Cloud. Works. Security. Risico s en kansen Veilig werken in de cloud Public of private cloud? Virtuele appliances

Cloud Works WWW.CLOUDWORKS.NU | NUMMER 2 JULI 2010

HET VAKBLAD OVER CLOUD COMPUTING

Security Risico’s en kansen Veilig werken in de cloud Public of private cloud? Virtuele appliances Redundant array of independant cloudproviders

Baanbrekende storagemethodologie? Interview David Parker, IBM

‘Kostenbesparing is niet het belangrijkste’ EN VERDER: DE NOODZAAK VAN TRANSPARANTIE | WINDMOLENS IN DE CLOUD: VAN FAILLISSEMENT TOT DOORSTART | UNISERVERS CLOUD-IN-ABOX | ORSYP SP ANALYST | CLOUDHOSTING | LEGAL LOOK

Continuity of the Cloud TelecityGroup: solide basis TelecityGroup is een toonaangevende pan-Europese leverancier van netwerkonafhankelijke datacenters, en biedt een scala aan flexibele, schaalbare datacenters en waarde toevoegende services. TelecityGroup is gespecialiseerd in het ontwerpen, bouwen en beheren van veilige omgevingen met een hoge connectiviteit waar klanten hun web- en internetinfrastructuren kunnen vestigen. Elk datacenter fungeert als een connectiviteitsknooppunt waar het faciliteren van opslag, delen en distribueren van data, content en media mogelijk is. Het hoofdkantoor van TelecityGroup is gevestigd in Londen. De onderneming beschikt over 23 datacenters in zeven Europese landen. Deze datacenters zijn gevestigd op uitstekende A1-locaties in Amsterdam, Dublin, Frankfurt, London, Manchester, Milaan, Parijs en Stockholm.

2 - CLOUDWORKS - JULI 2010

Colofon

Security Bijna wekelijks verschijnen er nieuwe onderzoeken over cloud computing, en telkens weer komt security als grootste bottleneck uit de bus. In CloudWorks #1 kon u in het openingsartikel al lezen dat 27 procent van de ondervraagden in een onderzoek naar cloud computing en virtualisatie de beveiliging van gevoelige data noemen als grootste risico van cloud computing. Bij respondenten uit de financiële sector was dit zelfs 47 procent. De vorm van de cloud – public, private of hybride – speelt hierbij een rol (zie ook de artikelen op pagina 12-14 en 20-22). Publieke clouddiensten en -providers worden als een relatief groot risico gezien omdat de eigenaar geen directe controle over zijn data heeft. Maar is een private cloud, met virtuele machines in het eigen datacenter, wel cloud computing in optima forma? Veel onderzoeksbureaus zijn het erover eens dat de toekomst van de cloud hybride is; gedeeltelijk private en deels public, mede afhankelijk van de beveiligingseisen. In een van de andere artikelen in dit nummer (op pagina 16-18) wordt gesteld dat er nog veel te verbeteren valt aan virtuele netwerken, onder andere doordat traditionele hardwarefirewalls het verkeer tussen de verschillende virtuele platformen en beveiligingsniveaus niet goed kunnen beveiligen. Een ander stuk over veilig werken in de cloud (op pagina 30-32) gaat over de beveiliging van digitale informatie door geautomatiseerde processen die de toegang tot gegevens afstemmen op de locatie, tijd en functie (op dat moment) van werknemers. Omdat beveiliging zo’n belangrijk punt is, zullen we er in elke editie van CloudWorkss aandacht aan besteden. Maar in dit nummer hebben we er een overkoepelend thema van gemaakt. Desalniettemin zijn er nog talloze andere onderwerpen die we aanboren. Zoals het artikel over redundant array of cloudproviders, RAIC (zie pagina 8-11). Dit is een opslagmethodologie die een soort RAID5-techniek toepast op de cloud waarbij delen van data bij verschillende providers ondergebracht worden. Het voordeel: ultieme redundancy, geen vendor lock-in en mogelijk zelfs veiliger. Maar is dit wel een realistisch en uitvoerbaar concept? Verder hebben we een case over Darwind, fabrikant van windmolens, die na een faillissement, overname en verhuizing doordraait; mede dankzij de cloud. En we spraken David Parker, vicepresident Cloudmarketing bij IBM, die stelt dat het grootste voordeel van de cloud niet zozeer de kostenbesparing is, maar de betere dienstverlening dankzij snelheid en efficiency.

CloudWorkss maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorkss vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever: Arnoud van Gemeren, [email protected] +31 (0)6 53 57 34 90 Hoofdredacteur: Jeroen Horlings, [email protected] Postadres redactie: Postbus 82, 2460 AB Ter Aar e-mail: [email protected] Vormgeving: Ron Rossen Media Services Uitgeest B.V. Druk: Drukkerij De Globe, Amersfoort Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: ‘Overgenomen uit CloudWorks, de publicatie over cloud computing’, plus jaargang en nummer. © Copyright 2010 FenceWorks BV. CloudWorkss is een uitgave van FenceWorks BV.

Wat vindt u? Ik hoor het graag! JEROEN HORLINGS, HOOFDREDACTEUR CLOUDWORKS [email protected]

JULI 2010 - CLOUDWORKS - 3

20

28

8

40 24

16

Inhoud

THEMA 12-14

Risico’s en kansen in de cloud

16-18

Security van virtuele appliances

20-22

Private vs public cloud

28-29

Noodzaak voor transparantie in de cloud

30-32

Veilig werken in de cloud

VASTE RUBRIEKEN 6-7

Nieuws

37

The Legal Look

CASE 24-27

Windmolens draaien ‘in de cloud’

HARDWARE EN SOFTWARE 34-36

Uniservers Cloud-in-a-Box

38-39

ORSYP SP Analyst 5.3

COLUMN 15

Gert Brouwer, Brouwer Storage

EN VERDER

28

8-11

RAIC: Interessante cloudmethodologie

40-42

Interview David Parker, IBM

43-45

Nu nog instappen in cloud hosting?


Storage

CloudWorks.nu

as a service van Verizon Verizon Business speelt in op de exponentiële groei van de hoeveelheid bedrijfsgegevens en de daaruit voortvloeiende behoefte van ondernemingen ondernemingen om gegevens efficiënter op te slaan en op te vragen. Verizons Cloud Storage en een aanvullende reeks van IT-adviesdiensten op het gebied van gegevensarchivering, is daar een mogelijke oplossing voor. Dankzij het ‘pay as you go’-model kan de omvang van het gebruik van deze dienst worden aangepast aan de veranderende bedrijfsbehoeften. Bijvoorbeeld als aanvulling op de traditionele opslagmogelijkheden van klanten, zoals storage area networking (SAN) en network-attached storage (NAS), of als ‘stand alone’-oplossing. Verizon stelt bovendien dat de dienst ook aansluit op de steeds stringentere richtlijnen van de weten regelgeving ten aanzien van de bewaarplicht. Belangrijke functies van Cloud Storage zijn onder meer krachtige fysieke en logische beveiliging, zoals een bestandssysteem waar meerdere klanten op veilige wijze tegelijk gebruik van

Cloudprovider

Top 10 Volgens Searchcloudcomputing.com domineren de volgende (Amerikaanse) bedrijven in de top 10 van veelbelovende cloudleveranciers: 1. Amazon 2. Rackspace 3. Salesforce 4. Google 5. Microsoft 6. Joyent 7. GoGrid 8. Terremark 9. Savvis 10. Verizon


kunnen maken en versleuteling van de gegevensoverdracht. De nieuwe dienst biedt ondersteuning voor meerdere opslagmethoden, zoals opslag met behulp van software, application programming interfaces (API’s) en toepassingen van externe leveranciers. Klanten kunnen zelf aangeven waar hun gegevens dienen te worden opgeslagen. Voor de dienst maakt Verizon gebruik van het storage delivery network van Nirvanix. Verizon Cloud Storage zal begin juli beschikbaar zal zijn in België, Nederland en vijftien andere landen. www.verizon.com

•

online!

Exact op het moment dat het eerste nummer van CloudWorkss uitkwam, ging de bijbehorende site – www.cloudworks. nu – online. Iedere werkdag verschijnt hier het laatste nieuws op het gebied van cloud computing. Daarnaast wordt er wekelijks een nieuwsbrief, onder de naam CloudNieuws, verstuurd met een samenvatting van alle relevante ontwikkelingen. U kunt zich voor deze nieuwsbrief inschrijven op de website. Wilt u anderen wijzen op CloudWorks? Het magazine is als PDF te downloaden vanaf de website. Als u liever vanaf papier leest, stuur dan een e-mail naar [email protected]. www.cloudworks.nu

•

Voormalige Sun-CTO nu hoofd Cloud bij Cisco Lew Tucker, de voormalige CTO van Sun, is nu aan de slag als ‘chief technology officer of cloud’ bij Cisco. Zijn nieuwe rol werd aangekondigd op de Structure 2010-conferentie in San Francisco. Tucker vertelde aldaar dat de rol van het netwerk te weinig aandacht krijgt in al het enthousiasme rond cloud computing. “We moeten het netwerk foto: Duncan Davidson

meer programmeerbaar maken”, was zijn devies. Tucker kondigde in februari dit jaar zijn afscheid bij Sun aan. Hij hervormde daar ‘Sun Grid’, oorspronkelijk ontwikkeld voor grid computing (rekenkracht uit de cloud), naar ‘Sun Cloud’ dat moest concurreren met Amazons Web Services. Na de overname door Oracle werd dit project een halt toe geroepen. www.cisco.com

•

Nieuws

68,3 miljard dollar aan clouddiensten Onderzoeksbureau Gartner voorspelt in het rapport Forecast: Public Cloud Services, Worldwide and Regions, Industry Sectors, 2009-2014 dat de totale wereldwijde omzet uit clouddiensten dit jaar 68,3 miljard dollar bedraagt. Dit is 16,6 procent meer dan de 58,6 miljard dollar omzet

die in 2009 werd behaald. Ook voorspelt Gartner dat de totale wereldwijde omzet uit clouddiensten in 2014 zal stijgen tot 148,8 miljard dollar. Uit het onderzoek blijkt dat zowel het aantal aanbieders groeit, als het aantal bedrijven dat clouddiensten betrekt.

Ten opzichte van een jaar geleden spelen cloudoplossingen een veel grotere rol bij IT-managers als het gaat om hun toekomstige bedrijfsstrategie. Ook zien leveranciers steeds meer commerciële mogelijkheden voor nieuwe applicaties, wat de omzet verder stuwt. www.gartner.com

•

Stopknop Pew: clouddiensten voor het internet

Senator en voormalig running mate Joe Lieberman heeft in de VS een controversieel wetsvoorstel genaamd Protecting Cyberspace as a National Assett ingediend. Hiermee krijg het National Center for Cybersecurity, uit naam van de president, het recht om rechtstreekse orders te geven aan Amerikaanse bedrijven die op internet actief zijn. Dat kan variëren van een relatief onschuldige opdracht om een patch door te voeren of data te encrypten, maar ook om bepaalde informatie met overheidsdiensten te delen of om het webverkeer te blokkeren. Het wetsvoorstel, dat ook wel de ‘internet kill-switch’ wordt genoemd, stuit op veel verzet. Het zou een groot deel van het internet plat kunnen leggen en dat is – zeker met applicaties en data in de cloud – onwenselijk. Overigens steunt slechts 3 procent van de bezoekers op OpenCongress.org de wet. www.opencongress.org/bill/ 111-s3480/text

•

domineren desktopapplicaties in 2020 Uit een onderzoek van Pew Internet & American Life Project Survey, gehouden onder 895 technologische aandeelhouders en critici, blijkt dat in 2020 de meeste mensen softwareapplicaties en informatie zullen gebruiken in de vorm van clouddiensten. Het gebruik van desktopapplicaties vermindert volgens het onderzoek de komende jaren steeds verder, waardoor clouddiensten domineren over desktopapplicaties. Ondanks dat het onderzoek uitwijst dat desktopapplicaties een steeds kleinere rol gaan spelen zullen desktopcomputers volgens de experts niet verdwijnen. De taak van de systemen verandert echter in de komende tien jaar. Zo verwacht

71 procent van de 895 ondervraagden dat in 2020 de meeste personen zakelijk gebruik zullen maken van op internet gebaseerde applicaties zoals Google Docs. Slechts 27 procent van de aandeelhouders en critici ziet in 2020 de meeste mensen nog werken met desktopapplicaties. Als oorzaak van de verwachte groei van cloud computing noemen de ondervraagden de voordelen die cloud computing biedt. Zo kunnen gebruikers per direct tools en informatie ter beschikking hebben op iedere computer die met het internet verbonden is. Het hele onderzoek is als pdf te downloaden vanaf de Pew-website. www.pewinternet.org

•

Terremark bouwt nieuw

knooppunt in Amsterdam Terremark, de Amerikaanse leverancier van managed IT-infrastructuurservices, heeft aangekondigd een network access point (NAP) in Amsterdam te bouwen. Dit datacenter zal worden ondergebracht in een gebouw met een oppervlakte van 7.620 vierkante meter in de nabijheid van de luchthaven Schiphol. De nieuwe faciliteit zal wijdverbreide connectiviteit bieden met de Amsterdam Internet Exchange (AMS-IX), die heeft toegezegd

een peering-node in het datacenter te zullen onderbrengen. Daarnaast is Terremark erin geslaagd om de Schiphol Group, de eigenaar en exploitant van een van de drukst bezochte luchthavens van Europa, te verzekeren als referentieklant voor het datacenter. Het NAP, dat in het vierde kwartaal van boekjaar 2011 wordt voltooid, zal Terremark in staat stellen om zijn volledige reeks van brancheleidende diensten, zoals cloud computing en ma-

naged hosting, te verzorgen via een nieuwe, uiterst geavanceerde faciliteit. Dankzij een leaseovereenkomst met Digital Realty en nauwe samenwerking met de Schiphol Group zal het kant-en-klare datacenter geavanceerde functionaliteit op het gebied van koeling, stroom, redundantie en duurzaamheid bieden en in staat zijn om de warmte die door de faciliteit wordt gegenereerd opnieuw te gebruiken. www.terremark.com

•


Redundant array of independent cloud providers

Interessante

methodologie voor opslag in de cloud

Zouden we onze data toevertrouwen aan één enkele harde schijf? Nee, natuurlijk. Maar vandaag de dag vertrouwen we onze data wel toe aan één cloudprovider. Dat is misschien geen eerlijke vergelijking, maar roept wel de vraag op of dit een logisch uitgangspunt is. Zou het niet veel logischer zijn als cloudproviders zouden samenwerken omwille van redundancy, beschikbaarheid en standardisatie? DOOR JEROEN HORLINGS, HOOFDREDACTEUR VAN CLOUDWORKS

Cloud computing is aan een grote opmars bezig; tegelijkertijd zijn er nog struikelblokken. Dat komt twijfels van een potentiële groep nieuwe klanten niet ten goede. Zij zien door de bomen het bos niet meer doordat oude en nieuwe bedrijven op hun eigen manier allerlei individuele ‘clouddiensten’ aanbieden. Iedereen is overtuigd van zijn eigen methodologie waardoor een soort religieuze tegenstelling ontstaat; maar wie heeft er gelijk? Immers, men is vol lof over de eigen aanpak en cloudkeuze (private, public of hybrid) en is sceptisch over andere vormen. Zou meer samenwerking tussen providers onderling dit probleem en andere beperkingen van de cloud kunnen wegnemen?

cloudprovider in zee gaat, wordt in bepaalde mate afhankelijk. Wanneer data en applicaties eenmaal in de cloud staan, krijg je ze niet zomaar terug. Een remigratie is complex, duur en tijdrovend. Verder gebruiken cloudproviders soms open maar vaak ook proprietary standaarden. Data is dan niet een-opeen over te zetten. Los van de technische beslommeringen is het een flinke klus om een operationele omgeving van de ene naar een andere provider over te brengen, bij voorkeur ook nog eens met minimale downtime. En dan hebben we het nog niet eens over contractuele verplichtingen die het opzeggen van diensten kunnen beletten. Of erger: hoe kom je nog bij je data als de provider onverwacht failliet gaat?

BEPERKINGEN Een belangrijke beperking is de zogenaamde ‘vendor lock-in’. Wie met een


Dan de betrouwbaarheid en beschikbaarheid. Securityproblematiek is een

van de belangrijkste punten waarvoor potentiële klanten huiverig zijn. Iedere provider heeft zijn eigen veiligheidsplan dat het uitlekken van gegevens moet voorkomen; maar hoe weet je als klant of deze methode deugt? Wat betreft beschikbaarheid beloven providers nagenoeg continue uptime tot en met 99,99 procent aan toe. Maar kan die claim wel hard gemaakt worden? Ook buiten de provider om kunnen omstandigheden downtime veroorzaken, denk bijvoorbeeld aan een regionale stroomstoring of het vollopen van een internetknooppunt. Of – vrij extreem – wat als er een vliegtuig op het datacenter neerstort? Hoe dan ook, voor de klant betekent downtime forse schade, maar die wordt vrijwel nooit compleet vergoed. De SLA’s gaan meestal niet verder dan een vergoeding in natura, oftewel korting op afgenomen diensten. Maar daar koopt de klant natuurlijk niets voor. Ten slotte de dataomvang en de bandbreedte. Data groeit gemiddeld met 40 procent per jaar. Dat kan betekenen dat de data op een gegeven moment zo omvangrijk is geworden, dat het niet zomaar is terug te halen. Immers, vele terabytes aan data – laat staan meer – zijn niet even via het internet over te pompen. De data fysiek ophalen is niet altijd mogelijk, te meer omdat de gegevens duizenden kilometers verderop in een datacenter kunnen staan, soms verspreid over meerdere locaties. Als de data wel online kan worden teruggehaald, dan moet er waarschijnlijk grof voor de bandbreedte betaald worden. Leve het ‘pay for what you use’-model!

Storage

MOGELIJKE OPLOSSING De bovenstaande problemen kunnen allemaal ondervangen worden als je niet van één partij afhankelijk bent, maar diensten bij meerdere providers betrekt. En dan bij voorkeur bij providers die op bepaalde vlakken samenwerken, zodat de standaarden overeenkomen en er protocollen zijn voor het overzetten van data van de ene naar de andere provider. Er is al sprake van enige mate van samenwerking tussen providers, bijvoorbeeld via brancheverenigingen als de DHPA1

‘De voordelen van RAIC zijn overweldigend’ (Dutch Hosting Provider Association). Maar dat beperkt zich vooral tot kennisdeling en beperkte samenwerkingsverbanden. Tot nu toe lijken bedrijven vooral zichzelf centraal te stellen als het gaat om cloud-computingdiensten. Het is de vraag of die houding op lange termijn vast te houden is. Zou het, bezien vanuit het perspectief van de klant, echter niet ideaal zijn als providers gingen samenwerken om de eerder genoemde

problemen – zoals security, redundancy, beschikbaarheid en vendor lock-in – aan te pakken? Wanneer data niet bij één cloud provider wordt ondergebracht, maar bij meerdere, samenwerkende providers, wordt redundancy automatisch gerealiseerd. Data wordt dan dus fysiek op verschillende locaties bewaard. Gaat er op één locatie iets mis – hetzij door internetuit-


val of een overstroming – dan is alle data nog steeds veilig én toegankelijk vanaf de andere locaties. Er zou geen enkele sprake meer zijn van een vendor lock-in, omdat de providers onderling dezelfde standaarden gebruiken en het daardoor ook eenvoudig is om de dienstverlening bij één partij op te zeggen en met de overgebleven partijen verder te gaan. Verder is de omvang van de data bij het wisselen van provider geen probleem meer, omdat de data immers al op meerdere locaties staat waardoor er niets gekopieerd hoeft te worden. Bij het toevoegen van een nieuwe provider wordt de data geleidelijk overgezet vanaf de bestaande providers.

informatie van verschillende bestanden ook over vier schijven verspreid wordt, is het mogelijk om in het geval van uitval van één schijf alle data weer te reconstrueren. De uitgevallen schijf kan zonder probleem verwijderd worden en zodra er een nieuwe wordt toegevoegd, wordt de dataopbouw en de parity-informatie weer hersteld. Deze methodologie kan ook toegepast worden voor cloud computing. Een bijkomend voordeel is dan de verminderde securityproblematiek, omdat iedere provider slechts een deel van de informatie heeft (die zonder de andere componenten nagenoeg waardeloos is). Maar natuurlijk vereist dit wel een (onafhankelijke) partij die als ‘controller’ functioneert en de data naar de

(OTV, aangekondigd in februari 2010) maakt het mogelijk de Vmotion te verrichten tussen datacenters onderling. OTV is een overlaytechnologie, waardoor het niet nodig is een netwerk te herontwerpen. Met slechts vier commando’s per locatie wordt OTV binnen een paar minuten ingeschakeld op bestaande netwerken. Daarnaast is OTV transportonafhankelijk. Het is een MACroutingregeling, waarbij ethernetframes zijn ingekapseld in IP-pakketten en getransporteerd worden over een netwerk dat IP ondersteunt. Hierdoor kan OTV worden ingezet over ieder netwerk, zoals internet, een privé IP-netwerk of MPLS. In combinatie met VMware long distance Vmotion kunnen dus virtuele

RAID-STRUCTUUR Technisch gezien wordt dit alles uitgevoerd via een manier die gelijk is aan RAID (redundant array of independant/ inexpensive disks). Ofwel via RAID1 of RAID5. In het eerste geval wordt gewijzigde data weggeschreven naar alle providers; hetzij rechtstreeks, hetzij eerst naar één partij die vervolgens de data naar de rest wegschrijft. De tweede methode, RAID5, is efficiënter. Deze neemt minder ruimte in beslag omdat de data verspreid wordt over de locaties en er niet meerdere volledige kopieën in omloop zijn. Uitgaande van RAID5 bij vier harde schijven, wordt de data weggeschreven naar alle schijven waarbij die data zelf over drie schijven wordt verspreid en de vierde schijf paritygegevens bevat. Doordat de partity-

Veel bottlenecks vervallen wanneer cloudproviders zouden samenwerken juiste locaties stuurt. De hier genoemde methodologie heeft al een naam: RAIC, voluit redundant array of independent cloudproviders. Anno 2010 zou dit technisch gezien haalbaar zijn, mits natuurlijk een gevirtualiseerde infrastructuur als uitgangspunt wordt genomen. VMware’s Vmotion is een geaccepteerde technologie voor het verplaatsen van virtuele machines binnen datacenters, en Cisco’s Overlay Transport Virtualisation-technolgie

Zou RAID5 ook toepasbaar zijn in de cloud? Afbeelding: Wikipedia.org.


machines migreren tussen datacenters en eveneens tussen providers als deze samenwerken. Een vergelijkbare overlaytechniek is VPN-Cubed2 van Cohesive FT. In tegenstelling tot Vmotion echter kan deze ook kleine delen van data met meerdere clouds uitwisselen, in plaats van complete workloads.

REACTIES UIT DE MARKT Rob Willekes, producten salesspecialist bij Cisco, ziet wel wat in de RAIC-methodologie: “De implementatie van cloud computing gaat volgens Cisco naar een hybride cloudmodel en dat is waar RAIC ook voor staat. Namelijk private en public clouds gemixt dan wel typen van cloud computing gemixt, waaronder IAAS, PAAS en SAAS. Dit betekent dat bedrijven bepaalde gevirtualiseerde workloads intern kunnen draaien, maar ook bijvoorbeeld kunnen repliceren naar externe cloudproviders of via een SaaSmodel applicaties kunnen betrekken.” Gregor Petri, senior director EMEA-marketing bij CA, is gematigd enthousiast: “Het idee van RAIC op storageniveau is interessant, maar zit relatief laag in de stack. Het wordt daardoor gehinderd. Een van de grote beperkingen van de cloud is dat data en logica relatief dicht bij elkaar moeten staan, net zoals de client en server. Het zou interessanter zijn om deze redundantie hoger in de stack, op businessserviceniveau, in te voeren.

Storage Dat kan een kostenvoordeel opleveren omdat je dan weliswaar redundante, maar ook goedkopere services kunt gebruiken.” Hans Timmerman, CTO van EMC Nederland, laat weten dat RSA (de securitydivisie van EMC) al daadwerkelijk bezig is met de implementatie van RAIC. Op dit moment loopt er een bètaprogramma waarbij data in verschillende clouds wordt opgeslagen.

BOTTLENECKS Ondanks de theoretische haalbaarheid zijn er nog bottlenecks evenals situaties denkbaar waardoor het concept minder interessant is. Allereerst gaat de methodologie uit van een gevirtualiseerde infrastructuur, terwijl niet iedere applicatie of workload kan worden gevirtualiseerd. Vervolgens bestaat er de vrees dat het spreiden van data over verschillende providers, de snelheid van applicaties niet ten goede komt. Immers een van de huidige beperkingen van de cloud is dat grote hoeveelheden data en de applicatielogica fysiek dicht bij elkaar moeten zijn. Verder vraagt een dergelijk concept om een grote mate van standaardisatie. Voor algemene opslag als documenten, video’s en spreadsheets werkt het prima, maar voor gestructureerde data, zoals klantgegevens en verkooporders, is het een uitdaging omdat hiervoor verschillende standaarden worden gebruikt. Een voorwaarde voor portabiliteit is dus dat dezelfde formaten worden ondersteund. De huidige technische mogelijkheden, op basis van Vmotion en OTV, zijn nog niet fault tolerant. Wel binnen één datacenter, maar niet wanneer datacenters zich op grote afstand bevinden. Wanneer een datacenter uitvalt en een ander het overneemt, zal de omschakeling enige downtime tot gevolg hebben. Voor RAIC is dus long distance fault tolerance noodzakelijk. Die afstand is tegelijkertijd ook een praktisch struikelblok. Ondanks dikke glasvezelverbindingen heeft afstand een impact op de snelheid. “Tot op heden hebben we tot 200 kilometer getest”, zegt Willekes van Cisco. “Op die afstand is de vertraging die de snelheid van het licht introduceert nog acceptabel. OTV zelf heeft geen afstandsbeperking en kan probleemloos van New York naar Amsterdam gebruikt worden, maar we hebben het over ap-

plicaties die niet gebouwd zijn om highavailable en fault tolerant te zijn. En dat laatste is wel noodzakelijk voor het RAIC-concept.” Mark Masterson, enterprise- en solutionarchitect en zelfbenoemd ‘troublemaker’ bij CSC, was een van de eersten die het RAIC-model benoemde. Hij noemt latency ook het potentieel grootste vraagteken voor RAIC. “Maar RAIC is, net als cloud computing, een hulpmiddel en geen zilveren kogel”, zegt Masterson. “Een groot deel van de bestaande applicaties die high-available en fault tolerant moeten zijn, werken waarschijnlijk niet in een RAIC-omgeving. Maar waarom zouden die applicaties niet herschreven kunnen worden op een manier dat het wel werkt? Ik heb ook niet alle antwoorden, maar er zijn vast nieuwe mogelijkheden om data op te splitsen en te distribueren. De voordelen van RAIC zijn, net zoals cloud computing in het algemeen, zo overweldigend dat we goed moeten nadenken hoe we het kunnen benutten.” Overigens wordt er al gewerkt aan alternatieve distributiemethoden (zoals peerto-peer) en oplossingen om grotere afstanden te overbruggen. Bijvoorbeeld door applicaties realtime te verplaatsen naar een andere geografische locatie (ten gunste van snelheid) zonder dat de klant er iets van merkt. Het gerucht gaat dat Google een dergelijk systeem al gebruikt (zodra mail opgevraagd wordt in bijvoorbeeld Japan, wordt de hele mailbox naar die locatie verplaatst). Ook Akamai Technologies biedt (voor hun grote klanten) een dergelijk gedistribueerd computingplatform voor internet-

content en applicaties, zodat snelheid geen bottleneck meer is.

CONCLUSIE De RAIC-methodologie klinkt veelbelovend. Het biedt een antwoord op grote vraagstukken als redundancy, beschikbaarheid, vendor lock-in en zelfs security. Maar er zijn wel bottlenecks die overwonnen moeten worden. Eén daarvan is niet eens van technische aard en nog altijd onbeantwoord: zijn zelfstandige cloudproviders bereid om samen te werken? CW 1 2

www.dhpa.nl www.cohesiveft.com/vpncubed

De redactie is benieuwd naar uw mening, gedachte en/of ervaring over dit onderwerp en nodigt u uit te reageren via [email protected].

RAIC: RAID voor clouds De term ‘RAIC’ dook in januari 2009 op in een blog* van Mark Masterson, Enterprise- en Solutionarchitect bij CSC. Masterson, die in een eerdere carrière RAID-clusters installeerde, vroeg zich tijdens een gesprek met een collega ineens af waarom het RAID-principe niet in de cloud gebruikt kon worden. Een schakel van onafhankelijke cloudproviders, waaraan data veilig, beschikbaar en zonder lock-in kon worden toevertrouwd. Chris Evans, een onafhankelijke storage en virtualisatieconsultant, stel-

de rond dezelfde tijd exact hetzelfde aan de kaak, maar dan vooral vanuit het kostenperspectief. Namelijk als een manier om grote hoeveelheden data uit het dure datacenter te halen en in de cloud onder te brengen voor een prijs per GB. Hij pleit voor een middlewarelaag tussen klanten en cloudproviders, van waaruit gestandaardiseerde clouddiensten worden aangeboden. * w w w. j r o l l e r. c o m / M a s t e r M a r k / entry/raic_what_s_that


Risico’s (en kansen) van de cloud

Cloud computing zit sterk in de lift en biedt grote kansen voor bedrijven in deze roerige economische tijden. Tegelijkertijd zijn er ook gevaren, bijvoorbeeld op het gebied van beveiliging, regelgeving, de beheersing van gegevens en continuïteit. In dit artikel belicht Sander Nieuwenhuizen, ITauditor bij Ernst & Young, de risico’s én de kansen die de cloud biedt. DOOR SANDER NIEUWENHUIZEN, IT-AUDITOR BIJ ERNST & YOUNG

Het goede nieuws is dat sommige risico’s in kansen omgezet kunnen worden door bewust te kiezen voor cloud computing. Dit alles vanuit het perspectief van organisaties die vanuit de vraagzijde voor de keuze staan een (publieke) cloud provider te kiezen voor het leveren van diensten. Het is niet mogelijk in dit artikel alle risico’s in detail te bespreken.¹ Het behandelt daarom enkel risico’s op het gebied van beveiliging, regelgeving, continuïteit en beheersing van gegevens.

BEVEILIGING Het niet adequaat beveiligen van de cloudinfrastructuur wordt door organisaties als een van de voornaamste risico’s genoemd.² Zeker wanneer er sprake is van een multi-tenantomgeving (meerdere klanten die gebruikmaken van dezelfde en dus gedeelde infrastructuur), bestaat er een grotere kans dat toegang kan worden verkregen tot de gegevens van organisaties. De kans wordt daarnaast nog verder vergroot door het aanbieden van wereldwijde toegang tot die gedeelde infrastructuur. Cloud services zijn echter prima te beveiligen, het vereist alleen een andere aanpak. Er zijn zelfs beveiligingsvoorde-


len ten opzichte van intern hosten (in datacenters). Voor een cloud provider is dit bijvoorbeeld makkelijker omdat er geen rekening gehouden hoeft te worden met legacysystemen of een verouderde architectuur. Enkele organisaties hebben hiermee intern flinke beveiligingsproblemen. Een publieke cloud provider staat echter in de belangstelling van de media en heeft veel te verliezen bij imagoschade als gevolg van een beveiligingsprobleem. Daarom zal een publieke cloud provider veel meer aandacht aan beveiliging besteden, en doorr economies of scale ook kunnen besteden. Verder zijn datacenters van grote cloud providers vaak nieuw gebouwd en vanaf het eerste ontwerp voorzien van beveiligingsmaatregelen. Ook is in de architectuur schaalbaarheid en flexibiliteit meegenomen. Door gebruik te maken van cloud computing zijn investeringen op het gebied van hard- en software, onroerend goed en personeel voor rekening van de cloud provider, en de flexibiliteit en schaalbaarheid ten gunste van de klant.

REGELGEVING

internet ontbreekt; een kortetermijnoplossing hiervoor is niet voorhanden. Men is aangewezen op wetgeving per land die aangevuld kan zijn met bijvoorbeeld Europese wetgeving. Binnen Nederland (en Europa) zijn wetten op het gebied van privacy en verwerking van persoonsgegevens – waar de organisatie én dus ook de cloud provider zich aan dient te houden – zeer strikt. Dit betekent dat dergelijke vertrouwelijke gegevens niet buiten Europa mogen worden verwerkt of opgeslagen als niet aan minaal gelijke regels wordt voldaan.³ De strafmaat voor het schenden van deze wetgeving lijkt voor publieke cloudproviders echter minder erg dan de bijkomende imagoschade.

Een ander risico dat speelt is regelgeving. Overkoepelende internationale regelgeving aangaande cybercrime op het

Toch kan het voldoen aan regelgeving juist een van de redenen zijn om te kie-

Security zetten tijdens rampen. Recentelijk kwam in het nieuws6 dat wanneer bij een grote calamiteit het voor het ministerie niet meer mogelijk is de eigen faciliteiten te gebruiken, dat dan kan worden teruggevallen op Google Apps. Dit is een voorbeeld voor het expliciet kiezen van een cloud provider als failover. Naast het inzetten van cloudoplossingen voor het voldoen aan compliancy of als fall-backscenario, zijn er zelfs organisaties die ze inzetten bij migratietrajecten.7 Momenteel overwegen organisaties zelfs cloudoplossingen als scenario bij een verplichte upgrade als de leverancier geen ondersteuning meer wil bieden op de huidige versie van de software. Organisaties willen en kunnen het risico niet lopen leveranciersondersteuning te moeten missen en kunnen de kennis intern niet meer behouden of krijgen. Zeker voor grote organisaties is een migratie naar een nieuw platform of een hogere softwareversie een project dat een grote impact kan hebben en waar grote risico’s mee gemoeid zijn. Een traject kortom dat het liefst zo lang mogelijk wordt uitgesteld, en waarbij de verandering het liefst zo snel mogelijk dient te worden doorgevoerd.

BEHEERSING VAN GEGEVENS

zen voor cloud computing. Beursgenoteerde bedrijven in Amerika dienen voor belangrijke genomen beslissingen binnen 24 uur te kunnen aantonen hoe ze tot die beslissing zijn gekomen.4 Veel beslissingen worden genomen op basis van e-mails (vaak onderweg verzonden via mobiele apparaten). Als de faciliteiten binnen het bedrijf niet toereikend zijn of het is te prijzig om te kunnen voldoen aan een dergelijk verzoek is cloud computing een alternatief. De grote cloud providers van dit moment combineren een zoekmachine met hun office en connectivity suite waardoor er uitermate goed gezocht kan worden binnen e-mails en documenten.

CONTINUÏTEIT Een volgend punt van aandacht is continuïteit. Uit een onderzoek5 van begin

dit jaar bleek twee derde van een bepaald type cloud provider, namelijk de SaaS-dienstverleners, niet te beschikken over een failover. Daarnaast claimt men een servicegraad van 99,99 procent of hoger. Wat valt er verder te denken van de start-ups met mooie plannen en aantrekkelijke prijzen; bestaan die over een jaar nog wel? Een onderzoek naar een (betrouwbare) dienstverlener behoort tot het scala aan maatregelen dat onderdeel is van een risicoanalyse op de cloud provider. Een risicoanalyse zal er echter niet voor zorgen dat alle risico’s geïnventariseerd en vermeden kunnen worden. Het zorgt wel voor een completer beeld bij de organisatie. Als onderdeel van een businesscontinuïteitsplan besloot het Ministerie van Buitenlandse Zaken Google Apps in te

Uiteindelijk draait het allemaal om de bescherming van (vertrouwelijke) data. In de huidige economie is het hebben (en behouden) van kennis zeer belangrijk voor organisaties. Aangezien data zichzelf niet kan beschermen, moeten er maatregelen worden toegepast teneinde een gewenst niveau van beveiliging te behalen tegen dataverlies en -diefstal. De discussie is momenteel gaande, maar zal zeker door de recessie en de constante noodzaak tot kostenverlaging blijven opkomen: wat moet een organisatie wel en niet in de cloud hosten? Niet veel organisaties besluiten nu bedrijfskritische applicaties en data te verplaatsen naar de cloud. Wanneer zal het omslagpunt komen dat een bedrijf moet besluiten hier toch voor te kiezen? Hopelijk kan men wachten op de techniek en maturiteit die zorgt voor de nodige (extra) waarborgen en zullen de clouddienstverleners hierop inspelen voordat een organisatie de verkeerde keuze maakt op basis van een slecht uitgevoerde businesscase of een te groot vertrou-


Security wen in de dienstverlener. Enkele van de technische maatregelen, die (nog) geen gemeengoed zijn, betreffen: - Patching van actieve en inactieve virtuele machines. - Intrusion prevention voor dataverkeer tussen virtuele switches. - Encryptie van gegevens. Toegang tot vertrouwelijke gegevens door de werknemers van de organisatie en personeel van de dienstverlener is een groot risico. De verantwoordelijkheid voor het bepalen van de toegangsniveaus voor gegevensverstrekking ligt bij de opdrachtgever en dus de gegevenseigenaar. Dit risico wordt vergroot door het niet correct classificeren van gegevens. Het hebben van dataclassificatie is dus een eerste vereiste voordat data opgeslagen wordt in de cloud. Wie wordt eigenlijk eigenaar van de data wanneer deze in de cloud staat? Het kiezen voor het delen van gegevens door diegenen die hier vanwege hun functie toe gemachtigd zijn, is in de huidige economie met gekoppelde netwerken niet rigide genoeg meer. Een ‘default deny all’-beleid zou een oplossing zijn om de toegang tot informatie te beperken, vooral voor data die niet geclassificeerd kan worden. Als laatste moeten gegevens effectief en volledig worden verwijderd zodat deze worden geacht ‘vernietigd’ te zijn. Daarom moeten technieken voor het compleet wissen, oftewel vernietigen, van gegevens in de cloud worden gebruikt. Dit om te garanderen dat de gegevens volledig verwijderd of onherstelbaar verminkt zijn en niet meer gebruikt kunnen worden. Het niet gebruiken van deze technieken introduceert het risico van ongeoorloofde toegang tot informatie. Het mag niet voorkomen bij het opnieuw toewijzen van een bepaalde server, dat bijvoorbeeld oude gegevens nog inzichtelijk zijn voor onbevoegden.

‘Het blijkt dat twee derde van de SaaS-dienstverleners niet beschikt over een failover’ CONCLUSIE Resumerend kan gezegd worden dat de nodige risico’s te onderkennen zijn bij het gebruik van cloud computing en dat niet alles in de cloud moet worden geplaatst. Vaak is een businesscase die positief uitvalt – dus geld bespaart – de belangrijkste reden om te kiezen voor een cloud-computingoplossing. Maar wat als blijkt dat de risico’s niet opwegen tegen de (verwachte) voordelen? Zoals aangegeven zijn deze risico’s in bepaalde gevallen juist om te buigen naar kansen. Dit is uiteraard in sterke mate afhankelijk van de IT-architectuur, de organisatie, de bedrijfssector waarin wordt geopereerd, en het risicoprofiel. De kaarten zijn echter geschud en de mogelijke besparingen en toegenomen flexibiliteit pleiten voor het (toenemende) gebruik van cloud computing. Door de potentie van cloud-computingtechnieken valt te verwachten dat er binnen vijf jaar een nieuwe manier van denken en inzetten van computerfaciliteiten is. Het is dan ook raadzaam om de beslissing om binnen de organisatie te starten

met cloud computing pas te nemen, nadat een gedegen risicoanalyse (inclusief een informatieclassificatie) heeft plaatsgevonden. Daarnaast kan het geen kwaad niet té afhankelijk te worden van de cloud. CW

Sander Nieuwenhuizen, IT-auditor bij Ernst & Young Advisory

NOTEN 1

2 3 4 5 6 7

Ga hiervoor naar ENISA (http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport) en CSA (http://www.cloudsecurityalliance.org/csaguide.pdf) die op dit vlak zeer goed werk leveren. http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-sme-survey/at_download/fullReport. http://en.wikipedia.org/wiki/Directive_95/46/EC_on_the_protection_of_personal_data http://www.livestream.com/ngnnl/video?clipId=pla_c8fe87a3-7bc2-4617-9d68-aea774ff62a0 http://www.slideshare.net/servoy/key-saas-metrics-for-2010-eurocloud http://www.computable.nl/artikel/ict_topics/overheid/3372551/1277202/buza-zet-google-apps-in-bij-rampen.html http://www.feskens.eu/?p=8


Column

De cloud, een blijvertje?

Het fenomeen cloud is even opgeblazen en luchtig als de naam doet vermoeden DOOR GERT BROUWER, ONAFHANKELIJK ADVISEUR EN STORAGE ARCHITECT BIJ BROUWER STORAGE

De afgelopen week had ik een workshop georganiseerd met Greg Schulz, bekend schrijver van een aantal boeken op het gebied van IT, en analist van StorageIO. Op het programma stond een (te) grote hoeveelheid aan onderwerpen; de diverse trends werden besproken. In feite te veel voor één dag, vandaar dat we hebben besloten later dit jaar een meerdaagse sessie met Greg te plannen. Natuurlijk behoorde de cloud ook tot de besproken onderwerpen. Alhoewel de sessie interactief was, hadden we de deelnemers in staat gesteld vooraf reeds extra vragen te stellen en onderwerpen aan te dragen. Een van die vragen was: Are clouds here to stay?Een terechte vraag lijkt mij, want dat willen we allemaal graag weten. Analisten als Greg Schulz – en dat geldt ook voor anderen die ik in het verleden hierover gepolst heb – denken genuanceerd over de beantwoording van die vraag. Ook ondergetekende zit op die-

zelfde golflengte. Veel aspecten aan de cloud zijn allesbehalve nieuw; ze worden ook wel als revival van de SSP’s uit het begin van deze eeuw gezien. Technologische ontwikkelingen op het gebied van het internet maken veel meer mogelijk dan voorheen, maar in feite is er niets nieuws onder de zon. Het fenomeen cloud is even opgeblazen en luchtig als de naam doet vermoeden. Als je het ontdoet van alle hype zijn cloudservices niets meer of minder dan just another tier of service en is cloud storage niets meer of minder dan just another tier of storage. Tiers moet je gebruiken waar ze voor bedoeld zijn; dat geldt ook voor gereedschap. Er wordt wel eens gezegd: ‘Als je alleen een hamer hebt, zie je in alles een spijker’. Deze uitspraak kun je ook gebruiken voor cloudleveranciers. Clouds zijn geen Haarlemmerolie, ze zijn niet de oplossing voor alles. Ik ken veel mensen die hun laptopdata in de cloud ‘backuppen’. Uiteraard encrypted, maar zij maken daarnaast ook een kopie op een

USB. Al meerdere malen hebben zij ondervonden dat hun Google-mail één of meerdere dagen niet beschikbaar was, wat op z’n zachtst gezegd niet handig is. In de meeste gevallen was de data niet verloren. Terugkomend op de vraag ‘are clouds here to stay?’, is het enige juiste antwoord: voor sommige zaken wel, los van het feit dat er momenteel veel te veel aanbieders zijn en dat er een shakeout zal en moet plaatsvinden. Je kunt de vergelijking maken met het aantal RAID-fabrikanten. Ruim een decennia geleden waren er meer dan 200, nu is er nog een handvol over. Voor bepaalde data kun je prima de cloud gebruiken, maar als gevolg van de latency is het ongeschikt voor een transactiedatabase. Daarnaast blijft het de grote vraag of clouds wel op kosten kunnen concurreren als aan onze SLA’s en securityvragen voldaan moet worden. De toekomst zal het leren. CW


De beveiliging van virtuele netwerken

Alleen maar lusten of ook lasten?

Veel bedrijven kiezen voor virtualisatie om kosten te besparen. Maar wat soms vergeten wordt, is dat een gevirtualiseerd netwerk een andere beveiligingsaanpak vereist. In dit artikel wordt ingegaan op de trends en ontwikkelingen in de securitymarkt, waarbij zal worden toegelicht welke problemen er spelen bij de beveiliging van virtuele netwerken en hoe deze kunnen worden ondervangen. DOOR ROLF VAN GENT, DIRECTOR NORTH AND EAST EUROPE, NETASQ

Uit onderzoek van onderzoeksbureau Forrester blijkt dat 84 procent van de bedrijven overweegt om binnen twaalf maanden te gaan virtualiseren. Als belangrijkste reden hiervoor wordt kostenbesparing gegeven. Door gebruik te maken van virtualisatieoplossingen kunnen ondernemers bezuinigen op kosten voor hardware, stroom en koeling, maar ook op vloeroppervlakte en het aantal servers. Waar minder aandacht voor lijkt te zijn, is de beveiliging. Uit ander onderzoek, van Gartner¹, blijkt dat in 2010 60 procent van de virtuele servers minder goed beveiligd is dan de fysieke servers die zij vervangen. Het schijnt dat de traditionele hardware firewalls, IPS en IDS, het verkeer tussen de verschillende virtuele platformen niet goed kunnen beveiligen. Dit wordt veroorzaakt doordat virtuele hosts verbonden kun-


nen worden met netwerksegmenten die een ander beveiligingsniveau hebben. Bedrijven lopen hierdoor onbewust een groot risico.

werk is dat het dataverkeer in de nieuwe situatie nooit het hardwareplatform, dat wordt beheerd door een hypervisor, verlaat.

PROBLEMEN

Een hypervisor kan worden gezien als een stukje software dat op een fysieke server draait. Deze hypervisor maakt het mogelijk dat meerdere besturingssystemen van de virtuele machines gelijktijdig op dezelfde fysieke server draaien en dynamisch de beschikbare resources als CPU en het geheugen delen. De meeste hypervisors bieden tegenwoordig de mogelijkheid om virtuele switches en netwerkinterfaces aan te maken. Alle virtuele machines worden via deze virtuele netwerkinterfaces aangesloten op de nieuw gecreëerde virtuele switches. Deze switches kunnen weer aangesloten worden op één of meerdere

Steeds meer ondernemingen zetten de stap naar virtualisatie. Door te virtualiseren kunnen meerdere virtuele servers, met elk een eigen besturingssysteem en eigen applicaties met een verschillend toegangsniveau, op één fysieke server draaien. Bij deze migratie van fysieke naar virtuele servers zijn de servers echter niet het enige deel van de infrastructuur dat virtueel wordt. Randapparatuur als switches, routers en adapters moeten ook worden gemigreerd naar een virtuele omgeving waardoor een nieuw, virtueel netwerk wordt gecreëerd. Het grote verschil met een traditioneel net-

Security

fysieke netwerkinterfaces van de fysieke machine waar de hypervisor op draait. Een hypervisor speelt bij virtualisatie dus een grote en belangrijke rol. De huidige hypervisors ondersteunen mooie ‘high availability tooling’, zoals de migratie van een draaiende virtuele server naar een andere virtuele server. Een andere mooie optie is dat er, bij problemen, gebruik kan worden gemaakt van ‘failover’ waardoor over wordt gegaan naar een andere drive of ander platform. Dit betekent echter wel dat een netwerkbeheerder niet altijd weet op welke fysiek server een specifieke virtuele machine draait. Dit maakt het beheer en het managen van potentiële gevaren erg lastig. Het beveiligen van een virtueel netwerk vraagt dus om speciale aandacht.

VOORBEELDSITUATIE Omdat veel mensen zich bij het beveiligen van een virtueel netwerk geen echt beeld kunnen vormen, wordt dit aan de hand van een voorbeeld toegelicht. Een netwerk heeft de volgende netwerktopologie: Op een publiek toegankelijke webserver (1) draait een e-commercewebsite. De gegevens die worden weergegeven op de website komen uit een databaseserver (2) die gelinkt is met het interne netwerk. Medewerkers beheren de databaseserver direct vanaf hun desktop, terwijl de externe cliënten uitsluitend toegang hebben tot de e-commercewebsite. Bekijken we deze topologie vanuit een fysieke omgeving, dan is er sprake van twee servers op verschillende netwerksegmenten, gescheiden door een fire-

wall. Veiligheidsbeleid voorkomt dat externe klanten onbevoegde toegang tot de databaseserver hebben. Alleen de webserver heeft toegang tot de database. Als de firewall is voorzien van een intrusion prevention system (IPS), zal deze ervoor zorgen dat potentiële SQLinjectieaanvallen worden geblokkeerd voordat ze de databaseserver bereiken. Door dit netwerk te virtualiseren gebeurt er het volgende: er wordt een fysieke server ingesteld met een hypervisor. Beide applicatieservers (1 en 2) worden verplaatst naar deze hypervisor als virtuele machines. Het fysieke platform zelf is geïnstalleerd in een soort subnetwerk (ook wel DMZ genoemd) dat de externe services van een organisatie bevat en zorgt voor de communicatie met het internet. De DMZ wordt nog steeds beschermd door de firewall (bestaande


Security uit dezelfde hardware als voorheen). De veiligheidsuitdaging is nu echter het veiligstellen van het verkeer tussen de twee virtuele machines. Omdat ze allebei draaien op dezelfde fysieke server zal het verkeer tussen de twee virtuele machines, ondanks dat deze fysieke server via een netwerkadapter is verbonden met de firewall, niet worden gecontroleerd door de fysieke firewall. Dit betekent kortweg dat als de webserver succesvol is gehackt, criminelen gemakkelijk toegang tot alle andere aanwezige servers op hetzelfde hardwareplatform hebben, zonder dat de firewall deze activiteiten signaleert.

de switches dynamisch worden geherconfigureerd op het moment dat de virtuele machines worden verplaatst. Tot slot kan ‘host based security’ worden geïmplementeerd. Dit betekent dat op elke virtuele machine een beveiligingsoplossing moet worden geïnstalleerd en geconfigureerd. Dit is niet alleen een zeer kostbare oplossing, het is tevens moeilijk om te onderhouden en lastig schaalbaar.

met een virtuele beveiligingsoplossing als tweede verdedigingslinie, is in dit geval de optimale oplossing. Deze combinatie zorgt ervoor dat zowel de externe als interne communicatie wordt beschermd. Om de configuratie en de controle te vereenvoudigen is het uiteraard het meest wenselijk dat zowel de fysieke als de virtuele oplossing door dezelfde beheeromgeving kunnen worden beheerd.

VIRTUALISEREN VAN DE BEVEILIGING

BEVEILIGINGSRICHTLIJNEN

Om een virtuele omgeving goed te beschermen kan het beste een oplossing worden gekozen die hetzelfde bevei-

Het verkeer tussen twee virtuele machines op één fysieke server wordt door een traditionele firewall niet gecontroleerd MOGELIJKE OPLOSSINGEN Een mogelijke oplossing is om de netwerkadapters (1a en 2a) van de beide virtuele machines te scheiden van de fysieke adapters. Op deze manier kan de beveiliging nog steeds worden geleverd door dezelfde hardware firewall die eerder ook werd gebruikt. Dit lijkt misschien een oplossing. Het nadeel is echter dat op één fysieke server een tiental virtuele machines kan draaien. Als voor al deze machines een aparte netwerkadapter moet worden ingesteld, dan betekent dit dat deze oplossing de voordelen van virtualisatie, een drastische vermindering van fysieke apparaten en netwerkadapters, tenietdoet. Ook het voordeel van de automatische failover – gebaseerd op de gedeelde belasting van de servers – die normaal gesproken beschikbaar is voor elke fysieke server wordt tenietgedaan. Een andere mogelijke oplossing is virtual LAN-tagging (VLAN). Dit betekent een ander VLAN voor elke virtuele machine. Hierdoor wordt al het verkeer gedwongen doorgegeven via de fysieke firewall. Deze oplossing is zeer onaangenaam in een virtuele omgeving, omdat VLANtags handmatig moeten worden ingesteld. Een ander groot nadeel van deze oplossing is dat, in het geval van een failover, de VLAN-tags weer volledig moeten worden teruggezet. Dit omdat


ligingsniveau toekent aan een virtueel netwerk als dat het zou doen aan de fysieke tegenhanger. Dit betekent dat om een virtueel netwerk goed te kunnen beschermen, ook de beveiligingsoplossing zou moeten worden opgezet als een virtuele machine. Hierdoor biedt de oplossing niet alleen alle beveiligingsoplossingen (met inbegrip van een IPS, UTM en vulnerability assessment) zoals een fysieke oplossing, maar wordt deze volledig geïntegreerd met de virtuele machines. Deze oplossing biedt meer voordelen. De hypervisor zorgt voor een hoge beschikbaarheid en loadbalancing door virtuele machines ‘op verzoek’ te verhuizen of op te starten, doordat de virtuele machine nu onderdeel is van het virtuele netwerk hoeft er geen herconfiguratie meer plaats te vinden. Ook hoeft er geen rekening meer gehouden te worden met de daadwerkelijke, fysieke, locatie van een virtuele machine door de directe betrokkenheid van de virtuele beveiligingsoplossing bij dit proces een actief onderdeel is van het virtuele netwerk. De meeste bedrijven migreren geleidelijk naar een virtuele omgeving. Hierdoor zijn er momenteel veel netwerken in gebruik die een combinatie zijn van een fysieke en een virtuele netwerkinfrastructuur. Het gebruik van een fysieke beveiligingsoplossing in combinatie

Momenteel zijn er veel verschillende organisaties die allemaal in meer of mindere mate (netwerk-)beveiligingsoplossingen leveren. De kwaliteit en de mate waarin deze een bedrijfsnetwerk beveiligen zijn, op zijn minst, wisselend te noemen. Er is een aantal richtlijnen die gebruikt kunnen worden voor een eerste selectie. Zo is er de ‘EU Restricted/Restreint UE’-kwalificatie van de Raad van de Europese Unie, een gedegen kwaliteitsstempel voor beveiligingsoplossingen. Daarnaast zijn er de certificeringen op basis van Common Criteria. Deze Common Criteria-certificering wordt gezien als een wereldwijde kwaliteitsgarantie voor bedrijven die actief zijn in de IT-beveiligingssector. De zwaarste standaard waarop momenteel gecertificeerd kan worden is versie 3.1. Als IT-manager of beveiligingsexpert is het zaak om goed te kijken naar de versie waarop gecertificeerd is. Eerdere versies zijn op zijn minst dubieus omdat leveranciers daarbij zelf de toetsingscriteria mochten vaststellen.

CONCLUSIE Nu steeds meer organisaties de stap naar virtualisatie zetten, is ook voor bedrijven die zich richten op netwerkbeveiliging het moment gekomen om de stap te zetten en met oplossingen te komen voor het beveiligen van deze netwerken. Er zijn momenteel drie serieuze spelers die een volledig ontwikkelde en operationele virtuele beveiligingsoplossing bieden. Het onderscheid wordt met name gemaakt in de schaalbaarheid, de kosten en de compatibiliteit met de beschikbare virtualisatieplatformen zoals VMWare en Citrix. CW ¹Addressing the Most Common Security Risks in Data Center Virtualization Projects, Neil MacDonald, Gartner Inc., January 25, 2010.

Wie nu niet denkt in oplossingen, lost straks vanzelf op. Ga verder met ICT van Sogeti.

Voor wie tijdens de crisis wil investeren in plaats van stagneren, is Sogeti de ideale partner. Want Sogeti is niet zuinig met ICT-oplossingen. Wij ontwerpen, bouwen, implementeren en beheren. En lopen voorop op het gebied van testen en architectuur. Opdrachtgevers in alle sectoren helpen wij verder met toepassingen van morgen. Vakmanschap en passie voor ICT, dat maakt ons uniek.

sogeti.nl

Staat voor resultaat

Is goedkoop

duurkoop?

Security Er wordt veel gesproken en geschreven over onvoldoende aandacht voor security bij cloudproviders. Door de diversiteit van aanbieders en oplossingen die in de cloud worden aangeboden, is het niet eenvoudig om te bepalen welke wel of niet ‘secure’ zijn. Vanuit het perspectief van de cloudproviders is het belangrijk om te realiseren dat er een groot verschil is tussen public clouds en private clouds. Ten aanzien van prijs, kwaliteit en flexibiliteit zijn er grote verschillen te vinden bij aanbieders van cloud computing. Belangrijke vraag is of er een verband bestaat tussen prijs, kwaliteit en flexibiliteit en de mate van security van een specifieke cloudoplossing. DOOR MARTIJN VAN ZOEREN, MANAGING PARTNER DUTCH CLOUD EN CEO FOURTYONE IT Cloud computing wordt voor zeer uiteenlopende toepassingen ingezet. Een snelgroeiende cloudtoepassing is een oplossing waarbij basiskantoortoepassingen (zoals e-mail en agenda) uit de cloud worden gehaald. De meest bekende leveranciers daarvoor zijn Microsoft BPOS, Google Apps en Windows Live. Bij veel middelgrote organisaties kunnen we constateren dat zij e-mail- en agendafunctionaliteit als toepassingen zien die niet bedrijfskritisch zijn. Lang niet iedereen zal die mening delen maar ondertussen zijn er ook in Nederland al een aantal grote ondernemingen overgestapt. Ten aanzien van security gaat men er blindelings van uit dat aanbieders zoals Google, IBM en Microsoft het goed geregeld hebben. Een interessant detail daarbij is dat de mogelijkheden om dit te controleren zeer beperkt zijn; het vertrouwen in deze aanbieders is dus zeer groot. De enorme kostenbesparing die gerealiseerd wordt door e-mail- en agendatoepassingen ‘uit de cloud’ te halen, zou daarbij wel eens een belangrijke rol kunnen spelen. Dat bevestigt de aanname dat er een verband is tussen de mate van security die geleverd wordt en de prijs die eindgebruikers bereid zijn te betalen.

DYNAMISCHE WEBSITES De front-endwebsites vormen een tweede belangrijke groep toepassingen waarbij de eisen van eindgebruikers ten aanzien van security aanzienlijk lager liggen. Veelal gaat het om websites met een hoge mate van dynamiek en dus veel pieken (en dalen) in de vraag naar capaciteit – denk aan de diverse nieuwssites als www.nu.nl. Flexibiliteit in bandbreedte, geheugen en cpu-power zijn daarbij vaak van groot belang. Zodra

er belangrijke nieuwsitems beschikbaar zijn, zie je namelijk dat er kortstondig (vaak minder dan anderhalf uur lang) een enorme piekbelasting is ten aanzien van het gebruik van de website. Daarbij wordt steeds vaker uitgebreid videomateriaal beschikbaar gesteld. Dat betekent dat er kortstondig extra bandbreedte beschikbaar moet zijn en er (eveneens kortstondig) een extreme vraag naar CPU- en geheugencapaciteit ontstaat. Cloud computing biedt in zo’n geval de ultieme oplossing. Omdat de extreme piekmomenten niet vaak gebruikt worden en aanbieders van nieuwssites geen onbeperkte financiële middelen hebben, wordt vaak voor een lager securityniveau gekozen. Daar tegenover staat vanzelfsprekend dat de kosten per maand ook relatief laag zijn.

SCHAALVOORDEEL Zowel mail- en agendatoepassingen als ook zwaardere webomgevingen zijn vaak uitermate geschikt om in virtuele serveromgevingen te draaien. Een van de voordelen van virtuele servers is dat de fysieke server- en storagecapaciteit voor meerdere klanten en/of projecten kan worden ingezet. Dat levert een schaalvoordeel op waarvan de eindgebruiker profiteert. Het uiteindelijke resultaat is dus dat er minder betaald wordt per zogenaamde ‘compute instance’. Wat daarbij echter niet vergeten mag worden, is dat server- en storagevirtualisatie ook hun beperkingen kennen. Een belangrijk aspect is daarbij de toegang tot en de afscheiding van specifieke klantomgevingen. Om een lage prijs te kunnen bieden, zie je vaak dat cloudproviders een set van klanten over eenzelfde firewall binnen laten komen en meerdere klanten in dezelfde netwerkJULI 2010 - CLOUDWORKS - 21

Security omgeving onderbrengen. Dat betekent in theorie dat eindklanten bij elkaars ‘systemen’ kunnen kijken; daarbij dient echter nadrukkelijk te worden vermeld dat de data in principe niet zomaar door anderen gelezen kan worden. Je zou dus kunnen constateren dat het terecht is dat er vraagtekens gezet worden bij de security van cloudomgevingen. Dat komt mede omdat veiligheid niet meer goed meetbaar is zodra we een en ander uitbesteed hebben aan een cloudprovider. Over het algemeen zien we met name bij public-cloudproviders zoals Amazon, een mindere mate van security.

PUBLIC VERSUS PRIVATE CLOUDS De cloud-computingmarkt is aan het veranderen en wordt steeds meer volwassen. De scheidingslijn tussen public en private clouds neemt duidelijkere en concretere vormen aan. Nog geen jaar geleden werden private clouds betiteld als ‘on-premise’ cloudimplementaties, en public clouds waren de omgevingen die door cloudproviders aangeboden werden. Security speelde daarbij een grote rol omdat private cloud betekende dat deze omgeving volledig en alleen werd ingericht en gebruikt door een specifieke onderneming. In actuele publicaties van onder andere onderzoeksbureau Gartner zie je een duidelijke verschuiving. De mate waarin een organisatie zelf controle kan uitoefenen over zijn omgeving en de implementatie daarvan, is volgens Gartner typerend voor een private cloud. De belangrijkste toevoeging die men daarbij doet is dat de toegang tot deze omgeving gelimiteerd is tot gebruik door één onderneming. Een van de controles die de klant zelf kan doen, is de mate van security checken, maar ook beïnvloeden én bepalen.

ENTERPRISE CLOUD COMPUTING = PRIVATE CLOUD COMPUTING? Uit bovenstaande uitleg over public en private cloud computing zou je kunnen afleiden dat public cloud en enterprise cloud computing hetzelfde betekenen. Daarom is het goed om nog even naar de verschillende toepassingen te kijken waarvoor cloud computing wordt ingezet. Een ‘enterprise cloud computing’strategie zou namelijk heel goed een combinatie kunnen zijn van zowel pu22 - CLOUDWORKS - JULI 2010

blic- als private-cloudtoepassingen. Bij enterprise cloud computing is de mate waarin de onderneming zelf haar strategie en netwerken security policies bepaalt, bijzonder hoog. Organisaties die enterprise cloud computing als einddoel hebben, geloven in het feit dat cloud computing nieuwe mogelijkheden biedt om ict flexibeler en beter aan te kunnen wenden. Zij zien cloud computing als ’deliverymodel’. Daarbij staat dus niet centraal dat een externe provider de oplossing dient te leveren. Het ultieme einddoel zou zijn om een optimale combinatie van oplossingen op eigen locatie (on-premise), public-cloudoplossingen en private-cloudoplossingen te kunnen

soort gedegen (netwerk)infrastructuren is kostbaar, wat terug te zien zal zijn in de prijs per eenheid per maand, maar ook in de mate van flexibiliteit. Verder mag je erop vertrouwen dat deze omgevingen ook voldoen aan de eisen die auditors stellen ten aanzien van governance en compliancy. Ook hiervoor geldt dat deze omgevingen en de achterliggende beheerorganisatie dus ingericht moeten zijn om eindgebruikers hierin te ondersteunen. Daarvoor zijn hoger gekwalificeerde medewerkers nodig en ook die kosten zullen in de prijs per eenheid, per maand doorberekend worden.

Een private cloud is veiliger dan een publieke, omdat er directe controle is over de security policies aanwenden. Daarbij willen we bij voorkeur niet beperkt zijn tot het gebruik van enkel virtuele servers en storage, maar ook over fysieke servers en storage kunnen beschikken.

PRIVATE CLOUD IS VEILIG Indien security bepalend is voor een onderneming (bijvoorbeeld bij bedrijfskritische applicaties), is het advies dus om te kiezen voor een cloudprovider die private clouds kan leveren. Daarbij is het noodzakelijk dat de onderneming zelf de security policies bepaalt. Vaak valt dat samen met de keuze ten aanzien van de architectuur. Ook die zal een bedrijf graag zelf willen bepalen. De ideale cloudprovider biedt dus alle mogelijkheden om de wensen te kunnen adopteren en implementeren waarbij de onderneming gedurende het gebruik daarop ook controle kan uitoefenen. Een belangrijk criterium bij het kiezen van een private-cloudprovider is daarom de vraag of je zelf de security policies kunt bepalen. Daarbij is niet uitgesloten dat de cloudprovider componenten inzet die door meerdere eindgebruikers worden gebruikt. Dat is namelijk een van de uitgangspunten voor cloud computing.

PRIJS VERSUS KWALITEIT Cloudproviders die bedrijven de mogelijkheid willen bieden om zelf hun strategie en controls te bepalen, zullen over een daarvoor geschikte infrastructuur moeten beschikken. Het inrichten van dit

Een kwaliteitsmeting is niet eenvoudig omdat er geen cloudproviders zijn die in de dienstomschrijving vermelden dat zij minder gekwalificeerde medewerkers in dienst hebben, er geen invloed uitgeoefend kan worden op de inrichting en implementatie, en dat er een geringe mate van security wordt geboden. De prijs per maand is echter wel vaak iets waarmee aanbieders schermen. Het is daardoor lastig om te bepalen of een cloudprovider duur of juist goedkoop is.

CONCLUSIE Kortom, enerzijds is het ongewenst dat de cloudprovider de security policies bepaalt, maar anderzijds willen we niet te veel betalen. Afhankelijk van de specifieke toepassing en de noodzaak tot hoogwaardige security, wordt bepaald wie de cloudprovider voor die specifieke toepassing moet gaan worden. Daarbij zullen we moeten accepteren dat er een diversiteit in kwaliteit is, wat van invloed is op de prijs. Eerlijkheidshalve moet vermeld worden dat het schaalvoordeel uiteindelijk ook invloed heeft. Cloudproviders met grotere omgevingen zullen op de langere termijn ook een lagere prijs kunnen bieden. Security in de cloud is dus goed in te regelen, als we dat willen. Keuzes moeten echter zorgvuldig gemaakt worden, en we moeten beseffen dat kwaliteit haar prijs heeft. CW

N E I Z J I . JA , W . . N E G E I L V G A A ZE GR

VOOR ÉÉN DAG PILOOT!

Stichting Hoogvliegers stuurt chronisch en terminaal zieke kinderen de lucht in. Als het kan laten we ze zelfs het vliegtuig besturen. Voor één dag piloot! Voor één dag je ziekte helemaal vergeten! Hoe doe we dat? Wat dat oplevert? Verschillende piloten stellen belangeloos hun vrije tijd en heliEen dag die zo bijzonder is dat onze gasten even vergeten dat ze kopter of vliegtuig beschikbaar. We vliegen het hele jaar door, ernstig ziek zijn. Een geweldig avontuur, met als hoogtepunt een vanaf elk vliegveld in Nederland. Enkele keren per jaar is er een vlucht van 30 tot 45 minuten. Grote Hoogvliegersdag. Dan maken we er met veel kinderen tegelijk een feest van. We halen ze thuis op Hoe kunt u ons helpen? Wat ons helpt is geld. Wat ons helpt is geld. Vanaf 100 euro helpen en brengen ze - indien nodig met aangepast vervoer 13.72.80.637 naar het dichtstbijzijnde vliegveld. Daar beleven ze een we al een kind de lucht in. Een bedrijf kan voor Stichting Hoogvliegers 25.000 euro hoofdsponsor worden van een avontuur. Met brandweer, politie, stoere vrachtwagens en vette auto’s. Maar vooral met helikopters en Grote Hoogvliegersdag. vliegtuigen! We organiseren overigens ook Individuele Hoogvliegersdagen. www.stichtinghoogvliegers.nl

Advertentie_ICT.indd 1

22-01-2009 14:56:17

XEMC Darwind kiest voor hybrid computing van UNIT4

Windmolens draaien ‘in de cloud’

Nadat het moederbedrijf van Darwind, producent van offshore windturbines, failliet ging, stond het voor een grote uitdaging. Het Chinese XEMC nam Darwind over waarna het volledige ict-netwerk moest worden ontkoppeld en opnieuw opgebouwd in een nieuw pand. Het bedrijf had bovendien geen eigen ict-infrastructuur, dus een cloudoplossing lag voor de hand. Door het gebruik van zware CAD-applicaties en specifieke beveiligingseisen echter, was dit geen volledige oplossing. Unit4 kwam met ‘hybrid computing’ waarbij de ict deels in huis draait, maar ook in een datacenter én in de cloud. DOOR DE REDACTIE

Case

“Voor de veranderende situatie waar we nu in zitten, is hybrid computing de beste oplossing” Darwind is een producent van offshore windturbines. Sinds de oprichting in 2006 werkt men aan het ontwerp van 5-megawatt-windmolens die efficiënt energie opwekken en makkelijk zijn te onderhouden. In 2009 raakte het moederbordbedrijf Econcern, dat zich inzette voor schone energie, in financiële problemen. In april 2009 volgde het faillissement. Omdat dochteronderneming Darwind wel levensvatbaar was, werd een koper gezocht en gevonden in het Chinese XEMC, een conglomeraat dat actief is in de productie van zware werktuigkundige en elektrotechnische

producten, zoals vrachtwagens en treinen. Door de overname kreeg XEMC Darwind weer financiële slagkracht. Het bedrijf stond echter voor een grote uitdaging: het moest zich losmaken van het ict-netwerk van het voormalige moederbedrijf Econcern. De ict moest in twee maanden worden ontvlecht.

LEVENSVATBAARHEID XEMC Darwind huurde een zogenaamde carve-outmanager in die de loskoppeling van de ict moest realiseren. Het bedrijf beschikte niet over een eigen ictafdeling en -infrastructuur, maar bezat

alleen pc’s, laptops, telefoontoestellen en software. Omdat de Chinese moederonderneming eerst zeker wilde weten dat Darwind ook op lange termijn levensvatbaar was, was er nog geen geld voor grote ict-investeringen. Die waren echter wel nodig voor de groeipotentie van Darwind. Het lag daarom voor de hand om het complete ict-pakket als clouddienst af te nemen. Vanwege de gewenste risicospreiding echter was dat geen optie – zo wilde XEMC niet dat bijlagen in e-mails in de cloud zouden worden opgeslagen. Daarnaast gebruikt XEMC Darwind zware CAD-programma’s voor het ontwerp van de windturbines, wat honderd procent gebruik van cloud computing verder bemoeilijkte. Op de documenten (technische tekeningen) die door Darwind worden geproduceerd, rust intellectueel eigendom. De beveiligingseisen zijn zo streng dat systemen vaak niet eens afgestaan mogen worden voor bijvoorbeeld onderhoud. Daarnaast was er op korte termijn geen breedbandverbinding beschikbaar zodat volledige cloud computing onmogelijk was.

EEN HYBRIDE AANPAK Ict-leverancier UNIT4 stelde daarom ‘hybrid computing’ voor. Hierbij draait de ict deels in huis, deels vanuit een datacenter, en een deel wordt betrokken vanuit de cloud. Samen met de externe carve-outmanager is de ontvlechting van de ict binnen twee maanden gerealiseerd. Het e-mailverkeer is gesplitst:

De windmolens van XEMC Darwind XEMC Darwind werkt sinds de oprichting in 2006 aan het ontwerp van 5megawatt-offshore-windturbines. Deze wekken efficiënt energie op en zijn makkelijk te onderhouden. Het ontwerp vergt een lange adem, maar de markt voor dergelijke offshorewindturbines is voor het komende decennium zeer omvangrijk. Het bedrijf verwacht derhalve explosief in omvang toe te nemen. Ict speelt een cruciale rol bij XEMC Darwind. Het is wel zaak dat automatisering kan meebewegen met veranderingen. XEMC Darwind zet daarom het hybrid-computingconcept van UNIT4 in. Van de meest kritische componenten zit alleen de generator


in de kop van de windturbine. De rest van de kritische componenten bevindt zich onder in de toren en daarmee ook de bulk van de te onderhouden onderdelen. Er is daardoor een minder sterke fundering vereist dan bij de huidige modellen die het meeste gewicht in de kop hebben zitten. De windturbine is daarom eenvoudiger te plaatsen op zee. Bovendien kent de windmolen geen onderhoudsgevoelige tandwielkast, wat leidt tot minder onderhoud en energieverlies bij de conversie van wind naar elektriciteit. De windturbines van XEMC Darwind gelden als grote belofte voor energiewinning op zee. In 2011 moeten de

eerste exemplaren, met een rotor van 115 diameter, gereed zijn. Daarna gaat het model in serieproductie. Een windmolen kan circa 5.000 huishoudens van stroom voorzien. “De huidige windturbines op zee zijn ontworpen voor gebruik op land, maar zijn aangepast voor energiewinning op zee”, zegt Hans de Meij, quality strategy engineer en interim-ict-servicemanager bij Darwind. “Deze modellen gaan het op de lange termijn niet redden, mede vanwege het intensieve onderhoud. De turbines die wij ontwikkelen, zijn specifiek ontwikkeld voor plaatsing in zee.”

Case de mail zelf gaat via de cloud, terwijl bijlagen via een datacenter lopen vanwege de gevoeligheid van de documenten. E-mail wordt in de cloud gescand op virussen via Scansafe. Ook het telefoonverkeer gaat via de cloud. De afhandeling van het dataverkeer met XEMC in China verloopt via het datacenter. De CAD-programmatuur draait op servers in huis vanwege de zwaarte van de applicaties. De toegang tot het datacenter is geregeld via een VPN-verbinding en back-ups gaan elke dag automatisch via de cloud. UNIT4 verzorgt tevens het beheer van de kantoorsoftware en heeft desgewenst contact met de leverancier van de CAD-software indien er zich problemen voordoen. UNIT4 fungeert als servicedesk voor alle ict-zaken van Darwind: hardware, software en telefonie en internetverbindingen.

DUBBELE MIGRATIE De ontvlechting was, volgens planning, binnen twee maanden een feit. Wel waren er nog wat bottlenecks: zo was het verkrijgen van de mail vanuit de oude organisatie een uitdaging. Vooraf was namelijk niet bekend dat een netwerkkoppeling tussen het nieuwe netwerk van Darwind en het netwerk van Econcern niet mogelijk was. Hierdoor konden e-mail, data en applicaties niet rechtstreeks overgezet worden naar de nieuwe systemen van Darwind. Gevolg was dat een tijdelijk e-mailplatform ingericht moest worden van waar de migratie kon worden gestart. In feite moest er dus een dubbele migratieslag gemaakt worden. Ook was het even wennen voor medewerkers dat niet alle data meer lokaal aanwezig was. Toen de ict-omgeving was losgetrokken van Econcern, moest Darwind opnieuw verhuizen. XEMC Darwind werd namelijk onderbracht in een kantoorvilla in Hilversum. Door het hybrid-computingconcept ging de verhuizing relatief makkelijk. Veel data bevonden zich in de cloud of het datacenter en hoefden dus niet fysiek mee te verhuizen. De servers waarop de CAD-programmatuur draaiden, de laptops en de telefoons gingen fysiek mee en werden aangesloten. Daarnaast werd de productiehal in Zwartsluis, die ict via het datacenter laat lopen, verbonden met het nieuwe kantoor te Hilversum. In Zwartsluis zijn momenteel twee prototypes windturbines in aanbouw.

Wat is hybrid computing? De opkomst van cloud computing brengt nieuwe uitdagingen met zich mee. Veel werknemers gebruiken zowel SaaS (shared clouds) als on-premises software en private clouds (vanuit het datacenter). Er is veel integratie tussen bedrijfsapplicaties en kantoorapplicaties. Hybrid computing is een hybride vorm van SaaS, on-premises en private cloud, met één aanspreekpunt voor lokaal geïnstalleerde, in de datacenter geïnstalleerde en door de leverancier als dienst geleverde (SaaS-)applicaties. SaaS lijkt in veel gevallen de ideale oplossing: geen investeringen in infrastructuur, geen langdurige implementatietrajecten, geen omkijken naar het onderhoud, en alleen betalen voor het daadwerkelijk gebruik. Maar lang niet alle bedrijfsapplicaties zijn geschikt voor het SaaS-model. Sommige zijn te zwaar (zoals de CAD-applicatie bij Darwind), er zijn wettelijke restricties of er is geen koppeling mogelijk tussen de verschillende SaaS-programma’s. Ook de beveiliging en back-up van SaaS-applicaties is een reden voor bedrijven om hier terughoudend in te zijn – het is immers niet duidelijk waar informatie wordt opgeslagen. De Wet bescherming persoonsgegevens verbiedt dat Europese organisaties persoonsgegevens buiten Europa opslaan. Als alle software lokaal draait, is er volledige

controle over de infrastructuur en de software. Een alternatief is het private-cloudmodel. Daarbij draait de applicatie in een vooraf gedefinieerd datacenter. Ook hierbij geldt dat een bedrijf geen omkijken meer heeft naar het onderhoud, maar wel zekerheid over waar gegevens zijn opgeslagen. Een bekend nadeel van dit model is dat servercapaciteit meestal voor langere tijd moet worden gehuurd. De capaciteit tussentijds terugschroeven is niet altijd mogelijk tenzij gebruikgemaakt wordt van virtuele servers. In het hybrid-computingconcept neemt de leverancier de volledige kantoorautomatisering op zich, door de integratie van lokale applicaties, datacenters en SaaS. Op basis van de gebruikte applicaties en eisen en wensen wordt bekeken wat de meest geschikte mix is. Gebruikers hebben één aanspreekpunt voor de servicelevels, facturatie, contracten en ondersteuning.

Dankzij de hybride aanpak was de verhuizing, na het faillissement, een koud kunstje ONDERSTEUNING Om de ict-ondersteuning in goede banen te leiden, kosten te beheersen en kennis op te bouwen binnen de eigen organisatie, wordt de ondersteuning in vaste banen geleid. Voordat gebruikers van een specifieke applicatie (zoals een CAD-systeem) naar de helpdesk van UNIT4 bellen, hebben ze eerst overleg gehad met ‘key users’ binnen de organisatie en vervolgens met interim-ict-servicemanager Hans de Meij. “We zijn het afgelopen jaar sterk gegroeid”, vertelt De Meij. “Kort na de overname telde XEMC Darwind veertig werknemers, nu

zijn dat er zeventig. Dit kan straks nog sneller toenemen als we een full-scale assemblageomgeving kunnen neerzetten. Wanneer dat gebeurt, moeten we misschien een ERP-systeem aanschaffen en zouden we wellicht een eigen IT-afdeling moeten oprichten. Om extra veiligheid in te bouwen, zijn we nu bezig om naast het kopernetwerk een glasvezelnetwerk aan te leggen, om de risico’s nog beter te spreiden. Hybrid computing is vanwege de flexibiliteit en de situatie waarin we nu zitten, voor ons de beste oplossing voor de ict.” CW


De noodzaak voor transparantie in de cloud

Vertrouwen of controle? Beveiliging en IT zijn al sinds jaar en dag onlosmakelijk met elkaar verbonden. Nu het internet steeds meer in het hart van organisaties zit, gaat de discussie niet langer over virussen en malware. Grote thema’s komen in beeld, zoals informatiediefstal en privacybescherming. Met de opkomst van cloud computing is de aandacht hiervoor verder toegenomen; de impact op het uitbesteden van IT-middelen is immers op het juridische en op het emotionele vlak heftig. Op welke manier kunnen cloudproviders hun afnemers hierin tegemoetkomen? DOOR KURT GLAZEMAKERS, CTO TERREMARK EUROPE

Om die vraag te beantwoorden, moeten we een sprong maken terug in de tijd. De discussie speelde immers ook al aan het begin van de eeuw, toen internet een belofte was voor een nieuwe economie en elk woord nog een ‘e-’ toegevoegd kreeg wanneer het een digitale variant was van een analoge ac-

tiviteit. Application service provisioning en storage service provisioning, oftewel applicaties en opslagcapaciteit als dienst, waren de toekomst. Beide fenomenen werden in de eerste vijf jaar van deze eeuw geen succes, hetgeen zeker te maken had met de economische situatie, maar ook met emoties bij klanten en met garanties aangaande de prestaties van de diensten en de veiligheid van de informatie.

WEL OF NIET IN DE CLOUD?

Kurt Glazemakers, CTO van Terremark Europe


Met de intrede van IT-outsourcing als financieel-fiscaal vehikel vanuit organisaties, met daaraan toegevoegd virtualisatie als technologische katalysator, zijn de afgelopen jaren flinke slagen gemaakt om bedrijfsinformatie locatieonafhankelijk buiten de eigen organisatie te beleggen. Dit heeft in elk geval de mindset van beslissingsnemers ‘klaargestoomd’ voor cloud computing. Outsourcing bleek immers een zeer handige tool,

al liep de uitbesteder wel het risico van een vendor lock-in in het geval hij ontevreden was over de dienstverlener. De cloud heeft ten minste de belofte van vrijheid om van aanbieder te wisselen, al is dat in de praktijk in een aantal gevallen erg betrekkelijk. Het zwaartepunt bij de discussie ‘wel of niet in de cloud’ ligt voor veel organisaties bij de beschikbaarheidsgaranties en de bepaling waaraan ze moeten voldoen aangaande de beveiliging van deze informatie. De invloed van weten regelgeving op informatieveiligheid neemt toe, mede ingegeven door toename van het aantal online financiële transacties en door de behoefte aan informatie-uitwisseling tussen verschillende instanties. Een voorbeeld daarvan is het landelijk EPD in Nederland. Cloudproviders dienen zich hiervan rekenschap te geven en hierop te anticiperen.

DE PCI DSS-STANDAARD Daartoe hebben ze de beschikking over SLA’s waarin hun verantwoordelijkheden op het gebied van onder andere prestaties en beschikbaarheid zijn vastgelegd. Een ander instrument is de certificering die met name op het gebied van informatieveiligheid een hoop duidelijkheid verschaft aan de afnemer. Hier volgen enkele voorbeelden van certificaten die binnen de hostingmarkt belangrijk zijn: SAS 70 is een toetsingsmiddel om de beheersing van de processen en daarmee de bedrijfsvoering aan het kritische oog van de accountant te onderwerpen. PCI DSS Compliance-certificering voor online transacties met betaalkaarten, is een ander certificaat dat aan gewicht wint in Nederland. Creditkaartmaatschappijen en banken zien steeds strenger hierop toe bij aangesloten webwinkeliers. De PCI DSS-standaard is zeer strikt en schrijft onder andere voor dat elke en-

Security

Een datacenter van Terremark in Miami, VS titeit alleen processen uitvoert die toegang hebben tot de dataomgeving van de kaarthouder van die entiteit. Dit omvat de toegang tot systemen, evenals het vermogen te bewijzen dat deze isolatie inderdaad plaatsvindt. Een andere vereiste is dat de toegang en privileges van elke entiteit beperkt moeten zijn tot de eigen systemen en data, en ten slotte moeten er logbestanden en audittrails beschikbaar zijn van alle gegevens van een kaarthouder. Kortom, het gaat niet alleen om toegang tot systemen te beveiligen tegen ongeautoriseerd gebruik, maar ook om achteraf te kunnen aantonen wie welke applicaties en data heeft geraadpleegd, aangepast en/of verplaatst. Niet alle aanbieders van ‘infrastructure as a service’-diensten (IaaS) in public clouds voldoen op dat vlak aan de compliancyvereisten, omdat ze bijvoorbeeld geen processen en mechanismen hebben die ze in staat stellen tot de vereiste logging en auditing. Je kunt niet ‘in’ hun cloud kijken om deze inzichten te verkrijgen. Omgekeerd hebben deze aanbieders ook niet de pretentie om klanten te bedienen met zware SLA- en compliancy-eisen. Dat ligt anders bij private-cloudproviders die in essentie meer instrumenten in handen hebben aangaande deze thema’s. Hun aanbod is in veel gevallen geëvolueerd vanuit een managed-hostingpropositie die elementen voor databeveiliging en auditing bevat.

VEILIGHEIDSMAATREGELEN Sec bekeken zou je een private IaaSclouddienst kunnen omschrijven als virtuele collocatie. Door het op die manier

te benaderen, kun je er vergelijkbare veiligheidsmaatregelen op loslaten. Je kunt strikt vastleggen wie er binnen mag en dit toegangsbeleid versterken met two-factorauthenticatie, waarbij je een toegangspas of biometrie combineert met een wachtwoord dan wel pincode. Zoals eerder gesteld, maakt dit een omgeving niet per se veilig. Two-factorauthenticatie is maar één drempel en zegt nog niets over de rechten die iemand heeft wanneer hij zich eenmaal heeft aangemeld. Daarvoor moet je iedereen die binnen de cloud bijvoorbeeld een nieuwe server creëert, verplichten dat in één interface te doen die de rechten van elke administrator kent en al zijn acties logt. Dat dient niet alleen de veiligheid van de systemen, maar automatiseert ook een aantal taken van de beheerder die hierdoor efficiënter zijn werk kan doen. Naast het loggen van acties en de juiste tooling om achteraf ‘forensisch onderzoek’ te kunnen doen, laat een private cloud zich vergelijken met een normaal (geoutsourced) datacenter. Hierdoor kan invulling gegeven worden aan individuele klantwensen op het gebied van security en compliancy. Het is mogelijk om op verschillende lagen van de infrastructuur gepaste maatregelen te treffen en policies in te richten voor dataverkeer. Zo kan op de fysieke netwerklaag een IPS geplaatst worden, of worden afgenomen als dienst van de cloudprovider. Ook is duidelijk op welke fysieke locatie de systemen en data staan. Dat lijkt triviaal, maar het is een zeer essentieel punt in vergelijking met public clouds en met cloudvormen als platform as a service (PaaS) en software as a service (SaaS).

Bij deze varianten is er veel minder invloed uit te oefenen op de onderliggende lagen en bepaalt de aanbieder de mate van beveiliging van de onderliggende infrastructuur. Daarnaast maken aanbieders van dit type diensten niet veel details bekend over hun beveiligingsarchitectuur en -middelen. Dat maakt het lastig voor een klant om volledig compliant te zijn wanneer gebruikgemaakt wordt van dergelijke clouddiensten. Wanneer aan de andere kant een private-cloudaanbieder gecertificeerd is volgens erkende normeringen, zal een audit bij een klant zich beperken tot het applicatieniveau. De onderliggende infrastructuur voldoet dan immers dankzij de erkende certificaten al aan de gestelde eisen. Door de aard van veel private clouds – gebaseerd op virtualisatie – zijn er uiteraard ook binnen deze vorm uitdagingen te noemen die de prestaties of de veiligheid van de informatie nadelig beïnvloeden. Dat kunnen zaken zijn als een VM ‘break-out’ attack (een guest virtual machine infiltreert en hackt zijn host – komt zelden voor), hypervisor log file flooding (een aanval die de log files van de hypervisor overspoelt met data, waardoor deze onbereikbaar wordt) en kwesties met gedeelde resources, zoals opslagcapaciteit, rekenkracht en RAM-geheugen. Hier staat tegenover dat VMware-virtualisatie op machineniveau beveiliging levert via VMsafe en de gelegenheid biedt om achteraf een volledige reconstructie te doen voor een forensisch onderzoek. Ook kunnen met de aanbieder afspraken gemaakt en vastgelegd worden over het prestatieniveau van de clouddienst.

CONCLUSIE Voor partijen die overwegen (een deel van) hun infrastructuur in de cloud te zetten, is het dus aan te raden goed te kijken naar de flexibiliteit van de aanbieders, de garanties die ze kunnen geven aangaande beschikbaarheid en veiligheid, en in geval van compliancy naar de certificeringen waarover ze beschikken. Dat laatste maakt ook een verschil bij een eventuele audit, aangezien een gecertificeerde cloud al voldoet aan de compliancyregels. CW


Veilig werken in de cloud:

een utopie? Onze manier van werken heeft de afgelopen jaren grote veranderingen doorgemaakt. Zowel bij de werknemer als de werkgever groeit de behoefte om werk flexibel in te delen. Bijvoorbeeld door thuiswerken de mogelijkheid te bieden mobiel te werken en een betere balans aan te brengen tussen werk en privé. Dat kan via de cloud, maar hoe doen we dat veilig? DOOR ANNE PLANCIUS, SOLUTIONSARCHITECT BIJ RES SOFTWARE

Clouds zijn in te delen in private en public clouds. De public cloud is op te vatten als software as a service, platform as a service, maar ook als desktop as a service. Hoe je de cloud ook gebruikt, uiteindelijk is er altijd een desktop nodig om de gebruiker toegang te geven tot zijn applicaties. Om flexibel te kunnen werken, moet deze desktop overal en altijd beschikbaar zijn, en toegang bieden tot de juiste diensten, de bijbehorende data, printers en settings. Dit is immers wat eindgebruikers nodig hebben om hun werk te kunnen doen. Naast deze flexibiliteit zorgt de public cloud voor een prijs per gebruiker. Hierdoor kan aanzienlijk worden bespaard op ITinvesteringen. De manier van werken en technologieën mogen dan drastisch zijn veranderd, de securityaanpak van bedrijven is vreemd genoeg niet meegegroeid. Nog steeds lezen we bijna dagelijks over de risico’s van cloud computing. Maar is deze kritiek wel terecht? Hoe veilig is het werken in de cloud?


BEVEILIGING IN DE CLOUD Bij informatiebeveiliging in de (public) cloud spelen twee aspecten een rol. Allereerst kunnen organisaties zich afvragen of het verstandig is om informatie toe te vertrouwen aan een provider van clouddiensten. Bij het gebruik van cloud computing wordt bedrijfsinformatie namelijk extern ondergebracht op de servers van de provider, en geeft de organisatie dus ook de beveiliging uit handen. Het is daarom belangrijk om vooraf grondig onderzoek te doen en met de juiste provider in zee te gaan. Het is mogelijk om dit te controleren op basis van certificering, bijvoorbeeld ISO 27001, maar uiteindelijk blijft dit vooral een kwestie van vertrouwen, zoals je een bank je geld toevertrouwt. Verder is de invloed op de beveiliging vanuit de organisatie gezien beperkt. Meer invloed hebben IT-beheerders op het tweede beveiligingaspect. Het ‘any place, any time’ werken betekent dat ITmiddelen op iedere gewenste locatie, op ieder gewenst moment en op ver-

schillende devices beschikbaar moeten zijn. IT-beheerders voorzien in deze behoefte door met cloud computing applicaties en data via internet aan te bieden. Het enige wat eindgebruikers dan nodig hebben is een device met een internetverbinding. Het online aanbieden van diensten en data zorgt voor optimale flexibiliteit, maar bezorgt tegelijkertijd ook de IT-beheerder extra zorgen op het gebied van beveiliging. Het beveiligen van content is aanzienlijk eenvoudiger wanneer werknemers werken op vaste computers, op vaste locaties en op vaste momenten van de dag. Wanneer medewerkers ook thuis, bij de klant

Security

of op openbare computers toegang kunnen krijgen tot bedrijfsinformatie, zijn de risico’s beduidend groter. Cloud computing vereist dan ook een nieuwe risicoanalyse.

EEN NIEUWE AANPAK IS VEREIST Hoewel nieuwe technologieën zoals cloud computing steeds populairder worden, blijven veel IT-beheerders vasthouden aan traditionele beveiligingsmethoden. Vaak kiezen zij dan voor een technologisch perspectief en leggen ze de focus op de beveiliging van IT-assets. Dit terwijl cloud computing juist vraagt

om een aanpak waarbij de eindgebruiker centraal wordt gesteld. De traditionele maatregelen zorgen er dan wel voor dat ongewenste personen geen toegang krijgen tot het bedrijfsnetwerk, maar dit betekent nog niet dat gevoelige informatie voldoende wordt beschermd. Zo kan het voorkomen dat een verpleegkundige voor twee verschillende afdelingen werkt en voor beide functies andere applicaties en gegevens nodig heeft. Deze persoon heeft dan (geheel volgens beveiligingsprotocol) de bevoegdheid om te werken met vertrouwelijke informatie van beide afdelingen. Toch

kan het zo zijn dat gegevens van de ene afdeling niet terecht mogen komen op de andere afdeling. De traditionele beveiligingsaanpak, gericht op de beveiliging van hardware en software, volstaat hierbij niet. Bovendien vergroot het de kans op fouten wanneer de medewerker toegang heeft tot gegevens die op dat moment niet relevant zijn. Een ander voorbeeld is een adviesbureau dat voor twee concurrerende organisaties werkt en daardoor toegang heeft tot vertrouwelijke informatie van beide partijen. Hierbij moet het niet mogelijk zijn dat content van klant A terechtkomt bij medewerkers van klant B,


Security wanneer een consultant zijn laptop per ongeluk onbeheerd achterlaat na een bezoek aan deze klant. Ook hierbij is het belangrijk dat de data beschikbaar is op de gewenste locaties en momenten om datalekken te voorkomen. De periode dat bedrijfsinformatie vanzelfsprekend binnen de organisatiemuren is opgeslagen op vaste computers en interne servers, ligt ver achter ons. Het wordt daarom hoog tijd dat organisaties verder denken dan de traditionele beveiligingsmethoden, en nadenken over oplossingen die werken in de cloud werkelijk veiliger maken.

PERSONALISATIE EN CENTRAAL BEHEER Het is de taak van de IT-beheerder om de werknemer te voorzien van de ITmiddelen die zij nodig hebben om hun werk zo goed mogelijk te kunnen doen. Dit zonder de veiligheid van bedrijfsgegevens in gevaar te brengen. Bij traditionele beveiligingsmethoden wordt de toegang van specifieke bedrijfsdata enkel bepaald aan de hand van de identiteit van de gebruiker. Allereerst houdt dit onbevoegde gebruikers van het bedrijfsnetwerk. Daarnaast biedt het de mogelijkheid om een verkoper andere rechten te geven dan bijvoorbeeld een HR-medewerker. Echter, zoals de eerder genoemde voorbeelden met de verpleegkundige en de consultant laten zien, is het bepalen van de identiteit niet voldoende. Er zijn meer risicobeperkende maatregelen nodig om informatie adequaat te beschermen. Zo is het belangrijk om reke-

IT-omgeving nodig waarin gepersonaliseerde, dynamische desktops aangeleverd kunnen worden. Zo beschikt de eindgebruiker over een persoonlijke, veilige desktop die exact aanbiedt wat deze persoon nodig heeft op die locatie en het moment waarop wordt gewerkt. Dit kan dus betekenen dat content juist niet beschikbaar is op een bepaalde locatie. Zo is het ook bij iemand die thuis werkt logisch dat bepaalde applicaties en gegevens niet meer toegankelijk zijn. Bij de gebruiker thuis heeft de ITbeheerder namelijk nauwelijks controle over de IT-omgeving en geen invloed op beveiliging van hardware en software om informatielekken tegen te gaan. Om deze persoonlijke, veilige desktop aan te kunnen bieden moeten applicaties, data, printers en gebruikersinstellingen worden losgekoppeld van de onderliggende technologie, zodat werkomgevingen volledig centraal kunnen worden beheerd. De centrale beheermogelijkheden bieden vervolgens de mogelijkheid om iedere eindgebruiker een gepersonaliseerde desktop aan te bieden, afhankelijk van waar, wanneer en op welk apparaat hij inlogt. Dit is het concept van een user workspace. Deze helpt voorkomen dat informatie terechtkomt waar het niet hoort.

DE EINDGEBRUIKER ALS UITGANGSPUNT De behoeften van de business en werknemers veranderen, en IT-beheerders staan voor de uitdaging om deze behoeften te ondersteunen met de best passende technologie. Cloud computing is een distributiemethode met veel

‘Door user workspaces centraal te beheren, kan bepaald worden waar, wanneer en voor wie informatie toegankelijk is’ ning te houden met de locatie, de tijd en het end point device waarop wordt gewerkt. Wanneer de verpleegkundige op afdeling A beschikt over de content die hoort bij die afdeling, en op afdeling B alleen toegang heeft tot informatie van die afdeling, is de kans beduidend kleiner dat data onbedoeld wordt uitgewisseld. Om de toegangsrechten te kunnen koppelen aan de locatie is een


nieuwe mogelijkheden die uitstekend aansluiten bij het flexibeler indelen van werk. Er zitten echter wel risico’s aan verbonden op het gebied van beveiliging. Door user workspaces centraal te beheren, kan IT dynamische desktops leveren met volledige controle over waar, wanneer en voor wie bepaalde bedrijfsinformatie toegankelijk is. Hierdoor zijn de risico’s op het gebied van informatiebe-

veiliging aanzienlijk kleiner. Technologieën blijven komen en gaan en het is verstandig om nieuwe mogelijkheden optimaal te benutten. Het is echter goed om te beseffen dat het eigenlijk niet uitmaakt voor welke distributietechnologie wordt gekozen, zolang deze de eindgebruiker maar voorziet van de content die hij nodig heeft om zijn werk in een veilige omgeving te kunnen doen. Wanneer iemand werkt met zwaardere applicaties kan het nodig zijn dat deze lokaal draaien om een goede werking ervan te garanderen. Ook vanuit veiligheidsperspectief kan het beter zijn om sommige applicaties lokaal te houden, in plaats van in de cloud. Bij bepaalde andere applicaties is het juist beter of noodzakelijk om ze vanuit de cloud aan te bieden, om zo de flexibiliteit van de eindgebruiker te vergroten. Ook hierbij biedt centraal desktopbeheer mogelijkheden. Door user workspaces centraal te beheren kan namelijk een ideale mix worden gemaakt van lokale, virtuele en cloudapplicaties. Uiteindelijk is vooral belangrijk dat organisaties niet de technologie, maar de eindgebruiker centraal stellen bij het nemen van IT-beslissingen. Zij moeten op een veilige wijze worden voorzien van de juiste applicaties, data en instellingen op de gewenste momenten. Er moet daarom gestreefd worden naar een IT-omgeving die flexibel genoeg is om snel mee te kunnen gaan met nieuwe technologieën. Het loskoppelen van user workspaces – met alle applicaties, data en instellingen – van de onderliggende technologie zorgt daarom voor snelle migraties en optimaal beheermogelijkheden gedurende het traject. Dit maakt de IT-omgeving flexibel waardoor migraties van bijvoorbeeld besturingssystemen volledig beheerbaar zijn. Organisaties doen er goed aan om nieuwe technologieën optimaal te benutten, maar voordat organisaties starten met cloud computing moeten zij goed nadenken over de nieuwe risico’s die hierbij komen kijken. Door gebruik te maken van centraal beheer en eindgebruikers dynamische workspaces aan te bieden, wordt een flexibele werkomgeving gecreëerd en worden de belangrijkste beveiligingsrisico’s weggenomen. CW

Helpt Uniservers Cloud-in-a-Box klanten de wolken in?

Geld verdienen met cloud computing

Voor ‘traditionele’ aanbieders van IT-dienstverlening lijkt cloud computing een regelrechte bedreiging te zijn van hun businessmodel. Maar er zijn volop kansen om goed te verdienen aan de cloud. De Nederlandse virtual-hostingprovider Uniserver belooft IT-servicebedrijven en VAR’s een eenvoudige transitie naar de cloud. DOOR DE REDACTIE

“IT-dienstverleners moeten zich schrap zetten. Hun klanten gaan vragen om cloud computing, of ze vragen het al. Ze willen lagere IT-kosten, meer flexibiliteit en minder gedoe met hun IT. Dat schept volop mogelijkheden voor resellers en IT-serviceproviders. Help de klant de cloud in en hij wordt vriend voor het leven.” Dat zegt Hugo van Diepen, medeoprichter en commercieel directeur van Uniserver. VAR’s en resellers ontkomen niet aan de transitie van ‘dozenschuiver’ naar dienstverlener. “Uiteindelijk is het lucratiever een langdurige relatie aan te gaan en elke maand een rekening te sturen, dan eens in de paar jaar op de deur


te kloppen en maar hopen dat je weer naar binnen mag om zaken te doen. Ook om die reden is het cloudmodel aantrekkelijk voor IT-leveranciers.”

AAN DE SLAG Uniserver zag enkele jaren geleden de bui uit de cloud al hangen. In 2009 is het bedrijf begonnen met een strategische heroriëntatie op de effecten van cloud computing, de gevolgen voor de markt en de kansen voor het bedrijf. Na uitvoerig marktonderzoek door een externe partij heeft Uniserver vastgesteld dat er opportunities lagen in ‘het kanaal’. Van Diepen: “Uniserver is tien jaar gele-

den begonnen als hostingbedrijf. In de afgelopen jaren hebben we veel kennis en ervaring opgedaan. Wij hebben altijd al partners gehad die hun infrastructuur bij ons hosten. Hun eindklanten, dat zijn er vaak honderden, zijn indirect dus ook bij ons onder dak. Naar aanleiding van het marktonderzoek hebben we onze infrastructuur en onze aanpak gestandaardiseerd en gestructureerd, en herverpakt tot een compleet partnerprogramma. Dat is Uniserver Cloud-ina-Box. Onze partners kunnen er zo mee aan de slag.” Uniserver Cloud-in-a-Box is een uitgebreid pakket aan tools en services

Hardware

waarmee resellers en IT-bedrijven onder hun eigen naam cloud computing op de markt kunnen zetten. Een partner kan indien gewenst binnen tien dagen up-and-running zijn als cloudaanbieder. Uniserver Cloud-in-a-Box omvat alles wat nodig is om cloud computing te verkopen en als dienst te leveren. Het gaat dan om een kant-en-klare saleskit, inclusief training, salespresentaties, contracttemplates en service level agreements. “De partner hoeft bij wijze van spreken alleen zijn bedrijfsgegevens en logo toe te voegen aan het materiaal, en hij is in business.” Ook de techniek is geregeld. Centraal

in de propositie van Uniserver staan de UniStructure- en UniControl-technologie. UniStructure is het hostingplatform waarop klanten en IT-partners/resellers virtuele servercapaciteit afnemen vanuit Uniservers virtuele datacenter, inclusief storage en beveiliging. De virtuele infrastructuur is gebaseerd op VMware. UniStructure is robuust opgezet: multidatacenter, 24/7 SLA’s, 99,98 procent uptimegarantie en performance, en zeer zware security. UniControl is het VCenter-beheerpaneel waarmee eindklanten en IT-partners/resellers hun UniStructure beheren. Vanuit hun persoonlijke webportal kunnen zij de eigen cloud flexibel

realiseren en managen. Capaciteit (GB, CPU, storage, bandbreedte en VM’s) kan naar believen worden opgeschaald en afgeschaald. De gebruiker is in staat om intensief te monitoren, servers te klonen, et cetera. Van Diepen: “Onze virtual-hostingoplossingen worden aangeboden vanuit de datacenters van TelecityGroup. We hebben gekozen voor TelecityGroup, omdat zij enkele van de veiligste, netwerkonafhankelijke datacenters ter wereld beheren. TelecityGroup biedt een volledig redundante energie- en koelingsinfrastructuur zodat onze diensten zeker, betrouwbaar en altijd beschikbaar zijn.”


Hardware GRIP HOUDEN Uit het onderzoek kwam onder meer ook naar voren dat het uitermate belangrijk is voor partners zelf grip te houden op de infrastructuur van hun klanten. Uniserver Cloud-in-a-Box voorziet daar dan ook in. “De eindklanten maken gebruik van ons virtuele datacentrum, maar met UniControl blijft de partner aan het stuur. De partner zorgt met onze hulp zelf voor het inrichten en in gebruik nemen van de cloud van zijn klanten. Ook houdt hij via het beheerplatform UniControl het beheer over de infrastructuur van zijn klant. De partner krijgt nog meer controle op de IT van zijn klanten dan hij al had.” De dienstverlening van Uniserver gaat tot aan het operatingsysteem en de daarop draaiende applicaties. Dat wil zeggen dat Uniserver de hardware-infrastructuur, de bandbreedte en de opslag/ back-up afhandelt. Wat daar bovenop moet draaien, is de verantwoordelijkheid van de partner of de eindklant. De partner kan zich bijvoorbeeld toeleggen op het functioneel beheer over de applicaties van de klant.

137,00 euro per server, per maand. Afhankelijk van de aantallen servers die een partner afneemt, biedt Uniserver oplopende staffelkortingen en tot tientallen procenten marge op de listprijzen.

IN DE PRAKTIJK Een van de gebruikers van Uniservers infrastructure as a service (IaaS-)propositie is het Amsterdamse ICATT. ‘Een betere nachtrust’, dat is een van de effecten die Michiel Klønhammer, medeoprichter van ICATT interactive media, heeft ondervonden sinds het bedrijf zaken doet met Uniserver als hostingpartner. Bovendien doet ICATT meer business nu het virtual hosting weet te bieden. ICATT is een van de oudste internetservicebedrijven van Nederland. Het bedrijf heeft een trouwe klantenschare, bestaande uit bedrijven en organisaties in alle soorten en maten. ICATT is in de eerste plaats een internetspecialist. Hosting was daarbij min of meer een noodzakelijk kwaad. ICATT liep aan tegen de grenzen van de eigen hosting resources. Hosting is

Via een webportal is monitoring en het open afschalen van capaciteit mogelijk Alles goed en wel, maar wat kost dat allemaal? “Kosten zijn niet relevant, het gaat een partner erom wat ie ermee verdient, wat zijn marge is”, zegt Van Diepen. “Onze prijzen zijn concurrerend. Partners kunnen goed verdienen met Uniserver Cloud-in-a-Box dankzij de gestroomlijnde processen, de snelle implementatietijd van hun nieuwe klanten en onze bedrijfszekerheid. Zij kunnen 99,98 procent gegarandeerde uptime doorgeven aan hun eindklanten op basis van enterprise-classcomponenten die volledig flexibel en schaalbaar inzetbaar zijn.” Wat de partner betaalt, is afhankelijk van wat hij afneemt en wat past binnen zijn bedrijfsbehoefte en doelstellingen. Om toch een indicatie te geven: een partner kan per server capaciteit inkopen. Hij ontvangt de beheerschil om de server zelf te bedienen. De listprijzen zijn vanaf


immers een specialisme. Het op peil brengen en houden van de benodigde kennis is kostbaar. Bovendien vraagt het om aanzienlijke investeringen in apparatuur en voorzieningen. Klønhammer: “We deden tot dan toe zelf de hosting van onze klantensites in ons eigen datacentrum. We merkten dat we sommige grootschalige projecten voorbij lieten gaan omdat de hosting ervan te veel van onze krachten zou vergen. Dat kan natuurlijk niet. Om die reden zijn we op zoek gegaan naar een outsourcingspartner met virtual hosting in het portfolio.” Klønhammer en zijn hostingmanager, Vincent Berendsen, zijn na gedegen marktonderzoek uitgekomen bij Uniserver. “Omdat we zelf altijd in de hosting hebben gezeten, weten we precies van de hoed en de rand. Uniserver loopt technisch voorop in de markt. De tarieven zijn concurrerend. Bovendien

Ronald Bezuur (l) en Hugo van Diepen (r), oprichters van Uniserver hanteert het bedrijf een aanpak die helemaal aansluit op onze behoeften.” ICATT heeft een breed scala aan opdrachtgevers. Sommige staan in het brandpunt van de maatschappelijke belangstelling. “Snelheid van handelen is absoluut onderscheidend in onze business. Het gebeurt regelmatig dat de ochtendkrant opent met een item waar grote belangstelling voor is. Dan weet je dat je webverkeer gaat exploderen, en dat je als de bliksem je capaciteit moet uitbreiden. Dat kunnen we zelf regelen via UniControl. Bij Uniserver is dat in één telefoontje ook zakelijk geregeld, zonder dat we daar allerlei tijdrovende procedures en onderhandelingen voor hoeven te doorlopen.” Nu ICATT makkelijk uitbreidbare en kwalitatief hoogwaardige hostingservices kan bieden, kan het nu ook de grootste projecten aan. “Deze nieuwe vorm van hosten heeft aantoonbaar tot meer business geleid. We hebben klanten terug zien komen, die hun hosting eerder elders hadden ondergebracht. En nieuwe klanten weten ons ook beter te vinden. Als middelgroot bedrijf zijn we volledig in staat mee te spelen op topniveau.” Klønhammer is ervan overtuigd dat de keuze voor virtual hosting de juiste is geweest. “Als je het eenmaal hebt gedaan, begrijp je niet dat niet veel meer bedrijven deze stap zetten.” CW

Juridisch

The Legal Look DOOR MR. VICTOR A. DE POUS, BEDRIJFSJURIST EN INDUSTRIEANALIST

In ieder nummer van CloudWorkss worden meerdere juridische vraagstukken rondom cloud computing behandeld. Hebt u een vraag op het snijvlak van cloud en recht, stuurt u dan een mailtje naar [email protected].

> WAT SPEELT ER BIJ CLOUD COMPUTING TEN AANZIEN VAN DE PRIVACY?

> WAT ZIJN DE VOORNAAMSTE PRIVACYVOORSCHRIFTEN?

Het juridische uitgangspunt luidt dat iedereen aanspraak kan maken op rechtsbescherming voor zijn persoonlijke levenssfeer. In Nederland hebben wij dit recht in onze Grondwet verankerd. Ook het Europees Verdrag voor de Rechten van de Mens (EVRM) spreekt ervan. Daarnaast hebben we in de 27 lidstaten van de Europese Unie en dus ook hier te maken met de Richtlijn privacybescherming, die is omgezet in de Wet bescherming persoonsgegevens. Centraal daarin staat de verwerking van persoonsgegevens. Maar let op! Onder de reikwijdte vallen vrijwel alle vormen van omgang met persoonsgegevens zoals het verzamelen, opslaan, bewaren, vergelijken, koppelen, raadplegen en het verstrekken van persoonsgegevens aan een derde. Een gegeven – of zo u wilt: bedrijfsinformatie – is een persoonsgegeven in de zin van de wet, wanneer de data informatie bevat over een natuurlijk persoon en die persoon identificeerbaar is. Dat doet zich in het zakelijk verkeer overigens al snel voor. Denk alleen al aan bestanden over medewerkers voor bijvoorbeeld de salarisadministratie of klantgegevens die op naam staan. Zelfs een individueel e-mailbericht, sms-bericht, chat of tweet is goed beschouwd een persoonsgegeven. Bij cloud computing geldt de Wet bescherming persoonsgegevens onverkort, terwijl de gebruiker doorgaans niet weet waar zijn gegevens worden verwerkt. De informatie kan zelfs Nederland of Europa uit zijn.

De verwerking van persoonsgegevens moet ook bij SaaS en cloud computing rechtmatig plaatsvinden. Dat wil zeggen: op een behoorlijke en zorgvuldige wijze en in overeenstemming met de wet. Zo moet een bedrijf of overheidsorganisatie één of meer duidelijk bepaalde en gerechtvaardige doeleinden voor het verzamelen van persoonsgegevens hebben en deze helder omschrijven. Een doel mag het drijven van handel zijn en het optimaliseren van de relatie met klanten. Vervolgens moet de verwerking gebaseerd zijn op een van de in de wet genoemde grondslagen, waaronder de ondubbelzinnige toestemming van de betrokkene of noodzakelijkheid voor de

delijke’ en ‘bewerker’ in het kader van de verwerking van persoonsgegevens. Dit zijn juridische sleutelbegrippen. Onder meer door het model van ‘automatisering op afstand’ en grensoverschrijdende ict ontstaat er complexiteit. In toenemende mate schetst het CBP, samen met haar Europese pendanten, scenario’s waarbij verantwoordelijken en bewerkers beiden een rol spelen en waarbij het lastig vast te stellen is wie welke verantwoordelijkheid heeft. Toch

‘Het College bescherming persoonsgegevens maakt zich zorgen over cloud computing’ uitvoering van een contract. Daarnaast vereist het gehele verwerkingstraject organisatorische en technische beschermingsmaatregelen.

> WAAR LIGGEN POTENTIËLE PROBLEMEN? Het College bescherming persoonsgegevens, de overheidsorganisatie die op naleving van onze privacywetgeving toeziet, maakt zich zorgen over cloud computing. Dat heeft bijvoorbeeld te maken op de begrippen ‘verantwoor-

moeten burgers weten aan wie zij vragen kunnen stellen over de vraag wie de verantwoordelijke is, moeten burgers spoorzoeken, en lopen zij het risico van het kastje naar de muur te worden gestuurd. CW Mr. V.A. de Pous is bedrijfsjurist en industrieanalist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.


ORSYP SP Analyst verbetert IT-processen

Workload en scheduling in de cloud Cloud computing werkt alleen wanneer voldoende computercapaciteit beschikbaar is achter de geleverde clouddiensten. Voor het kosteneffectief inzetten van computercapaciteit moeten we teruggrijpen op beheerdisciplines uit het mainframetijdperk: batchverwerking. Een Franse nichespeler, Orsyp, maakte er een job scheduler voor waarmee grote datacentra inmiddels ‘in de wolken’ zijn. DOOR FRANS VAN DER GEEST, FREELANCE JOURNALIST Elke seconde vliegen ontelbare miljarden databits over netwerken van en naar computers. Je hoeft geen helderziende te zijn om te voorspellen dat met de acceptatie van cloud computing de te verzenden en te verwerken data verder in omvang zal toenemen. Verborgen achter de virtuele cloud, bevindt zich het fysieke datacenter of een reeks gekoppelde centra. Zonder een verregaande automatisering van de processen in de cloudcentra dreigt op korte termijn een tekort te ontstaan aan controleurs, werkvoorbereiders en analisten die de verwerkingstaken beoordelen en verdelen over de beschikbare systeembronnen.

COMPLEX Cloud computing laat zich vergelijken met een moderne auto: simpel en functioneel aan de buitenkant, maar complex aan de binnenkant. Onder het motto ‘power aan de eindgebruiker’, vergeten we te gemakkelijk dat achter de schermen een omvangrijk raderwerk aan systeembronnen het feitelijke werk uitvoert. Een reusachtig geïntegreerd stelsel van processen die databases bewaakt en onderhoudt, zorgt voor voldoende opslag, analyseert, extraheert en aggregeert datastromen, en afhankelijk van de afloop van programmataken 38 - CLOUDWORKS - JULI 2010

activeert (dan wel onderbreekt) processen. Het rekencentrum uit lang vervlogen tijden beleeft een virtuele wederopstanding in de cloud. Wie overweegt de primaire informatievoorziening over te hevelen naar de cloud, zal zich ook moeten verdiepen in de diverse disciplines in het datacenter. Handwerk is daar niet langer een optie. Het in goede banen leiden van computertaken is al zo oud als de automatisering zelf. Uit de begintijd dateert in dit verband bijvoorbeeld de batchverwerking. Tegenwoordig onderscheidt men ‘jobs’ en ‘batches’ vaak verspreid over meerdere computersystemen. De situatie is onvergelijkbaar complexer dan in de tijd dat slechts op een enkel mainframe verwerkingstijd en -capaciteit gereserveerd moesten worden. Daarom zijn monitoring, scheduling en integriteitsbewaking thans van enorm belang. Er zijn daarvoor producten op de markt, zoals CA Workload Automation, ROC Maestro, IBM Tivoli (TWS), ORSYP Dollar Universe en Redwood, die alle hun eigen voorkeuromgeving hebben. Soms wordt gedacht dat verwerkingscapaciteit ‘bijgekocht’ kan worden door meer hardware bij te plaatsen of een extra glasvezelverbinding in gebruik te nemen. Dit kan in het begin misschien

enig soelaas bieden, maar het schuift de problematiek slechts een klein beetje vooruit. Want met de inzet van extra hardware neemt ook de complexiteit weer toe en zullen beheertaken meer aandacht en controle vragen. En dan blijkt telkens weer dat bijvoorbeeld servers en CPU’s maar een fractie (typisch <10 procent) van hun capaciteit benutten en het grootste deel van hun tijd nutteloos energie staan te verspillen. De bottleneck is dus veel meer gelegen in het inefficiënte gebruik van infrastructuren en resources.

ORSYP SP ANALYST 5.3 Een bedrijf dat al meer dan twintig jaar ervaring heeft met het ontwikkelen van software voor prestatieverhoging van IT-processen, is ORSYP. De inzet van software, zo bewijst deze Franse onderneming bij ruim 1.400 klanten, is vele malen doelmatiger dan het vernieuwen van een serverpark of datacenter. En de software gaat langer mee. Ook als in de toekomst dataverwerking ‘in the cloud’ zich aandient. Uit kostenaspect alleen al verdient de toepassing van scheduling en monitoring in job- en batchverwerking veruit de voorkeur in omgevingen met meerdere servers, platforms en werkplekken. Oplossingen zouden toegesneden kunnen zijn op weliswaar omvangrijke maar minder heterogene ict-opstellingen. ORSYP heeft er echter voor gekozen een scriptingtaal toe te passen, die breed inzetbaar en flexibel is. Zo spelen het platform (Unix, Windows) en de toepassingen geen belangrijke (lees: hinderlijke) rol meer bij workload- en schedulingtaken. En een goed inzicht in de prestaties en belasting van servers is onontbeerlijk voor het voorspellen (en voorkómen!) van IT-problemen. ORSYP heeft daarvoor SP Analyst ontwikkeld, waarvan onlangs

Software

ORSYP’s monitoringssoftware biedt een realtime overzicht van geautomatiseerde IT-processen. versie 5.3 is uitgebracht. Zowel realtime als historische data kunnen daarmee getoond en geanalyseerd worden.

SONACA Voor de Franse fabrikant van vliegtuigonderdelen, Sonaca, was in 2009 de maat vol. De kosten voor het op orde houden van de dataverwerking op diverse platforms, dreigden de pan uit te rijzen. Het aantal computersystemen (Unix/Linux en Windows) was gegroeid, de beheer(s)baarheid ging achteruit en in de bestaande CA-applicaties Agent Technology en Workload Automation zag men geen betaalbaar toekomstperspectief. Met back-ups en het stilleggen en opstarten van SAP, Oracle en legacyprogrammatuur dreigden ontoelaatbare situaties te ontstaan. Na een onderzoek besloot men een migratietraject op poten te zetten naar DollarUniverse voor scheduling. De jobketens zouden om te beginnen eenop-een overgezet worden. Voor het ‘zwaardere’ werk van de migratie en de algehele supervisie werd de assistentie ingeroepen van Sogeti, dicht bij huis. De rest van de jobketens werd door de Sonaca-medewerkers zelf gedaan. In september startte het werk en in december was de migratie naar de ORSYP-oplossing zo goed als voltooid. In 2010 volgden nog wat kleinere overzettingen en aanpassingen, die de Unix- en Windows-werelden waar dezelfde schedulingprocessen voorkwamen, beter op elkaar afstemden. Ook werden de uitkomsten van de monitoring (GroundWork) als triggers voor jobs ingeregeld. Medio 2010 is Sonaca een verdere uitbreiding van de ORSYP-oplossing naar meer servers en applicaties aan het

voorbereiden. De problemen waarmee men geconfronteerd werd, zijn inmiddels opgelost. In de Windows-omgeving was het onmogelijk een job te plannen op een actief scherm (in de interactieve modus). Daar heeft men ps.exe op gezet en dat bleek wonderwel te werken. En er waren nog oude 16-bits executables in Windows waar men via scriptmodificaties omheen kon.

TOTAL Een andere klant van ORSYP, de chemische tak van aardoliemaatschappij Total, heeft vestigingen over de gehele wereld en moet 24 uur per dag en alle dagen van het jaar operationeel paraat zijn. Het centrale beheer van de IT-infrastructuur was in het gedrang gekomen door de grote uitbreidingen van de laatste jaren. Total Petrochemicals was bij DollarUni-

verse van ORSYP uitgekomen, omdat het het volledige traject kon bestrijken en men er alle jobs gestandaardiseerd in kon onderbrengen. DollarUniverse bleek in staat elke job een unieke sourcecode toe te kennen om die jobs vervolgens slim over de beschikbare platforms en systemen te herdistribueren. Tegelijk bood de software voldoende analytische hulpmiddelen om alles inzichtelijk en beheerbaar te houden. Geleidelijk heeft Total Petrochemicals de ORSYPsoftware verbreed van financiën en apparatuurbeheer tot ruim 400 servers, die meer dan 1 miljoen runs per maand draaien. Alles zonder noemenswaardig onderhoud.

CONCLUSIE Achter de nieuwe cloudconcepten schuilen technieken waarmee datacenters al veel langer ervaring hebben. Daar weten ze dat permanente beschikbaarheid van online services vraagt om een goede organisatie rondom de primaire IT-processen, teneinde het geheel beheersbaar te houden. Essentiële databronnen als databases en datawarehouses hebben onderhoud nodig in de vorm van reorganisatie, verversing en tuning. Het uitvoeren van die taken kan op de achtergrond tijdens batch runs worden uitgevoerd. Daarbij wordt het verloop van de procesgang ingericht en bewaakt via een job scheduler. Het gebruik daarvan laat zich vergelijken met het inrichten van bedrijfsprocessen via een workflow tool. De gebruiker legt de processtappen vast in een scriptingtaal. CW

Toekomst voor batchverwerking Bewaken, analyseren en prioriteiten toekennen aan gebeurtenissen en processen – daarbij rekening houdend met beschikbare capaciteit – kunnen in hoge mate geautomatiseerd worden. IT’ers kunnen daardoor meer tijd overhouden voor hun eigenlijke werk. Gartner heeft vastgesteld dat bijna 70 procent van alle bedrijfsprocessen batchgewijs verwerkt wordt. Dit percentage zal voorlopig niet sterk teruglopen. Want juist door de toenemende onlinetoepassingen in een service oriented architecture of in de cloud neemt het belang van goed en geautomatiseerd IT-beheer toe. Systeemcapaciteit in de virtuele wereld lijkt onuitputtelijk, net als

bandbreedte, maar is dat in de realiteit natuurlijk niet. Functies die 24 uur van de dag online ter beschikking moeten staan, stellen extreem hoge eisen aan de achterliggende databases en datawarehouses. Voor het updaten, reorganiseren en laden daarvan is tijd en capaciteit nodig, ruimte die we zullen moeten halen uit de schaarse momenten binnen een etmaal wanneer de systeembronnen niet allemaal ter beschikking staan van de onlineoperaties. Automatisering van capaciteitsverdeling via job scheduling en workloadfaciliteiten is een must in een wereld waarin handmatige arbeid als te traag, te kostbaar en te onnauwkeurig wordt ervaren. JULI 2010 - CLOUDWORKS - 39

De cloud voorziet vooral in betere dienstverlening

‘Kostenbesparing is niet het belangrijkste’

David Parker is vicepresident van de afdelingen Cloudmarketing en GTS-marketingmanagement bij IBM. Hij leidt het wereldwijde IBM-team dat zich bezighoudt met het ontwerpen en aanbieden van clouddiensten. CloudWorks sprak met Parker, die al ruim dertig jaar bij IBM werkt en daar alles heeft meegemaakt, van mainframes tot de dotcomcrisis. En nu de cloudhype. DOOR JEROEN HORLINGS, HOOFDREDACTEUR VAN CLOUDWORKS

Vanwaar uw bezoek aan het Europese continent? De cloud is momenteel overal ter wereld een ‘hot topic’. Het is mijn rol om IBM’s visie over de cloud over te brengen. Het is beter om dat persoonlijk te doen, dan hierover te communiceren zittend achter mijn bureau in het hoofdkantoor in de VS. Door bij mensen op bezoek te gaan, zie je direct wat het met ze doet en krijg je nuttige feedback. Ook weet je dan zeker dat de boodschap goed overkomt. Waar gelooft IBM het meest in, public of private clouds? IBM kan alles leveren. We leveren niet alleen public-, maar ook private-clouddiensten, hetzij gehost in ons eigen datacenter of lokaal geïmplementeerd bij een klant die onze expertise verlangt. Hetzelfde geldt voor public clouds. Of een klant nu gebruik wil maken van onze hosting of zelf een public cloud wil op-


zetten, we kunnen ze in alle gevallen helpen. We pinnen ons dus niet vast op één model, maar kunnen alles leveren wat de klant wil. Cloudleveranciers die zich in slechts één variant specialiseren, hebben wat mij betreft geen compleet cloudaanbod.

derd of een paar duizend servers, raakt de hefboom uitgewerkt. De prijs van extra servers is dan niet meer interessant. Wanneer je dat vergelijkt met de kosten voor een public cloud, dan is het verschil op lange termijn niet schrikbarend groot. Uiteraard is het wel een groot verschil voor start-ups ten opzichte van een bedrijf met eigen kapitaal. Hoe zit het met de concurrentie? Er zijn twee groepen concurrenten: de traditionele, die aan hun hele portfolio ineens het woord ‘cloud’ toevoegen – zoals hostingproviders – en een nieuwe generatie bedrijven die zich exclusief op de cloud richten. Vele claimen dat het niets nieuws is onder de zon en dat men zich er al jaren mee bezighoudt. Zij hebben deels gelijk, omdat virtualisatie natuurlijk al jaren bestaat. Maar er is een kantelpunt. In de consumentenmarkt vinden we het al jaren normaal dat we mu-

”Snelheid en verbeterde dienstverlening is een groter voordeel dan kostenreductie” Gaat het principe van een private cloud, dus het investeren in fysieke machines, niet in tegen de flexibiliteit en onbeperkte groeimogelijkheden van de cloudfilosofie? Er is een punt waarop de kosten voor investeringen niet meer interessant zijn. Wanneer je investeert in een paar hon-

ziek, producten en diensten online kopen. Je vraagt je dan af waarom dat nog niet standaard is in het bedrijfsleven. Als gebruiker zie je de cloud als een manier om diensten te gebruiken. Als provider, hetzij als een IT-afdeling binnen een bedrijf of als leverancier zoals IBM, zie je het als een nieuw leveringsmodel. IBM

Interview

Interview ziet de cloud als een consumptie- en leveringsmodel voor diensten, voortkomend uit onze ervaring met het internet. We zijn zelf erg zorgvuldig met het toevoegen van het woord ‘cloud’ aan een dienst – in tegenstelling tot sommige concurrenten. Wat vindt IBM van grote cloudspelers als Google en Amazon? Een van minpunten is dat deze bedrijven eigen ‘proprietary’ standaarden gebruiken. Wanneer je van de ene naar de andere cloudprovider wilt overschakelen, kan dat problemen opleveren omdat deze andere standaarden gebruikt – de zogenaamde ‘vendor lock-in’. Wij gebruiken dezelfde standaarden die al jaren in het datacenter gebruikt worden. Het ‘pay per use’-betaalmodel om bijvoorbeeld data op te slaan bij Amazon is met name interessant om archiefmateriaal op te slaan dat niet zo vaak wordt opgevraagd. Maar IBM gelooft meer in een opslagmethode die geschikt is voor tier 2-data die erg actief gebruikt wordt. De klant weet nu ook hoe hoeveel capaciteit hij verbruikt en wat dat kost, en wij kunnen op basis daarvan een maatoplossing bieden. Het voordeel van de cloud is vooral de verbeterde timeto-value en dus betere dienstverlening die daaruit voortvloeit. Pas daarna komt kostenreductie om de hoek kijken. Hoe zit het met security? Instellingen vertrouwen niet snel een bedrijf. Maar IBM heeft natuurlijk veel ervaring en een goede reputatie op het gebied van beveiliging. We kunnen ook uitleggen wat we eraan doen. Dit in tegenstelling tot bijvoorbeeld Amazon en Google die vrij mysterieus doen over hun datacenters en de manier waarop ze data beheren en beveiligen. Vooral financiële instellingen zijn nog huiverig voor de cloud. Informatiebeveiliging is voor dergelijke partijen natuurlijk essentieel en ze moeten ook nog voldoen aan strakke richtlijnen vanuit de overheid. Een keuze voor een private cloud, op een vaste locatie, ligt in dat geval voor de hand. Wat vind u van reglementen die overheden, zoals die van de VS en EU, stellen met betrekking tot het opslaan van data – mag vaak niet buiten de landsgrenzen. Is die stelling niet een beetje gedateerd, aangezien dat juist het


“Een leverancier die slechts één cloudvorm aanbiedt, heeft geen compleet portfolio” grote voordeel is van de cloud? Data is wereldwijd juist sneller benaderbaar als het ook op meerdere locaties is opgeslagen… IBM hanteert een strikt beleid ten aanzien van de nationale regels. We houden bij welke data wel en niet over de landsgrenzen mag worden opgeslagen, om zo tegemoet te komen aan zowel de klant als de overheid. Ik heb er begrip voor dat bepaalde gegevens, bijvoorbeeld die van financiële instellingen, niet over de landsgrenzen mogen worden opgevraagd vanwege het nationale veiligheidsbelang. Maar staat dat uw grote plannen met public-clouddiensten niet in de weg, omdat dit ten koste gaat van de efficiëntie hiervan? Ja, het kan gevolgen hebben voor de efficiëntie van bepaalde diensten, maar we hebben voldoende mogelijkheden om hiermee om te gaan. Bovendien betekent de verplichting om data lokaal op te slaan niet dat je het niet vanuit een ander land mag managen. Wil je bijvoorbeeld bepaalde data analyseren, dan kan dat zonder dat de inhoud publiek wordt gemaakt. Er zijn creatieve oplossingen

om hiermee om te gaan, dus ik zie dergelijke regulaties niet als een beperking. Ten slotte, ziet u cloud computing als een evolutie van het internet of als een revolutie? Technologie is de laatste jaren ingrijpend veranderd, kijk maar naar wat mobiele telefoons vandaag de dag kunnen. De cloud biedt ons nieuwe mogelijkheden en zorgt ervoor dat techniek naar de achtergrond verdwijnt. Een paar jaar geleden hadden we veertig verschillende systemen voor business intelligence, die data analyseerden en rapporten uitdraaiden. Als CFO was het een complexe en tijdsintensieve aangelegenheid om een goed beeld te krijgen van de financiële situatie van het bedrijf. En door alle verschillende systemen was de foutmarge ook relatief hoog. Nu hebben we één BI-platform dat in de cloud draait, waar 200.000 werknemers gebruik van maken. Gegevens zijn met één klik op te vragen en doordat het veel minder tijd kost, is er ook tijd om nieuwe verbanden te leggen. De reden waarom cloud computing zo populair is, is omdat het antwoorden biedt voor problemen die vandaag de dag spelen. CW

Cloud Nu ook online!

Kijk voor alle artikelen en het laatste nieuws op:

Nu nog instappen in cloud hosting?

Te laat! De opkomst van cloud computing verandert de toekomst van elke hostingprovider. Tot voor kort konden alleen enterprises cloud computing uitrollen, tegen heel hoge kosten waardoor het niet toegankelijk was voor de bredere markt. Door de komst van internet, virtualisatie en snellere servers komt cloud computing binnen het bereik van de kleinere ondernemingen. Hostingproviders die nu nog op de cloudtrein willen springen, zijn echter te laat. DOOR RONALD BEZUUR, OPERATIONEEL DIRECTEUR UNISERVER

Het is precies tien jaar geleden dat de grondleggers van Uniserver vanuit een zolderkamer startten met webhosting. De start van dat bedrijf paste in een duidelijke trend. De eerste hostingproviders moesten het hebben van gratis en/of betaalde ‘shared web hosting’diensten. Het hebben en verkopen van domeinnamen zorgde ervoor dat deze partijen in de jaren negentig snel konden groeien. E-mail en websites werden immers topprioriteit van bijna elk bedrijf. Er ontstonden tal van nieuwe hostingproviders – veelal technisch geschoolden – die webhosting voor hun werk, school of iets anders moesten opzetten. Veel hostingproviders uit deze tijd behoren tot de grotere providers in de huidige markt. Zo is het ook met Uniserver gegaan.

10 tot 20 procent gebruikt, terwijl ze wel 24/7/365 energie en koeling verbruikten. Het is een simpel rekensommetje dat je vijf tot tien servers kwijt moet kunnen in een systeem als ze toch maar 10 tot 20 procent van hun resources gebruiken. Dit verklaart direct de aantrekkingskracht van consolidatie en virtualisatie. Hostingproviders zoals Uniserver hadden daarom al vroeg het idee om servers te virtualiseren. De technologie was er alleen nog niet rijp voor. De komst van VMware betekende een doorbraak. Bovendien gingen de prijzen van opslag en SAN drastisch omlaag waardoor het opeens wel interessant werd. In 2007 werd in Amerika gesproken met

processen meer met fysieke servers, maar gewoon op afstand een of enkele servers kopiëren van het ene datacenter naar het andere. Tijdens verkennende gesprekken met VMware kwam ter sprake dat zij een pilot voor hostingproviders wilden star-

IN DEN BEGINNE

Cloud hosting is veel meer dan een aantal fysieke servers virtualiseren

In de beginjaren waren bedrijven als Uniserver sterk afhankelijk van de voormaar ook de nadelen van fysieke servers. Door de voortschrijdende digitalisering van bedrijfsprocessen nam in de markt de behoefte aan extra servers toe. De meeste servers werden echter maar voor

providers die virtuele servers als een highavailabilityserveroplossing aanboden. Al snel werd duidelijk dat voor hostingproviders als Uniserver hierin de toekomst zou liggen. Geen vertragende


ten met een flexibel licentiemodel. Een interessante ontwikkeling aangezien dit voor versnelling in de markt zou zorgen. Na een intensieve, maandenlange testperiode stond het eerste platform en al

Visie

binnen enkele dagen konden de eerste klanten – die er de voordelen van zagen – gemigreerd worden. Toen is binnen Uniserver de fundamentele beslissing genomen om zich te focussen op virtualisatie in plaats van op het plaatsen en beheren van fysieke servers. Daardoor was Uniserver al in een vroeg stadium bezig met cloudtechnologie.

DE HOSTINGMARKT ANNO 2010 Veel serviceproviders in Nederland zijn wel bezig met virtualisatie maar hebben het juiste businessmodel nog niet gevonden. Doorlopende contracten met (eigen) datacenters en nog niet afgeschreven hardware vertragen de transitie. Veel providers zullen zich blijven focussen op hun corebusiness en wachten

passief af. Veel meer providers zouden zich echter moeten specialiseren in een bepaalde dienst en/of doelgroep. Dat is namelijk de enige manier om bij te blijven. De markt verandert sneller dan de meeste providers kunnen bijhouden. Verder laat de markt zien dat klanten steeds vaker de voordelen inzien van outsourcen naar een gespecialiseerde partij. Veel klanten willen ontzorgd worden en zich niet meer druk hoeven te maken over de performance en de uptime van hun IT-omgeving. IT is meer en meer een middel om het doel te bereiken en technologieën gaan ook sneller dan bedrijven zelf kunnen bijhouden. Voor de aanbodzijde geldt: waarom zou je als hostingprovider een verouderd businessmodel hanteren als je juist kan

consolideren door gebruik te maken van zwaardere servers en deze virtueel kan opdelen zodat meerdere klanten gebruik kunnen maken van dezelfde server? Uiteindelijk zorgt dit voor een daling van de kostprijs en in het verlengde daarvan de verkoopprijs – hetgeen met name in het huidige economische klimaat erg belangrijk is. Je ziet dan ook dat door de economische crisis virtualisatie en cloud computing hoog op de agenda van de IT-manager is komen te staan. Veel IT’ers moeten immers meer doen met hetzelfde of een kleiner budget.

TOEKOMST De Nederlandse hostingmarkt zal de komende jaren volwassen worden. Je ziet nu al dat de grotere partijen elkaar


Visie opzoeken en initiatieven beginnen zoals de DHPA (Dutch hosting providers association) en EuroCloud. Om een professionele infrastructuur te bouwen heb je specialisten nodig voor elk onderdeel in deze infrastructuur (netwerk, storage, security, computing, virtualisatielaag, SLA, serviceniveaus, et cetera). Wil je het goed doen, dan moet je de belangrijkste onderdelen in eigen beheer hebben als je de hoogst mogelijk kwaliteit wilt blijven leveren. De markt zal zich gaan opdelen in verschillende soorten providers. Je krijgt hostingproviders die blijven investeren in hun platform, en daarnaast zal het aantal resellers toenemen – dit zijn de partijen die de techniek bij de gespecialiseerde hostingproviders inkopen.

GELD Ook in hosting geldt: kies je voor prijs of voor kwaliteit. Het merendeel van de hostingproviders heeft de afgelopen jaren een lageprijsstrategie gevolgd. Ze draaiden hoge volumes tegen lage marges. De overgang naar cloudhosting vraagt echter om grote investeringen. Het is de vraag of de prijsvechters de financiële adem hebben om deze investeringen te blijven doen. De bestaande hostingproviders zullen deze investering niet kunnen of willen doen. Zij zullen dus moeten beslissen of ze op eigen kracht verder gaan of dat ze de clouddienst elders inkopen. Het is de vraag wat de toegevoegde waarde van deze hostingproviders dan gaat worden.

Cloud hosting stelt hoge eisen aan beveiliging, performance en continuïteit TIMING Er speelt nog een ander aspect, en dat heeft met timing te maken. De meeste hostingproviders zijn pas net of nog niet eens begonnen met het opbouwen van kennis en het doen van de investeringen die nodig zijn voor een professionele infrastructuur. Cloud hosting is namelijk veel meer dan een aantal fysieke servers virtualiseren. De complexiteit van aspecten zoals beveiliging, performance, continuïteit en capaciteitsplanning wordt veronachtzaamd. Het vraagt geruime tijd om de expertise in deze aspecten op te bouwen en in te bedden in de be-

drijfsprocessen. Innovatieve hostingproviders hebben jaren geleden die omslag al gemaakt. Het lijkt een onmogelijke opgave om die voorsprong nog in te halen. Het valt te verwachten dat veel providers een specialisme gaan opzoeken. Als je als provider geen duidelijke visie en strategie hebt in deze markt, dan gaat het heel lastig worden. Het is moeilijk om in een glazen bol te kijken, maar één ding is zeker: de markt gaat veranderen en wie niet mee verandert, is te laat! CW

Tips Outsourcen van IT-omgevingen betekent dat je professioneel met de bedrijfsprocessen omgaat. Het is belangrijk om veel aandacht te besteden aan de SLA en andere garanties. Als honderden mensen werken op een cloudinfrastructuur dan kan het niet zo zijn dat er fouten worden gemaakt. Je ziet hierin duidelijk een verschil tussen providers. De leden van de DHPA hebben als doel een SLA tot een duidelijk en vergelijkbaar document te maken zodat klanten goed kunnen kiezen welke onderdelen zij belangrijk achten. Daarnaast vereist het aanbieden van clouddiensten ook aanzienlijke investeringen in een specialistisch team dat 24/7 stand-by staat


om ondersteuning te bieden aan klanten – ook op feestdagen. De markt doet soms voorkomen dat cloud computing simpel en snel uit te rollen valt, maar niets is minder waar. Cloud computing is vele malen complexer dan de traditionele vormen van computing. Dit komt voornamelijk door het beheer. De eindgebruiker kan op elk gewenst moment virtuele servers of werkplekken aanmaken en verwijderen, waardoor het configuratiebeheer en service-levelmanagement ingewikkelder worden. Daarom is de keuze van de managementtools voor een cloudprovider van cruciaal belang. Hostingproviders ontkomen er niet aan om nog

betere partnerships met leveranciers aan te gaan om inzicht te krijgen in de strategische keuzes die zij maken. Een tip om zaken te doen via de cloud is om op zoek te gaan naar een succesvol softwarepakket en dit proberen over te zetten naar de cloud met een flexibel prijsmodel, zodat er een nieuwe markt kan worden aangeboord. Probeer te focussen op de eigen toegevoegde waarde en kwaliteiten en ga ervoor. Dat is wat Uniserver heeft gedaan met infrastructure as a service (IaaS), terwijl sommigen het te riskant vonden, maar waarvan nu duidelijk is dat het de juiste keuze was.

Partnerships

CloudWorks

partners De uitgave van CloudWorks wordt mede mogelijk gemaakt door de steun van een aantal partners.

QWISE Qwise is een gespecialiseerde system integrator die zich toelegt op de centralisatie van IT-omgevingen. In de praktijk vertaalt die focus zich in oplossingen op het gebied van virtualisatie, server based computing en web based computing. De klanten van Qwise hebben vele malen ervaren dat Qwise zich onderscheidt in haar dienstverlening door de excellente kennis en zeer ervaren consultants. Op vrijwel alle vraagstukken die leven rondom de centralisatie van bedrijfssystemen en -applicaties heeft Qwise een passend antwoord. Niet alleen in de vorm van advies en implementatie, maar zeker ook als het gaat om detachering, training en outsourcing. Voor de centralisatie van IT-omgevingen heeft Qwise passende antwoorden. www.qwise.nl

SOGETI NEDERLAND B.V. Sogeti wil door gepassioneerd ict-vakmanschap bijdragen aan het resultaat van haar klanten. De visie van Sogeti is daarom als volgt samen te vatten: ´Resultaat door gepassioneerd ict-vakmanschap´. Dit betekent dat Sogeti de verantwoordelijkheid neemt voor haar activiteiten bij klanten. Ze verplicht zich aan het resultaat op basis van haar excellente professionaliteit en haar ondernemerschap. Door hechte en langdurige relaties met klanten zet Sogeti ict dusdanig in, dat het bijdraagt aan de strategische doelstellingen van haar klanten. Met het eigen Verkenningsinstituut

Nieuwe Technologie (ViNT) geeft Sogeti invulling aan de koppeling tussen bestaande bedrijfsprocessen en de nieuwe ontwikkelingen. www.sogeti.nl

TELECITYGROUP NETHERLANDS TelecityGroup is de belangrijkste leverancier van hoogwaardige netwerkonafhankelijke datacenters in Europa. Datacenters vormen de kernactiviteit: TelecityGroup ontwerpt, bouwt en beheert beveiligde omgevingen met hoge connectiviteit om technische, online- en IT-infrastructuur in onder te brengen.

Het hoofdkantoor bevindt zich in Londen. TelecityGroup beheert 23 datacenters in de volgende steden: Amsterdam, Dublin, Frankfurt, Londen, Manchester, Milaan, Parijs en Stockholm. Het bedrijf heeft een breed en doelgericht programma voor het uitbreiden van de capaciteit. Sinds 2008 zijn nieuwe locaties geopend in Londen, Amsterdam, Stockholm, Milaan en Parijs. www.telecitygroup.nl CW Voor meer informatie over partnerships: Arnoud van Gemeren, [email protected].


CLOUD COMPUTING?

SIMPLE IF YOU KNOWHOW_ ■ ■ ■

Bedrijfszekere, geavanceerde IT-faciliteiten Geheel op maat Tegen vaste, lage kosten per gebruiker

Qwise maakt Cloud Computing praktisch werkbaar voor elke organisatie. Op voorhand investeren in betrouwbare en op maat gemaakte IT-faciliteiten hoeft dus niet meer. Wees verzekerd van een omgeving die altijd en overal beschikbaar is. Op maat ingericht om uw bedrijfsproces zo optimaal mogelijk te laten verlopen.

Lees onze succesverhalen op

www.qwise.nl/cloud.

www.qwise.nl

■

[email protected]

Cloud. Works. Security. Risico s en kansen Veilig werken in de cloud Public of private cloud? Virtuele appliances

Recommend Documents