Cloudcomputing. zonder architectuur. waarheen leidt de weg?

Cloudcomputing

zonder architectuur

waarheen leidt de weg?

Cloud computing, zonder architectuur: waarheen leidt de weg?

Inhoud 1. Inleiding 2. Belangrijkste bevindingen (Executive summary) 3. Cloud computing in Nederland 4. De strategie ontbreekt 5. De rol van de industrie: standaarden schetsen 6. De klant wil mee ontwikkelen 7. Reflectie

‘Deze whitepaper is samengesteld in samenwerking met IBM’

Cloud computing

1.

Inleiding

Hoe gaan organisaties om met cloud computing? Is men vooral geïnteresseerd in IaaS, in PaaS of in SaaS? Hoe belangrijk is architectuur om je strategie ten aanzien van cloud computing te bepalen? Hoe integreer je de verschillende clouddiensten? Wil een bedrijf invloed hebben op de doorontwikkeling van standaard cloudproducten van leveranciers? Om deze en vele andere vragen te beantwoorden, deed IBM in de lente van 2013 een online onderzoek in samenwerking met AutomatiseringGids. Deze titel nodigde lezers, tijdschrift- en nieuwsbriefabonnees en bezoekers van de website uit om deel te nemen aan het onderzoek met 39 vragen over hun ervaring, mening, kennis en visie rond cloud computing. Deze white paper is gebaseerd op de resultaten van dat onderzoek. In de periode vanaf 25 april tot en met 29 mei 2013, deden 687 IT-professionals mee aan het onderzoek op automatiseringgids.nl. Van hen beantwoordden er 305 uiteindelijk alle 39 vragen. Het merendeel van de respondenten heeft een seniore functie bij middelgrote en grote organisaties. Ongeveer één op de vijf werkt in het middenbedrijf (151 - 750 medewerkers), drie van de tien werken voor organisaties groter dan 750 werknemers. Meer dan de helft van de respondenten vervult een adviserende rol als het gaat om cloudtoepassingen. Bijna dertig procent is beslisser of eindverantwoordelijk. Nagenoeg de helft van de respondenten geeft aan dat ze deel uitmaken van het algemeen of IT-management. Het gebruik van een adequate definitie van het onderzoeksonderwerp cloud computing kan helderheid scheppen. Een veel gehanteerde definitie is die van het Amerikaanse National Institute of Standards and Technology uit 2011. Die luidt:

De belangrijkste drivers voor cloud computing zijn kostenbeheersing en flexibiliteit. De grootste risico’s zijn dataprivacy en security. Het blijken gespecialiseerde, lastig te doorgronden ­vakgebieden. Actuele ontwikkelingen zullen die zorgen eerder vergroten dan verkleinen.

“Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics (on-demand self-service, broad network access, resource pooling, rapid elasticity, measured service) three service models (SaaS, PaaS, IaaS), and four deployment models (private cloud, community cloud, public cloud, hybrid cloud).”

Vier op de tien organisaties willen de integratie van clouddiensten van derde partijen in eigen hand houden en dus niet uitbesteden. Men denkt dit zelf te kunnen, ondanks de eerder ­vastgestelde onbekendheid met architectuur- en integratiestandaarden.

De definitie vervolgt met een beschrijving van deze karakteristieken, service modellen en implementatiemodellen. Deze beschrijving is te vinden op: http://csrc.nist.gov/publications/ nistpubs/800-145/SP800-145.pdf.

2.

Whitepaper

Belangrijkste bevindingen

Ruim vier op de tien organisaties gebruikt PaaS-, SaaS- en IaaS-toepassingen. Men vindt dat cloud computing grote invloed heeft op de IT-omgeving, maar twee van de drie respondenten geeft aan dan hun organisatie geen duidelijke integrale strategie heeft. Organisaties ontberen veelal de kennis van architectuur- en integratiestandaarden om een dergelijke strategie te formuleren.

Leveranciers beperken zich meestal tot het uitleggen van hun eigen cloudaanbod en blijken niet in staat om een klant te adviseren over de best passende cloudsituatie. Leveranciers vermijden ook gesprekken over diepgaande details van hun eigen producten en diensten. De markt heeft niettemin grote behoefte aan volledig, duidelijk en betrouwbaar advies voor strategie en ­architectuur. Ruim de helft van de ondervraagde organisaties gelooft dat dankzij cloud de stap naar dienstverlening van een derde partij makkelijker wordt. In de praktijk is migratie op SaaS-niveau echter meestal een moeizaam proces, ook met cloud. Drie op de vier organisaties willen invloed uitoefenen op de doorontwikkeling van uitbestede clouddienstverlening en –producten. Dat kan bijvoorbeeld met cloud-gebruikersgroepen. De hiernavolgende hoofdstukken gaan dieper in op de hierboven geformuleerde conclusies.

Cloud computing in Nederland

De meeste organisaties zijn aan de slag met cloud computing. Ruim vier op de tien gebruikt PaaS-, SaaS- en IaaS-toepassingen. Opvallend is dat de respondenten ­weliswaar een duidelijke visie hebben over de manier waarop cloud hun business beïnvloedt, maar de kennis van architectuur- en integratiestandaarden ontberen om op basis van een duidelijke strategie verdere stappen te zetten.

29%

JA NEE

50%

10% 0%

79%

TOSCA

13%

54%

15% OSLC

24%

63%

31%

ENIGSZINS

OASIS

LINKEDDATA

JA

NEE

Basis: 326 IT-professionals

De respondenten hebben wel een duidelijk beeld van de voornaamste redenen om cloud computing te gebruiken. De belangrijkste drivers voor cloud computing blijven kostenbeheersing en flexibiliteit. Het zijn allebei zaken die niet eenvoudig aan belang zullen inboeten, zeker niet in de huidige stroeve economische omstandigheden.

SaaS

20%

58%

PaaS

30%

17%

67%

IaaS

40%

4%

20% 75%

Basis: 459 IT-professionals

60%

6%

36%

Gebruik clouddiensten 70%

n

35%

OpenStack

Servicecatalogus met standaarddiensten

Cloud computing

3.

e kende begri p p e B

Grootste risico cloud computing

eerde automatis Volledig ge n clouddiensten ng va provisioni

Basis: 351 IT-professionals Veranderende governance tussen business en IT Veiligheid en dataprivacy

Termen als TOSCA, OASIS en OSLC zijn bij een overgrote meerderheid van de respondenten niet bekend. Dat kan wijzen op een beperkte interesse. Het kan ook zijn dat de respondenten er wel meer van willen weten maar daar nog geen werk van hebben gemaakt. De bedenkers en makers van dergelijke standaarden zijn meestal geen commerciële organisaties, maar open source-achtige samenwerkingsverbanden. Die hebben vaak geen gigantisch marketingbudget en dat kan een rol spelen in de relatieve onbekendheid. Verder hoeft natuurlijk niet iedereen architectuur- en integratiestandaarden te kennen. Het zou echter wel gesneden koek moeten zijn voor architecten die zich bezig houden met cloud computing.

Whitepaper

Garanderen van integrale IT-diensten over clouddiensten en niet-clouddiensten heen Teveel focus op technologie leidt af van de echte issues Zonder standaarden zit je straks in vendor lock-insituaties Eisen vanuit regulerende (overheids)instanties

0%

5%

10%

15%

20%

25

30

35%

Minstens even duidelijk is de perceptie van de grootste risico’s van cloud computing: dataprivacy en security. Die risico’s zijn te verkleinen, maar het betreft een uiterst gespecialiseerd en voor niet-ingewijden lastig te bevatten vakgebied. Actuele ontwikkelingen rond het Amerikaanse PRISM en het Britse Tempora zullen de breed gedeelde risico-inschatting waarschijnlijk alleen maar verder versterken. Ook recent nieuws over het aantal telefoontaps door de Nederlandse overheid dragen niet bij aan een gevoel van veiligheid.

Cloud computing

4.

Een duidelijke strategie ontbreekt vaak

Cloud computing is interessant en belangrijk voor de respondenten. De meesten noemen de invloed van cloud computing op hun organisatie groot. Toch heeft zeker twee van de drie organisatie geen duidelijke integrale strategie voor cloud computing en dus geen exact beeld van welke kant men op wil met de cloud. Bijna driekwart van de respondenten erkent dat referentiearchitecturen nodig zijn om de juiste stappen richting cloud te zetten.

De invloed van cloud computing op de organisatie Basis: 682 IT-professionals

10% 10% 10% 10% 0% 5%

10% 15% 20% 25% 30% 35% 40% 50% 60%

Nihil of zeer gering Tamelijk groot

Gering Zeer groot

5.

De rol van de industrie: standaarden schetsen

De respondenten vinden referentiearchitecturen en integratiestandaarden belangrijk, maar stellen vast dat de IT-industrie daar te weinig aandacht aan besteedt. Drie kwart van de organisaties vindt dat leveranciers van producten en diensten vooral in hun eigen straatje praten. Meestal beperken ze zich tot het uitleggen van hun eigen cloudaanbod en besteden ze weinig aandacht aan al dan niet open standaarden voor interoperabiliteit en portabiliteit. Ze blijken niet in staat om een klant te helpen grip te krijgen op een hybride cloud situatie of een situatie met een deel cloud en een deel non-cloud.

Weinig aandacht IT-industrie voor aanbod referentiearchitectuur en standaarden Zeer mee eens Mee eens Eens noch oneens Mee oneens Zeer mee oneens

60%

20%

51%

50%

Whitepaper

7%

14% 59%

40% 30% 20%

16%

21% 10%

10%

2%

0% Basis: 469 IT-professionals

De meeste organisaties zijn wel voorzichtig begonnen een plan te trekken. Die groep zou mogelijk geholpen zijn met goed architectuuradvies, want in veel gevallen bestaan wel de wens en de vaardigheden om een cloudstrategie te ontwikkelen, maar ontbreken de kennis en prioriteit en beleidsmatige wil. Een mogelijke verklaring voor de schijnbare tegenstrijdigheid tussen het wel willen en niet - of maar mondjesmaat - doen is dat het beleid de ontwikkeling niet kan bijhouden. Dat draagt een risico in zich dat CIO’s vaker overruled worden door CEO’s, met onbeheersbare kosten en verouderde technologie tot gevolg.

1%

Referentiearchitectuur van belang voor integratie en portabiliteit

Basis: 476 IT-professionals

Dat leidt tot de eigenaardige situatie dat een organisatie in een gesprek met een leverancier al geacht wordt te praten over specificaties van clouddiensten en –producten, terwijl diezelfde organisatie haar architectuur nog niet op orde heeft en niet heeft bepaald hoe zij cloudproducten en –diensten wil integreren.

Vier op de tien organisaties willen de integratie van clouddiensten in eigen hand houden en bijna de helft zegt zelf over de benodigde vaardigheden te beschikken. Dat lijkt optimistisch, zeker gezien de eerder vastgestelde onbekendheid met referentiearchitecturen en integratiestandaarden. Kortom: organisaties willen wel en zeggen dat ze het zelf kunnen, maar weten niet goed hoe ze dat moeten doen.

In de ogen van de respondenten praten leveranciers gemakkelijker over de kenmerken van eigen diensten of producten dan over de hele architectuur en integratiestandaarden die een rol kunnen spelen bij een geïntegreerde dienstverlening aan eindgebruikers. Organisaties zouden geholpen zijn met leveranciers die afstappen van de gangbare gewoonte om te zeggen: ‘Ik heb als oplossing voor uw probleem onze mooie Volkswagen Polo 1.4 met de volgende kenmerken’. Als je van A naar B wilt, moet je beginnen met het bepalen van de diverse mogelijke transportmethodes, vóórdat je kiest voor de methode ‘autovervoer’ en vervolgens het type auto dat je wilt gebruiken. Een dergelijk volledig advies blijft kennelijk een uitdaging voor veel leveranciers.

Mogelijk is de wens om het strategische en tactisch niveau in eigen hand te houden de vader van de gedachte. De inrichting van het IT-landschap vormt immers de kern van het gedachtengoed van een organisatie. Als een organisatie zijn architectuur eenmaal bedacht heeft, kan een derde partij op operationeel niveau zorgen dat alles goed draait.

De meeste organisaties vinden leveranciers evenmin duidelijk over de specificaties van hun eigen diensten, bijvoorbeeld over de locaties van dataopslag en de veiligheid daarvan. Leveranciers vermijden kennelijk niet alleen gesprekken over architectuur, maar ook gesprekken over diepgaande details van hun eigen producten en diensten. Het minste wat

Cloud computing

leveranciers op de mat dienen te leggen is kennis met betrekking tot de ins en outs van hun eigen producten en diensten. Het is opvallend dat slechts één op de tien organisaties tevreden is over de huidige informatievoorziening over architectuur- en referentiestandaarden. De markt heeft grote behoefte aan volledig, duidelijk en betrouwbaar advies voor strategie en architectuur. Hier dient de IT-industrie een rol te spelen, in samenwerking met klanten- of brancheplatforms.

6.

Klant wil mee ontwikkelen

Bijna drie op de vier organisaties willen graag invloed uitoefenen op de doorontwikkeling van uitbestede clouddienstverlening en –producten. De klant beseft dat de keuze voor de cloud een keuze voor standaardisatie is, maar wil graag dat een leverancier goed naar hem luistert, de behoeften helpt vaststellen en die meeneemt in de ontwikkeling van nieuwe versies van producten en diensten.

15% 39%

Eens noch oneens

10%

30%

Mee oneens

11%

Zeer mee oneens

Mee eens

5%

43%

Eens noch oneens

0%

28%

10%

5%

10% 15% 20% 25% 30% 35% 40%

Basis: 527 IT-professionals

15%

Zeer mee oneens 4%

Whitepaper

Breder scala aan dienstverleners

Mee eens

Basis: 426 IT-professionals

Mee oneens

Als de ene leverancier niet aan de verwachtingen voldoet, kan een organisatie een beroep doen op een andere. Volgens ruim de helft van de respondenten kunnen zij dankzij cloudtoepassingen eenvoudig een breder scala aan dienstverleners gebruiken dan voorheen. Een mooie manier dus om een vendor lock-in te voorkomen.

Zeer mee eens

Behoefte aan invloed op de doorontwikkeling van clouddiensten en –producten Zeer mee eens

Organisaties verwachten een duidelijke en hulpvaardige leverancier zonder overduidelijke verkooppraatjes, maar juist met veel kennis, visie en inlevingsvermogen. Een leverancier die flexibel, meedenkend en betrouwbaar is, die begrijpt dat een cloudtraject begint vanuit een architectuurvisie. Iemand die meewerkt aan integratie van verschillende diensten en producten voor cloud en non-cloud en oog heeft voor de integratie vanuit het perspectief van de eindgebruiker. De commerciant die zich in deze beschrijving herkent heeft in de ogen van de deelnemers een streepje voor.

20%

30%

40%

50%

Volgens het standaardbeeld over cloud computing kunnen organisaties makkelijker gebruik maken van de dienstverlening van andere partijen en dus flexibeler opereren. Op IaaS-niveau gaat dat beeld inderdaad wellicht op, maar op SaaS-niveau is het een stuk lastiger overstappen. Wie nu bijvoorbeeld zijn klantgegevens in Salesforce.com heeft zitten en morgen een ander CRMpakket wil gebruiken, moet minimaal al zijn bestaande data migreren.

Cloud computing

7.

Reflectie

Een organisatie kan kiezen om IaaS-dienstverlening van één externe leverancier te gebruiken en daar haar eigen business applicaties op te draaien. Dan kiest men bewust niét voor een SaaS-strategie met tachtig SaaS-oplossingen van misschien wel tachtig verschillende SaaS-leveranciers vanuit tachtig datacenters over de hele wereld. Dat lijkt misschien een ­behoudende stap richting wat men dan cloud computing noemt, maar het zorgt er wel voor dat men gemakkelijker controle houdt. Marc Steenbergen, sourcing executive bij IBM, bespiegelt de resultaten van het onderzoek.

‘SAAS tenzij’ ‘Je ziet ook organisaties die juist een andere insteek kiezen en een beleid hebben van ‘SaaS, tenzij’ en beseffen dat er veel aandacht nodig is om bij alle leveranciers te zorgen voor een garantie van zaken als ISO27001-compliancy en identity & access management. Veel organisaties worstelen met die keuze en dat zie je terug in de onderzoeksresultaten.’ ‘Je ziet ook dat men de waarde van architectuur erkent, maar het niet altijd makkelijk vindt om de organisatie, vooral het top management, op basis van die architectuur beslissingen te laten nemen. Dat is ook voor IBM-klanten een bekende uitdaging. Als er referentiearchitecturen, protocollen en integratiestandaarden worden genoemd, blijken de meeste respondenten die niet of nauwelijks te kennen. Hier is werk aan de winkel voor leveranciers en voor gebruikersorganisaties.’

WC Eend ‘Een andere herkenbare uitkomst is dat de helft van de respondenten vindt dat leveranciers maar lastig ‘de WC Eend-bril’ kunnen afzetten. En de plank misslaan door in de besluitvorming van klanten over cloud computing de hele strategie- en architectuurvorming over te slaan. Leveranciers kunnen zich onderscheiden door hun zelfbeheersing te bewaren en de klant te helpen met zijn strategie- en architectuurdenkfase. En pas daarna gezamenlijk te bekijken in welke mate de eigen cloudproducten en -diensten die strategie en architectuur kunnen invullen. Of te kiezen voor de rol van integrator vanuit het belang van de klant en dus over de eigen producten en diensten van derde partijen heen.’

standaard dienstverlening van leveranciers, dan ga je op zoek naar de juiste mix tussen kostenefficiëntie, flexibiliteit, betalen naar gebruik et cetera.’

Doorontwikkeling

Whitepaper

‘Op het misschien wel hoogste abstractieniveau speelt bij cloud computing dezelfde afweging die voor alle uitbestedingen geldt: hoeveel houd ik vast aan mijn eigenheid en in hoeverre gebruik ik de grootst gemene deler zoals een derde partij die aanbiedt? Vrijwel altijd zijn er verschillen tussen de wensenlijst van de klant en de specificatielijst van de clouddienst. Als je je eigenheid volledig wilt behouden, moet je kiezen voor een maatwerkapplicatie op een maatwerk middlewarelaag op een maatwerk serverplatform in je eigen datacentrum. Als je bereid bent om de balans te zoeken tussen specifieke wensen en de

‘Leveranciers besteden tijd, aandacht en geld aan het doorontwikkelen van hun cloud dienstverlening. De dienstverlening is tenslotte ‘productized’ en wordt ook ge-product managed. Als een klant vandaag op bijvoorbeeld versie 1.2 van de cloud dienstverlening instapt, biedt de leverancier over zes maanden de klant in principe zonder meerkosten versie 1.3. Net als bij standaard software, zoals SAP. In die wereld bespreken gebruikers al vele jaren wat ze missen aan functionaliteit en wat ze er graag bij willen hebben. SAP destilleert de grootste gemene deler uit deze input en gebruikt die belangrijke informatie voor de verdere ontwikkeling van haar softwareproduct. Voor cloud dienstverlening moet je dus ook zulke gebruikersgroepen hebben, of het nou om IaaS, PaaS of SaaS gaat. Uit de survey blijkt duidelijk dat organisaties die input willen geven en willen meedenken. Dat levert een leuke paradox op, want je kiest voor standaardisatie, maar wilt wel invloed op die standaard uitoefenen.’

Cloud computing

Leveranciers kunnen zich onderscheiden door hun zelfbeheersing te bewaren en de klant te helpen met de strategie- en architectuurfase ‘Is het erg om iets van je eigenheid kwijt te raken? Als er één klein verschilletje is tussen wat de cloud biedt en wat je eigen wensen zijn, soit. Maar als het er tien zijn en je veel moet sleutelen, kom je op het punt dat je moet toegeven dat het geen zin heeft om op de lopende band van de leverancier te stappen. Dan kun je beter voor maatwerk kiezen. Als het goed is, raken bedrijven alleen eigenheid kwijt die niet strategisch is. Dan is het niet erg. Een organisatie moet wel bereid zijn te kiezen wat men strategisch vindt en wat niet. Op SaaS-niveau heb je te maken met mensen uit de business, zoals het hoofd van de afdeling facturatie die zijn twintig administrateurs misschien niet anders wil laten werken dan ze gewend zijn. Op technisch niveau moeten de organisaties de verantwoordelijkheid voor bepaalde technologische keuzes bij de leverancier leggen. Ze hebben dan niet meer de beschikking over iedere parametersetting. Er is een aantal standaard parametersettings en daar moeten ze het mee doen. Dat kan betekenen dat je ergens anders wat moet aanpassen. Dat is het eeuwenoude spanningsveld tussen enerzijds de grootste gemene deler met het bijbehorende gemak en anderzijds de eigenheid van de organisatie waarvan je soms een stukje moet opofferen.’

Cloudlandschap

Whitepaper

‘Opvallend is ook dat men vaak graag zelf de verantwoordelijkheid houdt om alles te integreren in plaats van die uit te besteden. Als je naar een cloudlandschap gaat met vijftig SaaS-applicaties dan moét je die wel aan elkaar knopen. Je financiële pakket neem je als SaaS-dienst af bij leverancier A, je logistieke pakket als SaaSdienst bij leverancier B en je CRM-pakket als SaaS-dienst bij leverancier C. Fantastisch, maar zodra je iets verscheept uit het magazijn, moet je dat verwer-

ken in de boekhouding. En als je een factuur stuurt vanuit de boekhouding moeten de klantgegevens wel matchen met die in het CRM-pakket. Master data management is key. En op dienstverleningsniveau moet je het financiële pakket in de lucht houden met een beschikbaarheid van, zeg, 99,5%. Dat geldt ook voor je logistieke pakket en je CRM-pakket. Prima, maar je hebt drie verschillende service levelafspraken met drie verschillende partijen. Die moet je integreren en die integratie moet je managen. Kun je dat zelf? Of haal je daar een gespecialiseerde partij voor in huis?’

Aan elkaar knopen ‘Wie zorgt ervoor dat alles met elkaar werkt en dat de business een geïntegreerde dienstverlening krijgt met de juiste service levels? Als een bepaald proces niet loopt, ligt dat dan aan het financiële pakket of aan het logistieke pakket? Iemand moet de verantwoordelijkheid hebben om daar een antwoord op te geven en de probleemoplossing aan te sturen. Je kunt die verantwoordelijkheid neerleggen bij een van die vijftig SaaS-leveranciers, maar de meeste van hen leveren hun eigen SaaS-diensten, punt. Die kunnen dat niet. Je kunt de verantwoordelijk ook aan een afzonderlijke derde partij geven of je kunt je eigen ICT-afdeling de integratie laten doen en de diverse leveranciers laten aansturen. Veel organisaties neigen ernaar om het zelf te doen. Dat is begrijpelijk want daarmee houd je controle en grip. Maar het heeft ook zijn weerslag op je ICT-afdeling. Als je vijftig SaaS-oplossingen kiest, heb je te maken met vijftig leveranciers. Nou, succes met het aan elkaar knopen! Om dat goed te doen moet je veel kennis hebben van de bedrijfsprocessen en ook van service-integratie, beheerprocessen, compliancy-afhankelijkheden enzovoort. Wat je kunt doen is zelf eigenaar blijven van de architectuurkeuzes, maar de operationele service-integratie uitbesteden.’