met James Staten, Forrester
16-18
Traditionele SLA’s voldoen niet meer
30-32
SaaS University JUNI 2010 - CLOUDWORKS - 5
VMware en Google
samen in de cloud
Twee cloud-giganten, VMware en Google, hebben een samenwerkingsverband aangekondigd. Het doel is om Java-ontwikkelaars eenvoudiger applicaties te laten bouwen en beheren. Uniek is het uitgangspunt dat deze in alle cloudvormen – public, private of hybride – bruikbaar moeten zijn. Hierdoor moeten cloudapplicaties flexibeler en productiever worden en gebruikers in staat stellen eenvo u d i g er naar verschillende cloudmodellen over te stappen. Door eigen technologiën te integreren – zoals VMware’s vCloud en SpringSource, en Google’s Web Toolkit en App Engine – moet de adoptie van cloud computing door het bedrijfsleven versneld worden. Paul Maritz, president en CEO van VMware, stelt dat bedrijven actief op zoek zijn naar manieren om cloud computing in hun omgeving in te zetten, enerzijds door economische voordelen en anderzijds door de flexibiliteit en innovatie die de cloud belooft. Met de samenwerking willen beide bedrijven de Java-gemeenschap tegemoetkomen, door betere integratiemogelijkheden te bieden in alle cloudvormen. Eerder kondigde VMware ook al een samenwerkingsverband met Salesforce.com aan. www.vmware.com / www.google.nl
•
Servoy komt met Het Nederlands-Amerikaanse Servoy heeft een opensourceversie van haar hybride SaaS-platform aangekondigd. Servoy 5.2, de broncode van Servoy Developer, Smart Client en -Web Client, wordt open source ter beschikking gesteld via een Affero
6 - CLOUDWORKS - JUNI 2010
Rackspace Klanten in Europa kunnen zich klaarmaken voor ‘Fanatical support’, zoals Rackspace het zelf graag noemt. Rackspace Hosting, een van de grote spelers op het gebied van hosting en cloud computing, komt namelijk dit jaar nog met clouddiensten naar Europa toe, te beginnen met Groot-Brittannië en later Nederland. Het gaat om twee verschillende diensten: public cloud services voor het MKB en een VMware-gebaseerde enterprise private cloud voor de grotere organisaties. Het verschil tussen een public cloud en een enterprise cloud is dat in het eerste geval een en dezelfde cloudinfrastruc-
breidt clouddie
tuur beschikbaar is voor meerdere organisaties, terwijl in het tweede geval de cloudinfrastructuur gereserveerd is voor één bedrijf. Tegelijkertijd wil Rackspace een nieuwe enterprise-cloudoplossing bieden op basis van VMware (als marktleider voor virtualisatie in enterpriseomgevingen). Deze nieuwe clouddiensten zijn specifiek ontworpen om zogeheten hybrid hosting mogelijk te maken, waarbij de beste elementen van zowel cloud computing en managed hosting met elkaar worden gecombineerd. Brian Garvey, countrymanager Benelux voor Rackspace: “De stap om nu ook in Eu-
open source SaaS-platform
bedrijf
General Public License (AGPL). De software is geschikt voor gebruik in de cloud of on-premise via een browser of native client. Het vrijgeven van de software versterkt de mogelijkheden aan de kant van ontwikkelaars en
op die manier het hele platform. Bovendien voorkomen open standaarden de zogenaamde ‘vendor lock-in’. Servoy hoopt op bijdragen van getalenteerde ontwikkelaars in de open-sourcegemeenschap. Volgens het bedrijf werken meer dan 100.000 bedrijven en 20.000 ontwikkelaars reeds met de Servoy product suite. De software zal medio juni te downloaden zijn vanaf de website. www.servoy.com
•
Nieuws
1.200.000.000.000.000.000 bytes In 2010 wordt wereldwijd maar liefst 1,2 zettabyte aan digitale informatie geproduceerd, zo verwacht IDC op basis van een recent onderzoek. In het recessiejaar 2009 was dat nog 0,8 zettabyte (oftewel 800 exabyte), dat op zichzelf al 62 procent meer was dan in 2008. Ter referentie: één zettabyte is een triljoen gigabyte (GB). IDC schat in dat dit aantal verder zal
toenemen tot 35 zettabyte in 2020. Interessant is dat men verwacht dat meer dan de helft van de data tegen die tijd zal zijn opgeslagen in de cloud. Dat laatste biedt als voordeel dat ict-afdelingen zich meer op innovatie kunnen richten en minder op beheer, wat zich volgens IDC zal vertalen in een triljoen dollar aan extra omzet wereldwijd.
•
Uitzendinggemist.nl in de cloud
nsten uit naar Europa ropa cloudinfrastructuren aan te bieden is het antwoord op een groeiende vraag vanuit Europese klanten naar lokale toegang tot hoogwaardige internationale diensten. Enerzijds heeft dat te maken met lagere latency, dus minder vertraging, aangezien de gegevens dichter bij de gebruikers en klanten zijn, wat vooral voor e-commerce- en nieuwe media van belang is. Voor sommige organisaties is het zelfs verplicht om hun data in de EU te hebben, op grond van regelgeving en compliancy.” www.rackspace.com
•
Uitzendinggemist.nl is een van de zwaarst belaste internetsites van Nederland, met zeer intensief internetverkeer. De website bestaat nu zo’n tien jaar en stelt inmiddels ongeveer 80 TB (terabyte) aan uitzendmateriaal beschikbaar aan internetters die een eerder uitgezonden televisieprogramma willen bekijken. Tussen de tienduizend en twintigduizend mensen spelen op een gemiddelde avond video’s af, goed voor een bandbreedteverbruik van 10 GB. “Ons record staat op 25 GB”, zegt Wietse Muizelaar, teamleider Hosting & Streaming van NPO ICT. “Al die data moet worden opgeslagen en gemakkelijk beschikbaar komen. En dat wordt elke dag meer, in steeds meer formats. Denk bijvoorbeeld aan mobiel. Dat vraagt om een robuuste en schaalbare infrastructuur die bovendien kosteneffectief moet zijn, want de Publieke Omroep gaat zuinig om met de middelen die zij ter beschikking krijgt.”
De bestaande storageoplossing was aan de grenzen van haar capaciteit gekomen. NPO ICT is op zoek gegaan naar nieuwe opslagcapaciteit voor streaming media. De eisen waren onder andere: hoge beschikbaarheid, schaalbaarheid om een datagroei van meer dan 50 procent per jaar te kunnen faciliteren, scherpe tarieven per TB, laag stroomverbruik, en 24x7-support. Uiteindelijk is gekozen voor de OpenStorage-oplossing van Inprove (gebaseerd op NexentaStor). Inprove heeft NPO ICT uitgerust met een NXA Nexenta Storage Cluster Systeem met 192 TB, draaiend op het ZFS File System en met 1.9 TB high performance SSD read cache. www.inprove.nl
•
IBM koopt data-integrator Cast Iron Systems IBM heeft bekendgemaakt het Amerikaanse bedrijf Cast Iron Systems over te nemen. Dit bedrijf is gespecialiseerd in data-integratie van lokaal geïnstalleerde bedrijfssoftware in cloudapplicaties. Data-integratie van lokale software naar de cloud en andersom is momenteel een van de grootste uitdagingen, zo
stelt IBM, onder andere omdat het zeer tijdsintensief is. Cast Iron Systems heeft honderden templates ontwikkeld waarmee de integratie van data in cloudapplicaties wordt teruggebracht tot enkele dagen in plaats van weken. Maatwerk om systemen op elkaar aan te sluiten zou hier-
door nauwelijks meer nodig zijn. Het overgenomen bedrijf biedt onder andere koppelingen tussen cloudapplicaties van Salesforce.com, Amazon, NetSuite en ADP met on-premise applicaties van bijvoorbeeld SAP en JD Edwards. Cast Iron Systems telt 75 werknemers die in dienst treden bij IBM. De Amerikaanse gigant heeft sinds 2003 al 55 bedrijven overgenomen. www.ibm.nl
•
JUNI 2010 - CLOUDWORKS - 7
Hoe snel groeit de Europese cloud?
Cloud computing anno 2010
Dit voorjaar werden de resultaten van een nieuw onderzoek naar cloud computing en virtualisatie bekend. Unleashing the Power of Virtualisation 2010, uitgevoerd in opdracht van CA Software, is met name ingegaan op hoe ver organisaties in vijftien Europese landen gevorderd zijn met cloud computing. In dit artikel passeren de belangrijkste uitkomsten van het onderzoek de revue. DOOR GREGOR PETRI, SR. DIRECTOR MARKETING BIJ CA SOFTWARE
Met alle aandacht in de media voor cloud computing is de verwachting dat information as a service (IaaS) in de komende jaren een steeds belangrijkere rol zal spelen in Europese datacenters. Het onderzoek¹ toont echter dat, hoewel veel organisaties inmiddels virtualisatie in hun datacenter toepassen, er maar weinig organisaties begonnen zijn om infrastructuur als dienst te gebruiken of aan te bieden. Kostenbesparing – en niet flexibiliteit – is overigens de belangrijkste reden om virtualisatie zo grootschalig toe te passen. Gedreven door ‘do more with less’ of ook wel ‘do more with what you already have’ zijn veel servers geconsolideerd en is de utilisatiegraad sterk gestegen. Maar wanneer we kijken naar de volgende stappen op de weg naar cloud computing, zoals automatisch configureren en automatisch alloceren/de-alloceren op basis van de actuele vraag, dan blijken zowel de animo als de implementatie hiervoor een stuk lager. Wat hierbij opvalt, zijn de grote verschillen tussen de diverse landen. Voor dit onderzoek interviewde Vanson Bourne van CA Software 550 IT-directeuren uit veertien Europese landen om inzicht te krijgen in de verschillende niveaus van volwassenheid op het gebied van virtualisatie en cloud computing. Zoals te verwachten is de UK een van de early adopters, samen met landen als Nederland en Zweden overigens. België bevindt zich samen met Portugal en
8 - CLOUDWORKS - JUNI 2010
Spanje helemaal aan de andere kant van het spectrum. Wanneer we naar de cijfers voor servervirtualisatie in Europa en Nederland kijken, dan zien we dat er actieve interesse bestaat bij 70 procent van de ondervraagden in Europa versus 83 procent in Nederland. Kijk je echter naar het percentage dat aangeeft servervirtualisatie inmiddels ook daadwerkelijk geimplementeerd te hebben, dan zijn de cijfers 44 procent in Europa versus 41 procent in Nederland. Duitsland en Engeland lopen voorop met respectievelijk 60 procent en 57 procent. In België gebruikt echter slechts 14 procent van de bedrijven momenteel servervirtualisatie, en dat percentage daalt nog verder tot slechts 11 procent in Spanje. We zien ook veel lagere percentages wanneer we kijken naar de andere technologieën die nodig zijn om te komen
van virtualisatie tot daadwerkelijke cloud computing. Een merkwaardig of wellicht zelfs zorgwekkend fenomeen hierbij is dat Nederland consistent hoger scoort wanneer het gaat om interesse maar consistent lager wanneer het gaat om daadwerkelijke implementaties. Dat komt neer op ‘wel lullen, maar niet poetsen’; een wat merkwaardige interpretatie van de zo vaak genoemde VOC-mentaliteit. (Zie tabel 1) Ook in andere landen zien we scores die vanuit de cultuur verklaard kunnen worden. Zo denkt maar liefst 44 procent van de geïnterviewde IT-directeuren in Italië dat hun rol niet zal veranderen als gevolg van cloud computing (en waarschijnlijk dus ook niet als gevolg van iets anders), versus 16 procent in Europa en helemaal niemand (0 procent!) in Nederland. Daarnaast is 54 procent van de Fransen ronduit sceptisch over de langetermijnimpact van cloud computing, terwijl 43 procent van de Nederlandse IT-directeuren hiervan compleet overtuigd is.
VAN VIRTUALISATIE NAAR CLOUD COMPUTING Wanneer organisaties klaar zijn om infrastructuur als een dienst te gebruiken en te beheren, zullen zij van de huidige virtualisatiefase kunnen doorstromen naar het optimaal benutten van cloud
TABEL 1 Onderwerp
Interesse (inclusief al in gebruik)
Geïmplementeerd
Server virtualisation Selfservice Desktop virtualisation Automated workloads Dynamic resource handling Automated provisioning
EU 70% 46% 44% 35% 31% 19%
NL 83% 74% 49% 49% 49% 29%
EU 43% 23% 24% 21% 16% 19%
NL 41% 15% 18% 10% 12% 12%
Automated de-provisioning Cloud computing None of the above
11% 31% 16%
17% 34% 6%
17% 4%
0% 8%
Achtergrond computing. Op basis van bovenstaande cijfers signaleert het onderzoek echter een duidelijke kloof ofwel chasm in Europa tussen het huidige succes van virtualisatie en de overgang naar eerst een interne cloud en later een publieke cloud. Organisaties geven daarbij aan enerzijds meer inzicht te willen hebben in de stappen die nodig zijn om van de huidige statische inzet van virtualisatie tot een dynamische cloudomgeving te komen. Maar anderzijds bestaan er ook nog zorgen op het gebied van beveiliging en management. Gevraagd naar de belangrijkste reden om geen gebruik te maken van de cloud, geeft de grootste groep (27 procent) aan dat beveiliging de grootste zorg is, direct gevolgd door het gebrek aan ervaring (22 procent) en zorgen over manageability (17 procent). In Nederland zijn de zorgen over beveiliging net iets groter (29 procent) maar is slechts 11 procent bezorgd over gebrek aan ervaring, terwijl bijna een derde van de Nederlandse managers (29 procent) aangeeft dat hun grootste zorg voor de invoering van cloud computing het beheer ervan is. Wellicht hebben we dus toch iets geleerd van de rush van centrale naar gedistribueerde systemen, waar we na enige jaren uitvonden dat deze gedistribueerde systemen weliswaar goedkoper waren in aanschaf, maar op de lange termijn een veel hogere cost of ownership hadden – met name omdat de beheersystemen niet klaar waren voor de overgang. Een andere meer fundamentele verklaring voor de gesignaleerde kloof in de overgang van servervirtualisatie naar infrastructure as a service en cloud computing, is dat veel geïnterviewden het duidelijk moeilijk vonden om de voor-
CLOUD COMPUTING, INTERN OF EXTERN
25
20
15
10
5
0 1 - alles intern
2
3 - beide
delen van cloud computing te articuleren, laat staan te vertalen naar relevante succesfactoren voor hun organisatie. Zelfs wanneer zij geholpen werden met de vaak genoemde vijf karakteristieken van cloud computing (toegang, zelfservice, resource pooling, elasticity, metered use). Hoewel de huidige hoge adoptiegraad van virtualisatie voor een groot deel toegeschreven kan worden aan de door de huidige economische situatie opgelegde druk tot kostenreductie, geeft 57 procent van de Europese IT-managers aan dat hun organisaties inmiddels plannen aan het maken zijn voor de komende economische upturn. Merkwaardig genoeg is echter slechts 38 procent van de IT-afdelingen ook bezig om dergelijke plannen te maken. Een duidelijke alignement gap. Hier doet Nederland het met respectievelijk 66 procent van de organisaties versus 57 procent van de IT-afdelingen dan weer beter.
IS UW IT-AFDELING GESCHIKT OM ZELF CLOUD COMPUTING TE FACILITEREN?
70
4
5 - alles extern weet nog niet
CONCLUSIE In heel Europa zien we dat servervirtualisatie, de eerste stap naar cloud computing, breed omarmd en geïmplementeerd wordt. De overgang naar daadwerkelijk infrastructure as a service blijft echter nog achter. In Nederland zien we dat op alle vlakken de interesse hoger is dan in Europa, de daadwerkelijk implementatie blijft echter achter. Kortom, het wordt tijd om te gaan poetsen! CW ¹ Het onderzoek Unleashing the Power of Virtualisation 2010 – Cloud Computing and the Perceptions of European Business werd in opdracht van CA uitgevoerd door Vanson Bourne. In totaal werden 550 respondenten ondervraagd in veertien Europese landen. Download Unleashing the Power of Virtualisation 2010 op www.thecloudacademy.com.
WAT ACHT U DE VOORNAAMSTE NADELEN VAN CLOUD COMPUTING?
30
60
25
50 20 40 15 30 10 20 5
10 0
Ja
Nee
0
Datasecurity
onbewezen concept
management juridische en noodzakelijk complianceproblematiek
disaster recovery
slechte servicereputatie
workloads verplaatsen
SLA’s
JUNI 2010 - CLOUDWORKS - 9
De cloud,
meer dan gebakken lucht? Cloud computing is het ‘buzzword’ in de IT-wereld van vandaag. Na de hype rond virtualisatie, ILM, utility xSPs/Xaas/SOA is nu alles cloud wat de klok slaat. Leveranciers klimmen als een bok op de haverkist om te roepen dat ook zij cloudoplossingen leveren. Voor marketeers is er immers niets erger dan de boot missen, dus iedereen wil er bij horen. ‘Be part of the parade!’, zoals de Amerikanen zeggen. Maar is dat terecht? DOOR GERT BROUWER, ONAFHANKELIJK ADVISEUR EN STORAGE ARCHITECT BIJ BROUWER STORAGE CONSULTANCY
Wat de cloud nu precies is, is allesbehalve duidelijk. Wat dat betreft past het wolkje goed bij het begrip. Ook de definities van de in de IT bekende, toonaangevende organisaties laten veel ruimte – en misschien is dit maar goed ook. Een te scherpe definitie zou bepaalde producten kunnen uitsluiten en andere bevoordelen. In feite gaat het niet enkel en alleen om producten. Net als ILM, is de cloud een combinatie van producten, services, oplossingen en architecturen. Bovendien leiden ze tot een paradigma als het gaat om de benadering van hoe IT, resources, gerelateerde services en informatie gemanaged moeten worden. Angelsaksen bedoelen met de cloud in feite alleen het internet. Kijkend naar de cloud los van alle hype, zou je kunnen zeggen dat het in feite niets anders is dan een aparte tier in IT-resources, net
10 - CLOUDWORKS - JUNI 2010
zoals we die kennen in storage en servers. De cloud is dus niet een bepaald product, hoewel je wel kunt zeggen dat bepaalde producten de cloud kunnen faciliteren en sommige misschien meer of minder geschikt zijn.
SOORTEN CLOUD Meestal wordt er verschil gemaakt tussen een private cloud en een public cloud. Bij een private cloud wordt de data van een bepaalde klant binnen het eigen bedrijf via het internet lokaal of remote opgeslagen en beschikbaar gesteld. In feite is dit niets nieuws; bedrijven met meerdere vestigingen waren al langer bezig om hun activiteiten zo veel mogelijk te consolideren. Nieuwe technologische ontwikkelingen bieden steeds meer mogelijkheden – afhankelijk van de applicatie – om dit over steeds gro-
tere afstanden te doen. Het alternatief voor de private cloud is de zogenaamde public cloud. Hierbij delen vele (meestal kleine) klanten de infrastructuur. Een van de meest bekende voorbeelden daarvan is Google Mail (GMail) dat door velen reeds langere tijd gebruikt wordt. Een derde, meer hybride vorm kan hieraan toegevoegd worden waarbij een relatief klein aantal grotere klanten een infrastructuur delen. Dit lijkt het meest op de reeds bestaande outsourcemodellen. Het toekennen van een derde cloudsoort wijkt weliswaar af van de alom gebezigde classificering, maar
Visie
voor alle drie de vormen dienen verschillende randvoorwaarden opgesteld te worden.
WAT IS HET VOORDEEL VAN DE CLOUD? Als je het bovenstaande nuchter beschouwt, is er niet veel nieuws onder de zon. Waarom dan al die ophef? Het lijkt of de industrie af en toe een dergelijke boost nodig heeft, al is het alleen maar om de discussie en verkoop te stimuleren. Voorstanders van cloudoplossingen schermen met het feit dat gebruikers alleen betalen voor wat ze werkelijk ge-
bruiken en dat het werken in de cloud derhalve altijd goedkoper moet zijn. Waarom zou je een koe kopen als je af en toe een glas melk drinkt? Er wordt geroepen dat IT-resources zo beschikbaar gesteld zouden moeten worden als water uit de kraan en elektriciteit uit het net. Dat lijkt misschien logisch, maar hier gaat de vergelijking mank. Wie als klant gebruikmaakt van een nietprivate cloud, moet zijn data – meestal de belangrijkste resources van de onderneming – bij iemand anders stallen en dat is toch heel iets anders dan het afnemen van water of elektriciteit. Of
het ook werkelijk goedkoper is, is nog maar de vraag. Dat zal afhangen van het soort cloud en het type klant. Je kunt het eventuele voordeel dus niet zo uit de losse pols vaststellen; eerst zullen alle randvoorwaarden moeten worden bekeken.
PARALLEL MET OUTSOURCING De parallel tussen cloudsourcing en traditionele outsourcing ligt voor de hand. Veel CFO’s denken dat outsourcing goedkoper is. Toch valt er op dit gebied een golfbeweging te zien. Er zijn nog
JUNI 2010 - CLOUDWORKS - 11
Visie diskback-up, replicatie, veiligstellen op tape, en dergelijke toegepast. Geen enkel enkelvoudig protectiemechanisme is voldoende; met andere woorden: een meervoudige benadering is noodzakelijk. Het concept van cloudsourcing vraagt om nog verdergaande beveiligingen op meerdere terreinen.
‘Het concept van cloud sourcing vraagt om een meervoudige benadering van het beveiligingsaspect’ steeds bedrijven die outsourcen terwijl vele anderen er juist van terugkomen. Hoewel het vrijwel nooit publiekelijk wordt toegegeven, blijkt outsourcing achteraf duurder en/of de eigenlijke (interne) klant van het bedrijf niet tevreden met de dienstverlening. Bij outsourcing zijn de kant-en-klaar zaken concurrerend. Op het moment dat een klant maatwerk wil, moet hij langs de kassa – en dan blijkt de rekening in één keer torenhoog. Bij outsourcen spelen vaak nog andere motieven mee. Motieven die voor de man op de vloer niet direct zichtbaar zijn, maar des te duidelijker voor de CFO. Legacy-apparatuur bijvoorbeeld wordt door bedrijven uitbesteed zodat zij zelf de handen vrij hebben om nieuwe zaken op te pakken. We hebben dit bijvoorbeeld veelvuldig kunnen zien toen het IBM-mainframe in populariteit afnam als gevolg van nieuwe technieken. Met het buiten de deur zetten van de techniek gaat het personeel deels mee naar de outsourcer, en deels vloeit het af. Meestal gaat het hierbij, wat IT betreft, om de duurste werknemers. Een ander, minder bekend fenomeen dat outsourcing stimuleert – en dit speelt vooral bij grote ondernemingen een rol – zijn de pensioenen. Bij de traditionele pensioenen waarbij een werknemer aan het einde van zijn loopbaan een percentage van het laatstverdiende loon ontvangt, moest de werkgever steeds meer in de pensioenpot storten om in de pas te blijven. Dit drukt zwaar op de balans. Kortom, men wil dus helemaal niet weten of outsourcing wel of niet goed functioneert, de focus ligt op het tevreden stellen van de aandeelhouders.
12 - CLOUDWORKS - JUNI 2010
MOGELIJKE PROBLEMEN VAN DE CLOUD Er zijn twee belangrijke uitdagingen die aanbieders van cloudoplossingen zullen moeten kunnen oplossen c.q. moeten kunnen bieden. Security Afhankelijk van het type klant zal er veel gedaan moeten worden aan het veiligstellen van de data. Alles encripted versturen, is het minimale wat verwacht mag worden. Afhankelijk van de bedrijfstak kunnen de eisen met betrekking tot het gescheiden houden van data van verschillende partijen veel verder gaan. Denk daarbij bijvoorbeeld aan de SAS 70-certificering. Die kan zelfs tot de eis leiden dat een en dezelfde beheerder niet bij de data van verschillende bedrijven kan komen. Veel grote bedrijven maken zich zorgen over het feit dat de macht van de beheerders zo ver gaat, dat zij per vergissing of opzettelijk zowel de originele data als de diverse kopieën kunnen weggooien. Het indammen van deze macht leidt aan de andere kant vaak tot een onwerkbare situatie als het om beheer gaat. Hoeveel controle heeft men nog als al deze zaken buiten de deur geregeld worden? Daar kan en mag men niet geheel afhankelijk van zijn. Ook kun je je afvragen hoe betrouwbaar de externe partij is waar zaken mee wordt gedaan. Beschikbaarheid Bedrijven gebruiken allerlei technieken om de tijdige beschikbaarheid van hun data te garanderen en tegelijkertijd te voorkomen dat data verloren gaat. Hiertoe worden technieken als disk-
HET LATENCY-PROBLEEM Latency heeft alles te maken met de lichtsnelheid en kan in principe niet gecompenseerd worden. De latency die een applicatie ondervindt, is de som van de door de afstand veroorzaakte latency en het vertragingseffect van de tussenliggende apparatuur. Wel is er een aantal oplossingen op de markt die deze vertraging kan compenseren. Dit gebeurt doorgaans met behulp van caching. Dit werkt echter alleen in die gevallen waar sprake is van een voorspelbaar patroon, dus niet waar het gaat om random access. De ene applicatie is gevoeliger voor latency dan de andere. Ook in gevallen dat het nog wel werkt, heeft latency een ongunstig effect op de behaalde performance. Daarnaast speelt natuurlijk de kwaliteit van de verbindingen een belangrijke rol. Dit betekent dat lang niet elk proces zich er voor leent om in de cloud te draaien.
DE TOEKOMST VAN DE CLOUD Resumerend kunnen we zeggen dat het succes van de cloud mede bepaald wordt door de betrouwbaarheid van de aanbieders en de aantrekkelijkheid van het kostenmodel (in acht nemende dat aan alle gestelde randvoorwaarden wat betreft beschikbaarheid en beveiliging wordt voldaan). Het MKB en de huistuin-en-keuken-gebruiker zullen sneller bereid zijn hun data in de cloud te stallen dan een bankonderneming. De eerstgenoemde partijen zullen er niet te veel voor over hebben, dus ergens moet de balans gevonden worden. Op dit moment is het aantal aanbieders van clouddiensten te groot, wat goed is voor de concurrentie maar slecht voor de kwaliteit. Een oplossing zou kunnen zijn dat aanbieders zich specialiseren en zich daarmee richten op een bepaald segment. Als de hype over is, zal moeten blijken of er voldoende draagvlak is voor de cloud. Voorlopig is nog veel in nevelen gehuld. CW
Column
EuroCloud, voor en door de sector
DOOR ALEXANDRA SCHLESS, VOORZITTER STICHTING EUROCLOUD NEDERLAND
Cloud computing is de hype voorbij. Gebruikersorganisaties beginnen de voordelen in te zien. Die voordelen zijn dan ook groot. Cloud computing maakt bedrijven flexibeler, bedrijven zijn goedkoper uit, en ze kunnen veel efficiënter gaan werken. Maar er bestaan ook nog veel misverstanden. Bedrijven die zich oriënteren, hebben zorgen over de veiligheid, ze zijn bang overgeleverd te raken aan hun leverancier (vendor lock-in) en ze zien zich geconfronteerd met vraagstukken op het gebied van integratie en interoperabiliteit.
vesteren als hij in een handomdraai een compleet gevirtualiseerd datacenter tot zijn beschikking kan krijgen?
Ook aan de aanbiederskant zijn er veel vragen. Cloud computing zet de IT-industrie op haar kop. Softwarevendors zullen hun leveringsmodellen moeten aanpassen; de licentie als melkkoe heeft afgedaan, software as a service is het parool. Ga er maar aanstaan! Ook de ITdiensverleners moeten mee in de vaart der volkeren. Value added resellers van hard- of software zullen zich echt achter hun oren moeten krabben: hoe houd je de klant als ie de cloud in wil? En waarom zou de klant nog in eigen servers in-
EuroCloud Nederland was er snel bij. Na de informele start in november hebben zo’n zestig bedrijven – aanbieders en gebruikersorganisaties – belangstelling getoond. Begin februari zijn we echt begonnen.
Het is duidelijk dat er nog veel aan voorlichting moet worden gedaan. Mede om die reden is in oktober vorig jaar EuroCloud opgericht, als Europees netwerk van lokale EuroCloud-organisaties. Amper vier maanden later zijn er al EuroClouds in zestien landen. Deze snelle ontwikkeling laat zien hoe groot de behoefte is onder leveranciers en gebruikers om zich te organiseren en kennis uit te wisselen.
EuroCloud heeft drie doelstellingen: voorlichting geven aan de buitenwereld en kennisuitwisseling tussen de deelnemers faciliteren; de deelnemers in staat stellen om onderling zaken te doen, en ten slotte cloud computing op de kaart
zetten in Brussel en Den Haag. Dat laatste is extra dringend met het oog op de vorming van een nieuw kabinet en de geplande bezuinigingen. We zien het als een van onze taken om politiek Den Haag tot het inzicht te brengen dat cloud computing in combinatie met het nieuwe werken kan leiden tot grote besparingen in IT en tot grote productiviteitswinst van de eigen ambtenaren. De initiatiefnemers van het blad dat u nu in handen heeft, voelen het belang van cloud computing haarfijn aan. Het getuigt van een goed zakeninstinct en moed om in het huidige economische klimaat een nieuw blad in de markt te zetten. Hulde! Het initiatief laat ook zien dat cloud computing een volwassen markt aan het worden is. Wij zullen met EuroCloud veelvuldig van ons laten horen. Maar het mag geen eenrichtingsverkeer zijn. Meld u aan op onze site (www.eurocloudnl.eu) om op de hoogte te blijven en om actief mee te helpen cloud computing versneld ingang te doen vinden. We zijn er voor u! CW
JUNI 2010 - CLOUDWORKS - 13
“Een leverancier moet per land een beleid uitstippelen”
Hoe landsgrenzen de cloud dwarszitten ‘Wie cloud denkt, denkt internet, en dat het er dus niet meer toe doet waar gegevens precies worden opgeslagen. Maar dat maakt wel uit, meer nog dan de meeste professionals denken, zegt principal analist James Staten van Forrester. CloudWorks sprak met Staten.
die gegevens mochten werken.” “Er bestaat ook het risico – en ook daar zijn gevallen van gemeld – dat een werknemer in het buitenland iets illegaals doet. Hij kan de gegevens of applicatie kopiëren. Dan heb je een probleem. Dat betekent dat iedere keer dat je ook maar iets uitbesteedt, je sterk rekening moet houden met de juridische gevolgen ervan.”
DOOR MICHIEL VAN BLOMMESTEIN, FREELANCE JOURNALIST James Staten schreef het Forrester-rapport Infrastructure-As-A-Service (IaaS) Clouds Are Local And So Are Their Implications, dat eerder dit jaar is uitgebracht. Een van de conclusies van het rapport luidt: ondanks dat klanten anders verwachten, maakt het wel degelijk uit waar gegevens worden opgeslagen. Daarbij komt dat aanbieders nu nog te weinig faciliteiten bieden om data op te slaan waar ze juridisch thuishoren.’ Zou u die conclusie kunnen toelichten? “De meeste mensen gaan ervan uit dat als je iets in de cloud gooit, het direct op het internet staat en plotseling overal toegankelijk is. Dat is absoluut niet het geval, in ieder geval niet automatisch. De infrastructuur van de diensten moet daar uitdrukkelijk voor zijn ingericht, en dat kenmerk hebben de meeste diensten niet. Je hebt te maken met de fysieke locatie waar de gegevens gehost worden. Daar ligt de grens voor je applicatie.” “Laten we even het verschil nemen tussen een dienst als de Google-zoekmachine en een hoster. In het eerste geval ga je er als klant mee akkoord dat Google jouw zoekopdracht zelf doorstuurt
14 - CLOUDWORKS - JUNI 2010
zodat het snel afgehandeld kan worden, waarbij het niet uitmaakt waar je geografisch zit. Daarmee neemt Google de directe verantwoordelijkheid op zich dat het gegevens verzamelt over landsgrenzen heen.” “Als hoster weet je niet welke applicaties je klanten boven op je dienst in je datacentrum draaien, en eigenlijk wil je dat niet weten. Hoe meer je weet, des te meer aansprakelijkheid en verantwoordelijkheid je op je neemt. De hoster wil de virtual machine, en de gegevens, op een enkele juridische plek houden. Mocht de klant zijn gegevens geografisch gespreid willen hebben, dan kun je dat aanbieden, maar je doet het niet automatisch om die aansprakelijkheid zoveel mogelijk te ontlopen.” Waar kan de hoster mee te maken krijgen? “Er zijn incidenten geweest van werknemers die vanuit het buitenland werkten, bijvoorbeeld op outsourcebasis, en rechten kregen om een omgeving in het land van de hoster te beheren. Daarmee zijn hosters in de problemen gekomen, omdat die contractwerkers buitenlanders zijn en volgens wetgeving niet met
Hoe ligt de verhouding Europa-VS op dit punt? “In de VS hebben we de PATRIOT Act, en in Europa gelden richtlijnen op het gebied van privacy. Dat betekent bijvoorbeeld dat je als Europees bedrijf beter af bent met je data in Europa te plaatsen, omdat de PATRIOT Act de Amerikaanse overheid bevoegdheden geeft die in strijd zijn met de Europese privacyrichtlijn. Wel bestaat er zoiets als Safe Harbor, een regeling tussen Amerikaanse bedrijven en de Europese Unie. Dat is een afspraak waarbij bedrijven Europese gegevens in de VS kunnen opslaan, waarbij de klant wordt beschermd onder de privacyrichtlijn. Probleem daarbij is dat de Amerikaanse overheid niet betrokken is bij de afspraak, en gewoon nog gebruik kan maken van zijn bevoegdheden om de gegevens te doorzoeken.” “Lastig is ook dat de privacyrichtlijn in Europa niet uitsluit dat lidstaten hun eigen privacyregels hebben. Een land als Italië kan bijvoorbeeld besluiten dat gegevens over Italiaanse burgers binnen de landsgrenzen moeten blijven. Als andere landen dat ook doen, loop je het risico van fragmentatie. De consequentie
Interview het valt te verwachten dat CA flink in dat product investeert. Ook Microsoft heeft een dergelijk product op de rol staan, de Dynamic Toolkit.” Welke rol speelt angst rond de beveiliging? “Cloudbeveiliging is geen technologisch probleem, het is een cultureel probleem. De meeste ict-bedrijven hebben een cultuur van doe-het-zelf, en maar weinig IT-professionals kunnen dat loslaten. Maar een cloud is niet minder veilig dan je eigen datacentrum. Het is dikwijls zelfs veiliger, omdat cloud providers meerdere klanten hebben en het extra risico een hogere veiligheidsstandaard afdwingt. Die beveiliging wordt doorgetrokken tot en met de virtual machine. Wat de klant daar bovenop draait, is zijn eigen verantwoordelijkheid en kan net zo goed een beveiligingsprobleem vormen. De meeste ict-beveiligers willen eigenlijk zeggen: “Gebruik de cloud niet tot ik weet hoe ik ons eigen deel kan beschermen.” In de bewoording komen ze echter vaak niet verder dan de eerste vier woorden. Als ze weten hoe de cloudinfrastructuur bij de leverancier werkt, dan weten ze ook direct hoe ze het moeten beveiligen.”
“Cloud providers bieden te weinig faciliteiten om data op te slaan waar ze juridisch thuishoren” is dat het gegevensbeheer bijzonder ingewikkeld wordt. Een leverancier moet per land een beleid uitstippelen.” In de VS wordt de cloud meer ingezet dan in Europa. Medisch bedrijf Schumacher gebruikt de cloud sinds kort zelfs al voor patiëntgegevens. Zet Europese privacywetgeving een rem op de cloud? “Nee, integendeel. Ik denk dat bedrij-
ven juist meer gedwongen worden om gegevens in Europa op te slaan. Uiteindelijk is het de onvolwassenheid van de markt die een rem zet op de cloud. Maar dat staat te veranderen. VCloud staat bijvoorbeeld op stapel voor de komende achttien maanden. Dat wordt een volledige middleware-infrastructuur voor IaaS. Een ander voorbeeld is 3Terra, die AppLogic hebben gebouwd. Eerder dit jaar is dat bedrijf gekocht door CA;
Is er een standaard voor de uitwisseling van die informatie van leverancier naar beveiliger? “Ik wou dat die er was, maar helaas hebben wij nog geen consistentie daarin kunnen vinden. Er zijn certificaten waar een cloudleverancier zich aan kan proberen te houden, maar die zijn bijzonder duur en moeilijk om voor in aanmerking te komen. Wie bijvoorbeeld ISO 27001 heeft, zal zo’n beetje langs iedere beveiligingscontrole komen. De meeste hosters zitten een stuk lager, met een SAS70 type II-audit.” Er zijn weinig ‘grensoverstijgende’ cloudfaciliteiten. Verwachtte u dat ook? “We zagen het wel een beetje aankomen omdat de markt relatief jong is. Als je kijkt naar grote dienstverleners als Amazon, Rackspace en GoGrid dan zie je dat zij eerst een paar jaar in hun aanbod hebben geïnvesteerd voordat ze hun diensten uitbrachten. Het is nu aan de rest om een inhaalslag te maken.” CW
JUNI 2010 - CLOUDWORKS - 15
Traditionele contracten voldoen niet meer
Aandachtspunten
voor SLA’s in de virtuele wereld
Tegenover de voordelen van flexibele SaaS- en clouddiensten staat het nadeel dat er veel beter gekeken moet worden wat er wordt afgesproken en met wie. De SLA zoals we die in de traditionele dienstverlening gewend zijn, voldoet niet meer. Er is sprake van een keten van leveranciers in de wolk. In dit stuk worden aandachtspunten als ‘Wat gebeurt er als een functionaliteit tijdelijk een storing vertoont?’ of ‘Hoe sterk is de leveranciersafhankelijkheid (vendor lock-in)?’ belicht en voorzien van een advies hoe zij het beste in een SLA tot uiting kunnen komen. DOOR JURIAN BURGERS, EIGENAAR VAN SLA SERVICES EN SERVICEMANAGEMENTCONSULTANT BIJ ICTIVITY MANAGED SERVICES
WAT VERSTAAN WE ONDER SAAS- EN CLOUDDIENSTEN? Het gamma aan webbased diensten is de laatste tijd enorm gegroeid. Het type dienst en de partijen die meewerken aan de realisatie ervan, zijn bepalend voor de aard van de serviceniveaus. Maar wat verstaan we onder SaaS en clouddiensten? Het zijn beide onlinediensten waarbij de klant zelf geen hardware of software meer heeft. Bij SaaS staat de applicatie volledig onder controle van de dienstverlener. De gebruiker kan er gebruik van maken maar kan er niets aan veranderen. SLA’s zijn zeer standaard, voor zover die al worden afgegeven. Clouddiensten zijn een verzameling van ‘as a service’-producten (zie inzet). De gebruiker mag in de regel veel meer en maatwerk SLA’s zijn beperkt mogelijk, afhankelijk van de tussenpersoon. Clouddiensten worden ook wel aangemerkt als XaaS of EaaS (everything as a service).
16 - CLOUDWORKS - JUNI 2010
HET HUIDIGE DELIVERYMODEL In traditionele situaties is een business primair gericht op het ontvangen van de juiste IT-services met passende service levels en voor een eerlijke prijs. Het samenspel tussen de business-demandmanager en de service-deliverymanager van de IT-afdeling zorgt vervolgens voor een juiste afstemming van diensten. De IT-afdeling heeft intern een (aantal) operational level agreements (OLA’s) om de dienstverleningsniveaus ook daadwerkelijk te kunnen waarborgen. Soms worden daarvoor ook zaken extern uitbesteed zoals hard- en softwaremaintenance. Er is dan sprake van underpinning contracts (UC’s). (Zie figuur 1). Het is zaak om de dienstenniveaus van OLA’s en UC’s altijd scherper te stellen dan de niveaus in de SLA met de business.
HET WEBSERVICES DELIVERYMODEL SaaS en clouddiensten zijn een aanvul-
ling op het traditionele model. In wezen zijn het nog steeds dezelfde diensten die de business moeten ondersteunen. Ze zijn opgebouwd uit hardware, software en/of middleware (ontwikkelplatformen). Het verschil zit hem erin dat ze door een keten van leveranciers op afstand beschikbaar worden gesteld en gehouden, via internet of een ander netwerk (zie figuur 2). De feitelijke leverancier van diensten (bijvoorbeeld de ISV, independent software vendor of 3th tier provider) neemt zelf alle investeringen voor materiaal en hanteert een flexibel licentie- of afrekenmodel. Dit in tegenstelling tot het traditionele model waarbij de investering door de business of de IT-dienstverlener wordt genomen. In de leveringsketen kan een tussenpersoon optreden als hostingpartij of portaalaanbieder. Het bedrijf SaaSplaza is hiervan een goed voorbeeld met meer dan honderd partners in Europa en de USA. Vervolgens is er vaak sprake van een value added reseller (VAR) die deze en aanvullende diensten zoals helpdesk, contractmanagement en facturatie doorverkoopt aan de eindklant. De VAR is in de praktijk het eerste aanspreekpunt. De afname van diensten door de klant wordt op basis van feitelijk gebruik doorbelast. Daarmee is een zeer flexibele vorm van IT-dienstverlening op te zetten. Het is snel te realiseren en zonder aanzienlijke investeringen in kennis en geld. De dienstverlening heeft doorgaans korte contractlooptijden – al vanaf een maand – en je betaalt vaak alleen voor wat je gebruikt. De voordelen op een rijtje: • Zeer snelle time-to-market • Schaalbaar on demand • Betalen per gebruik • Geen initiële investering nodig • Korte contractlooptijd mogelijk • Al vanaf zeer kleine eenheden interessant
SLA’s NADELEN In het begin van de webdiensten, eind jaren negentig, lag de uitdaging voornamelijk op technisch vlak. Softwareresponssnelheden, interoperabiliteit en de beschikbaarheid van individuele componenten in de keten waren de voornaamste valkuilen. Problemen met continuïteit en beschikbaarheid van broncode na bijvoorbeeld een faillissement van de ISV, werden destijds afgevangen door ingewikkelde ‘Escrow-overeenkomsten’. Hierbij wordt de broncode veilig gesteld in handen van onafhankelijke derden. Dit probleem bestaat nog steeds maar is wel minder geworden door de opkomst van open-sourceoplossingen. Het is daarom niet verwonderlijk dat de meeste SaaS en webdiensten opgebouwd zijn rondom open source en open standaarden. Tegenwoordig is de techniek veel beter op orde. De uitdagingen van webdiensten liggen nu veel meer op organisatorisch vlak. De kerngedachte is dat je je bewust moet zijn dat er achter de SLA die je met de reseller afsluit vaak meerdere partijen zitten (zie figuur 2). Een aantal implicaties van deze moderne waardeketen worden hieronder in detail bekeken. Eigenaarschap: In traditionele dienstverlening is de klant eigenaar van apparatuur of programmatuur. De IT-dienstverlener is juridisch gezien slechts bewerker. Het eigenaarschap brengt rechten en plichten met zich mee. Doordat in webdiensten het eigenaarschap niet meer bij de klant ligt, verschuiven rechten en plichten naar de leverancier of diens toeleveranciers. Om dit juridisch te regelen heeft brancheorganisatie ICT~Office de Fenit-voorwaarden van 2003 verbreed en verdiept. SaaS-diensten en webhosting zijn nu expliciet beschreven in respectievelijk module 4 en 6, behorende bij de Algemene ICT~Office-voorwaarden. Daarmee wordt onder andere voorzien in toewijzing van aansprakelijkheid voor onderhoud en herstel van programmatuur en diensten. De genoemde voorwaarden en modules vormen een juridisch kader dat kan worden opgenomen als rechtsgeldig addendum bij elke SLA. Persoonsgegevens: Het niet hebben van de infrastructuur en programmatuur ontslaat de klant niet van de verantwoordelijkheid inzake de Wet bescher-
Figuur 1. Traditioneel service-deliverymodel.
Figuur 2. ‘Cloud supply chain delivery’-model ming persoonsgegevens. De verantwoordelijkheid voor het nakomen van verplichtingen aangaande de persoonsgegevens, ligt volledig en uitsluitend bij de klant. Daarom is het belangrijk na te vragen hoe de provider omgaat met de veiligheid van gegevens. Tariefstrategie: De leveranciers kunnen een grote hoeveelheid van parameters gebruiken voor de doorbelasting. Per aantal gelijktijdige gebruikers, aantal transacties, tijdsduur, aangeroepen functies, aantal keren ingelogd, totaal aantal gebruikers, gebruikersrollen, opslagcapaciteit, beschikbare functies, et cetera, et cetera. Hier overheen komen dan nog de kortingsstructuren en prijs-
afspraken via het partnerkanaal dat de levering verzorgt. Al deze zaken moeten eenduidig in de SLA worden opgenomen om discussie achteraf te voorkomen. Het nadeel van al deze verschillende tariefstrategieën is dat het moeilijk wordt om appels met appels te vergelijken tussen de verschillende aanbieders van dezelfde diensten. Aan de andere kant zijn transparante prijsstellingen, kortingsstructuren en differentiatie van servicelevels wel koren op de molen van de servicemanager die zich conform ITIL v3 bezighoudt met implementatie van goed serviceportfolio- en servicecataloguemanagement. Echte beïnvloeding van de vraag en geleidelijke upselling is eindelijk binnen handbereik.
JUNI 2010 - CLOUDWORKS - 17
SLA’s Maatwerkbeperking: Het businessmodel van clouddiensten is volumegedreven. De diensten worden met een zekere mate van standaardisatie aangeboden. Dit beperkt de mogelijkheid van maatwerkafspraken. De SaaS-provider of ISV bepaalt bijvoorbeeld het centrale onderhoud. Zij zijn niet aansprakelijk voor vervolgacties die software-updates kunnen hebben op het eventuele maatwerk dat een organisatie heeft gemaakt om de webdiensten verder te kunnen gebruiken. Ook het tijdsvenster voor onderhoud wordt opgelegd. Wie hier bezwaar tegen heeft, moet vooraf vragen hoe dit is geregeld. Gevirtualiseerde omgevingen en redundante oplossingen waarbij diensten kunnen worden overgezet
de vele. Het niet halen van servicelevels van een SLA zal de provider minder interesseren. Door in de SLA boetes bij overtreding op te nemen, hou je de leverancier scherp. Ook kunnen er in een SLA service-improvementverplichtingen en reguliere kwaliteitaudits opgenomen worden of SAS-70 type II-verklaringen geëist worden. Daarnaast is governance in te richten door vooraf aan te geven hoe, hoe vaak en waarover de leverancier dient te informeren over de kwaliteit en kwantiteit van geleverde diensten. Sommige aanbieders stellen hiervoor een managementwebportaal ter beschikking. Maak daar melding van in de SLA zodat daar rechten aan ontleend kunnen worden.
SLA’s moeten naast de operationele dienstbeschrijvingen ook voorzien in afspraken omtrent risicoafdekking en transparantie naar andere hosts vormen een ideale oplossing voor ongestoorde levering van diensten. Maar niet alle providers hebben dit ingeregeld. Het is mogelijk om te proberen hier afspraken over te maken in de SLA. Wie dat niet doet, kan verrast worden. Aansprakelijkheid: Een vordering op een onderaannemer bij gebleken wanprestatie kan niet zonder meer verhaald worden op derden. Boete verhalen op lagere schakels in de keten van (onder)aannemers wordt vaak uitgesloten in de leveringsvoorwaarden. In SLA’s is dit terug te vinden onder de noemer Exoneratie; dit betekent uitsluiting of beperking van aansprakelijkheden. Dat wil echter niet zeggen dat de klant altijd aan het kortste eind trekt. De hoofdaannemer heeft namelijk de plicht om voldoende waarborg aan te brengen in de waardeketen. In het geval dat een hoofdaannemer een overeenkomst heeft met een onderaannemer waarbij een onvoldoende hoge servicegraad is afgesloten voor diens diensten, dan kan dat als deels toerekenbare tekortkoming van de hoofdaannemer worden aangemerkt bij geschillen. Governance: Omdat de diensten standaard worden, ben je als klant een van
18 - CLOUDWORKS - JUNI 2010
Continuïteit: Als de tussenpartij niet aan haar betalingsverplichtingen voldoet, hoe lang worden gegevens en accounts dan bewaard? SLA’s kunnen voorzien in dit soort situaties door continuïteit van levering los te trekken van continuïteit in betaling. Daarnaast is het uiteraard van belang om te weten hoe back-up en recovery van gegevens is geregeld. Wat is de retentietijd? Zijn de kernsystemen dubbel uitgevoerd en eventueel over fysiek gescheiden datacenters verspreid? Is er een uitwijkvoorziening geregeld? En zo ja, is er sprake van cold, warm of hot standby en hoe vertalen deze zich in voor de klant relevante recovery point objectives en recovery time objectives? In goed Nederlands is dat de ‘hersteltijd’ (hoe snel weer in de lucht?) en het ‘herstelmoment’ (hoe ver gaat dataverlies terug in de tijd?). Het is aan te bevelen om een continuïteitsparagraaf op te nemen in de SLA als de servicebeschrijving van de leverancier hier niet in voorziet of onvoldoende expliciet is.
INTERNET ALS SLAGADER Als laatste aandacht voor de afhankelijkheid van internet. Omdat dit de slagader van de dienstverlening wordt, is het nuttig om de huidige afspraak met de internetserviceprovider te herzien. Zeker wie intensief gebruik gaat maken van
webdiensten dient te denken aan het vergroten van de maximaal toegestane up- en downloadsnelheid. Maar ook aan de overboeking van de datalijnen en aan de maximale hersteltijden na downtime. Kijk de SLA ook nog eens door voor wat betreft de boeteclausule. Dan wordt duidelijk dat vervolgschade wordt uitgesloten en dat reclamatie hooguit wordt gehonoreerd met een terugbetaling van het abonnementsgeld en met een vooraf bepaald maximum. Hoe goed het ook geregeld is, het zal natuurlijk nooit de werkelijke kosten van downtime (zoals productieschade) kunnen compenseren. Om risico te spreiden is het aan te bevelen om datalijnen van meerdere aanbieders te nemen. Zorg daarbij wel voor fysiek verschillende ISRA- (infrastructuur randapparatuur) afmonteerpunten in het bedrijfspand anders is het alsnog schijnredundantie.
CONCLUSIE: Met de komst van clouddiensten is het eindelijk gedaan met het navelstaren op technische componentbeschikbaarheid. Traditionele SLA’s voldoen eigenlijk niet meer. Er moet dus serieus gewerkt worden aan serviceniveaudefinitie en endto-end servicebeschikbaarheid. Daarbij moeten SLA’s voor SaaS en clouddiensten naast de operationele dienstbeschrijvingen ook voorzien in afspraken omtrent risicoafdekking en transparantie in de keten. Om dit te bereiken moeten klanten de leveranciers goed uitvragen over wat zij hebben geregeld om hun diensten te borgen, alvorens een overeenkomst aan te gaan. Een groot voordeel is dat de contractduur erg kort is en de instapkosten laag. Het is dus het proberen meer dan waard, zolang beseft wordt wat de risico’s zijn. Op naar een transparante cloud in plaats van een mistige wolk! CW Bronnen: ITIL v3, Service Strategy. OGC, ISBN 9780113310456 ITIL v3, Service Design. OGC, ISBN: 9780113310470 Ictivity Managed Services b.v. (www.ictivity.nl); ‘Mantelovereenkomst’ en ‘Service Level Agreements’ door J.D.F. Burgers e.a. ICT~Office Voorwaarden 2008; modules: ‘Algemeen’, ‘Webhosting’ en ‘Application service provision, software as a service en computerservice’. Diverse wetgeving waaronder: Wet bescherming persoonsgegevens, Wet bewaarplicht telecommunicatiegegevens (EU wet per 01/09/2009), Wet ketenaansprakelijkheid.
Column
Achter de wolken schijnt de cloud
DOOR PAUL ZELDENTHUIS, BUSINESS UNIT MANAGER OUTSOURCING QWISE B.V.
Wat is het verschil tussen die as spuwende vulkaan op IJsland en cloud computing? De Eyjafjallajökull veroorzaakt een wolk die het leven behoorlijk kan ontregelen, terwijl cloud computing een wolk veroorzaakt die het zakelijke leven flink kan versoepelen. Nee, cloud computing is geen hype die, zoals een aswolk, na een tijdje overvliegt. Evenmin is het een systeem dat volkomen is uitgekristalliseerd. Desondanks profiteert nu al 100 procent van alle ondernemers in Nederland maximaal van dit systeem, want zij gebruiken voor hun werk… internet. Internet is by far het meest overtuigende voorbeeld van cloud computing. Toch aarzelen nog altijd vier van de vijf ondernemingen te investeren in cloud computing waar het de bedrijfskritische applicaties betreft. Terwijl (anders dan bij echte hypes) de voordelen zo helder zijn als het glasvezel waar de datawolk van afhankelijk is. Zo wordt er efficiënter gebruikgemaakt van capaciteit, wordt het delen van informatie eenvoudiger, en betalen doe je alleen nog maar voor het daadwerkelijke verbruik. Verder is het voor veel organisaties zeer aantrekkelijk dat de capaciteit met één druk op de knop vergroot (of verkleind) kan worden. En misschien is het grootste voordeel wel dat een cloud-computingsysteem niet
hoeft te weten waar de werknemer zich bevindt en met welk apparaat, op welk moment hij of zij er gebruik van maakt. Inderdaad, net als bij internet, waar we
hoe weet je zeker welke serviceprovider tot in lengte van jaren ervoor zorgt dat jouw wolk niet verdampt?
“Cloud computing is geen hype die vervliegt alles uithalen en instoppen met onze pc, laptop of mobieltje. Op ons werk, bij de klant, zelfs als we gestrand zijn op een vliegveld... Natuurlijk zijn er praktische en technische hindernissen, maar die zijn effectief te slechten door de juiste kennis in huis te halen. Een veel grotere barrière vormt de emotionele weerstand. Ondernemers vinden het doodeng als ze de server, het kloppend hart van hun organisatie, niet meer kunnen aaien en al hun data in handen van derden moet geven. Want hoe zit het dan met de beveiliging? Waar bevindt de bedrijfsdata zich? En
Onbekend maakt onbemind, het gebrek aan vertrouwen is de vertragende factor. Daarom staat Qwise helemaal achter het initiatief voor CloudWorks. Dit magazine zal bijdragen aan een reële beeldvorming, en duidelijk maken welk wantrouwen wél en níet gezond is. Eén ding is wat mij betreft zeker: cloud computing is over tien jaar net zo vertrouwd als client-servertechnologie en webapplicaties nu. Dus waarom niet vandaag al beginnen? Kritisch en doordacht. CW
JUNI 2010 - CLOUDWORKS - 19
Cloud computing vraagt om nieuwe, passende beveiligingsmaatregelen
Security in de cloud, geen sinecure Cloud computing is sterk in opkomst voor het vervangen of uitbesteden van de ict-infrastructuur. Het maakt de ict-dienstverlening flexibel en schaalbaar, en vaste kosten variabel. Het verhoogt bovendien het niveau van beheer en beschikbaarheid. Voor beveiliging biedt cloud computing echter geen automatische garanties. Dat vraagt om nieuwe maatregelen. Het Cloud Cube-model van het Jericho Forum biedt daarvoor een goede leidraad. DOOR CORNE DE KEIZER CISSP, CISA EN BART VERHAAR, SECURITYCONSULTANTS BIJ MOTIV, EN IR BASTIAAN BAKKER, BUSINESS-DEVELOPMENTMANAGER BIJ MOTIV
Het zogenoemde cloud computing is het architectuurmodel voor internetgebaseerd computergebruik. De cloud (wolk) is daarbij een metafoor voor het open en ontastbare internet. In de cloud zijn vooral ‘software as a service’ (SaaS-) en ‘security as a service’ (SecAas-)providers actief, die applicaties en diensten overnemen van bedrijven. Een goed voorbeeld van een dienst die bij uitstek geschikt is voor uitbesteding is een e-maildienst. De voordelen hiervan zijn evident: meer beheersgemak door transparantie en flexibiliteit, garanties voor beschikbaarheid en de belofte van kostenbesparing. Bovendien is het
20 - CLOUDWORKS - JUNI 2010
relatief eenvoudig om (delen van) een emaildienst te migreren naar de cloud. De overstap van een traditionele, intern beheerde ict-omgeving naar cloud computing kan op verschillende manieren gemaakt worden. Het Cloud Cube-model van het Jericho Forum brengt deze helder in kaart. Het maakt ook de risico’s inzichtelijk die hieraan verbonden zijn. Het forum geeft bovendien suggesties voor de extra beveiligingsmaatregelen die getroffen kunnen worden. In de volgende drie varianten worden de mogelijkheden voor de migratie van een emaildienst naar de cloud toegelicht.
VARIANT 1 Security via de cloud Een veelvoorkomende functie die overgezet wordt naar de cloud, is het uitbesteden van de mail-relayservices. In plaats van zelf security appliances voor e-mailbeveiliging in de DMZ (demillitarized zone) te plaatsen, wordt dit als dienst afgenomen via een SecAas-provider (zie figuur 1). In variant 1 is de mail-relayservice verplaatst van een interne dienst naar een externe beveiligingsdienst. Het voordeel hiervan is dat de SecAas-provider een hoge beschikbaarheid kan waarborgen, altijd up-to-date virusscanners heeft en innovatieve reputatiefilters gebruikt voor spamfiltering. Bovendien wordt deze dienst geleverd tegen een vaste prijs per gebruiker. Deze variant wordt in het Cloud Cube-model van Jericho Outsourced Per(EO) genoemd (zie kader). Beveiliging is relatief eenvoudig uit te besteden. Helemaal risicovrij is het echter niet. Zo is het transport van e-mailberichten tussen de SecAas-provider en het interne netwerk niet meer controleerbaar. In theorie betekent dit dat hackers nieuwe kwaadaardige code toe kunnen voegen (een zogenoemde ‘man in the middle’-aanval). Het is geen groot risico, maar creëert wel een nieuwe kwetsbaarheid die in een traditionele omgeving niet bestaat. Een goede oplossing daarvoor zijn nieuwe technieken, zoals data loss prevention (DLP).
Security
Figuur 1: E-mailbeveiliging via een SecAas-aanbieder
Figuur 2: E-mail volledig via de cloud
Dat vraagt echter wel om maatwerk per klantomgeving. Een DLP-oplossing treft verschillende beveiligingsmaatregelen binnen een complete ict-infrastructuur, inclusief e-mailbeveiliging.
‘Beveiliging is relatief eenvoudig uit te besteden, maar helemaal risicoloos is het niet’
VARIANT 2 Hosted e-mail via de cloud
bruikersadministratie op twee plaatsen wordt bijgehouden. Ten eerste moet dit gebeuren op het interne netwerk, ten tweede bij de SaaS-provider. Daarnaast is de beveiliging van het IMAP-protocol, het standaardprotocol tussen de emailclient en -server, vaak complex. Net als het geval is bij variant 1, is ook voor variant 2 de keuze van de partner aan wie de diensten worden uitbesteed, erg belangrijk. Het is altijd een goed advies om kennis te nemen van de exacte beveiligingsmaatregelen en te controleren of de SaaS-provider beschikt over een ISO 27001-certificering.
De tweede variant gaat een stap verder dan de eerste. In deze variant wordt de volledige serveromgeving voor e-mail uitbesteed aan een SaaS-provider. Daar maken ook de beveiligingsmaatregelen, zoals virus- en spamfilters, deel van uit. Alleen de e-mailclients zijn nog lokaal geïnstalleerd, wat vaak wenselijk is omdat gebruikers dan ook offline kunnen blijven werken (zie figuur 2). Deze variant wordt in het Cloud Cube-model van Jericho Outsourced D-p(EO) genoemd (zie kader en figuur 2). Door de mail-relayservices en de mailservers te verhuizen ontstaan er veel nieuwe risico’s. Zo worden de eisen voor identificatie van de gebruiker cruciaal. Alleen sterke authenticatie voorkomt dat de e-mailbox van een gebruiker kan worden overgenomen door password guessing of password cracking. Sterke authenticatie is daarom een kritische voorwaarde voor de migratie naar de cloud. Het is ook essentieel dat de ge-
ent te gebruiken, maar wel aan te raden om offline werken mogelijk te houden. In deze variant loggen gebruikers in via een pc met internetverbinding en webbrowser. Deze variant wordt in het Cloud Cube-model van Jericho Outsourced D-
VARIANT 3: Cloud computing pur sang De derde variant is de overstap naar pure cloud computing. Dit betekent dat de volledige functionaliteit via internet te benaderen is via een standaardwebbrowser en open protocollen. In deze variant levert de SaaS-provider de mailrelayservices, de e-mailservices en een webinterface. Het is weliswaar niet langer noodzakelijk om een lokale e-mailcli-
Figuur 3: E-mail volledig via de cloud
JUNI 2010 - CLOUDWORKS - 21
Security p(EO) genoemd (zie kader). Deze variant brengt ook nieuwe risico’s met zich mee, want de eindgebruiker moet altijd online zijn. Ook bij tele- of thuiswerken is een optimaal beveiligde verbinding noodzakelijk. Sterke authenticatie van gebruikers is daarom ook in deze variant essentieel. De SaaS-provider moet niet alleen voldoen aan de huidige beveiligingseisen, maar ook aan toekomstige. Wanneer wet- en re-
gelgeving bijvoorbeeld nieuwe bewaartermijnen voor e-mail voorschrijft, moet de SaaS-provider daar snel op kunnen inspelen. Dat vraagt om een groot vertrouwen in de SaaS-provider. Als dat er echter is, resulteert dat in een mooie, innovatieve oplossing.
SAMENVATTING
rond de strategie en toepassing van cloud computing. Daarbij worden zowel technische als organisatorische aspecten overwogen, op een hoog abstractieniveau. Met behulp van een ingevuld model is in een oogopslag te zien welke basiskeuzes er zijn voor flexibiliteit en verantwoordelijkheid bij het opzetten van de clouddienst. CW
Het Cloud Cube-model is een praktische leidraad voor de besluitvorming
Het Cloud Cube-model van het Jericho Forum Het Jericho Forum is onderdeel van The Open Group, een consortium met een ideële visie op toegang tot informatie op basis van open standaarden. Het Jericho Forum onderzoekt en adviseert over richtlijnen voor ict-beveiliging in een open netwerkomgeving. Cloud computing, en de implementatie en consequenties daarvan, behoort ook tot het gedachtegoed van het Jericho Forum. Dit heeft geresulteerd in het Cloud Cube-model, dat in meerdere dimensies de verschillende verschijningsvormen van cloud computing weergeeft. Deze worden door het forum cloud formations genoemd. Het Cloud Cube-model wordt weergegeven in de vorm van een kubus en kent in totaal vier dimensies. Iedere dimensie heeft twee mogelijkheden, waardoor het model goed leesbaar en toepasbaar is. De eerste drie dimensies zijn terug te vinden op de assen van de kubus. Dit zijn de dimensies internal versus external (intern of extern geplaatst), proprietary versus open (gesloten of open licenties) en perimeterised versus de-perimeterised (begrensde of onbegrensde toegang). Omdat een kubus slechts drie dimensies kent, heeft het Jericho Forum
Figuur 4: Het Cloud Cube-model van het Jericho Forum
22 - CLOUDWORKS - JUNI 2010
ervoor gekozen de vierde dimensie, insourced versus outsourced (intern beheerd of uitbesteed) met kleuren weer te geven. Om de dimensies te benoemen en te bepalen waar een clouddienst zich bevindt, wordt het model van links naar rechts gelezen. Een clouddienst is daardoor: • intern (I) of extern (E), én • proprietary (P) of open (O), én • perimeterised (Per) of de-perimeterised (D-p), én • insourced of outsourced. Iedere dimensie beantwoordt specifieke vragen en wordt hieronder toegelicht. Dimensie internal (I) versus external (E) De primaire vraag bij deze dimensie is: waar bevindt de data zich fysiek? De dimensie is internal wanneer de data zich binnen de fysieke grenzen van de organisatie bevindt. In alle andere gevallen is de dimensie external. Dimensie proprietary (P) versus open (O) De P/O-dimensie geeft antwoord op de vraag: wie is eigenaar van de toegepaste technologie, services, interfaces, et cetera? Dit geeft inzicht in de mate van flexibiliteit van de gekozen clouddienst en de uitwisselbaarheid met andere (cloud)diensten. Het geeft ook een indicatie over mogelijke beperkingen bij het uitwisselen en delen van applicaties en data. Dimensie perimeterised (Per) versus de-perimeterised (D-p) Wat is de ‘architectural mindset’ bij het ontwerp van de dienst? Deze vraag
wordt beantwoord in de dimensie Per/ D-p. Wordt er gewerkt binnen de traditionele IT-perimeter, of daarbuiten? De traditionele IT-perimeter is een netwerk dat afgedekt is met firewalls, en beperkt een organisatie in het zakendoen en samenwerken met andere organisaties. De-perimeterisation is een onderwerp dat door het Jericho Forum veelvuldig besproken wordt. Het gedachtegoed van het Jericho Forum is gebaseerd op elf richtlijnen voor informatiebeveiliging. Deze elf beginselen gaan uitgebreid in op het onderwerp De-perimeterisation. In het Cloud Cube-model kan gewerkt worden in vier verschillende cloud formations (I/P,I/O,E/P,E/O), in combinatie met een van de architectural mindsets (Perimeterised of De-perimeterised). Volgens het Jericho Forum is de optimale combinatie te vinden in een E/O/ D-p omgeving. Dimensie insourced versus outsourced Tot nu toe zijn er acht mogelijke cloud formations gedefinieerd: Per(IP,IO,EP,EO) en D-p(IP,IO,EP,EO). Het forum voegt hier een vierde dimensie aan toe. Deze dimensie beantwoordt de vraag: Wie is verantwoordelijk voor het draaien van de clouds? Op het moment dat de dienst wordt geleverd door een derde partij is de dimensie ‘outsourced’. Als de verantwoordelijkheid voor de dienst ligt bij de interne ict-afdeling is de dimensie ‘insourced’. Het draait primair om wie er verantwoordelijk is voor het leveren van de dienst. Dit is voornamelijk een organisatorisch, niet een technisch besluit.
JUNI 2010 - CLOUDWORKS - 23
Microsoft onlineapplicaties halveren ITkosten van SkyTeam
Luchtvaartallia stapt over op cloud computing SkyTeam, de wereldwijde alliantie van luchtvaartmaatschappijen, heeft een strategische keuze gemaakt voor cloud computing. Eind vorig jaar nam de organisatie de volledige Microsoft Business Productivity Online Suite (BPOS) in gebruik. Het personeel kan hiermee overal ter wereld onderling samenwerken en communiceren, wat onlangs goed van pas kwam tijdens de recente uitbarsting van de Eyjafjallajökull-vulkaan. DOOR DE REDACTIE Luchtvaartalliantie SkyTeam heeft negen volledige leden – Aeromexico, Air France, Alitalia, Aeroflot, Delta Air Lines, China Southern Airlines, Czech Airlines, KLM Royal Dutch Airlines en Korean Air – en twee geassocieerde leden: Air Europa en Kenya Airways. Met 13.122 vluchten per dag vervoeren de SkyTeam-leden jaarlijks 384 miljoen passagiers naar 856 bestemmingen in 169
24 - CLOUDWORKS - JUNI 2010
landen. In juni 2010 sluiten Vietnam Airlines en TAROM uit Roemenië zich bij de alliantie aan. SkyTeam is ruim tien jaar geleden begonnen als een virtuele, gedecentraliseerde organisatie met medewerkers, afkomstig van de alliantieleden. Vorig jaar heeft SkyTeam grote veranderingen doorgemaakt. Bruno Faccini, ver-
antwoordelijk voor IT bij SkyTeam: “We waren een virtueel gedecentraliseerd bedrijf waar iedereen zijn eigen tools gebruikte en ondersteund werd door de IT-afdelingen van de (grote) alliantiepartners. Vanaf medio vorig jaar zijn we een ‘gewoon’ gecentraliseerd bedrijf met een eigen IT-afdeling. Die veranderingen waren voor ons aanleiding om voor de IT naar een cloudoplossing te gaan. Onze argumenten voor de cloud waren: snelheid (niet wachten op een tijdrovende ‘on site’-implementatie), beperking van resources (zo weinig mogelijk beslag op de aanwezige computers en IT’ers) en geen investeringen in hardware en software.”
BPOS SkyTeam ging op zoek naar een cloudoplossing voor e-mail en voor ‘collaboration’, de samenwerking tussen de SkyTeam-medewerkers. SkyTeam gebruikte daar weliswaar al een tool voor, eRoom van EMC, maar die voldeed niet meer aan de eisen. Er werd eerst gekeken welke cloudoplossing het zou moeten zijn:
Case inderdaad hebben kunnen halveren. Het IT-beheer is nu zoveel mogelijk beperkt en we hebben voor de cloudoplossing inderdaad niet hoeven investeren in een serverinfrastructuur, softwarelicenties en IT-personeel.” Toch is er voor Faccini een nog groter voordeel. Er kan nu door de SkyTeammedewerkers onderweg veel efficiënter worden gewerkt (zie kader).
RELATIEF SIMPEL Danny Burlage, oprichter en technisch directeur van Wortell, vertelt dat de migratie naar BPOS relatief simpel is verlopen. “Organisaties die hun hele e-mailinfrastructuur migreren zijn doorgaans binnen enkele weken klaar met het complete project. Een technische migratie doen we meestal binnen enkele dagen. Dat betekent dat we met BPOS dus in zeer korte tijd een complete, zakelijke onlineomgeving kunnen opbouwen, zonder na te hoeven denken over de technische infrastructuur. Zoals we bij SkyTeam met SharePoint Online hebben gedaan.”
ntie Google of Microsoft. Faccini: “De collaboration tool van Google voldeed niet aan onze wensen. De look & feel ervan verschilde te veel van wat de SkyTeammedewerkers gewend waren. De keuze viel daarom op de Business Productivity Online Suite (BPOS) van Microsoft. De bekendheid met de tools – zodat er weinig tijd verloren gaat met het leerproces – en de probleemloze integratie met de IT-omgeving van SkyTeam gaven de doorslag.” BPOS is door SkyTeam niet zelf geïmplementeerd, maar in samenwerking met Microsoft-partner en SharePointspecialist Wortell. Aangezien het centrale kantoor in Amsterdam staat, werd in Nederland gezocht naar een Microsoft-partner voor de implementatie van BPOS. Wortell voldeed het beste aan de eisen van SkyTeam. Het centrale kantoor van de alliantie op Schiphol is vorig jaar begonnen te werken met de onderdelen Exchange Online Office Communications Online, en Live Meeting. Het laatste onderdeel van BPOS, SharePoint Online, werd begin dit jaar in gebruik genomen.
HALVERING Met de keuze voor BPOS verwachtte Faccini een kostenbesparing van ongeveer 50 procent op de IT te bereiken, vergeleken met een traditionele omgeving. Nu er ook enkele maanden daadwerkelijk met BPOS gewerkt is, zegt Bruno Faccini: “We zien nu dat we de kosten
SharePoint Online wordt nu gebruikt door ruim 400 medewerkers van de luchtvaartmaatschappijen die binnen SkyTeam in werkgroepen samenwerken. Dat had nogal wat voeten in de aarde, vertelt Faccini: “Elf luchtvaartmaatschappijen uit elf landen betekent evenzoveel culturen en markten. Het is een uitdaging om dat allemaal met elkaar in overeenstemming te brengen in SkyPlace, zoals we ons virtuele kantoor op basis van SharePoint Online hebben
Aswolk In totaal werken ruim 400 SkyTeam-medewerkers met de Microsoft Business Productivity Online Suite. Twintig medewerkers hebben een werkplek op het centrale kantoor van de alliantie. Zij hebben dankzij BPOS altijd en overal, gemakkelijk en snel toegang tot hun bedrijfsgegevens. Dat blijkt geen reclamepraat. Aangezien deze medewerkers voortdurend op pad zijn, is een aantal van hen vast komen te zitten na de recente uitbarsting van de Eyjafjallajökull-vulkaan in IJsland. Vervelend, maar geen nood. Het halve team kon gewoon doorwerken via SkyPlace (de SkyTeambenaming van SharePoint Online) en de
andere BPOS-onderdelen, alsof zij op hun eigen kantoor zaten. Een belangrijk voordeel daarbij is dat SharePoint kan synchroniseren en alle relevante bestanden op de schijf van de gebruiker zet. Voor bijvoorbeeld zware presentaties is het erg handig om die lokaal te hebben om de (draadloze) internetverbinding niet te veel te belasten. Het betekent ook dat de gebruikers niet alles hoeven meenemen, zoals in het verleden. Toen moesten gebruikers alvorens op reis te gaan eerst een selectie maken van de documenten die zij op hun laptop wilden meenemen.
JUNI 2010 - CLOUDWORKS - 25
genoemd. Wortell heeft de templates ontwikkeld om dit mogelijk te maken en heeft ons laten zien hoe het moet. Daarbij heeft Wortell laten zien over enorme kennis en ervaring te beschikken, een prima partner kortom.”
WEINIG WERK Volgens Faccini loopt alles gesmeerd. SkyTeam ondervindt geen vertragingen, zoals e-mails die lang op zich laten wachten. Ook krijgen gebruikers direct verbinding en zijn er geen backofficeproblemen. Faccini: “Exchange Online is ook erg eenvoudig op te zetten, dat was geen enkel probleem. Outlook is echt een ‘no brainer’. Nee, de echte uitdaging is het geschikt maken van SharePoint Online voor onze organisatie. Hier hebben we een speciaal projectteam voor in het leven geroepen. De tijdwinst voor de IT-beheerders van SkyTeam betreft vooral de onderdelen Exchange Online en Outlook. Voor SharePoint Online ligt dat anders.” SkyTeam heeft momenteel zo’n honderd werkgroepen, waarin totaal ruim vierhonderd mensen aan deelnemen. Die werkgroepen zijn ingedeeld naar functie (sales, marketing, advertising, enzovoort) en naar geografische regio. Dat zorgt voor een zeer gelaagd ‘bouwwerk’ van toegangsrechten. Dat vergt veel inspanning van beheer en vooral de benodigde finetuning kost tijd. Verder zijn er zogeheten stakeholders – vertegenwoordigers van de aangesloten maatschappijen – die een overzicht moeten hebben van wat zich in de werkgroep afspeelt. Deze opbouw maakt het niet eenvoudig om de toegangsrechten tot SharePoint en de bedrijfsgegevens
26 - CLOUDWORKS - JUNI 2010
goed te regelen. Wie heeft toegang tot welke werkgroep of welke werkgroepen, en welke gegevens mag hij of zij dan inzien?
‘STRANGE ANIMAL’ Faccini: “SkyTeam is eigenlijk een ‘strange animal’. Voor onze BPOS-oplossingen moeten gebruikers inloggen met hun naam gevolgd door @skyteam. com. Maar in de praktijk willen de SkyTeam-leden graag hun eigen e-maildres gebruiken, dat van hun eigen luchtvaartmaatschappij. Dat is niet erg handig geregeld in BPOS. Ik denk dat het eigenlijk een ‘Amerikaans’ probleem is. Microsoft is voor BPOS te veel uitgegaan van één bedrijf, waar iedereen dezelfde e-mailextensie heeft. Nu is dit punt voor ons geen ‘showstopper’. Het is allemaal nog beheersbaar, ook al is er nog geen goede oplossing voor.” “Met onze vele aangesloten luchtvaartmaatschappijen uit allemaal verschillende landen zijn er grote cultuurverschillen binnen SkyTeam. Maar die mogen niet terug te vinden zijn in de collaborationoplossing. SharePoint Online is nu door Wortell zo ingericht dat het voor iedereen hetzelfde werkt, er is niets gelokaliseerd. Bovendien is de interface helemaal aan de SkyTeam-huisstijl aangepast.”
VERTROUWEN Het vertrouwen van Faccini in de Microsoft-oplossing was erg groot. De organisatie is direct met de oplossing ‘live’ gegaan, zonder eerst een test uit te voeren. “Maar,” zo verklaart Faccini, “ons projectteam moest gezien de veranderingen onder grote tijdsdruk werken om met alles zo snel mogelijk van start te
kunnen gaan. Voor een pilot of andere tests hadden we gewoon geen tijd. En ons vertrouwen bleek ook terecht, grote problemen zijn er niet geweest.” Er zijn echter wel wat kleinere problemen waar SkyTeam tegenaan loopt. Zo zijn er relatief veel compatibiliteitsissues met oudere versies van de Microsoft-applicaties die bij de door SkyTeam aangesloten luchtvaartmaatschappijen in gebruik zijn. Hierdoor werken scripts niet altijd goed. Verder blijkt na enkele maanden praktijkervaring dat er ook nog wat kleine issues zijn met het beheer van SharePoint Online. Dat beheer kost toch wat meer werk dan aanvankelijk gedacht. Faccini: “Zoals gezegd zijn we een bijzondere organisatie, gezien de opbouw, werknemers met zoveel verschillende achtergronden, en onze behoefte aan ‘cross functional views’. Ik denk dat we een van de eerste organisaties zijn met dit soort complexe behoeften die is overstapt op BPOS. Daardoor moeten we erg veel instellen en dat kan handiger.” Faccini verwacht dat met de komst van SharePoint 2010 ook de onlineversie een update zal krijgen en deze beheerissues tot het verleden zullen behoren.
GEEN STAATSGEHEIMEN De keuze voor een cloudoplossing betekent dat ook de bedrijfsgegevens van SkyTeam buiten de eigen organisatie ‘ergens’ in de cloud zijn opgeslagen. Faccini is daar heel nuchter over: “Wij hebben hier geen staatsgeheimen. Beveiliging is dan ook geen issue voor ons geweest toen we besloten om de stap naar de cloud te maken. Bovendien is de IT-infrastructuur niet de zwakste schakel, dat is de gebruiker. De beveiliging van Microsoft volstaat voor ons prima. Wachtwoorden zijn negentig dagen geldig en moeten daarna veranderd worden.” Overigens is het zo dat bij BPOS de gebruiker eigenaar blijft van de gegevens. Bij Google Gmail bijvoorbeeld, ligt dat omgekeerd. Daar wordt Google eigenaar van de e-mailberichten. De beveiliging van BPOS is volledig door Microsoft geregeld. Deze beveiliging vindt plaats op drie punten: beveiliging van de gegevens (met behulp van antivirus-/spamfilters op internet), beveiligde toegang tot gegevens (met behulp van HTTPS 128-bits codering) en beveiliging van de datacenters.
Case GEBRUIKSGEMAK De gebruikers zijn over het algemeen erg tevreden, al klinkt hier en daar de roep om wat meer gebruiksgemak. Zoals te verwachten is door de grote verschillen in achtergrond van de SkyTeam-medewerkers de feedback van de gebruikers soms tegenstrijdig. Wat de een gemakkelijk vindt, vindt de ander juist moeilijk en omgekeerd. De IT-afdeling van SkyTeam moet hier steeds de juiste weg in bewandelen. Op basis van deze feedback gaat SkyTeam nu op weg naar versie 2 van de SharePoint-onlineoplossing. Faccini gaat daarvoor ook zelf op tournee langs de gebruikers. “Ik denk dat de gebruikers nog wel wat tijd nodig hebben om helemaal met SkyPlace vertrouwd te raken. We zien duidelijk dat BPOS een kosteneffectieve oplossing is, maar vanwege de vele veranderingen die onze organisatie in korte tijd heeft doorgemaakt, is het voor de gebruikers ook niet altijd even makkelijk. Het hangt overigens ook wel af van de mate van ervaring die de gebruikers hebben. Veel ervaring maakt het toch echt wel makkelijker om met een nieuw IT-systeem om te gaan.”
ZWARE KLUS Een zware klus was de migratie van de content uit de oude collaboration tool. In die tool hadden de SkyTeam-medewerkers gedurende vijf jaar al hun werk opgeslagen. Die verzameling is als het ware het SkyTeam-geheugen en dat moest in zijn geheel naar SharePoint Online worden overgezet. Die migratie heeft Wortell voor zijn rekening genomen met behulp van een script. Het ging om bijna 15 GB aan informatie en die enorme hoeveelheid content heeft voor hoofdbrekens gezorgd. Wortell kwam daarbij ook nogal eens vreemde tekens tegen in bestandsnamen en dat maakte de migratie er ook niet eenvoudiger op. Maar SkyTeam kan nu onder BPOS weer helemaal terugvallen op zijn geheugen. Faccini: “BPOS is eigenlijk een ‘off the shelf’-oplossing die door Wortell voor ons is aangepast. De service level agreement (SLA) is de standaardovereenkomst die Microsoft voor deze cloudoplossing aanbiedt. Tot die SLA behoort een beschikbaarheid (uptime) van 99,9 procent. Support van Microsoft hebben we niet nodig en Wortell is ons aanspreekpunt
‘Tijdens de aswolk konden Skyteam-werknemers doorwerken alsof ze op hun eigen kantoor zaten’ als het gaat om de BPOS-diensten die geleverd zijn of moeten worden.” Danny Burlage: “Met BPOS heeft Microsoft in feite alle basisdiensten ter beschikking gesteld. Bovendien is BPOS een door Microsoft gehoste dienst. En wie is beter in staat om zijn producten te beheren dan Microsoft zelf? Ik heb dan ook alle vertrouwen in de stabiliteit van de omgeving en dat is de afgelopen maanden terecht gebleken.”
WENSEN Vanuit beheerperspectief zou Faccini namens zijn gebruikers nog wat meer gebruiksgemak wensen. Verder zouden de compatibiliteitsissues toch echt opgelost moeten worden. Faccini: “Er zijn nog luchtvaartmaatschappijen die met oude software werken. Denk aan Office 2003 en Internet Explorer 6.0. Daar zijn toch af en toe problemen mee, zoals een crash. Eigenaardig is dat Firefox, toch geen Microsoft-product, helemaal geen problemen geeft. Ook de compatibiliteit met software van derden kan beter. In ons geval met Lotus Notes. Maar we realiseren ons ook wel dat dit niet zo eenvoudig is. Hoe groter de luchtvaartmaatschappij, hoe ouder de software, want upgrades zijn voor dat soort bedrijven majeure operaties die zij graag vermijden.”
SKYTEAM IN DE CLOUD SkyTeam vindt dat overstappen naar de cloud onvermijdelijk is. “De cloud wordt voor ons steeds belangrijker”, zegt Erik Harkes, de nieuwe manager IT van SkyTeam, die onder meer de activiteiten van Bruno Faccini zal overnemen. “Maar er zijn zeker nog stappen nodig. Wij als IT’ers hebben er geen problemen mee, maar voor gewone gebruikers mag BPOS nog verder gestroomlijnd worden. Het moet voor hen nóg eenvoudiger. Voor gebruikers verandert er toch wel veel als er op een cloudoplossing wordt overgestapt. Dat betekent dat ook zij bij dit soort trajecten echt betrokken moeten worden. En dat ze daarna ook goed begeleid moeten worden.” Meer in het algemeen wijst Harkes op een belangrijk ander punt dat voor cloud computing van groot belang is. “Leveranciers van cloudoplossingen zijn nu nog erg gericht op oplossingen voor één organisatie. Maar ik denk dat zij zich veel meer moeten gaan richten op een ‘community’. Niet alleen de organisatie zelf moet toegang hebben tot de cloudsoftware, ook andere organisaties zoals partners en toeleveranciers en klanten zou probleemloos toegang gegeven moeten kunnen worden. Bedrijfsculturen bewegen zich steeds meer richting een community. Dat moet ook in de cloud weerspiegeld worden.” CW
JUNI 2010 - CLOUDWORKS - 27
Advertorial
De cloud als
veilige haven In de discussie in de IT-markt rondom cloud computing speelt veiligheid een grote rol. Vooral bedrijven waarvan de corebusiness een hoge mate aan complexiteit of gevoelige informatie omvat, zouden alles wat ‘cloud’ heet voorlopig nog moeten mijden. “Onzin”, vinden Alexandra Schless, algemeen directeur van TelecityGroup Nederland, en Rogier Hof, commercieel directeur van IT-dienstverlener Bitbrains. “Betrouwbaarheid van de cloud staat of valt met de partij die het invult. Bij de juiste aanbieder van clouddiensten, die zelf ook weer met de juiste ketenpartners werkt, is de cloud net zo veilig als, zo niet veiliger dan wat bedrijven intern doen. Duidelijke SLA’s en volledige transparantie over wie wat doet zijn wel essentieel. Daarmee weten klanten wat ze van je mogen verwachten en kunnen ze erop vertrouwen dat je ook in staat bent om aan die verwachting te voldoen.”
TelecityGroup Nederland en Bitbrains verkennen sinds kort samen de cloudmarkt. Bitbrains levert kwalitatief hoogwaardige hostingdiensten. Het bedrijf beschikt over een team van deskundige engineers die geen IT-uitdaging te groot vinden. Ze worden regelmatig door gerenommeerde bedrijven, veelal in de financiële sector, ingeschakeld. Bitbrains beschikt over een hoogwaardige IT-infrastructuur. Samen met de klant ontworpen oplossingen worden middels een proof-of-concept direct getest. Klanten kunnen hosting afnemen als ‘capacity on demand’ of als ‘managed services’, waarbij Bitbrains ook zorg draagt voor de applicaties, de database en het besturingssysteem en daarover de ketenverantwoordelijkheid neemt. Het platform is ondergebracht bij de diverse datacenters van TelecityGroup dat als premium datacenterprovider zorgt voor het hoogste niveau aan beschikbaarheid, fysieke veiligheid en energie-efficiënte koeling. De relatie tussen de Nederlandse vestiging van de Europese datacenterleverancier en de IT-dienstverlener kwam tot stand in 2006. Het jaar daarvoor stootte een internationale bank haar internettak af. Het team dat verantwoordelijk was voor de hosting kon de dienstverlening overnemen, wat leidde tot Bitbrains. Er werd
28 - CLOUDWORKS - JUNI 2010
direct gestart met mogelijkheden om te verbeteren, waarbij nadrukkelijk werd gekeken naar datacenterfaciliteiten. Rogier Hof: “De nieuwe datacenterprovider moest in ieder geval meerdere carriers aanbieden, eenvoudig toegang tot meerdere locaties hebben en onze ambitieuze groeiplannen faciliteren door een concreet capaciteitsplan. Bij TelecityGroup was de klik meteen goed. TelecityGroup beschikt over dezelfde intrinsieke kernkwaliteiten als Bitbrains: veiligheid, continu beschikbare diensten en schaalbaarheid.”
Deze gedeelde ‘bloedgroep’ van bedrijven vormde de basis voor de huidige nauwe samenwerking. Alexandra Schless: “Managed services of cloud services zijn niets anders dan een optelsom van een aantal schakels die bepaalde activiteiten voor hun rekening nemen. Je kan die keten overigens het beste opbouwen uit specialisten aangezien de technologie in deze branche zo snel verandert dat het onmogelijk is om op alle gebieden de beste te blijven. Omdat de verantwoordelijkheid voor het goed functioneren van de keten bij de partners zelf ligt, moet je eerlijk de vinger op eventuele pijnpunten kunnen leggen. Dan weet je precies wat je aan de ander hebt en kan je dat ook aan de klant uitleggen. Goede ketenpartners fungeren als verlengde van elkaars sales- en engineeringsteams. Dat hebben wij nu al in diverse projecten mogen ervaren.” Rogier Hof voegt toe: “Onze klanten delen ook kenmerken. Het zijn stuk voor stuk veeleisende bedrijven die geen concessie willen of mogen doen op kwaliteit. Samen met TelecityGroup hosten we bijvoorbeeld al diverse ‘mission critical’-systemen in de financiële wereld.” Hoe Bitbrains er samen met TelecityGroup in slaagt te doen wat veel andere nog niet eens durven voor te stellen? Alexandra Schless: “Gedetailleerde SLA’s en 100 procent transparantie zijn de sleutel. Via rondleidingen in ons datacenter laten we gewoon zien hoe we cruciale zaken als beschikbaarheid, performance en veiligheid hebben geregeld.” Ook Bitbrains houdt van tastbare bewijzen. Rogier Hof: “Wij beginnen eigenlijk altijd met een ‘proof of concept’, zoals recent een nieuwe IT-omgeving met meer dan 25 systemen voor een internationale handelssite. We hebben deze volledige productie op ons platform laten draaien en de klant uitgedaagd om
ons systeem zo grondig mogelijk te testen. Sommige klanten kiezen voor audits of penetratietests door securitybedrijven. Zodra ze overtuigd zijn van de werkende en goed beveiligde oplossing, zetten we de ‘proof of concept’ eenvoudig om naar productie. Door de concrete en heldere aanpak is cloudinfrastructuur helemaal geen issue.” Tot slot maken Bitbrains en TelecityGroup korte metten met de opvatting dat cloud en compliancy niet samen zouden gaan. Rogier Hof: “Ik zou niet weten waarom. Wij regelen ook disaster recovery, dus we weten precies waar welke data is opgeslagen. Als je een IT-omgeving tot op bitniveau onder controle hebt, is voldoen aan voorschriften waarbij gegevens aan bepaalde regels moeten voldoen dus geen enkel probleem.” Alexandra Schless sluit af: “TelecityGroup loopt wat betreft compliancy voorop in de datacentermarkt. Dat we accreditaties als ISO 27001, ISO 9001, ISO 14001, OHSAS 18001 en PCI DSS internationaal mogen voeren, betekent dat onze klanten in al onze datacenters over Europa dezelfde processen kunnen verwachten. Dat noem ik transparantie in optima forma.” Over TelecityGroup Nederland • Opgericht in 1999 door Alexandra Schless • TelecityGroup Nederland heeft vier datacenters in Amsterdam • ISO 27001:2005, ISO 9001:2008, ISO 14001 en OHSAS 18001, PCI DSS en AMS-IX gecertificeerd. • Deelnemer aan de MeerJarenAfspraak op het gebied van energie-efficiëntie • Genoteerd aan de beurs in Londen (LSE: TCY) • Onderdeel van Europese organisatie met 23 datacenters op A1-locaties Meer informatie op www.telecitygroup.nl en www.telecitygroup.com Over Bitbrains Nederland • Opgericht in 2005 door Gjalt van Rutten, Marc van Goethem en Niels van Drimmelen • Ontstaan uit een team van systeemarchitecten werkzaam in de financiële wereld • Telt 21 medewerkers • Motto: “Kan niet bestaat niet!” • Levert hostingdiensten, capacity-on-demand (de cloud), managed hosting (ketenveranwoordelijkheid) en consultancy • Kenmerken: hoge beschikbaarheid, veilig, schaalbaar, pay-per-use • Klanten zijn nationale en internationale spelers, waaronder financiële instellingen, overheid, uitgeverijen en softwareontwikkeling (SaaS) • Hanteert ITIL en PRINCE2 Meer informatie op www.bitbrains.nl
JUNI 2010 - CLOUDWORKS - 29
SaaS-aanbod groeit flink in de VS Een paar keer per jaar is Jan Aleman, CEO van Servoy, aanwezig op de SaaS University-conferentie in de Verenigde Staten. Regelmatig wordt daar verteld over de status van SaaS en de cloud in Europa. CloudWorks vroeg Aleman om voor het Nederlandse publiek een verslag te maken van SaaS in de VS. DOOR JAN ALEMAN, CEO VAN SERVOY
De SaaS University-conferentie is een, voor Amerikaanse begrippen, kleinschalige conferentie. Het is een beetje een mix tussen een conferentie en een training. In drie dagen tijd wordt vanuit verschillende disciplines met CEO’s en CTO’s van softwarebedrijven alle aspecten van SaaS en cloud computing bestudeerd. Van marketing en techniek tot ‘hoe compenseer ik mijn verkopers?’. Een van de keynote presentaties werd door organisator Rick Chapman gegeven. In dit artikel wordt op die presentatie nader ingegaan.
ISV’S Chapman presenteerde de cijfers van een SaaS-onderzoek onder softwarebedrijven binnen de VS. Dit onderzoek, The Softletter SaaS Report gedoopt, wordt jaarlijks door uitgever Softletter uitgevoerd. Het is een vrij uitgebreid onderzoek dat zich richt op vrijwel alle aspecten waar SaaS-leveranciers mee te maken hebben. Deelnemers vullen online een enquête in en Softletter verwerkt de resultaten in een rapport. Wie meedoet, krijgt gratis inzage in de resultaten en niet-deelnemers kunnen de resultaten die gepubliceerd worden aanschaffen via softletter.com.
30 - CLOUDWORKS - JUNI 2010
De deelnemers behoorden tot de groep kleine tot middelgrote bedrijven, feitelijk de groep waar de meeste softwarebedrijven toe behoren. Dit zijn zowel softwarebedrijven die verticale als horizontale applicaties ontwikkelen en over het algemeen ISV (independent software vendor) genoemd worden. Om de omvang van softwarebedrijven aan te geven, wordt vaak de bruto jaaromzet als leiddraad aangehouden. 30 procent valt in de categorie micro ISV’s en 36 procent valt onder de groep klein en middelgroot. 20 procent van de bedrijven valt onder de grote ISV’s (denk aan bedrijven als Accountview, Quadrant) en 14 procent onder de zeer grote (denk aan de omvang van Exact, Unit4). Gezien het feit dat SaaS een relatief nieuwe ontwikkeling is, valt misschien te verwachten dat veel bedrijven geen winst maken. Het tegendeel is echter waar. Dit wordt veroorzaakt doordat veel bedrijven een installed base hebben met on-premisessoftware en SaaSontwikkeling er initieel bij doen. Grofweg zijn de ISV’s in de volgende categorieën indelen: - Innovatief: dit zijn de bedrijven die het eerst voor SaaS kiezen en zich hier puur
op richten. Zij hebben wel een grote upfrontinvestering nodig: van idee naar geld verdienen kost al snel een paar miljoen euro. Daarom kiezen ISV’s er vaak voor om de SaaS-ontwikkeling parallel aan hun bestaande on-premises-ontwikkeling te doen om zo het een het ander te financieren. - Defensief: deze ISV’s doen aan SaaS om hun sales- en marketingafdeling tevreden te stellen. Eigenlijk zien ze het echter niet zitten. Ofwel om het feit dat ze nog geen feeling hebben met SaaS, dan wel omdat ze niet op de investering zitten te wachten. Vaak kiezen deze ISV’s ervoor om hun bestaande applicatie via remote-desktopachtige technologie te ‘Saas-enablen’ (‘nep-SaaS’). Of ze kiezen ervoor om een kleine speler over te nemen en die als separate productlijn te voeren. - Terughoudend: deze ISV’s hebben het boek The Innovators Dilemma (aanbevolen!) niet gelezen. Ze hebben aan een aantal van hun bestaande klanten gevraagd of die op SaaS zitten te wachten. Het antwoord luidt (zoals te verwachten) ontkennend. Een bestaande, tevreden klant zit meestal überhaupt niet op verandering te wachten. Het resultaat bij de terughoudende ISV’s is vaak dat men pas te laat op SaaS overstapt. Concreet: als je als ISV SaaS overweegt, is nu het moment om aan de slag te gaan. Als dit bovendien uit bestaande cash-flow gefinancierd kan worden, is dat zeer aan te bevelen. Bedrijven die SaaS-producten voeren, groeien fors beter dan andere softwarebedrijven. Sterker nog, in 2009 was er vrijwel geen groei bij klassieke softwarebedrijven, terwijl 69 procent van de ondervraagde bedrijven die wel SaaSproducten voeren, groeide! Een aantal analisten meldt inmiddels dan ook dat
SaaS GRAFIEK 1
70 procent van alle nieuw verkochte software als SaaS gekocht wordt. De gehele installed base is nog onder de 30 procent maar inkomstengroei komt toch meestal uit de eerste markt en niet uit de bestaande. Wie als ISV serieus wil groeien, zal een SaaS-aanbod moeten toevoegen aan het portfolio (grafiek 1).
PRICING Je zou verwachten dat de meeste bedrijven hun product per gebruiker (oftewel per login of ‘named user’) pricen, zoals dat ook bij bijvoorbeeld e-mail gebeurt. Toch is dat maar in minder dan de helft van de gevallen zo. Concurrent based pricing is heel populair, ook al is dat meer een vorm die toegepast wordt bij on-premisessoftware. Ook is er een stijging in transactiegebaseerd prijzen zichtbaar. Bij het vaststellen van pricingmodellen wordt vaak gekeken naar wat klanten al gewend zijn om te betalen aan software, behalve als er al een concurrent in de markt is met een gelijkwaardige oplossing. Zo blijkt bijvoorbeeld dat veel CRM-leveranciers duidelijk naar het pricingmodel van SalesForce.com hebben gekeken en daar hun pricing op baseren. Het pricen op transacties is met name interessant als er bij klanten een sterke groei te verwachten valt in transacties en niet zozeer in gebruikers. In de UK bijvoorbeeld is er een bedrijf in de gezondheidszorg dat 1 euro per patiëntdossier per maand rekent. De eerste maanden van gebruik verdienen ze geen geld op dit model, maar zodra het systeem eenmaal goed draait en op stoom begint te komen, is er een duidelijk hockeystickeffect op de brutomarge zichtbaar (grafiek 2).
WAAROM SAAS? De meeste klanten kopen SaaS omdat dat de enige manier is waarop ze die software kunnen krijgen; een vrij verrassend resultaat. Het ligt in de lijn der verwachtingen dat het om pricing gaat of om een initiële investering (capital expenditure, CAPEX, versus operational expenditure, OPEX). Maar uit de resultaten van het onderzoek blijkt dat klanten toch primair voor functionaliteit kiezen en pas secundair naar kosten en complexiteit kijken. Dit bevestigt maar weer dat functionaliteit en unieke eigenschappen van een softwareapplicatie erg belangrijk zijn en blijven (grafiek 3).
MULTI-TENANT De meeste applicaties zijn multi-tenant, dat wil zeggen: de data en applicatie worden tussen verschillende huurders (tenants) gedeeld. Hierbij moet de applicatieserver ervoor zorgen dat de gebruiker alleen zijn eigen data en niet die van een andere klant te zien krijgt. Voordelen hiervan zijn betere schaalbaarheid en lagere hard- en softwarekosten voor de leverancier. Een nadeel van multi-tenancy is dat in veel ontwikkelomgevingen (er zijn gelukkig al een aantal ontwikkel- en deploymenttools die multi-tenancy out of the box ondersteunen) deze functionaliteit niet ingebouwd zit. Vaak zit het probleem zelfs al op de datalaag en is het datamodel niet voorzien van owner id’s op de primaire tabellen. Het zelf programmeren van multi-tenancy features kan ook sneller tot fouten leiden: er hoeft maar één query geschreven te worden die vergeet de owner id mee te nemen, en je gaat al de boot in. Dit moet tevens ook weer op de reportinglaag ingebouwd worden. De niet multi-tenantapplicaties zijn vaak ‘ouderwetse’ applicaties die met remote-videotechnologie (Citrix/Terminal Services) aan de klant beschikbaar worden gesteld. Hierbij zijn schaalbaarheid en kosten een handicap. Men onderschat vaak de kosten van het deployen via remote-videotechnologie. Hieronder wordt een reallife voorbeeld gegeven van een bedrijf dat van een FoxProomgeving die gedeployed werd via Microsoft Remote Desktop overgestapt is naar Servoy: Tabel 1 kijkt alleen maar naar de licentieen hostingkosten. De daadwerkelijke besparing is nog een factor groter omdat er 70 procent minder personeelskosten zijn en de hardwarekosten met 90 procent teruggebracht worden. Concreet: een remote-video-oplossing is vrijwel altijd twee tot tienmaal duurder dan echte multi-tenantapplicaties (grafiek 4).
PROJECT 2%
BETALING: TRANSACTIE 24%
CONCURRENT 34%
GEBRUIKER 42%
GRAFIEK 2: WAAROM KOPEN GEBRUIKERS SAAS
OVERIG 3 %
MINDER COMPLEX 8%
KAN NOG NIET 57%
GOEDKOPER 12% CAPEX/OPEX 20%
GRAFIEK 3: MULTI-TENANT
OVERIG 2%
BEIDE 12%
NEE 23%
JA 63%
TABEL 1 Omgeving
FoxPro/Remote Desktop
Servoy
Aantal gebruikers
4000
4000
Licentiekosten Windows Server
€ 5 per server/maand
geen, draait op Linux
Licentiekosten
€ 5/maand/user
€ 4/maand/user
(remote desktop licentiekosten)
(Servoy licentiekosten)
Aantal servers nodig
120
12
Hosting kostenserver
€ 90/maand
€ 90
Totale kosten per jaar
€ 376.800
€ 193.080
JUNI 2010 - CLOUDWORKS - 31
SaaS FAILOVER Het leeuwendeel van de SaaS-providers voorziet niet in failover. Dat is redelijk schokkend te noemen. Immers, als hun server uitvalt, is de dienst onbereikbaar. Zeker als er voor de hosting gebruikgemaakt wordt van cloud computing, is er geen excuus om geen goede failoverfaciliteit te bieden. Failover kan op een aantal manieren worden opgelost: Real-time failover: Bij realt-time failover wordt clustering gebruikt om meerdere servers tot een logische server te groeperen. Bij bedrijfsapplicaties is het met name van belang dat dit op databaseniveau gebeurt. Op applicatieserverniveau heeft dit ook toegevoegde waarde: de gebruiker kan dan vrijwel realtime doorwerken. Als je dit echt goed wilt doen, moet het cluster ook geografisch verdeeld worden door meerdere servers op meerdere locaties te hebben. Dit heeft bij het gebruik van transactionele databases wel wat haken en ogen doordat vrijwel alle transactionele databases voor clustering gebruikmaken van shared-disktechnologie die zeer grote bandbreedte en lage latency tussen de server en het opslagsysteem vereisen. Stand-by failover Bij stand-by failover is er een stand-byserver die pas inspringt op het moment dat de primaire server het begeeft. De kosten en de complexiteit zijn een stuk lager, maar de downtime tussen het switchen van de server is vaak hoger. Vaak is dit toch wel onder de paar minuten te houden en voor veel bedrijfsapplicaties nog acceptabel. Manual failover In dit geval wordt er bij het uitvallen van een primaire server een secundaire server handmatig ingezet. De kosten en complexiteit zijn hier nog lager, maar de kans op fouten veel groter net als overigens de downtime.
ANALYTICS TRACKING Steeds meer softwarepakketten integreren het meten van het gebruik van de applicatie in de software zelf. Iets minder dan de helft van de bedrijven echter trackt het gebruik van hun applicatie. Terwijl het niet erg moeilijk te integreren is (zeker niet voor browsergebaseerde SaaS-oplossingen) en veel belangrijke data op kan leveren. Niet alleen over hoe actief gebruikers zijn, maar ook hoe ze de applicatie gebruiken. Ook
32 - CLOUDWORKS - JUNI 2010
kan er tijdens een trialfase heel gericht gevolgd worden hoe de gebruiker de applicatie gebruikt. Er kan bijvoorbeeld gemeten worden of hij of zij de weg niet goed kan vinden in de applicatie door het navigatiegedrag te analyseren. Daarnaast komt hier ook belangrijke informatie voor de productmanager uit: die kan precies zien welke onderdelen van de applicatie veel gebruikt worden of hoe de navigatie van de applicatie beter geoptimaliseerd kan worden.
GRAFIEK 4
JA 32%
NEE 68%
COMMUNITY Nog maar 22 procent van de huidige SaaS-bedrijven werkt actief aan een community om zijn product. Een community kan een belangrijke hulp voor marketing zijn, maar ook potentieel goede input leveren voor productmanagement om te bepalen welke features geïmplementeerd, uitgebreid of verbeterd moeten worden. Communities vervangen feitelijk de vroegere gebruikersverenigingen van software. Door als leverancier zelf met een community te starten geef je aan dat je een open en moderne speler bent. Veel klassieke softwarebedrijven zijn hier wat huiverig voor, maar in de praktijk blijkt dat open communicatie altijd voordelen biedt (grafiek 5).
AFREKENEN Bij veel SaaS-producten denkt men primair aan afrekenen per maand. In de praktijk echter blijkt dat jaarlijks afrekenen het meest gebruikt wordt. Vaak wordt, zeker als de prijs online gepubliceerd wordt, de prijs per maand aangegeven. Dit hoeft echter niet te betekenen dat het daadwerkelijk betalen per maand gebeurt. Veel bedrijven zijn er qua administratieve processen helemaal niet op ingericht om per maand af te rekenen. Zelfs 14 procent van de klanten heeft meerjarige contracten voor de dienst. Dit kan voor beide partijen interessant zijn: de klant vergewist zich van een vaste prijs (geen onverwachte prijsstijgingen!) en de leverancier heeft een cash-flowvoordeel. Inmiddels is 10 procent van de producten geprijsd op basis van transacties. Bij een aantal producten is dit eenvoudig te implementeren. In de HR-sector zijn loonstroken al jaren transactiegebaseerd geprijsd (€ 1 per loonstrook per maand bijvoorbeeld). Maar ook in andere sectoren is er een opkomst van dit pricingmodel.
GRAFIEK 5
TRANSACTIEGEBASEERD 10%
OVERIG 2%
MEERMAALS PER JAAR 14% MAANDELIJKS 27%
JAARLIJKS 35%
KW PE AR R 10 TAA %
L
PER TWEE JAAR 2%
CONCLUDEREND Er zijn een aantal verwachte en onverwachte resultaten uit het onderzoek naar voren gekomen. Ook al betreft het data van de Amerikaanse markt die mogelijkerwijs in Europa en in het bijzonder in Nederland anders uit zal kunnen pakken (dat zal in een volgend artikel aan de orde komen). Allereerst wordt duidelijk dat als je als softwarebedrijf nog geen SaaS-offering hebt, het hoog tijd wordt hier wat aan te gaan doen. Daarnaast zul je, om tot een goede prijsstelling te komen, in kaart moeten brengen wat je concurrenten doen als je een commodityproduct hebt. Wie beschikt over een uniek product, kan over het algemeen een hogere prijsstelling hanteren. Het actief ondersteunen van een community vervolgens is aan te bevelen, mits er serieus tijd aan wordt besteed. Het staat erg slordig als het forum veel onbeantwoorde vragen of alleen maar ontevreden klanten laat zien. En ten slotte: spoor tevreden klanten aan om actief deel te nemen in de community. CW
Column
Mag de slager zijn eigen vlees keuren?
"Er zijn op dit moment geen normen en waarden voor clouddiensten" DOOR GERT BROUWER, ONAFHANKELIJK ADVISEUR EN STORAGE ARCHITECT BIJ BROUWER STORAGE
Natuurlijk mag de slager zijn eigen vlees keuren, zult u denken. Hij moet het zelfs, al is het maar om te weten wat hij verkoopt. Het zou echter fout zijn als hij de enige is die keurt. Ik moest hier onwillekeurig aan denken toen ik de oproep van Eurocloud las: ‘De overheid moet meer aan cloud computing denken’… Eurocloud is de belangenvereniging van leveranciers van SaaS- en clouddiensten. Volgens deze vereniging kan de Nederlandse overheid veel voordeel uit dit soort diensten halen en enorme besparingen realiseren. Gemakshalve wordt hier even voorbijgegaan aan de hele discussie die gaande is over de veiligheid van cloud computing, en de vraag of de kosten wel zo laag zijn als alle normale randvoorwaarden die voor een eigen IT-omgeving gelden, ook worden ingevuld. In de oproep wordt zelfs de Verenigde Staten als voorbeeld
genoemd, omdat de overheid daar op weg is om het gebruik van de cloud verplicht te stellen. Deze aanname is wel erg kort door de bocht. Dit was overigens voordat het kabinet viel, dus er zat nog een club die snel warm liep voor wat er in de VS gebeurde. Overigens zijn dit soort zaken koren op de molen van zowel links als rechts. Politici praten nu eenmaal graag over zaken waar ze geen verstand van hebben. Ik kan mij de discussies nog herinneren over de aanschaf van nieuwe (IBM-)mainframes voor, naar ik meen, de Belastingdienst. Er waren toen Kamerleden die een lans braken voor het feit dat de aanbesteding ook op open source geënt moest zijn. Ik denk in dat soort gevallen altijd: van welke planeet kom je? En: schoenmaker blijf bij je leest! Er zijn bedrijven die al tien jaar bezig zijn om hun laatste mainframeapplicaties te migreren. Hoe zal dit gaan
bij een club waar de ‘corebusiness’ op mainframe gebaseerd is? Ik was benieuwd waar Eurocloud eigenlijk voor staat. Het blijkt een vereniging te zijn van een groot aantal bekende en minder bekende bedrijven, waaronder McAfee, Microsoft, Amazon Cloud services, etc. In feite is hun oproep dus een directe zet om de omzet van deze bedrijven te verbeteren. Ik kan ze geen ongelijk geven, maar misschien moeten ze toch maar eerst een stapje terug doen en hun eigen vlees keuren. Er zijn op dit moment geen ‘normen en waarden’ voor clouddiensten. En omdat we aan het begin van een hype cycle staan, zijn er veel te veel aanbieders. Het kan niet lang duren voordat er een ‘shakeout’ plaatsvindt en alleen de goede overblijven. Hopelijk dan voorzien van een keurmerk dat door derden is verleend en niet alleen door de branche zelf. CW
JUNI 2010 - CLOUDWORKS - 33
Cisco’s Unified Computing System moet cloudinfrastructuur vereenvoudigen
Cloud zonder
legacyproblematiek Na de ‘outsourcingshype’ begin 2000 is tien jaar later cloud sourcing de nieuwste trend. Om fouten en problemen uit het verleden te voorkomen heeft Cisco hiervoor een nieuwe architectuur ontwikkelt. Unified Computing rekent af met legacyproblematiek en moet klanten eenvoudig de cloud in laten rollen. DOOR DE REDACTIE In de beginjaren van 2000 heerste er bij veel bedrijven de behoefte om IT te outsourcen. Deze behoefte kwam voort uit het continue evalueren of activiteiten wel tot de corebusiness van het bedrijf behoorden. IT werd als een kostenpost beschouwd in plaats van een business enabler. Veel outsourcingstrajecten werden destijds uitgerold vanuit de strategie ‘my mess for less’. Deze stelling ging het eerste jaar nog wel op, want er werd daadwerkelijk minder betaald dan voor het in eigen beheer houden. Echter, in de loop van de duur van het contract bleek dat de randvoorwaarden als het ware in beton waren gegoten. De kosten namen exponentieel toe wanneer er flexibiliteit werd gevraagd in de vorm van nieuwe diensten en/of mogelijkheden. Wacht degenen die kiezen voor cloud computing straks hetzelfde lot als degenen die kozen voor outsourcing? Cloud sourcing is pertinent geen oude wijn in nieuwe zakken. De belangrijkste reden hiervoor is de ontvlechting van de applicaties en de onderliggende IT-infrastructuur. Als er wordt gekozen voor virtualisatie, bestaat er geen een-op-eenrelatie meer.
34 - CLOUDWORKS - JUNI 2010
Cisco heeft vorig jaar een nieuw computingconcept geïntroduceerd onder de noemer ‘Unified Computing System’. Een nieuwe computearchitectuur die rekenkracht, netwerken en virtualisatie in een platform voegt. Cisco’s doel was om een ‘cloud ready’ IaaS-infrastructuur te ontwerpen die de complexiteit van IT-infrastructuren vereenvoudigt.
LEGACY Maar hoe bouw je een ‘cloud ready’-infrastructuur en wat zijn de stappen die bedrijven daarvoor dienen te nemen? “Cisco begrijpt dat iedere klant een vorm van legacy heeft op het gebied van applicaties en IT-infrastructuur en
men beginnen met virtualisatie van de IT-infrastructuur – server, storage en netwerken – en begint hier eveneens de ontkoppeling van de een-op-eenrelatie van de applicatie met de IT-infrastructuur. In de derde fase, de zogenaamde automationfase, wordt het uitrollen van de IT-infrastructuur geautomatiseerd en geïnitieerd door de eindgebruiker die vanuit een portalinterface de applicaties definieert. De IT-infrastructuur wordt door middel van policies gealloceerd door een geautomatiseerd proces. De enige reden waarom de meeste datacenters op dit moment niet in deze derde fase – de automationfase – verkeren, is het bestaan van legacyapplicaties en IT-infrastructuur.” In de ontwikkeling van Unified Computing System (UCS) speelt het gebrek aan legacy vanuit Cisco een belangrijke rol. Immers, wat zoekt een IT-leverancier, bekend om zijn netwerkproducten, op
“Legacyapplicaties zetten een rem op de ontwikkeling van het datacenter” dat deze met elkaar zijn verweven”, zegt Rob Willekes, productsalesspecialist Datacenters bij Cisco Nederland. “De eerste stap richting een IAAS-model is het consolideren van deze applicaties en de IT-infrastructuur. Vervolgens kan
de computemarkt? Willekes: “Doordat virtualisatie van serverplatformen – en daarmee de virtuele machine – het standaardbouwblok van een nieuw datacenter is geworden, is de fysieke hardware niet meer het belangrijkste. UCS is ge-
Hardware
bouwd voor virtuele platformen, waarbij de waarde voor virtualisatie wordt geoptimaliseerd zonder dat een legacyplatform hierbij beperkend werkt.”
WAT IS ER ANDERS AAN UNIFIED COMPUTING? Unified Fabric Een server in een willekeurig datacenter is vandaag de dag voorzien van 6-8-kabels, vaak met een connectie naar meerdere typen netwerken zoals LAN en SAN. Op het gebied van UCS maakt Cisco gebruik van een unified fabric, waar LANen SAN-verkeer wordt geconsolideerd over één fysieke link, namelijk een 10 gigabit-ethernetlink (GbE), resulterend in twee kabels. De techniek die wordt gebruikt om dit te bewerkstelligen noemt men FCoE (fibre channel over ethernet). Naast een reductie van het aantal kabels van minimaal 50 procent, is er eveneens een wire-oncearchitectuur bewerkstelligd. Het resultaat is dat iedere blade altijd aan storage gekoppeld kan worden – bij aanschaf hoeft er dus niet beslist te worden of er met storage gekoppeld wordt: Fibre Channel, iSCSI, NFS. De implementatietijd van een UCS-systeem ligt volgens Cisco rond de twee uur in tegenstelling tot bestaande bladearchitecturen die aanzienlijk meer tijd in beslag nemen. VNlink Met de komst van de VM als het standaardbouwblok werd eveneens een extra
switchlaag geïntroduceerd in de virtuele omgeving. Een nadeel van de virtuele switch is dat deze beheerd wordt vanuit een serverperspectief. Hierdoor ontstaat een extra beheerlaag. Het doorzetten van policies, die op een fysiek netwerk bestaan, gebeurt niet automatisch, zoals VLAN, PVLAN settings, ACL, Port Security, ACL Redirect, NetFlow Collection QoS Marking (COS/DSCP), en Remote Port Mirror (ERSPAN). VNlink is een technologie die gezamenlijk is ontworpen door VMware en Cisco waarbij de policies vanuit het fysieke netwerk kunnen worden toegepast per VM, hetgeen de schaalbaarheid, manageability en performance verhoogt.
Automated provisioning In een IAAS-model is geautomatiseerde provisioning een absolute voorwaarde. UCS is een platform waarbij de relatie tussen de applicatie, het operating system en de fysieke hardware nog verder wordt ontvlochten door middel van stateless computing. Iedere server heeft een identiteit die hem uniek maakt; hardware, adressen zoals MAC WWN en UUID, Bios-versies & settings, firmwareversies, netwerkconnectiviteit VLAN & VSAN, boot settings, et cetera. In UCS is deze identiteit van een server ontkoppeld en in een profiel geplaatst. Dit profiel kan aan iedere willekeurige server gekoppeld worden, waarna die server de identiteit aanneemt die in het profiel beschreven staat. Zo is de server zelf ‘stateless’ geworden. Zijn identiteit heeft hij tijdelijk via dat profiel gekregen, totdat het profiel weer ontkoppeld wordt van de servers. Het grote voordeel is dynamische provisioning van workloads en het logische beheren van de IT-infrastructuur door het gebruik van de profielen. Cisco belooft een kostenverlaging die langer dan een jaar zal bestaan en een flexibile IT-infrastructuur die past in de huidige economie en businessmodellen. Willekes: “UCS is ontwikkeld vanuit de gedachtegang dat cloud computing in de komende jaren een steeds belangrijkere rol gaat spelen in huidige en nieuwe datacenters. Met een frisse nieuwe blik op virtualisatie en door toepassing van nieuwe technologieën is er een nieuwe computearchitectuur die cloud ready is.” CW
In de praktijk Bij Pins, een aanbieder van hosting- en managed services, wordt Cisco’s UCS in de praktijk ingezet. Etienne van Rijn, manager Infrastructure & Solution bij Pins, legt uit dat een UCS niet meer is dan een verzameling rekenkracht, geheugen en schijven: een verzameling blades. De fibre interconnect naar de unified fabric switch zorgt ervoor dat je het geheel ‘als een houten puzzel in elkaar kunt zetten’. Van Rijn: “Dit geeft ons tussen de lagen van de VMware en de storage nog een extra laag flexibiliteit op het vlak van hardware. Je kunt heel makkelijk een Windows-server
overzetten van de ene blade naar de andere. Er zijn applicaties die hangen aan MAC’s, aan Bios-versies, aan serialnummers, aan firmwareversies, noem maar op. Dat kun je allemaal regelen door de templates van UCS goed in te richten. Als je dat goed voor elkaar hebt, kun je heel makkelijk schuiven. Als een blade waarop een klant staat kapot gaat, is het drie keer klikken en de klant staat weer op een nieuw stuk ijzer. Alle hardware- en alle Lun-connecties worden door de template meegenomen. Dat maakt de recoverytijd extreem kort en daar zoeken we altijd naar.”
JUNI 2010 - CLOUDWORKS - 35
Datarecovery in de cloud biedt nieuwe mogelijkheden
Het is een nachtmerrie voor veel bedrijven: een crash van de IT-omgeving waardoor alle data verloren gaat. Het herstellen van de gegevens is soms een helse klus die met een beetje pech dagen in beslag neemt. Disaster recovery in de cloud kan een uitkomst zijn. Maar hoe gaat dat in zijn werk, en om welke elementen gaat het precies. En belangrijker nog: hoeveel tijd en kosten zijn ermee gemoeid?’ DOOR IAN MASTERS, SALES DIRECTOR BIJ DOUBLE-TAKE SOFTWARE
Er zijn diverse softwareoplossingen beschikbaar die gegevens beschermen in het geval van een crash. Een kleiner aantal oplossingen beschermt daarnaast ook de applicaties en besturingssystemen. Traditionele methoden voor de bescherming en de recovery van workloads die bedrijven draaiende houden, zijn vaak enkel toegankelijk voor ondernemingen die de mogelijkheid hebben een tweede datacenter met stand-by back-upservers
36 - CLOUDWORKS - JUNI 2010
te bouwen en beheren. Voor veel kleine en middelgrote bedrijven is dit niet haalbaar en dan rest enkel de lokale back-up op tapes. Zoals hierboven al kort geïllustreerd heeft deze manier van back-up gelimiteerde mogelijkheden en vraagt het een grote tijdsinvestering van de ITmanager. Een ontwikkeling die daarom steeds meer terrein wint, is het gebruik van de mogelijkheden van de cloud voor disaster recovery. Deze manier van opslag is aantrekkelijk voor bedrijven omdat ze enkel investeren in opslagruimte die ze ook daadwerkelijk nodig hebben. Ondernemingen hoeven niet vooraf de gewenste capaciteit te bepalen die vervolgens misschien helemaal niet gebruikt wordt. De cloud geeft bedrijven, ongeacht hun omvang, toegang tot een disaster-recoveryoplossing zonder hoge opstartkosten en tijdsinvesteringen. Echter, disaster recovery in de cloud is geen antwoord op zich. Het biedt grote voordelen voor bedrijven, maar het
simpel verplaatsen van informatie van de IT-infrastructuur naar de ether is niet voldoende. Het cloud-recoveryproces neemt minstens evenveel tijd in beslag als de traditionele recovery of soms zelfs langer. Om te bepalen of disaster recovery in de cloud, past bij een bedrijf is een goede kennis van het recoveryproces noodzakelijk. Mocht het nodig zijn om belangrijke gegevens terug te halen uit de cloud, dan moet het duidelijk zijn hoe dat gebeurt en om welke elementen het gaat. En belangrijker nog: hoeveel tijd kost het hele proces?
PUBLIEKE CLOUD De publieke cloud kan een organisatie een basis bieden voor het verplaatsen van data en systeeminformatie naar een remote locatie voor disaster-recovery- en business-continuitydoeleinden. De meeste cloudaanbieders bieden de mogelijkheid om af te rekenen per afgenomen gigabyte aan opslagcapaciteit. Daarnaast is het met bijbetaling vaak
Thema ook mogelijk hier de workloads te laten draaien. Aangezien deze aanbieders service level agreemens (SLA’s) afgeven met betrekking tot de beschikbaarheid van de clouddienst, leveren ze geen aanvullend beheer voor de back-up of disaster recovery workloads. In sommige situaties krijg je de data zelfs teruggestuurd op een tape zodat de IT-manager zelf het herstelproces moet opstarten. Deze oplossing kost veel tijd, wat op zijn beurt weer moet worden ingecalculeerd in het business-continuityplan en de kostenposten. Een tweede oplossing voor hosted disaster-recoverydiensten is gebaseerd op het gebruik van opslagruimte in het datacenter van de door het bedrijf gekozen aanbieder. Dit houdt in dat naast de opslag ook de beveiliging van gegevens, het beheer van de back-up en SLA’s gericht op availability en recoverysnelheid gewaarborgd zijn. Sommige aanbieders bieden daarnaast nog opties zoals de levering van vervangende hardware of volledig herstel van de werkplek – een nieuwe ruimte, stoelen en bureaus – in het geval van een ramp waarbij het kantoor fysieke schade heeft opgelopen.
waar ze mee bezig zijn. In de tussentijd kan de IT-afdeling aan de slag gaan om het probleem te verhelpen. Een bijkomend voordeel is dat wanneer er weer teruggeschakeld wordt naar de primaire workloaddienst, de geüpdate data en inmiddels uitgevoerde werkzaamheden ook overgezet worden. Hierdoor wordt de downtime nog verder teruggebracht. Centerline Construction, een Amerikaanse ontwikkelaar van woningen, is recent overgestapt op disaster recovery in de cloud. Het continu onderhouden en investeren in diverse computerapplicaties en technologieën om up-to-date en compatibel te blijven met nieuwe IT-vereisten en -systemen, was een dagelijks terugkerend probleem. Door een gestage groei was het aantal bijkantoren de afgelopen jaren flink toegenomen, met alle technische uitdagingen van dien. Daarnaast was Centerline Construction zich er sterk van bewust dat één dag zonder toegang tot het computernetwerk ervoor kon zorgen dat ze meerdere miljoenen dollars aan projecten zouden mislopen.
TERUGBRENGEN DOWNTIME
Toen ze zich dit eenmaal gerealiseerd hadden, was het voor hen zonneklaar dat hun bestaande back-upplan nogal wat gaten bevatte. Het bedrijf had een groter vangnet nodig dan enkel een back-upplan: er moest een oplossing komen om hen in de lucht te houden wanneer hun lokale systemen crashten. De financiële informatie van het bedrijf wordt bijvoorbeeld tijdens werkuren continu bijgewerkt. In het geval van een ramp waarbij er geen toegang is tot het kantoor of als de server hardwareproblemen heeft, kan het bedrijf niet snel genoeg een recovery uitvoeren om alle processen te laten doorgaan.
Met deze laatste oplossing kost het herstellen van een gecrashte IT-omgeving het minste tijd omdat er geen fysieke back-upkopieën naar het bedrijf gestuurd hoeven te worden. Gebruikers worden direct ‘doorverwezen’ naar de vervangende workloaddienst en kunnen door blijven werken aan datgene
Centerline besloot over te stappen op cloud recovery voor offsite, realtime replicatie van de gehele server van het bedrijf, inclusief de data, applicaties en het besturingssysteem. Hierdoor kan het bedrijf bij een crash zijn herstelde servers in de cloud laten draaien terwijl
Een derde optie die sterk in opkomst is, is cloud recovery. In tegenstelling tot het eerder beschreven cloud storage, biedt cloud recovery bedrijven de mogelijkheid hun workload te laten draaien in het datacenter van de cloudaanbieder terwijl tegelijkertijd het probleem wordt aangepakt. Dit in tegenstelling tot enkel het beheer van bestanden of data. Deze aanpak is mogelijk doordat de hele workload – besturingssysteem, applicaties en data – in de cloud aanwezig is.
de IT-managers hun lokale datacenter weer op orde krijgen. De toegang tot alle zakelijke informatie blijft voorhanden en de dagelijkse gang van zaken onverstoord. Momenteel is cloud recovery enkel mogelijk bij de grotere publieke cloudaanbieders zoals Amazons Elastic Computer Cloud (EC2). Nu deze vorm van recovery echter steeds populairder wordt en individuele datacenterbeheerders en managed-servicesaanbieders de mogelijkheden ontdekken van virtualisatie en publieke clouds, zal het naar verwachting niet lang meer duren voordat zij de grote jongens volgen. Dit vraagt wel om strikte regelgeving voor organisaties en de disaster-recoverypartner rondom compliance en veiligheid. Om cloud recovery volledig tot wasdom te laten komen, is het essentieel dat er vertrouwen heerst bij aanbieders, consultants en klanten over de capaciteiten van de cloud. Enkel dan zullen bedrijven bereid zijn hun data, applicaties en besturingssystemen in de cloud te plaatsen. Eén ding is echter zeker: dankzij de nieuwe cloudoplossingen kunnen alle bedrijven toegang krijgen tot een kwalitatief hoogstaande bescherming van hun workloads en recoveryoplossingen die voordien onbereikbaar waren door de hoge kosten en complexiteit. CW
‘Cloud recovery biedt de mogelijkheid de workload te draaien in het datacenter van de cloud provider’ JUNI 2010 - CLOUDWORKS - 37
Novell bouwt private clouds
Project Atlantic moet IT-kosten inzichtelijk makenmaken Novell demonstreerde tijdens zijn gebruikersconferentie BrainShare in Amsterdam een nieuw gereedschap voor het bouwen en beheren van private clouds. Novell Cloud Manager is momenteel in bèta en moet in september algemeen beschikbaar komen. DOOR FERRY WATERKAMP, FREELANCE JOURNALIST EN HOOFDREDACTEUR VAN DATACENTERWORKS
In de terminologie van Novell is een public cloud een schaalbare en ‘elastische’ IT-omgeving die over meerdere datacenters kan zijn verdeeld. De netwerkgebruikers betalen voor IT op basis van gebruik en kunnen ook exact de hoeveelheid afnemen die ze nodig hebben. Dat afnemen van IT verloopt via een selfserviceportal. Een ander kenmerk van een private cloud is volgens Novell het gebruik van open internetprotocollen die kunnen worden aangepast en waarmee
Benjamin Grubin tijdens een interview met CloudWorks. “Hoe is bijvoorbeeld de beveiliging geregeld, wie beheert de data en hoe voorkom ik dat ik afhankelijk word van een enkele partij? Dat zijn lastige vragen die nog niet zijn beantwoord.” Binnen ‘Project Atlantic’ werkt Novell momenteel aan Cloud Manager, een nieuwe tool die bedrijven helpt bij het bouwen en beheren van een dergelijke omgeving. Grubin: “Cloud Manager
De private cloud is het opstapje naar public cloud, al zal dat nog wel tien tot vijftien jaar duren een ‘lock-in’ wordt voorkomen. Volgens Novell worstelen veel bedrijven met de vraag hoe de stap te maken van een deels gevirtualiseerde omgeving naar een private cloud. “Private clouds zijn nog met te veel vraagtekens omgeven”, zegt Novells solutionmanager
helpt bij het definiëren van wat je als ITafdeling te bieden hebt, bij het bouwen van de webportal voor de gebruikers en bij de provisioning en het beheer van de workload.” Daarbij kan worden bepaald wie waar gebruik van maken en voor hoe lang. De tool zal zich nog verder ontwikkelen en uiteindelijk intelligent genoeg zijn om te bepalen in welk datacenter een bepaalde applicatie moet worden uitgerold, en ook workloads kunnen verplaatsen tussen datacenters.
KOSTEN INZICHTELIJK
Ronald de Jong, vicepresident datacenter EMEA bij Novell: “Als je naar de cloud gaat, wil dat niet zeggen dat je meteen alles bij Amazon neerzet.” 38 - CLOUDWORKS - JUNI 2010
Benjamin Grubin, solution manager bij Novell: “Private clouds zijn nog met veel vraagtekens omgeven.”
Grubin noemt als groot voordeel van Cloud Manager dat weer inzichtelijk wordt gemaakt wat werkelijk de kosten zijn van IT, tot op het niveau van de bekabeling en de koeling. “In de virtuele wereld was het ineens niet meer nodig om servers, storage en infrastructuur te regelen. Daarmee is ook het inzicht in wat bandbreedte, koeling en storage
Software
Novell’s Cloud Manager is momenteel in beta en wordt in september verwacht. kost verloren gegaan. Het creëren van een virtuele machine leek gratis, wat een virtuele wildgroei tot gevolg heeft gehad. Voordat je er erg in had, zat je virtuele omgeving vol!” “Met Cloud Manager gaan we de dingen weer in perspectief brengen”, vervolgt Grubin. Zo is het mogelijk om in Cloud Manager mensen aan te wijzen die hun goedkeuring moeten geven aan een uitgave. Ook het ‘pay per use’-model van private clouds maakt de kosten van IT inzichtelijk. “Het is cruciaal dat je een prijskaartje hangt aan IT. Als je weet wat het kost, kun je ook rationele beslissingen maken.”
SLAG NAAR VIRTUEEL Met Cloud Manager richt Novell zich op de bedrijven die zo’n 10 tot 20 procent van de ‘workload’ hebben gevirtualiseerd en graag de stap willen maken naar een private cloud, maar moeite hebben om de virtualisatie verder door te voeren. “Het is lastig om door die grens van 20 procent te breken”, zegt Grubin. “Na die eerste 20 procent krijg je te maken met bedrijfsapplicaties waarbij je de server niet zes uur lang offline kunt halen.” Voor het live migreren van fysiek naar virtueel heeft Novell tools als PlateSpin Migrate beschikbaar. Als de virtualisatieslag eenmaal verder is doorgevoerd, kan met Cloud Manager een private cloud worden opgebouwd. De nieuwe tool komt op 13 september a.s. op de markt maar is sinds 25 april al beperkt beschikbaar via een ‘early-
accessprogramma’. Aan dit programma doen vooral grote bedrijven mee, maar ook enkele serviceproviders. “Onder andere hostingprovider ACS gebruikt Cloud Manager om clouddiensten te kunnen leveren aan zijn klanten”, licht Grubin toe. Hoewel Cloud Manager primair is bedoeld voor het bouwen van private clouds, verwacht Grubin dat de
software uiteindelijk ook zijn toepassing zal vinden binnen public clouds. “De private cloud is het opstapje naar de public cloud. De stap naar de public cloud wordt makkelijker als je intern je policy’s en procedures op orde hebt.” Toch verwacht Grubin niet dat Cloud Manager direct al op grote schaal zal worden ingezet voor public clouds. “Waar de private cloud nu volwassen begint te worden is de public cloud nog vooral een hype. En waar de private cloud een evolutie is van virtualisatie is de public cloud veel meer een filosofische verschuiving: je gaat je data daadwerkelijk bij een derde partij neerzetten. Dat heeft implicaties die doorgaans helemaal niet technisch van aard zijn.” Volgens Grubin gaat het nog wel tien tot vijftien jaar duren voordat bedrijven echt de stap maken naar public clouds. Tot die tijd vullen private clouds het gat op. CW
BrainShare in teken van de cloud Afgelopen mei vond de gebruikersconferentie van ‘BrainShare’ plaats in Amsterdam. Het belangrijkste nieuws was de onthulling van Novells identitymanager 4 met identiteit- en toegangsbeheer in fysieke, virtuele en cloudomgevingen. De nieuwe versie wordt door Novell gekenmerkt als ‘cloud-ready’. Dit houdt in dat Identity Manager 4 in cloudomgevingen moet zorgen voor het veiligheidsniveau dat we gewend zijn in het datacenter. Ook zorgt de software voor zaken als uniforme policies en provisioning naar SaaS-applicaties, zoals Salesforce.com en Google Apps en de reporting daarop. Hoewel tijdens de gebruikersconferentie veel aandacht uitging naar de cloud, was er ook de nuchtere constatering dat de realiteit achterloopt op de hype. Volgens Novells chief marketing officer John Dragoon speelt 99 procent van de gesprekken zich af in de cloud, maar is slechts 2 procent van de ‘enterprise IT-workloads’ in de cloud geplaatst. 82
procent draait nog altijd fysiek op servers en 16 procent is inmiddels gevirtualiseerd. In 2015 draait nog maar 35 procent fysiek op servers, is 45 procent gevirtualiseerd en is 20 procent naar de cloud verplaatst, aldus Dragoon. Ronald de Jong, vicepresident Data Center voor Europa, het Midden-Oosten en Afrika bij Novell, stelde tijdens de conferentie dat het nogal wat moeite kost om klanten uit te leggen wat de cloud precies inhoudt. De Jong: “De cloud is nogal een breed begrip. Als je naar de cloud gaat, wil dat niet zeggen dat je meteen alles bij Amazon neerzet. Wij geloven meer in een hybride model waarbij je sommige zaken bij een Google of Amazon neerzet, sommige zaken bij een hostingpartner en sommige zaken fysiek op je eigen servers laat staan. In het geval van een private cloud bied je dat geheel veilig en alleen aan je eigen werknemers aan.”
JUNI 2010 - CLOUDWORKS - 39
Denk om een exitstrategie
Waar is mijn
data?
Als we goed luisteren naar analisten en toonaangevende ict-leveranciers moeten we alle mogelijke oplossingen ‘in de cloud’ onderbrengen. Cloud providers overtuigen ons van het feit dat we niet willen weten hoe de onderliggende infrastructuren er fysiek uit zien, omdat het een dienst betreft; de vergelijking met de energie- en waterleidingmaatschappij is snel gemaakt. We vragen ons niet af hoe een energiemaatschappij haar energie verwerkt en distribueert, en vinden het vanzelfsprekend dat er water uit de kraan komt als we die opendraaien. Maar is het niet vreemd dat we niet weten waar onze bedrijfskritische data ondergebracht wordt? En hoe krijgen we alles in geval van nood weer terug? DOOR MARTIJN VAN ZOEREN, MANAGING PARTNER DUTCH CLOUD EN CEO FOURTYONE IT
Over wat cloud computing nu daadwerkelijk is, verschillen de meningen. Kleinere aanbieders, maar ook toonaangevende vendoren zoals IBM, Cisco, Microsoft en Amazon, hebben ieder een eigen uitleg. Vaak zien we dat een uitleg wordt gekozen die zoveel mogelijk aansluit bij de huidige en toekomstige strategie van het betreffende bedrijf. Daarnaast wordt er een zo goed mogelijke ‘match’ gemaakt met de oplossingen die men op dit moment daadwerkelijk kan bieden. Er zijn echter een aantal aspecten die de meeste aanbieders gemeen hebben. Zo zijn de meeste het erover eens dat klanten alleen willen betalen voor hetgeen ze gebruiken en dat de omgeving toegankelijk moet zijn
40 - CLOUDWORKS - JUNI 2010
via het internet. Het uiteindelijke doel is optimale flexibiliteit en snelle toewijzing van extra ict-resources. Een interessant feit is dat virtualisatie ook vaak in één zin wordt genoemd met cloud computing. Onterecht, want virtualisatie is namelijk slechts een middel om cloud computing te kunnen inrichten en leveren. Het is geen doel op zich en dat wordt vaak vergeten.
VERSCHILLENDE INVALSHOEKEN Er zijn verschillende mogelijkheden om cloud computing in te richten. Er zijn aanbieders die vanuit de netwerkomgeving een oplossing ontwikkelen, maar ook aanbieders die vanuit een storageen serverachtergrond hun aanvliegroute
kiezen. Daarnaast zijn er vele softwareleveranciers die op basis van hun ervaringen op bijvoorbeeld provisioning en servicemanagement een oplossing ontwikkelen, en natuurlijk zijn er de traditionele hostingpartijen die hun bestaande offering proberen om te buigen naar een ‘cloud offering’. Ook leveranciers van virtualisatiesoftware proberen aansluiting te vinden bij cloud computing. Elk van bovengenoemde aanvliegroutes zou een goede kunnen zijn. Sterker nog, de beste oplossing zou alle bovenstaande componenten en aanvliegroutes moeten bevatten. Het feit dat de meeste cloudaanbieders slechts een of twee invalshoeken gebruiken, leidt ertoe dat er grote kwaliteitsverschillen ontstaan
Data in de cloud
in de aangeboden diensten. Hierdoor ontstaat onduidelijkheid over de veiligheid en toegankelijkheid van de diverse cloud-computingomgevingen. De kwaliteit is niet altijd goed zichtbaar vanwege de grote diversiteit aan aanbieders en oplossingen. Bovendien varieert de wens van eindgebruikers enorm. Doordat de markt van cloud computing nog onvoldoende transparantie biedt, ontstaat er een grote diversiteit qua aangeboden oplossingen. Elke klant stelt andere eisen aan kwaliteit, toegankelijkheid en zekerheden ten aanzien van beschikbaarheid. Daarnaast speelt prijs een bepalende rol. Het is op dit moment dus een kwestie van vraag en aanbod.
Door te vragen naar ‘de exit’ kan de kwaliteit van de dienst worden doorgrond EXITSTRATEGIE Een cloud provider vinden die bij de organisatie en de specifieke wensen aansluit, is niet heel moeilijk. De meeste aanbieders zijn zeer toegankelijk en het is vaak redelijk gemakkelijk om op korte termijn gebruik te gaan maken van de diensten. Belangrijker is om goed uit te zoeken hoe je later weg zou kunnen. Dat is bij aanvang natuurlijk niet de intentie maar wel iets om – vooraf! – goed over
na te denken en daar goede afspraken over te maken. Waar staat mijn data? En ook niet onbelangrijk: hoe kan ik snel de beschikking krijgen over die data? Door deze vragen te stellen, doorgrond je los van de contractuele verplichtingen de kwaliteit van de dienstverlening. De meeste cloud providers bieden ‘ondemanddiensten’. In principe zou dat moeten betekenen dat ze gemakkelijk
JUNI 2010 - CLOUDWORKS - 41
Data in de cloud capaciteit kunnen opschakelen en ook capaciteit kunnen uitschakelen. Om data te kunnen migreren naar een andere locatie is het noodzakelijk om te weten of de cloud provider de mogelijkheid biedt om daarbij te faciliteren. Om grotere databases te kunnen overpompen naar een andere locatie is er voor een korte periode extra bandbreedte nodig. Om te kunnen bepalen hoeveel, is inzage nodig in de wijze waarop de data is weggeschreven. Vaak zien we dat er zeer specifieke tooling en software wordt gebruikt die ook specifieke kennis vragen. De hoeveelheid data groeit jaarlijks met gemiddeld meer dan 50 procent en dus wordt de uitdaging om data later – in uitgedijde vorm – weer terug te krijgen ook steeds groter. Zolang dit enkele terabytes zijn, is er altijd een oplossing binnen handbereik. Zodra de aantallen echter groter worden, is er al snel sprake van een uitgebreid migratieproject. Door maandelijks op basis van gebruik af te rekenen, kan cloud computing uitstekend helpen bij het beter controleren en voorspellen van ict-kosten. Het zou zeer spijtig zijn als aan het einde van de periode er alsnog onverwachte kosten gemaakt moeten worden.
MEER INZAGE Door te vragen naar de exit, krijg je vaak zeer goede inzage in de wijze waarop de dienst daadwerkelijk is ingericht. Kan je als klant gewoon weg of zit er ergens toch een ‘baseline’ (gegarandeerde afname) in het contract? Of houdt de cloud provider vast aan een langere termijn dan in eerste instantie gedacht te zijn overeengekomen? Heeft de aanbieder nagedacht over de wijze waarop de data (die van de klant!) teruggaat en is er wel continu inzage in waar die data fysiek geplaatst is? Veelal zien we dat de initiële capaciteit die gevraagd wordt in een of meerdere specifieke datacenters wordt ondergebracht. Omdat de mogelijkheid wordt geboden om snel te kunnen uitbreiden (oftewel ‘bursten’) wordt echter capaciteit aangewend die op dat moment beschikbaar is. Dat kan in eenzelfde datacenter zijn, maar ook in een compleet ander datacenter waar op dat moment overcapaciteit is.
WAAR IS DE DATA? Omdat voor de gebruiker een transparante of gevirtualiseerde laag wordt gepresenteerd, is het niet eenvoudig om 42 - CLOUDWORKS - JUNI 2010
te traceren waar de fysieke infrastructuur vandaan wordt gehaald. Wanneer klanten gebruik gaan maken van clouddiensten, is het dus niet zo spannend om te weten waar de data staat. Echter, voor wie nadenkt over de wijze waarop je na verloop van tijd afscheid gaat nemen van de cloudaanbieder, is het toch een relevante vraag. Ook voor auditingdoeleinden is het zeer bepalend. Veel bedrijven hebben namelijk restricties ten aanzien van een land of continent waar data wordt ondergebracht. Zo zijn er veel Nederlandse overheidsinstellingen die moeten kunnen garanderen dat hun data met 100 procent zekerheid in Nederland is ondergebracht. Dat wordt regelmatig gecontroleerd en vastgelegd door een deskundige. Dit zogenaamde auditrapport wordt gebruikt om aan te tonen dat men daadwerkelijk voldoet aan de gestelde regels. Daarnaast is de waarborging van continuïteit een belangrijk onderdeel tijdens audits. Veel cloudaanbieders gebruiken een certificering van hun datacenters of diensten om klanten te overtuigen van de kwaliteit en borging. Standaardcertificeringen zoals ISO 27001 en SAS 70 (en zijn opvolger ISAE 3402) bieden echter geen zekerheid ten aanzien van de data in een cloud-computingomgeving, maar het geeft wel meer dan gemiddeld inzage in de wijze waarop de cloudaanbieder zijn processen en procedures intern controleert. De vraag echter waar de data is ondergebracht, wordt daarmee niet beantwoord. Data krijg je uiteindelijk terug bij vertrek. Dat is goed nieuws. Afhankelijk van de grootte zijn er altijd mogelijkheden om de data te kopiëren naar een nieuwe omgeving. Het is echter aan te raden om ook met de cloudaanbieder overeen te komen wat zij daarna met de data doen die nog steeds in het datacenter aanwezig is. Binnen welke periode en op welke wijze wordt deze data ‘opgeruimd’? Iedereen kent namelijk de verhalen over bijvoorbeeld rechters die oude pc’s bij het vuilnis zetten waardoor confidentiële informatie (onbedoeld) bij derden terechtkomt.
VENDOR LOCK-IN In eerste instantie lijkt het dus niet relevant om te weten waar data staat, in tweede instantie blijkt het wel degelijk noodzakelijk om hier inzage in te krijgen. Een cloudaanbieder kan ook – om
Wat doet de provider met uw data na het afscheid? welke reden dan ook – in problemen komen waardoor klanten genoodzaakt zijn om weg te gaan. Ook cloudaanbieders kunnen in surseance van betaling komen of zelfs failliet gaan. In die situaties wil je als klant erg graag weten waar je data staat. Er wordt vaak gesproken over de zogenaamde vendor lock-in omdat er specifieke tools en software worden ingezet. Dat is niet altijd zichtbaar voor de eindgebruiker. Het ontbreken van een standaard voor cloud providers betekent dat klanten alert moeten zijn ten aanzien van de exitstrategie.
CONCLUSIE Door vooraf goede afspraken te maken over de wijze waarop uiteindelijk ook weer afscheid van een cloud provider kan worden genomen, worden een hoop van de genoemde – mogelijk negatieve – aspecten uitgesloten. Ook behouden klanten daarmee de mogelijkheid om later op een gedegen wijze uit te wijken naar andere cloudaanbieders. Vaak denken we niet uitgebreid na over afscheid nemen voordat een samenwerking daadwerkelijk is gestart. Ervaring leert echter dat dit noodzakelijk is. Bovendien geeft het inzage in de kwaliteit die door de cloudaanbieder wordt geboden. Stel daarom dus altijd de vraag: waar is mijn data? Én bepaal een goede exitstrategie! CW
Rubriek
The Legal Look DOOR MR. VICTOR A. DE POUS, BEDRIJFSJURIST EN INDUSTRIEANALIST
In ieder nummer van CloudWorks worden meerdere juridische vraagstukken rondom cloud computing behandeld. Hebt u een vraag op het snijvlak van de cloud en het recht, stuurt u dan een mailtje naar
[email protected].
> WAT VERSTAAN WE ONDER CLOUD COMPUTING? Wie een rechtskader wil uitleggen, moet eerst het voorwerp vaststellen. Dat is in zoverre lastig, omdat leveranciers vaak een eigen begrippenkader hanteren. Sommige spreken van hosted of managed services, andere gebruiken begrippen zoals on-demand, ‘software als dienst’, grid computing, webservices, et cetera. De crux luidt in ieder geval dat computerprogramma’s, (ontwikkel)platformen en de ict-infrastructuur veranderen van een product in (een geheel van) diensten. Die constatering heeft juridische implicaties, al was het alleen maar omdat de verantwoordelijkheden tussen de contractpartijen flink verschuiven. Zo levert de ict-dienstverlener een – meestal continu beschikbare – service en voert hij daarbij minimaal het operationele management uit. Bij de levering van producten moet de gebruiker dat allemaal zelf doen, naast onder meer het implementeren van nieuwe versies.
> IN HOEVERRE IS CLOUD COMPUTING JURIDISCH IETS ANDERS? Cloud computing in optima forma maakt het mogelijk dat gekoppelde, geografisch verspreide datacenters – soms zelfs in verschillende landen en op verschillende continenten – in wisselende samenstelling één virtuele computerfabriek vormen, die 24/7 en plaatsonafhankelijk draait. Noem het elastische gegevensverwerking op basis van uitbesteding, waarbij bandbreedte, rekenkracht en opslagcapaciteit direct door
de gebruiker, op basis van zijn actuele behoeften, ter beschikking worden gesteld. Bovendien hebben we te maken met de omstandigheid dat bij toepassing van dit op internet gebaseerde systeemarchitectuurmodel vrijwel alle actuele technologische en bedrijfsmatige ontwikkelingen samenkomen. Van virtualisatie en service oriented architecture tot open-sourcesoftware en vraagstukken over standaarden en interoperabiliteit. Een en ander maakt niet alleen technologiemanagement en informatiemanagement ronduit complex, ook het rechtskader is ingewikkeld. Toch moeten gebruiker en leverancier te allen tijde juridisch compliant zijn, zowel ten aanzien van wet- en regelgeving als contractueel. In legislatief perspectief gaat het onder meer om de privacywetgeving voor de verwerking van persoonsgegevens, inclusief de beveiliging ervan. Ten aanzien van contracten heeft iedere partij te maken met de regels van licentieovereenkomsten voor software en bijvoorbeeld afspraken over onderhoud en servicelevels.
> VALT CLOUD COMPUTING ÜBERHAUPT GOED TE REGELEN? Zeker, maar bedenk wel dat we pas aan het begin van de brede en grootschalige invoering van cloud computing staan. Uit de praktijk zullen best practises ontstaan, met voldoende oog voor en in overeenstemming met juridische voorschriften. En het helpt zeker om eerst – vooralsnog – aan de inrichting en
juridische regeling van nationale clouds te werken, zoals de Amerikaanse federale overheid doet. Dan laten we het complexe karakter van grensoverschrijdende gegevensverwerking buiten beschouwing. Wanneer Nederlandse overheidsorganisaties echter geen moeite blijken te hebben met buitenlandse bankrekeningen, dan ligt de internationalisatie van overheidsclouds bij ons waarschijnlijk wel in het verschiet. Zo wil de Rijksuniversiteit Utrecht overstappen op Google’s Gmail. Dat informatiesysteem draait in de VS. Naast de vele, dwingendrechtelijke kaders, gaat het meer dan ooit om contractuele waarborgen en zekerheden voor gebruikers. Zij worden immers nog afhankelijker van hun leveranciers. Wie zijn te automatiseren bedrijfsprocessen letterlijk de deur uit doet, wil van zijn leveranciers garanties zien dat het goed en zorgvuldig gebeurt. CW Mr. V.A. de Pous is bedrijfsjurist en industrieanalist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van de digitale technologie en de informatiemaatschappij, en is medewerker van uitgeverij FenceWorks.
JUNI 2010 - CLOUDWORKS - 43
Clouddiensten:
ontwikkelen of inkopen? Veel organisaties zien de inzet van clouddiensten als het hoogst haalbare als het gaat om hun toekomstvisie op IT. Immers, de cloud biedt vele voordelen. Je kunt alle moeilijkheden van infrastructuurbeheer op iemand anders afschuiven en direct profiteren van de voordelen van clouddiensten. Tegelijkertijd reduceert de organisatie de kosten voor IT-diensten aanzienlijk. Maar wat is wijsheid: zelf clouddiensten ontwikkelen of inkopen? DOOR DENNY ENGELS, TECHNICAL MANAGER BIJ RIVERBED BENELUX. FOTO: LEASEWEB Bij de term ‘cloud’ denken de meeste mensen aan Amazon Web Services, Google of Salesforce.com. Deze organisaties zijn iconen van de cloudvisie en willen een one-stop-shop worden voor alles wat organisaties nodig hebben op het gebied van IT. Hun focus ligt echter op public clouddiensten. Deze diensten zorgen voor kostenreductie en opschaling door het ondersteunen van duizenden, of misschien wel miljoenen organisaties op hun platforms. Ze centraliseren al hun diensten in een aantal datacentra in de wereld en proberen vanuit deze locaties wereldwijde diensten tegen een acceptabele performance te leveren.
PUBLIC OF PRIVATE? Dit is de meest pure visie op cloud computing. Het neemt de complexiteit van het omgaan met fysieke IT-infrastructuren volledig weg. Door virtualisatie en thin-provisioning kunnen leveranciers een ogenschijnlijk onbeperkte datacenterinfrastructuur aanbieden tegen lage maandelijkse kosten. Volgens een re-
44 - CLOUDWORKS - JUNI 2010
cent onderzoek van UC Berkeley (Above the Clouds) zullen public clouddiensten worden gehinderd door diverse factoren: beschikbaarheid, vendor lock-in, veiligheid, dataoverdrachtsproblemen (bandbreedtelimieten) en onvoorspelbare performance (latency). De laatstgenoemde factoren kunnen worden opgelost door WAN-optimalisatie te introduceren. De andere drie hebben sommige organisaties ertoe bewogen om een andere tactiek te hanteren als het gaat om de cloud: private clouddiensten.
NOG MEER VOORDEEL Het idee achter private clouddiensten is om de fundamentele zaken en het deliverymodel terug te brengen naar de rekencapaciteit voor één enkele organisatie. Voor organisaties met tienduizenden of honderdduizenden medewerkers kan het omslagpunt worden bereikt waar op een kostenefficiënte manier een schijnbaar eindeloze computing- en storagecapaciteit kan worden geboden, net zo-
als de public cloudaanbieders kunnen. Door het consolideren van storage en applicaties, het virtualiseren van infrastructuur, en het bieden van acceleratie voor deze diensten aan remote kantoren en medewerkers, creëren organisaties private clouddiensten. Organisaties kijken naar hun fysieke datacentra en veranderen de manier waarop ze hun diensten beheren die buiten hun datacenter plaatsvinden. In aanvulling op het oplossen van problemen op het gebied van beschikbaarheid, veiligheid en vendor lock-in is er nog een ander voordeel te noemen van het private cloudmodel: lagere kosten voor het datacenter.
HYBRIDE MODEL Veel organisaties hebben de afgelopen twee tot vier jaar miljoenen geïnvesteerd om de benodigde private datacentercapaciteit te kunnen bouwen die ze nodig hebben om de organisatie de komende vijf tot tien jaar te ondersteunen. Het is
Management
niet aannemelijk dat er afstand wordt gedaan van deze investeringen door alles naar de cloud te verplaatsen. In plaats daarvan zullen ze hun operationele modellen verschuiven binnen de eigen datacenters, om zo de public clouddiensten na te bootsen. Hierdoor kunnen IT-organisaties hun interne diensten kostenefficiënt maken. Als organi-
een recente discussie met een wereldwijde engineeringorganisatie blijkt dat hun CTO de public cloud ziet als een ‘flexibel inzetbare capaciteit’ om hun private cloudinfrastructuur te ondersteunen. Grote projecten gaan online, wisselen van locatie en ondergaan veranderingen. Public clouddiensten kunnen hun interne capaciteit aanvullen om er
‘De stap van een private cloud naar een hybridemodel ligt voor de hand’ saties een terugverdienmodel hebben, dan kunnen ze deze lagere maandelijkse kosten terugbrengen in de businessunits die IT-middelen en -diensten gebruiken. Na verloop van tijd kunnen organisaties die een private cloudmodel inzetten, eenvoudig overstappen naar een hybride model dat gebruikmaakt van zowel private als public cloudmodellen. Uit
zeker van te zijn dat IT-diensten geen belemmering vormen voor het completeren van inkomstengenererende projecten. Andere organisaties kijken naar de mogelijkheden om investeringen in de bestaande datacenters terug te verdienen, en om eventueel de overstap te maken naar een public dienstenmodel. Hierbij gaan ze ervan uit dat wanneer ze
beginnen met de overstap, de kosten nog lager zullen zijn en andere belemmeringen niet meer van toepassing zijn.
HET DOEL Ongeacht of technologen kiezen voor public-cloud-, private-cloud- of een combinatie van deze IT-diensten, is het belangrijk dat het einddoel continu in zicht blijft. De missie is om eindgebruikers een concurrerend voordeel te bieden, zodat zij eenvoudig meer inkomsten kunnen genereren voor de organisatie. Dit betekent dat IT organisaties moet voorzien van de benodigde functionaliteiten op het hoogst mogelijke performanceniveau. Of een organisatie haar eigen cloud bouwt of clouddiensten inkoopt van iemand anders, ze moet er zeker van zijn dat het eindproduct geoptimaliseerd is voor de gewenste snelheid voor haar eindgebruikers. CW
JUNI 2010 - CLOUDWORKS - 45
Partnerships
CloudWorks
partners De uitgave van CloudWorks wordt mede mogelijk gemaakt door de steun van een aantal partners.
QWISE Qwise is een gespecialiseerde system integrator die zich toelegt op de centralisatie van IT-omgevingen. In de praktijk vertaalt die focus zich in oplossingen op het gebied van virtualisatie, server based computing en web based computing. De klanten van Qwise hebben vele malen ervaren dat Qwise zich onderscheidt in haar dienstverlening door de excellente kennis en zeer ervaren consultants. Op vrijwel alle vraagstukken die leven rondom de centralisatie van bedrijfssystemen en -applicaties heeft Qwise een passend antwoord. Niet alleen in de vorm van advies en implementatie, maar zeker ook als het gaat om detachering, training en outsourcing. Voor de centralisatie van IT-omgevingen heeft Qwise passende antwoorden. www.qwise.nl
SOGETI NEDERLAND B.V. Sogeti wil door gepassioneerd ict-vakmanschap bijdragen aan het resultaat van haar klanten. De visie van Sogeti is daarom als volgt samen te vatten: ´Resultaat door gepassioneerd ict-vakmanschap´. Dit betekent dat Sogeti de verantwoordelijkheid neemt voor haar activiteiten bij klanten. Ze verplicht zich aan het resultaat op basis van haar excellente professionaliteit en haar ondernemerschap. Door hechte en langdurige relaties met klanten zet Sogeti ict dusdanig in, dat het bijdraagt aan de strategische doelstellingen van haar klanten. Met het eigen Verkenningsinstituut
46 - CLOUDWORKS - JUNI 2010
Nieuwe Technologie (ViNT) geeft Sogeti invulling aan de koppeling tussen bestaande bedrijfsprocessen en de nieuwe ontwikkelingen. www.sogeti.nl
TELECITYGROUP NETHERLANDS TelecityGroup is de belangrijkste leverancier van hoogwaardige netwerkonafhankelijke datacenters in Europa. Datacenters vormen de kernactiviteit: TelecityGroup ontwerpt, bouwt en beheert beveiligde omgevingen met hoge connectiviteit om technische, online- en IT-infrastructuur in onder te brengen.
Het hoofdkantoor bevindt zich in Londen. TelecityGroup beheert 23 datacenters in de volgende steden: Amsterdam, Dublin, Frankfurt, Londen, Manchester, Milaan, Parijs en Stockholm. Het bedrijf heeft een breed en doelgericht programma voor het uitbreiden van de capaciteit. Sinds 2008 zijn nieuwe locaties geopend in Londen, Amsterdam, Stockholm, Milaan en Parijs. www.telecitygroup.nl CW Voor meer informatie over partnerships: Arnoud van Gemeren,
[email protected].
JUNI 2010 - CLOUDWORKS - 47
Wie nu niet denkt in oplossingen, lost straks vanzelf op. Ga verder met ICT van Sogeti.
Voor wie tijdens de crisis wil investeren in plaats van stagneren, is Sogeti de ideale partner. Want Sogeti is niet zuinig met ICT-oplossingen. Wij ontwerpen, bouwen, implementeren en beheren. En lopen voorop op het gebied van testen en architectuur. Opdrachtgevers in alle sectoren helpen wij verder met toepassingen van morgen. Vakmanschap en passie voor ICT, dat maakt ons uniek.
sogeti.nl 48 - CLOUDWORKS - JUNI 2010
Staat voor resultaat