hybrid

Cloud Works www.cloudworks.nu | nummer 1 | februari 2011 | jaargang 2

HET Vakblad over cloud computing

STORAGE in de cloud ONDERZOEK: CLOUD IN NEDERLAND

Van SaaS/PaaS/IaaS tot public/private/hybrid

NIEUWE WETGEVING VEREIST voor de virtuele wereld

EN VERDER: CHECKLIST VOOR CLOUD-STORAGE | MICROSOFT WINDOWS AZURE | BRING YOUR OWN PC | PERCEPTIE VAN STORAGE IN DE CLOUD | 3Par cruciaal voor HP’s cloudstorage | EQUINIX BRENGT CYSO OVER DE GRENS | HP’S HYBRIDE cloudstrategie

&ORXGFRPSXWLQJ YHUDQGHUWGHPDQLHU ZDDURSX]DNHQGRHW &ORXGFRPSXWLQJJHHIWXGHNUDFKWRPJURRWWHGHQNHQ(QNOHLQWHEOLMYHQ 'HNUDFKWRPWHJURHLHQ(QWHNULPSHQ=RQGHUGDDULHWVYRRULQWHOHYHUHQ 'HNUDFKWRPPHHUWHGRHQPHWPLQGHU 'HNUDFKWRPLGHHsQWHUHDOLVHUHQHQNRVWHQLQGHKDQGWHKRXGHQ 'HNUDFKWRPHQHUJLHWHEHVSDUHQ(QUXLPWH 'HNUDFKWRPELMXZGDWDWHNXQQHQ]RGUDXGLHQRGLJKHHIW 2YHUDO%LQQHQXZRUJDQLVDWLHHQGDDUEXLWHQ

,.+(%&/28'32:(5

'HNUDFKWYDQppQSODWIRUP 'HNUDFKWRPVDPHQGHMXLVWHEHVOLVVLQJHQWHQHPHQ 'HNUDFKWRPWHGHQNHQDOVHHQRSWLPLVWHQWHEHWDOHQDOVHHQUHDOLVW &ORXG3RZHUYDQ0LFURVRIWEHWHNHQWGDWXGHPHHVWXLWJHEUHLGHRSORVVLQJHQ YRRUFORXGFRPSXWLQJWRWXZEHVFKLNNLQJKHHIW0HWYHUWURXZGHWRROVPDDU GDQXLWJHEUHLGHUWRHJDQNHOLMNHUPHHUFRPSDWLEOHHQJHEUXLNVYULHQGHOLMNHU YRRULHGHUHHQ 8ZRQGHUQHPLQJUXLPWHELHGHQYRRU+HW1LHXZH:HUNHQ 'DWLV&ORXG3RZHU

'RZQORDGGH JUDWLVDSSRS KWWSJHWWDJPREL - cloudworks - februari 2011

'HPHHVWXLWJHEUHLGHRSORVVLQJHQYRRUFORXGFRPSXWLQJPHW 0LFURVRIW2IÀFH:LQGRZV$]XUH'\QDPLFV&502QOLQHHQ :LQGRZV6HUYHU+\SHU9 2QWGHNPHHURSPLFURVRIWQOFORXG februari 2011 - cloudworks -

Meer klantwaarde realiseren begint met beter luisteren. (En meestal is dat ook beter voor uw portemonnee)

Goed luisteren is volgens ons essentieel bij ICT-projecten. Dan lever je pas echt oplossingen waar een opdrachtgever behoefte aan heeft. Ook dat maakt de mensen van Sogeti tot ideale partners. Of het nu gaat om ontwerpen, bouwen, implementeren of beheren. In testen en

Colofon

Opslag

in de cloud

Zeer waarschijnlijk maakt u – bewust of onbewust – wel eens gebruik van opslag in de cloud. Bijvoorbeeld wanneer u een groot bestand wilt versturen, dat te groot is om via e-mail te verzenden. Daarvoor bestaan verschillende cloudoplossingen, zoals Yousendit en WeTransfer. Maar ook Dropbox, dat fungeert als een virtuele harde schijf waarvan de mappen met anderen gedeeld kunnen worden, is zowel privé als zakelijk een handig hulpmiddel. Zakelijke cloudstorage gaat nog een stuk verder dan deze diensten voor tijdelijke opslag. Omdat opslag in de cloud relatief goedkoop is, is het een ideale methode voor het opslaan van archieven. In juni 2010 is een belangrijke wet aangenomen die digitale documenten dezelfde status als hun papieren tegenhangers toekent. Dat betekent niet alleen dat wettelijke documenten voortaan ook digitaal mogen worden aangeboden, maar ook dat bestaande papieren archieven mogen worden gedigitaliseerd. Veel overheidsinstellingen en publieke bedrijven hebben afdelingen vol archieven staan, die tot nu toe om wettelijke redenen in papiervorm bewaard moesten blijven – met aanzienlijke kosten voor beheer, klimaatbeheersing (zodat het papier in goede conditie blijft) en ‘back-ups’. Het digitaliseren van zo’n archief kan een enorme kostenbesparing opleveren. En die besparing wordt nog groter als het archief in de cloud wordt opgeslagen (omdat de prijs per GB veel lager is en standaard in redundancy voorzien wordt). Maar vanwege weten regelgeving – die ook nog eens sterk verschilt per land – mag dat vanwege privacy niet met alle soorten data. Nieuwe wetgeving is noodzakelijk en in de maak (zie ook het artikel op pagina 32). Opslag in de cloud biedt niet alleen financiële voordelen (zoals ‘pay per use’ en een lage prijs per GB), maar ook operationele. Door gebruik te maken van opslag in de cloud kunnen bedrijven stoppen met back-ups via tapes, waarvan zowel het uitvoerende deel als het bewaren van de tapes veel handmatig werk kost (en relatief foutgevoelig is). Back-ups, datareplicatie en datarecovery kunnen worden uitbesteed, waardoor bedrijven zich meer op hun corebusiness kunnen richten. Maar net zoals bij veel andere clouddiensten is beveiliging een heikel punt. Doordat de data buiten de bedrijfsmuren bewaard wordt, is er minder (of soms helemaal geen) controle over de beveiliging. Hoe cloud-storage in de praktijk op een veilige manier kan worden toegepast (onder andere door middel van datamanagementsoftware) leest u op pagina 20. En als u uiteindelijk neigt naar gebruikmaken van clouddiensten staat op pagina 42 een handige checklist met belangrijke aspecten die vaak over het hoofd worden gezien in het beslissingstraject.

CloudWorks maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorks vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Hoofdredacteur: Jeroen Horlings, [email protected] Uitgever: Arnoud van Gemeren, [email protected] +31 (0)6 53 57 34 90 Postadres redactie: Postbus 82, 2460 AB Ter Aar e-mail: [email protected] Vormgeving: Ron Rossen Media Services Uitgeest B.V. Druk: Drukkerij Profeeling Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: ‘Overgenomen uit CloudWorks, de publicatie over cloud computing’, plus jaargang en nummer. © Copyright 2011 FenceWorks BV. CloudWorks is een uitgave van FenceWorks BV.

Jeroen Horlings, hoofdredacteur CloudWorks [email protected]

architectuur lopen wij door onze aanpak zelfs voorop. Sogeti kan opdrachtgevers in alle sectoren verder helpen. Voor vandaag, morgen en overmorgen. Dankzij mensen met Passie voor ICT.

- cloudworks - februari 2011

sogeti.nl

Staat voor resultaat.

februari 2011 - cloudworks -

Inhoud

THEMA: Storage

10 Cloudonderzoek, deel 2

In het vorige nummer publiceerde CloudWorks het eerste deel van het onderzoek naar het gebruik en de acceptatie van cloud computing in Nederland. In dit tweede deel staan de specifieke inrichtingsvormen en dienstverleningsmodellen van cloud computing centraal.

20-22 Perceptie van cloud-storage

36

38 3PAR cruciaal voor HP’s cloud-storage 42-43 Checklist voor storage in de cloud

ONDERZOEK 10-14 Cloud computing: vormen en smaken

SECURITY 28-30

Veiligheid waarborgen in de cloud

HARDWARE EN SOFTWARE

20 De perceptie van

16-18 Microsoft Windows Azure

28

cloud-storage

Cloud-storage heeft potentieel. In een onderzoek onder gebruikers van de datamanagementsoftware van CommVault komt naar voren dat meer dan de helft van hen cloud-storage overweegt. Maar ook is er veel twijfel. Hoe staat het met de beveiliging van data in de cloud? En welke data leent zich het best voor de cloud?

19 IBM: ‘Er is meer dan public, private en hybrid 36-37

Equinix brengt Cyso over de grens

VASTE RUBRIEKEN

42

8-9 Nieuws

24

32

46

The Legal Look

COLUMNS 39 Gert Brouwer: ‘Van silo naar cloud’

EN VERDER 24-26 Bring Your Own PC

32 Virtuele wereld vraagt

32-34

om nieuwe wetgeving

40-41 Doorbraak van ‘cloud thinking’

De fysieke en de virtuele wereld hebben grote overeenkomsten. Ook in de cloud hebben mensen een plek waar ze hun spullen kunnen neerzetten, zijn er dienstverleners, prachtige winkelstraten, maar ook donkere steegjes. Daarnaast gelden voor de cloud dezelfde juridische regels als in de fysieke wereld. Maar cybercrime leidt zelden tot vervolging. Hoe komt dat en wat kunnen we eraan doen? - cloudworks - februari 2011

Virtuele wereld vraagt om nieuwe wetgeving

44-45

40

HP onthult hybride cloudstrategie


Nieuws

Verizon neemt Terremark over Verizon Communications heeft aangekondigd Terremark Worldwide, leveran-

cier van managed IT-infrastructuur- en clouddiensten, over te nemen. Met de

overname wil Verizon haar ‘everything as a service’-cloudstrategie verder uitbouwen. Door de overname wordt de portfolio van Terremark met schaalbare on-demandoplossingen voor zakelijke en overheidsklanten toegevoegd aan het portfolio van Verizon. Terremark Worldwide gaat opereren als een volledige dochteronderneming en behoudt haar eigen naam. Daarnaast blijft ook het managementteam van Terremark in functie. De overname is inmiddels door de directieraad van zowel Terremark als Verizon unaniem goedgekeurd. Verizon betaalt voor Terremark 19 dollar per aandeel, wat neerkomt op een totaalbedrag van zo’n 1,4 miljard dollar. www.verizon.com www.terremark.com

•

Overal toegang

tot gepersonaliseerde bureaubladen IBM kondigt de Virtual Desktop for Smart Business aan, een oplossing waarmee gebruikers altijd en overal toegang hebben tot gepersonaliseerde bureaubladen van mobiele apparaten zoals tablets, netbooks, laptops en thin clients. Virtual Desktop for Smart Business is geschikt voor het hosten van zowel Windows als Linux-desktops en kan centraal beheerd worden. Hierdoor is het volgens IBM eenvoudig om nieuwe applicaties te implementeren en software-updates geautomatiseerd te laten uitvoeren. Daarnaast vermindert de oplossing volgens IBM ook het aantal verzoeken voor een helpdesk. De oplossing werkt met VERDEsoftware van Virtual Bridges. Deze kan geïmplementeerd worden op zowel de eigen infrastructuur van een klant als een private cloud. www.ibm.nl

•

- cloudworks - februari 2011

iCE Amsterdam 2011 iCE Amsterdam 2011 toont op 7 en 8 maart de toepassing van mobiele technologieën in het bedrijfsleven en de ontwikkeling van apps voor iPhone, Android en andere platforms. Door het stijgende gebruik van mobiele applicaties neemt de druk op organisaties toe. Deze ontwikkeling wordt gesterkt door zaken als ‘het nieuwe werken’ en consumerization.

Alleen door de cloud van de juiste data te voorzien zullen organisaties bij kunnen blijven. Voor deze organisaties biedt iCE Amsterdam de mogelijkheden om aan de juiste strategie te werken. Met 23 Amerikaanse sprekers was de editie in 2009 met ruim 400 bezoekers een succesvol evenement. Meer informatie: www.iceamsterdam.com

•

BT start Virtual Data Centre-dienst in de Benelux BT’s virtuele datacenter (VDC) is een ‘infrastructure as a service’ (IaaS). Het geeft klanten de mogelijkheid om tot 40 procent van hun totale IT-infrastructuurkosten te reduceren dankzij het prijsmodel op basis van werkelijk gebruik. Het reduceert de tijd die het kost om een nieuwe datacenterinfrastructuur op te bouwen van maanden, tot slechts enkele dagen. Veranderingen kunnen, afhankelijk van de aanvraag, binnen enkele uren, of zelfs enkele minuten, worden geïmplementeerd. Servers, opslagcapaciteit, netwerken beveiligingsdiensten kunnen zelf worden besteld via het BT VDC-selfserviceportal. De

gehoste datacenterinfrastructuur is gebaseerd op een modulaire, gelaagde architectuur, die zowel schaalbaarheid als virtualisatie biedt bij elk van de hoofdlagen. Het gaat om een netwerklaag, met firewalldiensten, virtuele ‘service’ load balancing en virtuele netwerken en switches; een storagelaag met virtuele applicatieopslag, virtuele gedeelde opslag en snap-back-up en herstel; een computinglaag waarmee nieuwe virtuele servers kunnen worden aangevraagd, gecontroleerd en aangepast. En ten slotte: een beveiligingslaag onder de andere drie lagen met meerdere firewalldiensten, virtuele load balancing en virtuele SSL (secure sockets layer). www.bt.com

•

Zeven cloudtrends voor 2011 1. De cloud aan de macht In 2010 was cloud computing het gesprek van de dag. In 2011 wordt de daad bij het woord gevoegd en zal cloud computing bepalend worden voor de manier waarop organisaties werken – of het nu gaat om een openbare, private of hybride cloud. De rol van de IT-afdeling zal steeds minder gericht zijn op het praktisch beheer van technologie en meer op het onderling afstemmen van business- en IT-governance. Tegelijkertijd ligt het voor de hand dat niet-technische directeuren en managers zich meer zullen gaan bemoeien met technologie.

2. Consumerization van IT… ‘naar de cloud’ De vloedgolf van consumententechnologie overspoelt de onderneming. Bedrijven willen direct kunnen beschikken over snelle, goede, veilige en flexibele technologie. En dankzij de cloud, virtualisatie en mobiele apparatuur is dat ook mogelijk. De IT-professional zal snel moeten zorgen voor de nodige infrastructuur en diensten waar de gebruikers in toenemende mate om vragen.

3. Identity- en accessmanagement stimuleert de cloud Door identity- en accessmanagement als cloudservice zal de perceptie van beveiliging verschuiven van een rem naar een stimulans voor de cloud. Organisaties zullen anders aankijken tegen cloudbeveiliging naarmate sterkere, meer geavanceerde beveiligingsmogelijkheden

als cloudservice worden aangeboden door organisaties die zijn gespecialiseerd in beveiliging. Zo worden mogelijkheden voor identity en accessmanagement als geavanceerde authenticatie en preventie van fraude, single sign-on en identiteitscontrole aangeboden als cloudservice.

4. Mainframe wordt onderdeel van cloudstrategieën Met hun bewezen veiligheid, betrouwbaarheid en verwerkingskracht zullen mainframes een rol gaan spelen bij cloud-computinginitiatieven. Gezien de hybride architectuur van de nieuwe zEnterprise-hardware van IBM, en de behoefte van bedrijven om de verzuiling van het beheer op te heffen en de beschikbaarheid van services te verbeteren, zullen we de grenzen tussen het gebruik van mainframes en gedistribueerde platforms aan de applicatiezijde zien vervagen.

5. Slimme apparaten zullen notebooks verdringen De ‘consumerization’ van IT houdt ook in dat slimme mobiele apparaten, zoals tablets en iPads, de notebook zullen verdringen als het favoriete apparaat voor werknemers. Hoewel veel bedrijven hebben geprobeerd het gebruik van deze apparaten tegen te houden, bleek de vraag van gebruikers onweerstaanbaar. Het gevolg is dat technologie en diensten op een andere manier zullen worden aangeboden en dat de IT’er met veel nieuwe uitdagingen zal worden

geconfronteerd, met name bij de beveiliging en authenticatie.

6. Automatisering is het geheime wapen De inzet van virtualisatie vergt meer vaardigheden, meer mensen, snellere cyclustijden en minder fouten om ‘virtual stall’ te overwinnen en succesvol te zijn. Automatisering is de enige manier om dit conflict op te lossen, de virtualisatie te versnellen en een efficiënt, kosteneffectief, dynamisch datacenter te bouwen. Automatisering van de virtuele infrastructuur en de virtuele dienstverlening zou wel eens een belangrijker IT-thema kunnen worden dan virtualisatie zelf.

7. Gevaar van interne bedreigingen neemt sterk toe De insider wordt de volgende aanvalsvector waar bedrijven rekening mee moeten houden. Naarmate de beveiliging van bedrijven beter en geavanceerder wordt, wordt ‘social engineering’ van een insider eenvoudiger dan het voortdurend ontwikkelen van nieuwe malware. Nu steeds meer bedrijven sociale netwerksites openen en de mobiliteit van hun werknemers verhogen, neemt het aantal punten waarlangs vertrouwelijke informatie kan wegglippen toe. Organisaties zullen gebruik gaan maken van gedragsanalyse om bedreigingen van binnenuit te voorspellen. Bron: CA Technologies (www.ca.com)

•

Google past ‘uitzonderingsregels’ SLA aan Google heeft de service level agreement (SLA) van Google Apps op een aantal belangrijke punten aangepast. Zo gaat Google downtime die ontstaat door onderhoud voortaan meetellen in de uptime die zij garandeert (99,9 procent). Daarnaast vervalt de uitzondering dat de eerste tien minuten van een storing niet

worden meegerekend. Vanaf nu geldt er geen minimum meer. Ook stopt het bedrijf de ‘geplande downtime’ en wil het voortaan onderhoud uitvoeren terwijl de systemen blijven draaien. Volgens eigen zeggen is Google hiermee het eerste bedrijf dat geen geplande onderhoudswerkzaamheden meerekent.

In 2010 claimt het bedrijf een uptime te hebben gerealiseerd van 99,984 procent. Hiermee voldoet het bedrijf ruim aan de eigen uptimegarantie. Omgerekend kwam de downtime volgens Google neer op gemiddeld zeven minuten per maand in het afgelopen jaar. www.google.nl

•


Onderzoek

Onderzoek cloud computing in Nederland (2)

Kiezen uit

vormen en smaken

Eind vorig jaar voerde CloudWorks, in samenwerking met het organisatieadviesbureau Quint Wellington Redwood en het advocatenkantoor Hogan Lovells, een onderzoek uit naar het gebruik en de acceptatie van cloud computing in ons land. 54 bedrijven en instellingen verleenden hun medewerking aan de enquête en de verdiepingsinterviews. Hierin werden zowel IT- als financiële en juridische aspecten aan de orde gesteld. De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek. In deze tweede aflevering staan de specifieke inrichtingsvormen en dienstverleningsmodellen van cloud computing centraal. Waarin investeren de respondenten, als het de inrichtingsvormen public, private of hybride cloud betreft? En waarin als het om de dienstverleningsmodellen SaaS, PaaS en IaaS gaat? Door Frank de Vries en Arnoud van Gemeren

10 - cloudworks - februari 2011

februari 2011 - cloudworks - 11

Onderzoek Een bekend probleem bij cloud computing is het definitievraagstuk. Cloud computing is een algemene term voor het leveren van hosted services via het internet. Deze diensten zijn over het algemeen onderverdeeld in drie categorieën: infrastructuur as a service (IaaS), platform as a service (PaaS) en software as a service (SaaS). Een clouddienst heeft drie verschillende kenmerken die het onderscheiden van de traditionele hosting. De dienst wordt verkocht per eenheid – zoals bijvoorbeeld per minuut

alleen een pc en internetaansluiting te hebben. Bij dit onderzoek is verder gekozen om de definities van de OpenCrowd Cloud Taxonomy1 te hanteren. Hier zijn de respondenten bij het invullen van de enquête ook op gewezen.

Public, private of hybride In de eerste plaats is in kaart gebracht of er wordt gekozen voor een public of een private cloud, dan wel een hybride inrichtingsvorm. Een public cloud levert diensten aan iedereen op internet. Een

IaaS wordt momenteel volop betrokken bij de vormgeving van sourcingsstrategieën of uur, per gebruiker of per transactie – de dienst is elastisch – een gebruiker kan op ieder moment zo veel of zo weinig van een dienst afnemen als wenselijk – en de dienst wordt volledig beheerd door de aanbieder. De afnemer hoeft

private cloud is kleinschaliger, is op maat gebouwd met behulp van virtualisatietechnieken voor één of een beperkt aantal organisaties. Private clouds maken gebruik van een aantal basiskenmerken van cloud computing (dienstverlening,

100%

19%

90% 80%

20%

70%

17%

20%

13%

9%

13%

60% 50%

30%

31%

40% 30%

57%

20%

41%

30%

10% 0%

2010 Niet

2011 Private cloud

Public cloud

2012 Hybride cloud

Figuur 1. Wanneer verwacht men cloud computing voor het eerst in te zetten? De cijfers in deze figuur geven aan wanneer men cloud computing voor het eerst wenst in te zetten en in welke inrichtingsvorm. De grafiek geeft dus niet een optelling van het feitelijk gebruik van de verschillende cloudvarianten per jaar aan, maar de verwachte voorkeur voor de inrichtingsvorm wanneer respondenten eenmaal in een betreffend jaar tot een bepaalde cloudoplossing overgaan. Zo denkt 20 procent van de respondenten in 2012 een hybride cloud in te gaan richten.


flexibele capaciteit), maar leveren in het algemeen minder kostenvoordelen op in vergelijking tot de andere inrichtingsvormen. Een hybride cloud is een mengvorm van deze beide varianten, waarbij sommige diensten zich in een private cloud bevinden en andere in een public cloud. Of de keuze nu valt op private of public: het doel van cloud computing blijft om eenvoudige, schaalbare toegang tot computing resources en ITdiensten te leveren. Het zal niet verbazen dat private cloud het over de gehele linie wat beter doet dan de andere inrichtingsvormen: niemand neemt graag risico’s met een min of meer publiek domein in een markt waar open standaards voor interoperabiliteit en industriebrede privacystandaards nog ontbreken. Het privacyniveau binnen de Europese Unie is op een hoger niveau vastgesteld dan in de rest van de wereld en geen enkele overheidsinstelling of onderneming neemt graag privacyrisico’s. Veel cloudproviders leveren daarbij niet de noodzakelijke loggingen audit-trailinformatie die vanuit weten regelgeving of vanuit de eigen organisatie geëist wordt. Hierdoor kan cloud computing voor sommige organisaties om complianceredenen ongeschikt zijn. Toch verwachten respondenten ook in 2011 van de public cloud gebruik te maken. Volgend jaar zal private cloud de dominante vorm zijn, op enige afstand gevolgd door hybride varianten. In verdiepingsinterviews kwam naar voren dat de meeste ict-omgevingen van grote ondernemingen en overheden in de toekomst zullen groeien naar een private of hybride inrichtingsvorm. Dit gegeven de grote, hedendaagse mix van dienstverlening, applicaties, databases en platformen. Niet alles wordt gemigreerd naar de cloud, voorbeelden hiervan zijn legacy-omgevingen. Niet alle applicaties zijn daarnaast beschikbaar of geschikt voor een gedistribueerde en gevirtualiseerde omgeving. Een applicatie die veel data moet verwerken, kan in de cloud bijvoorbeeld tegen grenzen aanlopen. De hoeveelheid benodigde bandbreedte wordt hier niet alleen een uitdaging – het bijbehorende kostenniveau doet veel businesscases eruit zien als een financiële wanprestatie –, maar ook de bezorgdheid over het gebrek aan controle over activa en het geboden niveau van veiligheid en privacy bij

gebruikmaking van public clouds speelt een belangrijke overweging om te gaan voor een private of hybride inrichtingsvorm.

SaaS Vervolgens zoomt het onderzoek in op software as a service en stelt de vraag welk type applicaties betrokken gaat worden van de cloud. SaaS wordt hierbij als volgt gedefinieerd: ‘Cloud based delivery of complete software applications that run on infrastructure the SaaS vendor manages. SaaS applications are accessed over the Internet and typically charged on a subscription basis.’ (Definitie: Cloud Taxonomy.) SaaS-leveranciers hebben de afgelopen jaren veel voordeel gehad van technologische innovaties op het gebied van bijvoorbeeld multitenancy, data- en webarchitecturen en niet te vergeten: webstandaarden. Hierdoor werd de kans groter dat meerdere browsers, platformen en end-users konden ‘inprikken’ op hun SaaS-toepassing. Van de drie dienstverleningsmodellen diende SaaS zich als eerste aan. Bekende voorbeelden van SaaS zijn Salesforce.com, SugarCRM, SAP By Design en Netsuite. De cijfers in figuur 2 geven per jaar aan wanneer men SaaS wenst in te zetten en voor welk functioneel domein. Zo denkt 19 procent van de respondenten pas in 2012 tools voor projectmanagement als SaaS-toepassing af te nemen. In de periode 2010-2012 verwacht 57 procent van de respondenten hier gebruik van te maken. Kijkend naar de uitkomsten zoals weergegeven in figuur 2, valt op dat respondenten softwareapplicaties voor kritieke processen zoals financials, security en in mindere mate ‘gevoelige’ processen als sales en HRM nog niet aan de cloud toevertrouwen. Implementatie van SaaS en plannen daartoe hebben vooral betrekking op pakketten voor collaboration, contentmanagement en projectmanagement. Kantooroplossingen van Nederlandse en Belgische bodem zijn ContactOffice en Viadesk. Andere bekende SaaS-spelers zijn Cisco WebEx Collaboration, Citrix GoToMeeting, Dimdim, Google Apps, Microsoft Office Live, Oracle Cloud Office, Zimbra en Zoho. Een andere constatering is dat SaaS nu al realiteit is.

Legenda: 1 = Billing 2 = Collaboration 3 = Content/document management

4 5 6 7

8 = Sales 9 = Security 10 = Social networks

= ERP = Financials = HRM = Projectmanagement

100% 90% 80%

44%

44%

48%

70% 60%

73%

73%

71%

77% 6% 19%

15%

40%

10%

19%

23%

30% 20%

6%

17% 6% 10%

25%

21%

10%

0%

63%

65%

8%

50%

44%

1

2 2010

3

21%

15%

8%

10%

8%

6%

10%

13%

15%

17%

17%

4

5

6

7

8

2011

15%

6%

4% 8%

2012

31%

10%

9

10

Niet

Figuur 2. Wanneer verwacht men SaaS voor het eerst in te zetten en voor welk domein?

PaaS Ook bij platform as a service is de definitie van Cloud Taxonomy aangehouden. PaaS wordt als volgt gedefinieerd: ‘Delivery of a virtualized application runtime platform that has a software stack for developing applications or application services. PaaS applications and infrastructure are run and managed by the services vendor’. Van de dienstverleningsmodellen is PaaS de jongste verschijningsvorm. Voorbeelden zijn: Microsoft Azure Services Platform, Google App Engine, Force.com door Salesforce. com, VMforce.com en Amazon Web Services. PaaS bleek in 2010 met name te worden ingezet voor schaalbare databasesystemen. Platformen voor softwareontwikkeling en testen komen in 2011 duidelijk in zwang: 22 procent van de respondenten geeft aan in 2011 cloudplatformen te gaan gebruiken. Een beleidsmedewerker van een overheidsinstelling gaf aan terughoudend te

zijn over zowel PaaS- als SaaS-dienstverleningsmodellen: “SaaS en PaaS kunnen tot een complete vendor lock-in leiden, omdat deze leveranciers bedrijfseigen, proprietary interfaces (API’s) gebruiken. Er is een gebrek aan standaards, de kosten om te switchen kunnen hoog zijn wanneer je er eenmaal aan vastzit.”

IaaS Infrastructure as a service is gedefinieerd als: ‘Delivery of raw, virtualized computing infrastructure such as servers- and storage-as-a-service to build applications. IaaS vendors let enterprises customize infrastructure to their application needs’. IaaS is een relatief nieuwe tak van sport in Nederland. Het wordt momenteel volop betrokken bij de formulering van sourcingsstrategieën en aangehaald voor OTA-omgevingen en back-up & disaster recovery. Veel ondernemingen en overheidsinstanties zijn al bezig om hun infrastructuur te virtualiseren wat een goede stap is richting IaaS.


Onderzoek

2010

2011

Business intelligence

10%

12%

2012 Niet 8%

71%

Database

18%

16%

12%

55%

Development & testing

8%

22%

12%

59%

Integratie

10%

14%

8%

69%

Figuur 3. Wanneer verwacht men PaaS voor het eerst in te zetten en voor welk domein? (Door afrondingen en overlap zijn totalen niet altijd 100 procent.)

2010

2011

2012 Niet

Back-up & disaster recovery

24%

14%

14%

49%

Cloud brokers

2%

6%

12%

80%

IT-servicemanagement

12%

12%

14%

63%

Servers

29%

22%

14%

35%

Storage

27%

24%

16%

33%

Virtuele werkplekken

29%

20%

22%

29%

Figuur 4. Wanneer verwacht men IaaS voor het eerst in te zetten en voor welk domein?

Bij IaaS is de klant in veel gevallen zelf verantwoordelijk voor onder andere uitgifte van virtuele machines, beveiliging, applicatiemanagement en netwerkmonitoring. Het is dan ook zaak om hier bij de vormgeving van businesscases en tijdens due diligence – maar ook tijdens de uitvoering van de pilot – rekening mee te houden. De indruk leeft overigens dat grote ict-leveranciers in Nederland met name zoekende zijn naar hun onderscheidend vermogen in de cloud ten opzichte van traditionele cloudleveranciers als Amazon Elastic Compute Cloud (EC2), AppLogic, Google Storage for Developers, en Rackspace JungleDisk.

Kritieke bedrijfsprocessen worden niet ‘ver-SaaS-t’ De onderzoeksresultaten laten een brede toepassing zien van IaaS (servers, storage, back-up & disaster recovery). Opvallend is dat de toepassing van ITservicemanagementtools om cloudinfrastructuren te beheren verhoudingsgewijs achterloopt. Deze tools bieden functies aan die cloudproviders niet bieden of zijn gespecialiseerd in het beheer van bepaalde applicatietechnologieën. Een voorbeeld hiervan is Ylastic om Amazon Web Services makkelijker te beheren.

Publicaties De onderzoekers bespreken in een aantal artikelen de uitkomsten van het onderzoek naar cloud computing in Nederland. Artikel 1 – verschenen in CloudWorks nr 6/2010 De achtergrond van de respondenten, de status van de introductie van cloud computing in hun organisaties, en de bijbehorende investeringsplannen. Artikel 2 – in dit nummer De keuzes van de respondenten waar het gaat om de inrichtingsvormen public, hybride versus private cloud en de dienstverleningsmodellen SaaS, PaaS en IaaS. Artikel 3 – in CloudWorks nr 2/2011 Waarom overweegt men cloud com-


puting? Welke drempels zijn er als het gaat om de toepassing van cloud computing? Artikel 4 – in CloudWorks nr 3/2011 Juridische aspecten van cloud computing, met name op het gebied van data in de cloud. (Mogelijk gevolgd door een vijfde artikel, eveneens van juridische aard.) Dit voorjaar geven CloudWorks, Quint Wellington Redwood en Hogan Lovells een boekje uit, met daarin deze artikelenreeks, plus de uitgebreide onderzoeksresultaten. Wanneer u belangstelling hebt voor dit boekje, kunt u een mail sturen naar Arnoud van Gemeren, uitgever van CloudWorks (arnoud@ cloudworks.nu).

Continuity of the Cloud TelecityGroup: solide basis TelecityGroup is een toonaangevende pan-Europese leverancier van netwerkonafhankelijke datacenters, en biedt een scala aan flexibele, schaalbare datacenters en waarde toevoegende services. TelecityGroup is gespecialiseerd in het ontwerpen, bouwen en beheren van veilige omgevingen met een hoge connectiviteit waar klanten hun web- en internetinfrastructuren kunnen vestigen. Elk datacenter fungeert als een connectiviteitsknooppunt waar het faciliteren van opslag, delen en distribueren van data, content en media mogelijk is. Het hoofdkantoor van TelecityGroup is gevestigd in Londen. De onderneming beschikt over 23 datacenters in zeven Europese landen. Deze datacenters zijn gevestigd op uitstekende A1-locaties in Amsterdam, Dublin, Frankfurt, London, Manchester, Milaan, Parijs en Stockholm.

Conclusie Uit de onderzoeksresultaten en verdiepingsinterviews komt naar voren dat grote organisaties en overheidsinstellingen een grotere voorkeur hebben voor private clouds of een hybride inrichtingsvorm. Het MKB durft en kan sneller schakelen naar de public cloud. Gezegd dient te worden dat zij ook relatief sneller voordeel halen uit de cloud, kijkend naar beperktere budgetten en -kennis om volledig zelf de IT-dienstverlening te leveren, beperkte aanwezigheid van legacy en de wereldwijd geboden flexibiliteit indien men gebruikmaakt van de cloud. Alle drie de dienstverleningsmodellen (SaaS, PaaS en IaaS) worden geadopteerd. IaaS lijkt hierbij het meest populair. Het derde artikel in deze reeks zal in het teken staan van de drijfveren en drempels voor cloud computing. CW Noten 1 Zie http://cloudtaxonomy. opencrowd.com/. Frank de Vries (F.de.Vries@quintgroup. com) is partner bij Quint Wellington Redwood, een bureau voor organisatieadvies op het raakvlak van organisatie en IT. Arnoud van Gemeren (arnoud@cloudworks. nu) is uitgever van CloudWorks.


PaaS

Azure Appliance:

cloud voor de deur Afgelopen zomer maakte Microsoft bekend dat het zijn Windows Azure-cloudplatform ook in een containerversie wil gaan aanbieden. Groot voordeel voor sommige potentiële gebruikers is dat Azure zo ook als een lokale cloud kan worden ingericht. De Azure-appliance wordt verder gekenmerkt door een enorme schaalbaarheid: de container kan van honderden tot maar liefst tienduizenden servers bevatten. Duidelijk is welke doelgroep Microsoft voor ogen heeft: grote (managed) serviceproviders, multinationals en overheden, of in het algemeen organisaties die hun datacentra met duizend servers tegelijk opwaarderen. Door Paul Matthijsse, freelance journalist

Nadat Microsoft de hele wereld aan Windows heeft gekregen, wil het bedrijf nu de hele wereld de cloud in helpen. De softwaregigant meent dat cloudtechnologie een grote ommekeer teweeg zal brengen in de manier waarop IT in de

toekomst gaat worden geconsumeerd – en is daar uiteraard niet de enige in. Het bedrijf zet daarom stevig in op deze technologie en is in hoog tempo bezig zijn grote softwarepakketten om te bouwen tot ‘cloudware’, die als SaaS-applicaties (software as a service) kan worden afgenomen. De basis van de cloudtechnologie van Microsoft wordt gevormd door het Windows Azure-platform. Dat bestaat uit verschillende onderdelen, waaronder Windows Azure (het besturingssysteem van de cloud), de database SQL Azure, Windows Azure-appfabric en Windows Azure-marketplace. Hiermee hebben ontwikkelaars alle benodigde instrumenten in handen om cloudapplicaties te schrijven – of om bestaande programmatuur naar de cloud te migreren.

Eindpunten Windows Azure-applicaties draaien in de datacenters van Microsoft en zijn te benaderen via internet.


Windows Azure vormt de cloudequivalent van Windows Server en is dus weinig anders dan een gemodificeerde Windows-omgeving om applicaties te

draaien vanaf de servers in de verschillende datacenters van Microsoft, en om de data daar op te slaan. Microsoft beschikt over zes van deze datacenters: twee in Europa, twee in Azië en twee in de Verenigde Staten. Azure-ontwikkelaars kunnen zelf aangeven op welke datacenters zij hun applicaties en data plaatsen, bijvoorbeeld om de latentie voor hun klanten zo klein mogelijk te houden, maar ook om klanten aan eventuele complianceregels te laten voldoen. Dit ‘lokaliseren’ gebeurt met Azure-appfabric. Deze voorziening biedt infrastructuurdiensten voor de applicaties die in de cloud draaien. Ontwikkelaars kunnen met de servicebus van appfabric hun applicaties zichtbaar maken voor klanten, door er een URI (uniform resource identifier) aan te koppelen. Deze URI’s creëren ‘eindpunten’ in de cloud, die door klanten maar ook door andere programmatuur kunnen worden gebruikt.

De Azure-marketplace tot slot is een ‘winkel’ waar ontwikkelaars hun cloudapplicaties of -diensten kunnen aanbieden, die vervolgens door bedrijven of consumenten kunnen worden afgenomen.

wereldwijd aanslaat, kan zo’n oplossing binnen de kortste keren voor een explosie aan dataverkeer zorgen. Voor een start-up is het een geweldige uitdaging, alleen al op hardwaregebied, om

al dat verkeer in goede banen te leiden. In dergelijke gevallen is men volgens Microsoft beter uit met de Azure-oplossing, omdat applicaties hier zeer ver kunnen worden opgeschaald.

Scenario’s Microsoft reikt verschillende scenario’s aan waarin de Azure-oplossing beter functioneert dan een lokale oplossing (Windows Server geïnstalleerd bij de klant dus). Een ontwikkelaar of ISV die een applicatie voor zakelijke gebruikers maakt in de vorm van een SaaS-model heeft baat bij Azure, omdat dit platform deels ontworpen is om Microsofts eigen SaaS-applicaties bij klanten af te leveren. Ontwikkelaars kunnen dus voortborduren op de basis die al door Microsoft is gelegd. Een ander scenario is de volgende consumentgerichte ‘killer-app’, een nieuw soort Facebook bijvoorbeeld. Als zoiets

Windows heeft vijf hoofdcomponenten: verwerkingskracht, storage, de Fabric Controller, de CDN (content distribution network) en de verbinding.


PaaS

Infrastructuur

IBM: ‘Er is meer dan privaat, publiek en hybride’

Samen met hardwarepartners HP, Dell en Fujitsu zijn inmiddels de eerste prereleasemodellen vervaardigd die momenteel worden gebruikt om de Azure-appliance te testen. Het duurt overigens nog wel even voor de eerste modellen in de winkel staan, naar verwachting zal dat niet eerder zijn dan eind 2011.

Cloudmodellen

op een rij

Strak geregisseerd Terug naar de appliance nu. Met de Windows Azure-platformappliance gaat Microsoft nog een stapje verder in zijn cloudaanpak en bemoeit zich nu ook met de configuratie van de hardwarelaag. Door de samenstelling van de hardware strak te regisseren – standaard x86-servers, opslag en het interne netwerk moeten voldoen aan door Micro-

Het Windows Azure-platform ondersteunt applicaties, data en infrastructuur in de cloud, tezamen met een ‘cloudmarktplaats’.

ergens een punt waarop het goedkoper wordt zelf een lokale cloud te ontwikkelen op basis van Windows Server en aanverwante technologie. Niettemin zei een HP-technicus in een interview met

Met de Windows Azure-platformappliance gaat Microsoft nog een stapje verder in zijn cloudaanpak soft opgestelde specificaties – hoopt het bedrijf een cloudplatform te bieden dat bij wijze van spreken kan worden geactiveerd door alleen maar de stekker in het stopcontact te steken. Het feit dat de cloudlaag van de appliance op afstand door Microsoft wordt onderhouden – op dezelfde manier zoals dat met Windows Update gebeurt – wijst erop dat het bedrijf er veel aan is gelegen de beheerangels uit de cloud te halen. Dat is ook de reden dat het bedrijf op dit moment met slechts drie partners, HP, Dell en Fujitsu, in zee is gegaan. Want het is een bijna onmogelijke opgave om het Azure-platform te draaien en te onderhouden op alle uiteenlopende hardware die er op deze wereld is te vinden. In die gevallen is het beter Windows Server met virtualisatietechniek (Hyper-V) en System Center te gebruiken, aldus Microsoft. Volgens het bedrijf kan de Azure-appliance worden opgeschaald tot ‘tienduizenden’ servers, maar evengoed worden teruggeschaald naar kleinere aantallen dan duizend. Waar de ondergrens ligt, is niet eenvoudig te voorspellen, maar er is


een collega-journalist dat het heel wel mogelijk is de Azure-appliance zo ver terug te schalen, dat deze gewoon in de vorm van een paar racks kan worden geleverd in plaats van in een container. Overigens is de container ontworpen volgens de laatste inzichten op het gebied van stroomverbruik en koeling. Hij is dan ook zeer energie-efficiënt.

Lokaal een must Voor sommige gebruikers kent de Azure-oplossing één ernstig probleem: applicaties en data bevinden zich op de servers van Microsoft en dat is om uiteenlopende redenen niet altijd gewenst. Overheidsorganisaties zullen de gegevens over hun burgers immers niet bij een buitenlands commercieel bedrijf willen stallen. En als ze dat al zouden willen, maakt lokale wetgeving dit wel onmogelijk. Privégegevens over burgers horen opgeslagen te worden in het eigen land. Hetzelfde geldt voor multinationals. Niet alleen om industriële spionage tegen te gaan, maar ook omdat deze bedrijven aan een hele hoop regels en wetten op

het gebied van compliancy moeten voldoen. Dergelijke klanten kunnen het dus niet eens in overweging nemen om de Azure-cloud te omarmen. Vandaar dat Microsoft met dit containerconcept op de proppen is gekomen om aan deze bezwaren tegemoet te komen. Overigens is het een hybride model. Gebruikers kunnen met de appliance inderdaad een lokale Azure-cloud inrichten, maar daarnaast aan de publieke Microsoft-cloud aankoppelen. Dit laatste is van nut wanneer een organisatie bijvoorbeeld plots meer processorcapaciteit nodig heeft. Ook kunnen niet-kritische data in de publieke cloud worden opgeslagen. CW

Eerste klant is eBay Een van de eerste klanten die met de Azure-appliance gaat werken, is onlineveilinghuis eBay. Ingenieurs van dat bedrijf hebben tijdens een pilotproject intensief samengewerkt met technici van Microsoft om de Azure-omgeving aan eBay’s eigen e-commerceplatform te koppelen. En dat is kennelijk goed gelukt, want eBay heeft laten weten twee van zijn datacenters uit te zullen rusten met de Azure-appliance. Naar eigen zeggen haalt het bedrijf daarmee een omgeving in huis, die een goede oplossing vormt voor geautomatiseerd en schaalbaar capaciteitsmanagement. Dit laat zich direct vertalen in strategische ‘souplesse’, iets wat voor een topspeler op het gebied van onlineveilingen natuurlijk van levensbelang is.

In veel discussies lijkt er sprake te zijn van slechts drie soorten cloud: privaat, publiek en hybride. De werkelijkheid is beduidend complexer. Zowel hybride oplossingen als private cloudomgevingen vallen in meerdere smaken uiteen. De vraag is welke aanpak het beste past bij de eigen organisatie. Door Hans Vandam, freelance journalist Voor wie het snel zegt, lijkt het allemaal heel eenvoudig. We kunnen kiezen uit drie smaken cloudoplossingen: geheel in eigen beheer (private cloud), geheel ingekocht bij derden (public cloud) of een mengvorm die we voor het gemak maar de hybride cloud zijn gaan noemen. Maar klopt deze indeling wel?

Vijf modellen Neen, zegt men bij IBM. Zowel bij de private als de hybride cloud is de situatie beduidend complexer. In figuur 1 is weergegeven hoe een aanbieder als IBM tegen de cloud aankijkt. Bij het kiezen van de juiste aanpak lijkt het vooral een afweging te zijn tussen eigendom en controle behouden aan de ene kant, en schaalgrootte aan de andere kant. De grenzen tussen de drie genoemde modellen zijn wellicht ook niet zo scherp aan te geven als verwacht. Allereerst de private cloudomgeving. Die kan in de visie van IBM twee vormen aannemen: een volledig door een bedrijf in eigen beheer opgebouwde omgeving, en een omgeving die volledig voor één klant is bedoeld, maar die in de praktijk door een andere partij wordt onderhouden. Het eerste model is wat we vaak bedoelen met ‘on premise’: het betrokken datacenter is eigendom van de organisatie en wordt bovendien door de eigen ITafdeling beheerd. De managed private cloud is eveneens privaat, maar is tege-

lijkertijd toch min of meer uitbesteed aan een derde partij. Het bedrijf is weliswaar eigenaar van de gehele omgeving, maar de operatie en het beheer zijn overgedragen aan een externe partij.

Schaalgrootte Wordt echter ook het datacenter – dat in het managed private-cloudmodel nog eigendom was van de organisatie – overgedragen aan een externe partij, dan is er sprake van een eerste hybride cloudvorm. Die derde partij is eigenaar van het datacenter en biedt tevens de clouddiensten aan de klant aan. Dit soort omgevingen kenmerken zich vaak door een vorm van standaardisatie en centralisatie die bij een private cloud veel minder noodzakelijk is. Bij private omgevingen zijn de eisen en wensen van de eigenaar immers maatgevend. Bij hybride modellen begint echter ook de behoefte van de aanbieder aan economies of scale een rol te spelen. Die schaalgrootte speelt een nog grotere rol bij de hybride vorm waarbij meerdere bedrijven gaan samenwerken met een externe partner om tot een aanpak te komen die IBM member-cloudservices noemt. In eigen land zouden we het dan over een shared-servicescenter hebben waarbij een deel van de gebruikte hulpmiddelen gedeeld wordt met andere deelnemers aan deze cloudvorm, eventueel aangevuld met maatwerk.

De laatste soort van clouddienstverlening is de publieke cloud. Vaak worden deze min of meer gelijk geschakeld met Amazon Elastic Compute Cloud of Google’s AppEngine. De lijst met aanbieders van publieke clouddiensten is echter veel langer. Kenmerkend is in ieder geval dat de IT-hulpmiddelen die worden ingeschakeld, gedeeld worden met andere gebruikers. Ook is de IT-omgeving die men gebruikt uiterst schaalbaar waarbij men alleen betaalt voor wat men daadwerkelijk gebruikt.

Omgeving opslaan Ten slotte nog iets over een cloudproject dat voor veel bedrijven interessante mogelijkheden zou kunnen bieden. Dat is het project dat IBM samen met het Franse softwarebedrijf Dassault Systèmes heeft opgezet. Dassault is vooral actief met CAD-software en andere op productiebedrijven gerichte programmatuur. De software wordt bijvoorbeeld gebruikt door autofabrikanten. Op het moment dat hier een nieuw, grootschalig ontwerpproject wordt gestart, kan het handig zijn om de extra benodigde licenties niet te kopen maar vanuit de cloud te huren. Is het project weer afgerond, dan wordt de huur als het ware weer opgezegd en nemen dus ook de kosten weer af. Opmerkelijk aan dit samenwerkingsverband is echter dat IBM en Dassault gekozen hebben voor een aanpak waarbij weliswaar een publieke clouddienst wordt aangeboden, maar waar toch ook nauwkeurig naar de wensen van de klant wordt gekeken. Zo maken veel ontwerpers gebruik van macro’s, scripts en eigen instellingen om hun ontwerpomgeving in te richten. IBM en Dassault maken het mogelijk deze omgeving als geheel op te slaan, nadat een project is afgerond en de klant dus geen gebruik meer maakt van de vanuit de cloud aangeboden ontwerpsoftware. Dat is handig voor de klant aangezien de gehele op de eigen wensen aangepaste ontwerpomgeving bij een volgend project weer direct beschikbaar is. Maar het is natuurlijk ook slim van IBM en Dassault: men weet vrijwel zeker dat deze klant bij een volgend project weer terug zal keren. CW


Thema

De perceptie van cloud-storage

Cloud-storage heeft potentieel, zoveel is wel duidelijk. In een onderzoek onder gebruikers van de datamanagementsoftware van CommVault komt naar voren dat meer dan de helft van hen cloudstorage overweegt. Maar ook is er veel twijfel. Hoe staat het met de beveiliging van data in de cloud? En welke data leent zich eigenlijk het best voor de cloud? Door Willem Boelman, Product Marketing Manager bij CommVault

Vraag tien mensen naar hun perceptie van cloud-storage en je krijgt tien verschillende antwoorden. Waar het op neerkomt, is dat cloud-storage gebaseerd is op een nutsmodel: je betaalt voor daadwerkelijk gebruik van de storage die je nodig hebt. De dienstverlening is via het internet beschikbaar. Capaciteit is makkelijk bij te schakelen of weer vrij te geven naargelang het gebruik. Dat maakt cloud-storage schaalbaar en flexibel. Ook de verdeling in publieke en private cloud-storage wil nog weleens tot verwarring leiden. In de kern is de publieke cloud een ‘pay as you go’-dienst. De service is extern ondergebracht en wordt via een webinterface geleverd. Een gebruiker betaalt per gigabyte of per maand, met extra kosten voor de gebruikte bandbreedte. Een private cloud is intern ondergebracht op eigen hardware. De interne IT-afdeling beheert deze cloud die zorgt voor schaalvoordelen en flexibiliteit. Bovendien is het eenvoudig om data te beheren.

Beveiliging Het gevoel van controleverlies is een belangrijke drempel voor het inzetten van cloud-storage. Doordat er geen directe link is tussen de organisatie en de infrastructuur waar de data is opgeslagen, mist de organisatie de directe greep op de data. Deze drempel is met


de inzet van datamanagementsoftware die geschikt is voor cloud-storage, weg te nemen. Daardoor komen de evidente voordelen van cloud-storage binnen handbereik van organisaties. Vanuit het gebruiksoogpunt leent cloudstorage zich het best voor ongestructureerde bestandsdata en data-archivering voor de lange termijn. Denk aan medische dossiers, creditkaartaanvragen of hypotheekoffertes. Daarentegen zijn (realtime) transactiegegevens veel minder geschikt in verband met de vertragingen die kenmerkend zijn voor het internet. Ook back-up- en archiveringsapplicaties zijn geschikt voor gebruik in de cloud. Vooral wanneer bedrijven er huiverig voor zijn om hun primaire gegevens in de cloud onder te brengen, kunnen ze er wel voor kiezen om die data te backuppen of te archiveren in de cloud.

Waarom cloud-storage? Er zijn voor klanten twee belangrijke redenen om hun data op te slaan in de cloud. Die liggen op operationeel en op financieel vlak. Het verbeteren van de serviceniveaus is nooit een reden om cloud-storage in te zetten. De operationele voordelen van cloud-storage liggen voornamelijk op het gebied van risico- en complexiteitsreductie. Zo kan een organisatie stoppen met tapeopslag dat veel handmatig werk met zich

meebrengt en zeer nauwkeurig beheer vereist. Het behalen van kostenvoordelen is mogelijk doordat cloud-storage enorme schaalvoordelen biedt ten opzichte van het zelf opslaan van data. Door moderne compressietechnieken en versleutelingsmethoden die bestanden aan de bron versleutelen, is dat op een veilige manier mogelijk. Uiteindelijk is cloud-storage voor bepaalde datatypen veel efficiënter op de volgende terreinen: * Verwerking: verwerk data zo weinig mogelijk, vooral oude data. * Kosten: betaal alleen voor daadwerkelijk gebruik. * Capaciteitstoewijzing: stop met het in stand houden van onbenutte overcapaciteit. * Ruimte: verwijder oude data uit het datacenter. * Benutting van middelen: stop met

het (kostbare) onderhoud van weinig gebruikte data en creëer ruimte voor bedrijfskritische gegevens. * Groene IT: maak het datacenter efficiënter. * Personeel: er zijn minder medewerkers nodig om data te beheren of te verplaatsen. De stap naar het inzetten van cloudstorage begint met een grondige analyse van de actuele storagesituatie. De tweede stap is het vaststellen van de zakelijke eisen voor datastorage. Hierdoor is er duidelijkheid te creëren over welke data meer en minder belangrijk is en welke korter of langer bewaard dient te blijven. Dit is een cruciale exercitie, omdat het op deze manier mogelijk is om de minder belangrijke data naar de cloud te verplaatsen. De vraag hoe lang een organisatie data moet bewaren, heeft niets met technologie te maken,

Prioritering voor korte- en langetermijndata is essentieel maar alles met de business. De business bepaalt welke data lang en welke minder lang bewaard moet blijven. Daarbij speelt uiteraard weten regelgeving, maar ook gezond verstand een belangrijke rol. Met deze analyses is een businesscase te creëren, die duidelijk maakt welke voordelen cloud-storage kan opleveren. Dit proces kan enkele weken in beslag nemen, hoewel er steeds meer praktische tools op de markt komen om een en ander te versnellen. Op dit moment zijn er drie belangrijke toepassingsgebieden in data- en informatiemanagement, die zich lenen voor cloud-storage:

* Back-up en recovery – de cloud is de externe bron voor de opslag van data gedurende een bepaalde periode. * Archivering – de cloud als kosteneffectief alternatief voor interne opslag van minder belangrijke data. * Disaster recovery – de cloud doet dienst als kosteneffectief uitwijkcentrum. Elk van deze drie toepassingsgebieden heeft zijn eigen specifieke kenmerken die een rol spelen bij de keuze voor cloudstorage. Zo speelt bij back-up en recovery de beschikbare bandbreedte een cruciale rol. Ook is het zaak om de tarieven van cloudleveranciers te vergelijken om er zeker van te zijn dat de beloften van kostenbesparingen worden ingelost.


Thema

$ATACENTER7ORKS NUOOKONLINE

Back-up en recovery Het doel van back-up is uiteindelijk recovery. Uiteraard speelt ook retentie een rol bij back-up, maar in de kern gaat het erom dat we data kunnen herstellen. Willen we dit als een dienst vormgeven (bijvoorbeeld in de cloud), dan is het allereerst nodig om de omvang van de data te bepalen. Daarnaast moeten we het storageprofiel vaststellen en een recoveryserviceniveau bepalen. Als we dat hebben, is het mogelijk om recoverypunten en -doelen te definiëren. Die helpen bij het bepalen of een cloudinfrastructuur voordelen biedt op dit vlak. Archivering Het bewaren van data op de lange termijn lijkt prima aan te sluiten bij cloudstorage. Deze gegevens spelen immers geen rol in de dagelijkse bedrijfsvoering. Niettemin kan het op een gegeven moment nodig zijn om gegevens uit een archief te ontsluiten. Daarom is het zaak te weten hoe eenvoudig dat is en hoe lang het duurt om een bepaald item uit het archief te halen. Daarnaast moet archiefdata bij voorkeur doorzoekbaar zijn op inhoud. Dat betekent dat een cloudleverancier data moet kunnen indexeren. Dan is het mogelijk om te zoeken op inhoud en op bestandsnaam en map. Disaster recovery Het inzetten van cloud-storage voor disaster recovery is de nieuwste trend in datamanagement. De voordelen zijn evident. Een organisatie heeft bijvoorbeeld geen dubbel uitgevoerde opslagsystemen of tweede datacenter meer nodig. Daarnaast is er het schaalvoordeel dat de cloudleverancier kan

Data centers are out of floor space

bieden. Tegelijkertijd kunnen back-up en recovery complex zijn en hangt veel af van de mogelijkheid om data snel en efficiënt te herstellen. Hierbij spelen cruciale integratie-issues tussen klant en cloudleveranciers een rol. Deze verdienen veel aandacht bij de start van een cloud-storageproject.

Wanneer naar de cloud? Veel organisaties hebben moeite om het juiste moment te bepalen voor de

Low utilization increases costs

overstap naar cloud-storage. In het algemeen hangt het tijdstip af van de businesseisen van een organisatie en van de verwachte impact van de keus. De keuze voor (of tegen) cloud-storage is een businesskeuze, geen technologiekeuze. De businesskeuze moet uiteraard inpasbaar zijn in het IT-beleid. Datamanagementsoftware die werkt met geautomatiseerde beleidsregels speelt daarbij een cruciale, ondersteunende rol. Deze software moet een hybride storageaanpak kunnen ondersteunen en probleemloos kunnen omgaan met de grote cloudleveranciers, waaronder Amazon (Web Services), Microsoft (Azure), EMC (Atmos) en Iron Mountain.

$ 1.5 per GB/mo

Unlimited space

30%-40% Utilization

$ 1.0 per GB/mo 70% Utilization

Cloud Tier2 NAS

Tape

Datacenters kampen met beperkte ruimte voor opslag, terwijl dure apparatuur nauwelijks efficiënt benut wordt. Cloud-storage lijkt een goed alternatief.

Cloud-storage is weliswaar nog relatief nieuw en niet alle kinderziekten zijn al uitgebannen. Niettemin zijn de functionaliteit en waarde steeds duidelijker aan het worden. Leveranciers van cloudstorage en datamanagementsoftware spelen hierop in met steeds geavanceerdere oplossingen. Dat maakt het concept alleen nog maar interessanter. CW

+IJKVOORALLEARTIKELENENHETLAATSTENIEUWSOP WWWDATACENTERWORKSNL %NVOORDATACENTERVIDEO´SOPWWWYOUTUBECOMUSER$ATACENTER7ORKS


Trends

BringYourOwn PC Het concrete nieuwe werken Het nieuwe werken is definitief doorgebroken. Het concept ‘BringYourOwn PC’ heeft alles te maken met de nieuwe vrijheid die gebruikers krijgen met het nieuwe werken. Wat is de reden dat BringYourOwn PC zo in de belangstelling staat, wat zijn de voordelen en waarop moet je letten? Door Remco Nijkamp, IT Architect Qwise De integratie van ict in ons (werkende) leven vertoont sterke gelijkenis met hoe elektriciteit zijn plek kreeg in onze samenleving. In de tweede helft van de negentiende eeuw waren fabrieken nog aangewezen op hun eigen energievoorziening, terwijl vijftig jaar later elk huishouden zich kon laten aansluiten op centrale levering uit de muur. De innovatie die elektriciteit rond 1850 nog was, was rond 1900 teruggebracht tot een commodity. Inmiddels kan niemand meer zonder, maar het mag geen zwaarwegende kostenpost meer zijn. Vanaf de introductie van de pc in 1981 heeft in het bedrijfsleven eenzelfde revolutie plaatsgevonden, zij het in een wat hoger tempo. Anno 2011 is ict een commodity geworden. Het is niet langer vanzelfsprekend om een eigen ict-afdeling te hebben. Integendeel; ‘de cloud’ levert ict uit de muur en het maakt niet uit wat voor apparaat je daarop aansluit.

Dat apparaat kan dus ook prima door de werknemer zelf zijn geselecteerd of aangeschaft en dat is nu precies waar het bij BringYourOwn PC (BYOPC) om draait.

Het principe van BYOPC BringYourOwn PC stamt af van het Amerikaanse gebruik om naar een feestje je eigen drank mee te nemen – BringYourOwnBottle/Booze. Inmiddels is BringYourOwn een gangbare term voor alles wat je zelf kunt meebrengen, zo ook in de ict. BringYourOwn PC, hierna afgekort tot BYOPC, houdt in dat de medewerker letterlijk zijn eigen laptop, tablet en/of telefoon meeneemt naar zijn werkplek. Sterker nog: het apparaat dat hij meebrengt, ís zijn werkplek. Onderzoek van Gartner onder ruim 500 IT-managers1 voorspelt dat het aantal privéapparaten dat gebruikt wordt voor het verrichten van bedrijfskritische handelingen enorm zal toenemen. Dit betekent dat

Scenario... Stefan treedt in dienst bij zijn nieuwe werkgever, Qality. Twee weken voor zijn eerste werkdag krijgt hij een pakketje in de bus. Daarin zit een creditcard waarmee hij zijn eigen werkstation kan kopen plus een CD-rom met instructies. Het apparaat dat hij koopt, krijgt hij van Qality in bruikleen. Het blijft dus eigendom van het bedrijf. Qality heeft bij twee onlineshops kortingen bedongen. Verheugd gaat Stefan shoppen en twee dagen later wordt zijn bestelling thuisbezorgd: een MacBook Pro. Van het beschikbare budget heeft Stefan ook een servicecontract afgesloten bij een van de twee voorkeursdienstverleners. Zijn internetverbinding mag hij opwaarderen naar een hogere bandbreedte. Met de CD-rom installeert hij de ICA-client, waarna hij zijn MacBook moet aanmelden. Tijdens zijn eerste werkdag is ieder programma via een virtuele desktop beschikbaar.


ons gebruik van ict er over pakweg vijf jaar wezenlijk anders zal uitzien dan nu en maakt de relevantie nog groter.

Hoos van privé-apparaten De diverse technieken die BYOPC ondersteunen, zoals internet, cloud, OS streaming, virtualisatie van applicaties, desktops en servers, bestaan al langer. Relatief nieuw is dat de combinatie van al die technieken sinds kort echt binnen handbereik is gekomen. Bandbreedte kost steeds minder, terwijl de kwaliteit van diverse presentatieprotocollen toeneemt en virtualisatie zijn waarde in bedrijfskritische omgevingen meer dan bewezen heeft. Het zijn niet zozeer de technische aspecten die de uitdaging vormen, maar de vraag: zijn organisaties klaar voor de hoos aan privéapparaten? Een punt van zorg is de enorme onderschatting door werkgevers van de

consumerization van ict en de snelheid waarmee dat gaat. Dat blijkt uit de praktijk en wordt gestaafd door bijvoorbeeld onderzoek van IDC in opdracht van Unisys.2 Het gevolg van deze onderschatting is dat daardoor de ict‑infrastructuur van Nederlandse bedrijven onvoldoende is voorbereid op het toenemende gebruik van consumentenapparaten op de werkvloer. Vooral de ondersteuning en de beveiliging schieten tekort. Het is dus hoogtijd dat organisaties nu gaan nadenken over de mogelijke consequenties die deze ontwikkeling voor hen heeft. Wellicht vormen de voordelen van BYOPC een goede stimulans.

Grote voordelen Het eerste grote voordeel van BYOPC is dat het tot substantieel lagere kosten kan leiden. Vaak verbruikt het beheer van ict het overgrote deel van het bud-

get – in sommige gevallen zelfs meer dan 80 procent. Wanneer medewerkers zelf hun werkplek meenemen en beheren, is het mogelijk de beheeractiviteiten van de IT-afdeling op dat punt sterk te verlagen. Een bijkomend voordeel is dat de organisatie zich beter op de kerntaken kan focussen. Het runnen van een eigen ict-afdeling zal voor geen enkele non-IT-organisatie een doel op zich zijn. Meer en meer dringt het besef door dat faciliteren van ict, net als het opwekken van elektriciteit, geen kerntaak is. Dus hoe minder tijd en geld eraan besteed wordt, des te beter het is – zolang dat uiteraard niet ten koste gaat van de functionaliteit, beschikbaarheid en betrouwbaarheid. Een tweede, niet te onderschatten voordeel is de toegenomen vrijheid van gebruikers met als gevolg meer werkplezier en hogere productiviteit. De jonge

generatie eindgebruikers is van huis uit vertrouwd met ict en ze weten heel goed wat voor hen het prettigst werkt, waardoor ze prima in staat zijn om hun eigen apparaat te kiezen en te beheren. Als BYOPC beleid wordt in de organisatie kunnen ze werken op het apparaat van hun eigen keuze, of dat nu een Mac, laptop, tablet, BlackBerry, iPad of compleet ander apparaat is.

Technische implicaties BYOPC kan qua techniek op diverse manieren worden ingevuld. Natuurlijk kan ervoor gekozen worden de bedrijfsapplicaties direct op het device te installeren, al is dat niet raadzaam. Het levert bijvoorbeeld bij een Mac meteen al flinke problemen op, omdat de meeste gebruikersapplicaties op een Windows-platform draaien. Die problemen kunnen weliswaar allemaal worden opgelost, maar je


Trends

Ook op uw bureau?

Cloud Works

Machtige combinatie BringYourOwn PC zal de komende jaren een grote vlucht nemen en past in de ontwikkeling waarbij ict meer en meer verwordt tot een commodity. Het slim koppelen van de huidige technieken met betrekking tot virtualisatie, cloud en bandbreedte, maken BYOPC-oplossingen mogelijk die tot voor kort veel te kostbaar waren of niet te realiseren. De techniek is er dus helemaal klaar voor. Nu de bedrijven zelf nog.

bent als bedrijf dan wel erg snel door de voordelen heen. Bovendien gaat de TCO daardoor eerder omhoog dan naar beneden. Het ligt veel meer voor de hand om BYOPC in te vullen met cloud-computingservices als DaaS (desktop as a service) en SaaS (software as a service), waardoor applicaties en zelfs complete (virtuele) desktops beschikbaar worden gesteld via een browser. Een organisatie met BYOPC is niet vrijgesteld van het regelen van andere zaken omtrent de werkplekken. Er moeten afspraken zijn hoe de gebruiker moet handelen in het geval van een defect. Welk besturingssysteem kies je? Welk beveiligingsprotocol stel je in? Wordt data uitsluitend centraal opgeslagen of mag het ook lokaal worden bewaard? Uiteraard moeten de bedrijfsapplicaties en de benodigde data op een veilige manier beschikbaar worden gesteld, dus is er het nodige te doen met betrekking tot antivirussoftware, firewalls en gebruikersauthenticatie. Als er gebruik wordt gemaakt van het ICA-protocol van Citrix worden data en applicaties platformonafhankelijk uitgewisseld. Dit heeft als voordeel dat het

werkelijk niet uitmaakt wat voor soort apparaat er wordt gebruikt en dat er meerdere apparaten door elkaar kunnen worden gebruikt. Daarbij zorgt het ICA-protocol ervoor dat de beheerhandelingen op het apparaat tot een minimum worden beperkt en bijna volledig door de gebruiker zelf kunnen worden uitgevoerd. De technische implicaties roepen onherroepelijk de vraag op of je als bedrijf dit allemaal zelf moet gaan organiseren en of daar voldoende kennis over aanwezig is. Wanneer de scope van de IT-afdeling kleiner moet worden, ligt uitbesteding voor de hand.

Praktische zaken Er is niet zoiets als een standaard voor de invulling van BYOPC. In technisch opzicht zijn er vele scenario’s denkbaar. Het komt neer op het maken van keuzes, ook met betrekking tot een aantal praktische

Scenario... Stephanie mag op kosten van haar nieuwe werkgever een werkstation kopen. Zij kiest voor een Toshiba Satelite Pro Notebook. Een week voor haar eerste werkdag gaat ze naar kantoor waar de beheerafdeling haar desktop in orde maakt. Omdat Stephanie voor haar werk veel onderweg zal zijn, heeft ze een internetdongel. Toch zal het zelfs dan nog wel eens gebeuren dat er geen internet beschikbaar is. Daarom kan zij via een lokaal gecachete Windows-desktop ook offline werken. Bij de eerstvolgende keer dat zij weer online komt, worden alle applicaties en data gesynchroniseerd. Zodoende is ze voor haar werk niet volledig afhankelijk van een internetverbinding.

zaken. Het zijn dezelfde keuzes die in het bredere perspectief van het nieuwe werken moeten worden gemaakt. Wat doe je bijvoorbeeld met de telefonische bereikbaarheid? Krijgt iedereen een mobiel, als dat niet al was geregeld? Hoe organiseer je werkoverleggen? Wat betekent het voor medewerkers en managers dat de focus van werken zich verplaatst van aanwezig zijn op de werkplek naar resultaat en output. Denk ook na over de fiscale aspecten wanneer je medewerkers laptops geeft. En stel ze verplicht een onderhoudscontract af te sluiten bij aankoop. Zijn medewerkers vrij om hun apparaat overal te kopen of heb je een vaste leverancier daarvoor? Voor medewerkers die veel thuis werken, gelden ook arboregels. Krijgen ze budget om thuis een werkruimte in te richten? Bedenk ook of je BYOPC gefaseerd wilt invoeren of in één keer. Doe je het gefaseerd, dan kunnen de eerste gebruikers er enige tijd mee werken. Die ervaringen kun je dan meenemen in een eventuele uitbreiding. CW Noten: 1 ‘Checklist for an Employee-Owned Notebook or PC Program’ – Leslie Fiering, Gartner, maart 2010. 2 http://www.unisys.nl/about__unisys/ news_a_events/10062801.htm. Geef uw mening over BYO via de poll op www.cloudworks.nu!’

Mail uw gegevens naar [email protected] en ontvang het magazine CloudWorks gratis!* *Indien uw functie en werkkring relevant zijn. Vergeet deze niet te vermelden.


Security

Op weg naar de optimale beveiliging van gegevens in de cloud

tie over zijn supply chain, zodat duidelijk wordt wie eventueel toegang heeft tot de bedrijfsgegevens, welke informatietypen toegankelijk zijn, en welke regels van toepassing zijn op het gezamenlijk gebruik van informatie. Daarmee kun je vervolgens de juiste beveiligingseisen bepalen. Net als met gegevens binnenin het bedrijf, kan er informatie zijn die wel gedeeld mag worden maar die niet het bedrijf mag verlaten. Door de leveringsketen van de cloudprovider te begrijpen en te weten welke gegevens het risico lopen op gezamenlijk gebruik, kan bepaald worden hoe die gegevens het beste beveiligd kunnen worden en houd je als organisatie de risico’s beperkt tot een minimum.

Veiligheid

waarborgen in de cloud Naargelang bedrijven meer en meer voordeel halen uit cloud computing – zoals schaalvoordelen en verhoogde productiviteit – stijgt vaak ook de bezorgdheid over de veiligheid van hun informatie. Het concept van het opslaan van essentiële bedrijfsgegevens op servers van derden waar meerdere gebruikers toegang toe hebben, kan uiterst gevaarlijk zijn wanneer dit incorrect gepland en uitgevoerd wordt. Om die reden is de beveiliging van gegevens vaak topprioriteit voor organisaties die het gebruik van een cloudinfrastructuur overwegen. Door Randy Barr, CHIEF SECURITY OFFICER BIJ QUALYS Het goede nieuws is dat met de groeiende populariteit van cloud computing meer en meer cloudleveranciers op de markt te vinden zijn, zodat klanten meer keus en flexibiliteit kunnen verwachten. Al lokken leveranciers hun klanten vaak met ferme taal over de beveiligingsfuncties van hun productaanbod, het blijft belangrijk de beveiligingskwesties rondom cloud computing zelf goed te begrijpen om er zeker van te zijn dat de juiste veiligheidsmaatregelen zijn getroffen om bedrijfsgegevens optimaal te beschermen. Daarom een opsomming van essentiële beveiligingskwesties en hoe daarmee om te gaan.

Verantwoordelijkheden begrijpen Bij het aangaan van een contract met een cloudleverancier, is het uiterst belangrijk niet te vergeten dat het fysiek onttrekken van gegevens of toepassingen aan


direct toezicht deze organisatie niet ontslaat van de verantwoordelijkheid om te garanderen dat de gegevens veilig blijven. Elke organisatie houdt de eindverantwoordelijkheid over de beveiliging en integriteit van haar eigen gegevens – ook wanneer de gegevens zijn opgeslagen in de cloud. Serviceproviders ondergaan van oudsher externe audits en veiligheidscontroles. Cloudproviders die dergelijke controles van hun fysieke beveiligingen of netwerkbeveiligingen niet kunnen of willen ondergaan, dienen te worden vermeden.

Locatie, locatie, locatie Een organisatie moet de specifieke veiligheidsrisico’s evalueren met betrekking tot het opslaan van gevoelige gegevens buiten het eigen bedrijf. Dit betekent prioritering van gegevens, en afwegen wat binnenshuis moet blijven en wat in de cloud geplaatst kan worden. Immers,

Contracten en SLA’s

gegevens in de cloud worden doorgaans in een gedeelde omgeving opgeslagen, samen met de gegevens van andere organisaties. Gegevenstoegang kan worden beperkt door cloudproviders. Gebruikers van de cloud hebben in sommige gevallen helemaal geen toegang. Organisaties dienen dus met hun businessgebruikers samen te bepalen welke gegevens gedeeld moeten worden met de cloudprovider. Ook moeten zij inzichtelijk krijgen welke opties de provider heeft voor de locaties waar gegevens opgeslagen zullen worden, en welk beveiligingsniveau daar toegepast zal worden. Het volgende is belangrijk om te weten: • Waar de gegevens worden gehost. De locatie van de gegevens moet deel uitmaken van het contract waarin de cloudleverancier zich ook verplicht in te stemmen met de lokale privacyeisen van het land waar het hoofdkwartier van de gebruiker is gevestigd. De locatie

van gegevens, zoals het land waarin de hostingserver van de gegevens is opgesteld, kan significante legale gevolgen hebben. • Wie toegang heeft tot en het beheer verzorgt van welke gegevens op welke locaties, inclusief gegevensclassificatie, identity access, privacy- en responsbeheer. • Hoe gegevens worden afgeschermd. De cloudprovider dient bewijs te tonen dat encryptiemaatregelen worden toegepast en getest. Het is tevens van uiterst belang te weten wat de cloudvendor doet aan de afscherming van de gegevens die zich in storage bevinden. • Of er toegang is tot gegevens binnen het interne netwerk van de cloudprovider. Het is in dit geval belangrijk de beveiligingsmaatregelen in de faciliteit te beoordelen. Aan de hand van het bovengenoemde moet worden bepaald welke gegevens waar worden geplaatst.

Eisen en certificeringen Bij het selecteren van cloudleveranciers is het van belang om te beoordelen of de vendor kan voldoen aan eisen op het gebied van compliance, zoals de HIPAA in de VS (Health Insurance Portability and Accountability Act), Sarbanes-Oxley, de Data Protection Directive van de EU of de PCI DDS van de creditcardindustrie. Het kan in bepaalde gevallen noodzakelijk zijn dat de cloudprovider zelf ook voldoet aan wettelijke eisen. In het Verenigd Koninkrijk vereisen de PCI DSS-richtlijnen bijvoorbeeld dat de cloud-computingprovider PCI DSS-compliant moet zijn wil je je als klant kunnen kwalificeren voor compliance.

De supply chain van de cloudleverancier Om goede maatregelen te kunnen treffen voor de beveiliging van de informatie, is het belangrijk inzicht te hebben in de leveringsketen van de cloudleverancier. Vraag de cloud-vendor om informa-

Service level agreements (SLA’s) zijn uiterst belangrijk om te waarborgen dat gegevens beveiligd zijn en dat serviceen beheerprocessen zoals gepland worden uitgevoerd. De SLA dient zaken te omvatten zoals gegevensclassificatie, identity access, privacy, opslaglocatie van gegevens en de beheerder van de gegevens. Het dient tevens binnen een gespecificeerde tijd (bijvoorbeeld 24 of 28 uur) notificatie te bieden van eventuele inbreuken die de gegevensbeveiliging kunnen aantasten. Afhankelijk van de industriesector van de organisatie, dient de SLA ook te voorzien in notificatie over eventuele wijzigingen in de omgeving van de cloudprovider om compliance met wettelijke vereisten te garanderen. Professioneel IT-personeel moet ervan op aan kunnen dat hun cloudleverancier voldoet aan de strikte beveiligingseisen van de organisatie. In het geval van inbreuk op de beveiliging zal het de metadata en logs verstrekken die gerechtelijke onderzoekers nodig zullen hebben. Naast SLA-specifieke eisen, dient het servicecontract ook standaard securityformuleringen te bevatten waarin staat dat de cloudprovider de gangbare maatregelen van de beveiligingsindustrie heeft geïmplementeerd, waaronder het recht op audit van het beleid van de provider zoals dat gewoonlijk wordt uitgevoerd op interne systemen.

Veiligheidsaudits Als voorwaarde voor het eventueel aangaan van een relatie met de serviceprovider dient een gebruiker van cloudservi-


Security ces een controle te kunnen uitvoeren op de beveiligingsmaatregelen. Dit wordt in de meeste gevallen slechts eenmaal uitgevoerd, waarna de klant vervolgens vertrouwt op een jaarlijkse rapportage/ certificering zoals SAS-70, ISO 27001, SysTrust of PCI voor de erop volgende jaren. Het is van belang dat de cloudleverancier in het geval van een beveiligingsinbreuk kan bewijzen dat hij voldeed aan de beveiligingseisen van de organisatie met de benodigde audits ter ondersteuning. De belangrijkste controlepunten voor beoordeling van de audits zijn: • Wie heeft de audit op de cloudarchitectuur uitgevoerd? Wat zijn de geloofsbrieven van de auditor? • Welke methodologie en technologieën zijn gebruikt? • Wat was het toepassingsgebied van de audit? (Applicaties, beleid op gegevensclassificatie, encryptie, enzovoorts.) Omdat de bovengenoemde audits niet specifiek voor cloudomgevingen zijn ontwikkeld, werkt de Cloud Security Alliance (CSA) aan een certificatienorm voor cloudbeveiliging (zie de CSA-website voor meer informatie over cloud-securityauditing, http://cloudsecurityalliance. org/). Een andere goede informatiebron voor best practices is het National Institute for Standards and Technology (NIST): http://csrc.nist.gov/groups/SNS/ cloud-computing/http://cloudsecurityalliance.org/.

Doorlopende monitoring Naast het gebruik van de SLA om te waarborgen dat er beveiligingsmaatregelen zijn getroffen, doen bedrijven aan continue monitoring om te garanderen dat gevoelige gegevens die buiten het bedrijf zijn opgeslagen, worden beveiligd. Gegevens die zijn opgeslagen in een cloudservice van derden, zullen

Over Randy Barr Randy is als Chief Security Officer (CSO) van Qualys verantwoordelijk voor beveiliging, riskmanagement en business-continuityplanning voor Qualys. Randy heeft meer dan dertien jaar ervaring in het implementeren van best practices op het gebied van beveiliging en compliance.

de nieuwe dimensie in cloud computing_

buiten het bereik blijven van de fysieke, logische en menselijke controle van het eigen IT-team van een organisatie. Dat betekent dat het van uiterst belang is transparantie te eisen van de cloudprovider om er zeker van te zijn dat elke voorzorgsmaatregel is getroffen voor de gegevensbeveiliging in de cloud. Een doorlopend monitoringprogramma helpt te bepalen of de set van geplande, vereiste en toegepaste beveiligingscontroles binnen een informatiesysteem effectief blijft na eventueel doorgevoerde wijzigingen. Consumenten kunnen valideren of benodigde controles worden toegepast op een dagelijkse, wekelijkse, maandelijkse of driemaandelijkse basis. Continue monitoring helpt organisaties met een holistische risk-managementstrategie geïntegreerd in bedrijfsarchitecturen. Dit is momenteel een focus bij de Amerikaanse federale overheid, de jaarlijkse FISMA-rapportage heeft nu enkele bijgewerkte eisen die hierop betrekking hebben (http://gcn.com/

articles/2009/07/30/commentary-isc2continuous-monitoring.aspx). Deze ontwikkeling zal integrators en providers verplicht stellen deze te volgen. Deze eisen zullen zich dan ook uitstrekken over hun supply chain.

Het omarmen van cloud computing Cloud computing-vendors bieden grootschalige aggregatie van rekenkracht aan, waarmee ze veel IT-hoofdpijn elimineren, inclusief server- en hardwareconfiguratie, ontwikkeling van fail-over bij storing, en zelfs beveiliging. Door op de hoogte te zijn van bovengenoemde beveiligingsvraagstukken, kunnen organisaties nauw samenwerken met cloudvendors om ervoor te zorgen dat de juiste beveiligingsmaatregelen worden getroffen en dat ze optimaal voordeel kunnen halen uit cloud computing. En dat allemaal zonder zich zorgen te hoeven maken over de beveiliging van hun gegevens in de cloud. CW

Qwise Nebula Worqspace is een nieuw soort werkplek, uit de cloud. Met een nieuwe filosofie: dat niet vooraf geïnvesteerd hoeft te worden in een IT-omgeving die volledig op de organisatie is toegesneden. Medewerkers hoeven niet per se op kantoor te zijn om productief te zijn. Zij kunnen overal aan de slag, op een veilige en betrouwbare manier. Nebula van Qwise verenigt deze zaken in één werkplek. Met innovatieve technologieën, in de best beveiligde en uitgeruste datacentra. Qwise Nebula is altijd beschikbaar via internet, onafhankelijk van het soort device. Werken zoals werken bedoeld is, zonder grenzen, tegen vaste kosten per maand per gebruiker. Zonder zorgen, want die worden uit handen genomen door de specialist, Qwise.


www.qwisenebula.nl

Juridisch

Virtuele

wereld

vraagt om nieuwe wetgeving De fysieke en de virtuele wereld hebben grote overeenkomsten. Ook in de cloud hebben mensen een plek waar ze hun spullen kunnen neerzetten (server), zijn er dienstverleners, prachtige winkelstraten maar ook donkere steegjes. Daarnaast gelden voor de cloud dezelfde juridische regels als in de fysieke wereld. Zo is het mogelijk om bijvoorbeeld inbraken, diefstal en vernieling van andermans spullen aan te pakken. Dat is essentieel, want een veilig platform is tenslotte de basis voor een bloeiende online economie. Toch leidt cloudcriminaliteit zelden tot vervolging. Hoe komt dat en wat kunnen we eraan doen? Door Sven Visser, secretaris van de Dutch Hosting Provider Association (DHPA) en medeoprichter van Cyso Managed Hosting

Oplichting op Marktplaats, creditcardfraude, particuliere gebruikers die complete inboedels van elektronicawinkels aanbieden op internet, het Stuxnet-virus... Over diefstal, oplichting, fraude en de gevolgschade door malware voor bedrijven hoor je genoeg. Maar te weinig

tal politiemensen dat is vrijgemaakt voor het aanpakken van cybercriminaliteit is daarnaast veel te klein: vele malen kleiner dan de 55.000 politieambtenaren in de fysieke wereld. Dit maakt een structurele aanpak van computercriminelen haast onmogelijk.

‘Hosters moeten juridisch gezien worden als pakketbezorgers’ lezen we in de pers dat cybercriminelen zijn gepakt. De uitzondering, zoals het botnet dat in oktober 2010 is opgerold, bevestigt de regel. Cybercriminaliteit loont, want de pakkans is extreem klein. In Nederland bestaat een tekort aan politiemensen die voldoende geschoold zijn in internetopsporingswerk. Het aan-


Complex Een steeds groter deel van de fysieke wereld wordt verplaatst naar de cloud. Deze groeit daardoor exponentieel. De hostingbranche is dagelijks hard in de weer om de steeds complexere beveiliging van (bedrijfs)data te garanderen. De overheid rekent er terecht op dat de

markt de beveiliging oplost – daar zijn we voor en daar verdienen we ook aan. Maar we zijn er niet om criminaliteit op te sporen en op te lossen. Dat is sinds jaar en dag het werkterrein van de overheid. Wat moet er veranderen? Ten eerste is het tijd voor een coherent en overkoepelend ict-beleid van de overheid. Dit is ook bepleit door Jan-Willem des Tombe, voorzitter van de DHPA, in zijn artikel in CloudWorks van oktober 2010. Adviesbureau PricewaterhouseCoopers (PwC) stelt dit eveneens in een aantal factsheets naar aanleiding van het regeerakkoord van CDA en VVD. PwC concludeert dat er op het gebied van ict in combinatie met zorg, immigratie en strafrecht meer moet gebeuren. Daarnaast moet de overheid erkennen dat er in de basis geen verschil is tussen

de virtuele wereld en de fysieke wereld. Hosters zouden dezelfde positie moeten hebben als bijvoorbeeld TNT Post heeft. Niemand stelt dit bedrijf verantwoordelijk voor het bezorgen van pakjes met dubieuze inhoud. Die verantwoordelijkheid ligt bij de afzender ervan. Het credo van KPN is dan ook: ‘geen boodschap aan de boodschap’. Ofwel: we hebben een vervoers-, continuïteits- en veiligheidsverplichting, maar geen verantwoordelijkheid voor de content. Ten tweede vindt de hostingsector de verhouding tot de Telecomwet op z’n minst onduidelijk. Sommige hosters vallen er wel onder, andere niet. Sommige hosters moeten data langere tijd bewaren, andere niet. Hierdoor ontstaat rechtsongelijkheid – en grote bedrijven als Google blijven meestal helemaal buiten schot. De telecomwetten van de

verschillende Europese landen zijn bovendien sterk verschillend. Clouddiensten zijn grensoverschrijdend en je kunt als hoster op één dag met vijf verschillende telecomwetgevingen te maken hebben. Dit maakt compliant-zijn een grote uitdaging.

Dubieuze digitale pakketjes Ten derde wil de overheid, net als verschillende private organisaties, steeds vaker via hosters controle uitoefenen op wat er op de netwerken gebeurt. Het voorstel van voormalig minister van justitie Hirsch Ballin om voortaan zonder tussenkomst van een rechter content offline te kunnen halen, is daar het meest recente voorbeeld van. Hiermee zouden hosters tot een verlengstuk van het opsporingsapparaat verworden, en ontstaat er een groot risico op censuur van-

uit de overheid. En dat terwijl er andere middelen zijn. Je kunt 24 uur per dag een kort geding aanvragen of vooraf een rechterlijke toetsing vragen. De DHPA vindt dat de overheid de afzender van dubieuze digitale pakketjes en content moet aanspreken en niet de beheerder van de infrastructuur en data. In dit verband is ook de zaak van WikiLeaks interessant. De klokkenluiderssite stapte over op de AWS-servers van Amazon voor meer traffic en om mogelijke DDoS-aanvallen beter te doorstaan. Amazon besloot onder druk van de politiek en de Amerikaanse Homeland Security echter om de 250.000 gelekte pagina’s offline te halen. Zonder dat er een rechter aan te pas kwam. Dit lokte bij de Amerikaanse internetjournalist Jeff Jarvis de reactie uit: “Wat hadden we ervan gevonden als Lieberman (lid van die Home-


Juridisch land Security Committee) The New York Times of The Guardian onder druk had gezet in plaats van Amazon?” De vrees is dat Europese regeringen dezelfde strategie gaan volgen en dat binnenkort het datacenter Bahnhof in de Zweedse bunker of het Zwitserse datacenter dat de WikiLeaks-documenten nu host, onder druk worden gezet.

eigen rechter spelen. Een standpunt dat de overheid juist als muziek in de oren moet klinken. Daarom is het volgens mij tijd voor het instellen van ten minste vijfhonderd cyber cops. Geen exorbitante eis, want het is nog niet 1 procent van het huidige politiebestand in de fysieke wereld in Nederland.

Voorbeelden van recente cybercrimes waarvan de veroorzaker nog steeds vrijuit gaat

Capaciteit

Cyber cops Cyber cops zouden bijvoorbeeld op internet een pseudokoop kunnen doen bij een particulier die twaalf dezelfde high-end stereotorens aanbiedt. Of de internetpolitie kan invallen doen bij ontwikkelaars van malware en DDoSveroorzakers, en natuurlijk bij dieven van vertrouwelijke informatie. Benadeelden en het openbaar ministerie doen het verzoek om websites uit de lucht te halen netjes via de rechter. Van de aanwezigheid van cyber cops zal een preventieve werking uitgaan en bovendien verhoogt cyber-copsurveillance het vertrouwen in online zakendoen. Dit is dé basis voor een gezonde online economie. Op deze manier kunnen we het gebruik van grootschalige technische maatregelen beperken. Maatregelen die de privacy aantasten en veel geld kosten, maar weinig opleveren. Belangrijke voorwaarde is dat de cyber cops goed onderlegd zijn. Een cyber cop is een ict’er in hart en nieren en geen gepromoveerde politieagent. Alleen dan kan de politie cybercriminelen een stap voor blijven. De DHPA denkt overigens graag mee over een gedegen opleiding voor deze nieuwe beroepsgroep. Het is de afgelopen jaren duidelijk geworden dat de huidige wetgeving niet voldoet voor het reguleren van cloud-

Phishing, dit zijn mailtjes die bijna iedereen krijgt. Het mailtje vraagt de ontvanger om bijvoorbeeld zijn bankgegevens te updaten. De link in het mailtje leidt naar een namaakwebsite. DDoS-aanvallen: http://bit.ly/hKqJNv (uitleg)

Cloudhosters willen en kunnen niet verantwoordelijk zijn voor de content op hun infrastructuur, maar ze moeten vaak wel meewerken met justitie om bepaalde content te verwijderen. Het toebedelen van hostingproviders met opsporingstaken zadelt ze, naast een principieel probleem, op met een capaciteitsprobleem. De kosten als gevolg van de aftapwetgeving en bewaarplicht lopen hard op. De loon- en techniekkosten zijn standaard voor rekening van de hosters. Geld dat we beter kunnen besteden aan het adviseren van de overheid, aan innoveren, en aan het creëren van nieuwe banen. De oplossing is niet zo ingewikkeld: richt een Ministerie van Ict & Internet op, ontwikkel een eenduidig beleid voor de ict-markt, en laat de opsporing waar het hoort, namelijk bij justitie en politie. In de fysieke wereld vangt de politie boeven en dat zou ook zo moeten zijn in de virtuele wereld. De hostingsector wil geen

De Dutch Hosting Provider Association (DHPA) De Stichting DHPA is de vertegenwoordiger van professionele hostingproviders in Nederland, die hosting-, SaaS- en cloud-computingdiensten leveren. De DHPA is een non-profitorganisatie die zich bezighoudt met de promotie van outsourcing van hosting, web- en applicatiediensten, met certificering en met de ontwikkeling van kwalitatief hoogwaardig marktonderzoek. De organisatie ontwikkelt beleid en ondersteunt bedrijven met activiteiten op het gebied van technologieevenementen, onderzoek, promotie en het onderhouden van zakelijke en strategische contacten. Op dit moment zijn twintig managed-hostingproviders aangesloten bij de DHPA.


De recente computervirusuitbraak in het Westfries Gasthuis in Hoorn: http://bit.ly/edGLp2

WikiLeaks: http://bit.ly/e3JSqr (over Amazon en Wikileaks) Cybercrime: http://bit.ly/f93Syb (politie overtrad de wet bij botnets) Ict & overheid: http://bit.ly/aargZO (Nederlandse regering vergeet ict)

"DUVFMF*5DVSTVTTFOJO ◆

CISSP¥ De enige schriftelijke Nederlandstalige opleiding voor het officiële CISSP®-examen van (ISC)2! Deze cursus bestaat uit een Nederlandstalige schriftelijke cursus plus een (optionele) intensieve CISSP examentraining. Ook als u zich niet wilt laten certificeren is de kennis uit deze cursus een waardevol bezit!

◆

e-Security E-security ontwikkelt zich met de snelheid van het licht. Effectief beveiligen is dan ook een kwestie van bijblijven. Na bestudering van de lessen kunt u onder meer uw eigen anti-hackingplan opstellen waarmee u uw organisatie beschermt tegen aanvallen nu en in de toekomst.

diensten. Wetgeving loopt altijd achter bij de maatschappelijke werkelijkheid, maar nu het aantal ad-hocregelingen sterk toeneemt, is het tijd voor het definiëren van de rechten en plichten van hosters. Steeds vaker wordt van hosters gevraagd om te bepalen wat op internet de grenzen van het toelaatbare zijn. Wij kunnen en willen die grenzen niet bepalen. Laat WikiLeaks een keerpunt zijn en laten we heel helder de verantwoordelijkheden van aanbieders van clouddiensten definiëren. Dan kunnen hosters zich bezighouden met hun corebusiness. Dat zal de cloudsector een enorme boost geven. Iets waar ook de overheid weer van meeprofiteert. CW

◆

Identity & Access Management (IAM)

(FBDIUF$MPVE8PSLTMF[FS 0QEF[FQBHJOBUSFGUVFFOPWFS[JDIUBBOWBO FFOBBOUBMPQMFJEJOHFOPQVXWBLHFCJFE &FOHSPPUEFFMIJFSWBOCFUSFGUTDISJGUFMJKLF DVSTVTTFO&FOTDISJGUFMJKLFDVSTVTIFFGUUBM WBOWPPSEFMFO [PBMT ◆ 6TUVEFFSUJOVXFJHFOUFNQP XBBSFO XBOOFFSÙEBUXJMU ◆ (FFOPVUPGQPDLFULPTUFOHFFOSFJTUJKE HFFOSFJTLPTUFOFOCFMBOHSJKLFSOPH VCFOU OJFUEBHFOWBOLBOUPPSXFH6CFTQBBSU PQEFLPTUFOWBOFFONPOEFMJOHF DVSTVT ◆ 6LVOUVXWSBHFOSFDIUTUSFFLTBBOEF BVUFVSTTUFMMFO ◆ /BBGMPPQWBOEFDVSTVTIFFGUVFFO HFEFHFOFOQSBLUJTDIOBTMBHXFSL 8JKOPEJHFOVVJUFFOLJKLKFUFOFNFOPQPO[F XFCTJUFXXXJNGPOMJOFDPNQBSUOFSXPSLT

In veel organisaties is het identiteits- en toegangsbeheer slecht geregeld. Bij u niet (meer) na het bestuderen van deze cursus! ◆

Informatiebeveiliging in de praktijk Deze cursus biedt u concrete handvatten voor het opstellen van uw informatie beveiligingsbeleid. Een waardevolle cursus voor de beveiliging van uw IT!

◆

Informatiebeveiliging in de zorg

4UBSUEBUB %FTDISJGUFMJKLFDVSTVTTFOTUBSUFOFMLFEFSEF EPOEFSEBHWBOEFNBBOE ,JKLWPPSNFFSJOGPSNBUJFPQPO[FXFCTJUF XXXJNGPOMJOFDPNQBSUOFSXPSLT

Opsporen en opheffen van beveiligingslacunes in uw organisatie of instelling. ◆

Governance & IT Alle succesfactoren voor een professionele inrichting van uw IT-besturing.

◆

Post-HBO Information Security Management Professional In deze post-HBO opleiding krijgt u de benodigde strategische richtlijnen en praktische handvatten en vaardigheden aangereikt voor het adequaat opzetten,

*ODPNQBOZ "MWBOBGEFFMOFNFSTLVOOFOXJKEF[F DVSTVTTFOUFHFOFFO[FFSBBOUSFLLFMJKLFQSJKT JODPNQBOZCJKVPSHBOJTFSFO/FFNDPOUBDU NFUPOTPQWPPSEFNPHFMJKLIFEFOWJB

inrichten en managen van uw informatiebeveiliging. In 16 weken behaalt u het officiële registeropleidingsdiploma. ◆

Certified Information Security Penetration Tester

50("''PVOEBUJPO

Leer in vijf dagen te testen als een hacker. ◆

Post-HBO Digitaal Forensisch Analist In deze geaccrediteerde post-HBO opleiding worden zowel de methodologie als

%F[FDFSUJGJDFSJOHTDVSTVTCFIBOEFMUEFIFMF JOIPVEWBO50("'ÍO"SDIJ.BUFFOCFSFJEU VWPPSPQIFUPGGJDJÌMF50("''PVOEBUJPO MFWFM FYBNFO

de hulpmiddelen tijdens het forensisch digitaal onderzoek uitvoerig belicht.

7PPSNFFSJOGPSNBUJFFOJOTDISJKWFOXXXJNGPOMJOFDPNQBSUOFSXPSLT

Infrastructuur

Equinix brengt Cyso over de grens

Cloud vereist internationale aanpak Equinix opende onlangs zijn tweede datacenter in Amsterdam. Een van de eerste ‘bewoners’ is Cyso, een internetserviceprovider met ambitieuze plannen om clouddiensten wereldwijd te gaan aanbieden. “De echte toegevoegde waarde van Equinix ligt in de wereldwijde spreiding van zijn datacenters”, zegt Paul Bankert, Manager Business en Software Development bij Cyso. Door Ferry Waterkamp, hoofdredacteur van DatacenterWorks

Tijdens de persbijeenkomst die voorafging aan de opening van het nieuwe datacenter, ging algemeen directeur Michiel Eielts van Equinix Nederland in op het fenomeen hyperdigitalisering. Kenmerkend voor dit fenomeen is dat nieuwe diensten snel en op een wereldwijde schaal worden uitgerold. Applicatieperformance is volgens de algemeen directeur een andere cruciale factor binnen

Equinix AM2 Het nieuwe datacenter dat Equinix in Amsterdam heeft neergezet, heeft een (bebouwde) oppervlakte van 8.700 m² waarvan 3.720 m² is gereserveerd voor de datavloer en de technische ruimtes. Het vermogen ligt op 20 MVA met maximaal 18 kVA per kabinet. De technische installaties zijn ondergebracht in een nieuwe aanbouw die centraal is gelegen. De koelers zijn direct op de elektriciteitscentrale geplaatst. (Zie ook het artikel ‘Equinix bouwt tweede datacenter in Amsterdam’ in DatacenterWorks april 2010 voor meer details over AM2.)


de hyperdigitalisering. “De vragen die aan cloudspelers worden gesteld zijn: waar zit je? En: wat is je latency? Applicatieperformance wordt in de cloud heel belangrijk. Met Platform Equinix kunnen onze klanten snel bij hun klanten zijn.” Met Platform Equinix doelt Eielts op de aanwezigheid van Equinix in elf landen en daarnaast op de 45 carriernetwerken en internetknooppunten, zoals de Amsterdam Internet Exchange, die de klanten van Equinix AM2 tot hun beschikking hebben. Door de goede verbindingen komt het volgens Eielts zelfs voor dat de latency op het traject Amsterdam-Londen lager is dan binnen Londen zelf. Binnen dit ʻecosysteemʼ is het verder belangrijk dat er potentiële partners aanwezig zijn om zaken mee te doen. Of zoals Job Witteman van de Amsterdam Internet Exchange het tijdens de persbijeenkomst krachtig samenvatte: “Bedrijven staan in een datacenter als Equinix AM2 om zaken met elkaar te doen; niet primair om spullen neer te zetten.”

Cyso Managed Hosting Het platform dat door Eielts en Witteman werd geschetst, was voor Cyso een van de redenen om Equinix AM2 aan

te wijzen als nieuwe datacenterlocatie. “Equinix is voor ons een veilige opstap om onze diensten internationaal te gaan aanbieden”, vertelt managing director Paul Bankert van Cyso tijdens een interview met DatacenterWorks. Cyso uit Alkmaar is in 1997 opgericht en levert managed-hostingdiensten aan professionele partijen zoals Yourhosting en het Van Gogh Museum. “Wij zijn goed in het ontwerp en beheer van het serverpark”, verduidelijkt Bankert. Voor het aanbieden van zijn diensten had Cyso al apparatuur staan in de datacenters van GlobalSwitch, euNetworks en Telecity die Cyso met een glasvezelring aan elkaar heeft verbonden. In 2010 is Equinix daar als vierde datacenterlocatie aan toegevoegd. AM2 werd zelfs al drie maanden voor de officiële opening betrokken. “Wij waren op zoek naar een datacenter dat per vierkante meter meer stroom kan leveren dan wij op dit moment kunnen gebruiken; een partij die voldoende stroomdichtheid heeft om met ons mee te blijven groeien. Dan blijven er bij de selectie niet zo heel veel partijen over.” Cyso heeft in Equinix AM2 een Cold Corridor geplaatst met daarin dertig high-density racks die zijn ingericht voor 10 kW aan vermogen per rack. “Dat straatje verbruikt net zoveel stroom als vroeger een gebouw ter grootte van

Over Cyso Managed Hosting Cyso Managed Hosting is een internetserviceprovider die zich richt op het verlenen van technische innovatieve internetdiensten voor de zakelijke markt, en is een van de oprichters van de Dutch Hosting Provider Association (DHPA). Cyso levert producten van domeinregistratie tot volledig beheerde platformen en applicaties. Cyso is sinds januari 1997 actief op de internetmarkt en is gevestigd in Alkmaar.

de gebruiker zit”, stelt Bankert. “En dat geldt zeker voor SaaS-applicaties. Als de afstand te groot is, krijg je te maken met latency. Voor statische content kun je dan nog prima gebruikmaken van een content delivery network, maar dat gaat niet op voor applicaties.”

“Voor een snelle reactietijd van applicaties is het belangrijk dat je dicht bij de gebruiker zit” Equinix”, zegt Bankert met een lach. “We gebruiken nu de maximale capaciteit per vierkante meter, maar we hebben al afspraken gemaakt om nog iets te kunnen groeien.”

Dicht bij de gebruiker De wereldwijde aanwezigheid van Equinix was voor Cyso een belangrijke reden om voor Equinix te kiezen. “Een tendens die wij zien is dat onze klanten niet alleen in Amsterdam willen zitten, maar behoefte hebben aan wat ik noem ‘going with the sun’-hosting. Dan moet je een wereldwijde speler zijn. Equinix is voor ons een veilige opstap om onze faciliteiten internationaal te leveren.” “Voor een snelle reactietijd van applicaties is het belangrijk dat je dicht bij

Als grootgebruiker van datacenterruimte heeft Cyso gekeken naar de mogelijkheden om zelf een datacenter te bouwen. “Qua business is het bouwen van een datacenter dermate laagdrempelig geworden dat we het zelf wel zouden kunnen”, meent Bankert. “Maar we hebben toch bewust gekozen voor een outsourcingsstrategie. Als je zelf een datacenter bouwt, moet je een aparte organisatie opzetten voor het beheer en dat was voor ons geen aantrekkelijke optie. Een datacenter met de kwaliteit zoals die wordt geboden door Equinix kunnen wij niet bouwen. Een eigen datacenter brengt ons bovendien niet verder als wij onze klanten vanuit Amerika en Azië willen gaan bedienen.” CW


Thema

HP kocht 3PAR om slechts één reden:

cloud-storage De ict-markt heeft natuurlijk al heel wat spectaculaire overnames en fusies gezien. Maar toen HP en Dell elkaar vorig jaar in de haren vlogen over 3PAR, zal menigeen zich toch wel even achter de oren hebben gekrabd: is die storage-start-up werkelijk 1,6 miljard dollar waard? Ja, meent HP’s Dave Donatelli. Waarom? Cloud-storage! Door Hans Vandam, freelance journalist Even leek het vorig jaar zomer of twee toonaangevende IT-bedrijven de weg flink kwijt waren. Na een bod van Dell op de aandelen van 3PAR was daar plotsklaps HP dat middels een formidabel tegenbod er met de buit vandoor ging. De vraag die menigeen zichzelf gesteld zal hebben, is natuurlijk: is 1,6 miljard dollar niet wat veel voor een storagebedrijf dat op dat moment een omzet had van nauwelijks 250 miljoen dollar op jaarbasis? Weten Dell en HP iets wat andere kennelijk over het hoofd zien? Of is dit toch gewoon een ouderwetse biedingenstrijd zoals NetApp en EMC

kort daarvoor rond DataDomain hadden uitgevochten? 3PAR was tot dat moment een storagestart-up die was opgezet door een groep ontwikkelaars die voorheen bij – ironisch genoeg – HP hadden gewerkt. De InServ-opslagsystemen van het bedrijf heten nu HP 3PAR Utility Storage en kennen een geheel andere architectuur dan veel bestaande storagesystemen. Het draait allemaal om geclusterde controllers die maximaal 1.200 drives aansturen. Belangrijk voor HP’s interesse is de manier waarop een vorm van dataprotectie is ingebouwd. Dat gebeurt via

zogeheten ‘chunklets’, zeg maar: stukjes data. In tegenstelling tot RAID-1, dat twee kopieën van data wegschrijft op twee schijven, worden de kopieën nu weggeschreven als twee ‘chunklets’ die zich overal binnen de storage array kunnen bevinden. Hierdoor is de dataprotectie niet langer afhankelijk van de gebruikte schijven en kan een eventuele storing in een disk veel makkelijker worden opgevangen. Of beter gezegd: veel sneller, aangezien de vele ‘chunks of data’ zich op tientallen of zelfs honderden verschillende schijven bevinden. Het opnieuw opbouwen van een disk na een storing verloopt daardoor veel sneller dan bij traditionele en op schijven gebaseerde RAID-1. Deze aanpak is bovendien erg geschikt voor ‘thin-provisioning’. Niet voor niets hanteert 3PAR de claim ‘thin built in’. Ook automatische ‘tiering’ en multitenancy wordt ineens veel makkelijker. Het is dus logisch dat met name serviceproviders, aanbieders van hostingdiensten en datacenters die zich op clouden SaaS-modellen richten tot de eerste groep van klanten van 3PAR behoren. De storage van 3PAR sluit nu eenmaal veel beter aan bij hun technische eisen en wensen dan traditionele storage. Het probleem van 3PAR was alleen dat het te klein was om een wereldwijde verkoop- en serviceorganisatie op te zetten. Dell en HP op hun beurt beschikten nauwelijks over storageoplossingen die echt goed geschikt zijn voor de alom verwachte sterke groei van wat we met een verzamelnaam maar even ‘cloudstorage’ zullen noemen. Met 3PAR aan boord is in ieder geval HP daar nu klaar voor. CW (Zie ook het artikel op pagina 44.)


Cloud-ready?

Column

Van silo naar cloud

Door Gert Brouwer, onafhankelijk adviseur en storage architect bij Brouwer Storage Consultancy De meeste echte storagespecialisten – en daar rekent ondergetekende zich ook toe – halen hun schouders op bij het begrip cloud. Ze doen het vanuit het storageperspectief terecht af met: ‘Cloud is just another storage tier’. Toch gaat er op termijn wel iets veranderen wat gerelateerd is aan de cloud. Voor we daar op ingaan, zullen we eerst moeten vaststellen wat we met tiering bedoelen, want de definities lopen nogal uiteen.

de businesseisen, waarbij in geval van de hoogste beschikbaarheid ook zaken als failover, RPO en RTO-tijden een rol spelen. Dit vereist extra maatregelen die verdergaan dan de storage op zich en die in feite het begrip storage tiering overstijgen. Met andere woorden, de gebruiker is steeds minder geïnteresseerd in dit ‘vakjesmodel’ van de leverancier. Het sluit steeds minder aan bij zijn praktijk.

Als een storageleverancier het over tiered storage heeft, bedoelt hij meestal de verschillende storagetypen die hij, al dan niet middels verschillende diskarrays, kan leveren of via één array die hij kan partitioneren in verschillende subarrays die qua samenstelling van elkaar verschillen. Over het algemeen geldt: hoe lager het tiernummer, hoe sneller (meer performance) het systeem en hoe hoger de kosten per GB. Zo wordt SSD vaak tier 0 genoemd en worden voor tier 1 meestal snelle fibre-channelschijven (bij 300 MB/ 15.000 RPM) of tegenwoordig 15K SAS-schijven gebruikt. De gebruikers zijn veel minder geïnteresseerd in deze op ijzer gebaseerde indeling – tenzij ze zich door de vendor laten sturen – maar bezien tiering veel meer vanuit het businessperspectief en maken liever een indeling op basis van

‘Cloud is just another storage tier’ Deze verandering zien wij ook op andere gebieden. We moesten zo nodig van het dure mainframe af, maar zijn intussen verzand in een oerwoud van honderden servertjes met ieder hun eigen al dan niet op SAN gebaseerde storage. De vele applicaties gebruiken ieder hun eigen tooltjes en back-upmodellen. Wat het beheer betreft zijn we volledig het spoor bijster. Storage wordt alleen maar goedkoper maar toch stijgen de kosten van de IT, omdat de aanschafkosten slechts 1/7 deel van de totale kosten uitmaken. Ook technieken als server- en storagevirtualisa-

tie, thin provisioning en deduplicatie kunnen het tij niet keren. Hoewel servervirtualisatie leidt tot een betere belasting van de server, zijn er nieuwe stromingen aan het ontstaan die vinden dat we af moeten van het huidige ‘silomodel’. Men pleit voor het bouwen van complete stacks van producten waarin alles geïntegreerd is en die kunnen worden ingezet wanneer en waar dit nodig is. In feite betekent dit standaardisatie en een betere benutting van de resources. De stack bestaat dan uit een bundel van producten, afkomstig van één leverancier. Meestal is het niets anders dan het bundelen van wat men al heeft. Men plakt er het label ‘cloud ready’ op en klaar is kees. Vrijwel elke leverancier heeft een roadmap waar iets dergelijks op voorkomt. Zo spreekt IBM over de Dynamic Infrastructure en HP over de Converged Infrastructure om er maar twee te noemen. In feite is dit niets anders dan een private cloud. Het is een open deur als men zegt dat alles van één leverancier natuurlijk goedkoper is dan het in de lucht houden van een bonte verzameling van producten. Als men als klant groot genoeg is, zou ik toch maar de voorkeur geven aan een gezonde concurrentie – dit kan op termijn wel eens goedkoper zijn. Gelukkig blijft dat in het nieuwe model mogelijk. CW februari 2011 - cloudworks - 39

Trends

Over de doorbraak van ‘cloud thinking’ en de opkomst van nieuwe economieën

Wat goed is,

komt snel Nederland staat bekend als een land dat nieuwe IT-ontwikkelingen snel oppakt. Technologieën als 4GL en SOA maar ook standaardsoftware als Oracle en SAP bereikten hier vaak sneller een groot marktaandeel dan in andere landen. De uitdrukking ‘Wat goed is, komt snel’ spreekt de gemiddelde Nederlandse IT’er meer aan dan ‘haastige spoed is zelden goed’. Veel internationale IT-leveranciers begonnen dan ook hun intocht naar EMEA (Europa, Middle East en Afrika) vanuit Nederland – al dan niet via een korte tussenstop in de UK. Recent echter organiseren technologieleveranciers zich steeds vaker langs de lijnen van mature én emerging markets.1 Door Gregor Petri, Advisor lean IT & cloud computing bij CA Technologies EMEA Twee recente onafhankelijke onderzoeken geven meer inzicht in deze trend. Het eerste onderzoek, naar cloud computing en de invloed daarvan op IT in snel groeiende emerging markets, is uitgevoerd door Vanson Bourne. Het tweede onderzoek naar de acceptatie van ‘cloud thinking’ binnen grote ondernemingen in Noord-Amerika en WestEuropa, is uitgevoerd door Management Insight Technologies.2 Uit beide onderzoeken blijkt dat op dit moment de acceptatie en implementatie van cloud computing en virtualisatie in mature markets nog significant hoger is dan in de emerging markets. Zo gebruikt maar liefst 92 procent van de grote ondernemingen in mature markets minimaal één cloudservice en is het gemiddelde zelfs maar liefst zes cloudservices per onderneming. Ook is het interessant om te zien dat IT-beslissers en IT-uitvoerenden ongeveer even enthousiast zijn. Wel hebben zij verschil-


lende redenen voor dit enthousiasme. Zo zijn leidinggevenden vooral positief vanwege de kostenbesparing en verbeterde customer service die cloud computing met zich meebrengt, terwijl uitvoerenden meer voordelen zien op het gebied van efficiency en het opdoen van kennis over nieuwe technologieën. Ook de mogelijke bezwaren laten duidelijke verschillen zien. Zo zijn beslissers met name bezorgd over security (daar is ie weer) en mogelijke slechte servicelevels, terwijl bij uitvoerenden het risico op het verlies van controle en banen de belangrijkste contra-indicatoren zijn. In dat licht is het niet geheel verrassend dat ITbeslissers met name promotors van de public cloud zijn, terwijl uitvoerenden veel meer in private cloud zien.

Hoe meer, hoe beter Interessant (en bemoedigend) is dat organisaties die veel virtualisatie hebben toegepast, ook relatief enthousi-

aster worden over cloud computing. Dat spreekt overigens niet vanzelf. Zo toonde een recent marktonderzoek aan dat mensen die een demo van een 3Dtelevisie hadden gezien, tot 50 procent minder enthousiast waren om er een aan te schaffen. Met virtualisatie en de cloud werkt het dus niet zo. Naarmate organisaties meer virtualiseren, wil men ook de volgende stap op de virtualisatie-maturiteitsladder zetten. Het soort applicaties dat wordt ingezet wijzigt wel significant naarmate men zich verder op deze maturiteitscurve beweegt. In fase 1 (basic virtualisatie) gaat het nog met name om het verplaatsen van collaboratieapplicaties (online vergaderen, messaging, e-mail) naar de cloud. In de fases 2 en 3 (managed en advanced virtualisatie) zijn met name desktopvirtualisatie en databaseapplicaties kandidaten om in de (private of public) cloud op te nemen, terwijl in fase 4 industriespecifieke oplossingen een steeds belangrijkere rol spelen.

Emerging markets Kijken we naar de emerging markets in EMEA dan zien we dat ook hier de cloud als significante langetermijnontwikkeling wordt geaccepteerd (slechts 14 procent is sceptisch en denkt dat het een hype is die overwaait). Bijzonder is dat emerging markets een grotere voorkeur voor public dan voor private clouds hebben. Dit zou een indicatie kunnen zijn voor het ‘mobiele telefooneffect’ (hiermee wordt het proces bedoeld waarbij landen de stap om koper tot in iedere woning te leggen simpelweg overslaan door rechtstreeks op mobiele telefonie

over te gaan). Die voorkeur voor public cloud is met name groter in de kleinere emerging markets, waar men tegelijkertijd sceptisch is over het vermogen van de eigen IT-afdeling om cloud computing te managen en te leveren. In de grotere emerging economieën, zoals Rusland, Turkije en Zuid-Afrika, is men juist erg overtuigd van de interne capaciteiten van de eigen IT-afdeling, zelfs meer dan in West-Europa. Maar ook andere emerging landen kennen interessante alternatieven. Zo timmert Radixcloud vanuit zowel Hongarije als Dubai aan de weg met volledig op afstand beheerde clouddatacenters, een initiatief dat voortkomt uit haar corebusiness: het aanbieden van relocatieservices voor het verplaatsen van complete fabrieken (en nu dus ook hun datacenters) naar lagerelonenlanden.

Bezwaren en blokkades Security is ook in de emerging economieën het belangrijkste genoemde bezwaar, met als goede tweede de zorg om voldoende bandbreedte. Overigens neemt security als zorg sterk af (van 33 procent naar 23 procent) naarmate men meer gebruikmaakt van cloud computing. Begrijpelijk, aangezien daadwerkelijke gebruikers van clouddiensten beter zicht hebben op al de beveiligingsmaatregelen die leveranciers van clouddiensten geïmplementeerd hebben – beveiligingsmaatregelen die vaak verdergaan dan wat men in eigen huis heeft draaien. Anders dan

in West-Europa is ecologie (CO2-reductie) nauwelijks een reden om cloud computing te overwegen; kostenbesparing echter des te meer. Hiermee lijkt emerging EMEA een beetje na te ijlen op de grote kostenfixatie die West-Europa de afgelopen jaren zag. Binnen de hele discussie spelen kosten een bijzondere rol, enerzijds als een van de belangrijkste redenen om cloud computing in te voeren, maar anderzijds ook als een van de belangrijkste blokkades. Het niet kunnen vrijmaken van de benodigde investeringen wordt namelijk aangegeven als een van de belangrijkste redenen waarom cloudprojecten (nog) niet van de grond komen. Dit kan zijn omdat de benodigde businesscase nog niet gemaakt kan worden of omdat dergelijke IT-geïnitieerde businesscases komend van IT (denk aan de businesscases waarmee grote hoeveelheden SOA, Oracle en SAP werden binnen gereden) niet zonder meer geloofd worden.

Voorsprong Kijkend naar beide onderzoeken kan men concluderen dat westerse economieën momenteel (nog) een voorsprong hebben met de invoering van cloud computing en virtualisatie. Een voorsprong die gebruikt kan worden om dergelijke diensten ook in de kleinere

emerging markets aan te bieden. De grotere emerging markets zien kansen om – gebruikmakend van de al aanwezige ervaring, de relatief grote thuismarkt en het kostenvoordeel voortvloeiend uit hun locatie – zelf (private) clouds in te voeren en (public) clouds aan te bieden. Als gateway to Europe en natie van handelsreizigers zullen we snel op pad moeten, willen we nog een rol van betekenis in deze markten kunnen spelen. Anders is die mooie bandbreedte tot in de woonkamer – waar we in Nederland zo trots op zijn – dadelijk alleen maar nuttig om diensten af te nemen die ‘goed en snel’ uit andere landen komen. En dat kan toch niet de bedoeling zijn. CW Noten 1 Waarbij ‘emerging’ bestaat uit de snel groeiende economieën in oostelijk Europa, het Midden-Oosten, delen van Afrika en Azië, terwijl met ‘mature’ de meer conservatieve West-Europese economieën (inclusief Nederland) worden aangeduid. 2 Voor het volledige onderzoek door Management Insight Technologies zie https://www.ca.com/us/register/activity.aspx?cid=117603. De emergingmarketsstudie door Vanson Bourne is te vinden op http://lyt.sr/xft4w. Beide onderzoeken zijn gesponsord door CA Technologies.


Thema

Storage in de cloud:

de checklist Iedereen is ermee bezig, maar wat betekent de cloud nou eigenlijk voor uw IT-infrastructuur? Waar moet u rekening mee houden indien u overstapt naar een cloud- of hosted IT-service – niet alleen wat betreft de storageomgeving, maar voor de hele infrastructuur? In dit artikel wordt ingegaan op een paar belangrijke aspecten die vaak over het hoofd worden gezien in het beslissingstraject van een overstap naar een cloudservicemodel. Door Edwin Brok, Business Development Manager bij Bull Nederland CHECK 1: Hoe intensief wordt de data gebruikt? De keuze om data in een cloudomgeving te plaatsen, is sterk afhankelijk van de hoeveelheid datatransport tussen het storagesysteem en de servers. Hoe hoger de data I/O, des te wenselijker is het om de servers en storage op één locatie te plaatsen. Indien het dataverkeer tussen de werkplek en de storage plaatsvindt, zou men kunnen overwegen om een web-based- of server-basedomgeving te gebruiken waarbij de werkplek eigenlijk in het datacenter draait en de gebruiker op een virtuele omgeving werkt. In beide gevallen is het namelijk van belang dat er optimaal gebruik wordt gemaakt van de bestaande bandbreedte binnen het LAN. Externe dataverbindingen zijn nog steeds vele malen duurder dan interne dataverbindingen. CHECK 2: Potentiële datagroei Bereken wat de potentiële datagroei is die verwacht kan worden. Veel hosting- en cloudproviders rekenen af per gebruikte gigabyte. Groeit uw data exponentieel, dan stijgen ook de kosten dusdanig. Omdat cloudservices veelal over een langere periode worden opgezet, is het van belang dat niet meteen vanaf het begin de maximale datacapaciteit opgenomen wordt maar dat


gebruik gemaakt gaat worden van een ‘pay as you grow’-model. Hierbij zijn de optimale instapkosten gegarandeerd en wordt er pas voor functionaliteiten betaald als er daadwerkelijk gebruik van wordt gemaakt. Niet minder belangrijk zijn de processen en functionaliteiten die de hosting- of cloudprovider biedt om de data te optimaliseren. CHECK 3: Dataoptimalisatie Eigenlijk zou het probleem van dataoptimalisatie ook het probleem van databeschikbaarheid genoemd kunnen worden, want uiteindelijk gaat het er om dat de data altijd en – in sommige gevallen – overal beschikbaar is. Tevens is het een mooi moment om een analyse te maken van de data zelf. Hoe vaak wordt de data gebruikt, en hoe belangrijk is het dat deze altijd en snel beschikbaar is? Denk hierbij aan data-tiering, deduplicatie of thin provisioning en waar deze functionaliteiten ingezet moeten worden. Denk er ook aan om in deze analyse de back-upfunctionaliteiten mee te nemen. Is het huidige back-up-window voldoende om dagelijks een back-up te maken en is dit in het storagecloudplan opgenomen? Zorg ervoor dat de provider dergelijke technieken toepast zodat dit geen impact op de performance van de data heeft.

CHECK 4: Flexibiliteit van de business Elke organisatie heeft te maken met fluctuaties in de markt, of dat nu seizoens- of technologiegebonden is. Is de provider zich hiervan bewust en kan deze hierop inspelen? En houdt hij ook rekening met de doorlooptijd voor het opzetten van nieuwe functionaliteiten? Stel: uw marketingafdeling wenst een extra query op de verkoopdatabase uit te voeren om een nieuw product in de markt te zetten. Hoe snel kan de provider de extra rekenkracht en storage instellen om deze functionaliteit te bewerkstelligen? Zorg er dus voor dat de SLA’s die met de rest van de organisatie zijn afgesproken, ook voor de provider gelden. Om hier duidelijk inzicht in te krijgen, is een nulmeting van vitaal belang. CHECK 5: De nulmeting Een belangrijk aspect in de migratie naar een cloud- of hosting-based-infrastructuur is dat er een uitgangspunt gedefinieerd moet worden. Dit is de nulmeting. Hierin worden bestaande processen, SLA’s, compliancy en de ITinfrastructuur geanalyseerd. Op basis van deze inventarisatie kan dan een bewuste keuze worden gemaakt of en welke services vanuit de cloud kunnen worden geleverd. Ook wordt hierin aanbevolen welke cloudvorm het beste bij de organisatie past (private, public of hybride) en welke aanpassingen aan de rest van de infrastructuur nodig zijn om de gewenste functionaliteit te bewerkstelligen. Denk hierbij aan virtualisatie van servers, werkplekken, applicaties en/of processen. Het doel is om deze slag te gebruiken om de infrastructuur te optimaliseren en efficiënter te maken, en niet om een bestaand proces een-op-een naar een hostingprovider te verplaatsten. Gebruik de nulmeting ook

om primaire en secundaire processen te onderscheiden. Denk hierbij aan het definiëren van prioriteiten voor e-mail, databasebewerkingen, back-up, CRM, file/ print-services, directoryservices, internet, et cetera. Dit heeft een significante impact op het type producten en services die door de provider beschikbaar gesteld worden, alsook op het kostenplaatje. CHECK 6: Security Primaire bedrijfsprocessen vergen een compleet andere aanpak waarbij continuïteit, proactief monitoren, en security van cruciaal belang zijn. Uw bedrijfsinformatie is uiteindelijk het bestaansrecht van uw organisatie. Welke garanties biedt een provider dat deze data ook alleen door diegenen ingelezen en bewerkt mag worden die er toestemming voor hebben? Bedrijfsspionage is en blijft een bedreigende factor waar niet alleen exmedewerkers maar ook overheden zich schuldig aan maken. Biedt een public cloud dezelfde garanties als een private cloud? Indien de data en het datatransport dusdanig cruciaal voor de organisatie zijn, is het interessant om naar een PAAS (platform as a service), IAAS (infrastructure as a service) of hostingmodel te kijken. Hierbij blijft de organisatie zelf de regie over de applicaties en de data houden, en levert de provider alle onderliggende facetten van de infrastructuur.

CHECK 7: Business continuity Hoe lang kan uw organisatie zonder IT voordat het de deuren moet sluiten? Uw IT-infrastructuur is hierop ingesteld en u heeft de nodige SLA’s om deze continuïteit te waarborgen. U weet precies waar de zwakke punten van uw infrastructuur zitten en monitort deze continu. Voor de primaire bedrijfsprocessen heeft u een calamiteitenplan en eventueel een uitwijklocatie waar deze processen in geval van calamiteit verder kunnen draaien. Biedt de hosting- of cloudleverancier deze functionaliteiten ook? En is het mogelijk om deze functionaliteit te testen? Denk hierbij ook aan het testen van back-ups en het handhaven van RTO’s (recovery time objective, red.) en RPO’s (recovery point objective, red.). Een back-up is nutteloos als deze niet binnen de gewenste tijd of met de juiste dataconsistentie teruggezet kan worden. Deze aspecten dienen bij de nulmeting als eisenpakket gedefinieerd te worden. CHECK 8: Herstructurering van uw complete IT Maak gebruik van de gelegenheid om uw gehele IT-infrastructuur te analyseren en te vernieuwen. Een goede IT-partner beschikt over een aantal assessment- of consultancyservices om niet alleen maar uw storageomgeving maar uw gehele

IT-infrastructuuromgeving te analyseren en hier een gedegen advies over te geven. Uw IT-omgeving bestaat immers niet uit individuele eilanden maar is een interoperationeel geheel van servers, storage, werkplekken en een tussenliggend datanetwerk. Elke verandering die men op een van deze componenten aanbrengt, heeft gevolgen voor de rest van de IT-infrastructuur.

Conclusie De keuze om bepaalde bedrijfsprocessen of de gehele IT-infrastructuur naar een cloud of hosted omgeving te migreren, is sterk gerelateerd aan bedrijfsafhankelijkheid, beschikbaarheid, flexibiliteit, beheersinspanningen en de volwassenheid van de IT-organisatie – en uiteraard ook aan de verwachtingen van de business. Het is niet een beslissing die puur vanuit een financieel oogpunt genomen kan worden en het is ook geen deeloplossing. Een keuze voor een cloudmodel heeft verstrekkende gevolgen voor de gehele organisatie en dient gestructureerd en strategisch onderbouwd opgezet te worden. Begin met een inventarisatie van uw huidige infrastructuur en processen, en ontwikkel vanuit deze nulmeting uw strategie voor een eventuele keuze voor de toekomst. CW


Strategie

Klantproces van advies tot implementatie en beheer

HP onthult hybride cloudstrategie HP presenteerde eind januari in het Zwitserse Genève een nieuwe cloudstrategie voor de enterprisemarkt. HP gaat voor een hybride aanpak waarbij een traditionele infrastructuur hand in hand gaat met een hosted private cloud, eventueel aangevuld met public-clouddiensten. Daarbij is het opvallend dat de computinggigant zelf - los van partners - ook het adviestraject en de implementatie zal kunnen verzorgen. Door Jeroen Horlings, hoofdredacteur van CloudWorks HP stelt dat cloud computing een belangrijk en groeiend platform is voor zogenaamde ‘instant-on’ enterprises, waar alles en iedereen met elkaar verbonden is. Dergelijke bedrijfsomgevingen moeten flexibel, geautomatiseerd en beveiligd zijn en zich snel kunnen aanpassen aan veranderende marktomstandighe-

den. HP denkt met de nieuwe HP Hybrid Delivery-producten de voordelen van cloud computing te bieden, terwijl er anderzijds oplossingen geboden worden voor bekende tekortkomingen van publieke clouddiensten, zoals beveiliging, beschikbaarheid en prestaties.

Enterprise Cloud Services Met Enterprise Cloud Services (ECS)Compute levert HP een ‘hosted private cloud’ vanuit HP’s datacenters. HP beheert daarbij zelf de hele stack, van de infrastructuur (IaaS) tot en met het platform (PaaS) en de software (SaaS) en biedt deze ‘as a service’ aan. In tegenstelling tot een public cloud, wordt er niet uitgegaan van één gedeelde infrastructuur, maar zijn de diensten flexibel aan te passen aan de wensen van de klant. Over het kostenmodel wilde HP nog weinig loslaten. Men zal waarschijnlijk een abonnementenstructuur gebruiken, aangevuld met een ‘pay per use’-concept. Volgens Ian Brooks, leider van HP’s Innovation & Sustainable Computing-afdeling, zal het geheel duurder uitvallen dan publieke clouddiensten, maar staat daar wel veel meer flexibiliteit tegenover. Brooks: “Dankzij standaardisatie, eenvoudiger management en automatisering is een kostenbesparing van meer dan 40 procent mogelijk ten opzichte van een traditionele infrastructuur. Ook in vergelijking met een standaard hybride cloud, met een on-premises private cloud gecombineerd met publieke clouddiensten, valt ons Hybrid Deliverymodel goedkoper uit.”

Private en public

Door clouddiensten aan te bieden vanuit de eigen datacenters, stelt HP een kostenbesparing van ruim 40 procent te kunnen realiseren, ten opzichte van de traditionele IT-omgeving.


Met de nieuwe strategie wil HP zelf een prominente rol spelen om klanten de cloud in te helpen. Men stelt dat publieke clouddiensten, zoals Amazon EC2, tot nu toe vooral door kleine en middelgrote bedrijven en ontwikkelaars gebruikt worden en dat enterpriseklanten de security- en privacy compliance onvoldoende vinden. HP heeft daarom een eigen EC2-achtige dienst ontwikkeld, die dezelfde flexibiliteit biedt als

HP’s splinternieuwe luchtgekoelde datacenter in Wynyard Park, Engeland. Amazons modellen, maar dan met de resilience-, performance-, en beveiligings- en auditmogelijkheden die enterprises vereisen. Volgens HP zijn veel publieke clouddiensten niet geschikt voor bedrijfskritische productiesystemen. Doordat de hardware en software allemaal door HP gebouwd is, werkt alles optimaal met elkaar samen. De hybride strategie gaat dan ook uit van het uitrollen van een private cloud naast een bestaande traditionele infrastructuur. Sommige legacy-applicaties kunnen bijvoorbeeld beter in de traditionele omgeving blijven draaien, terwijl nieuwe diensten vanuit de private cloud worden gehost. Overigens zal HP ook handvatten bieden voor de integratie van bepaalde publieke clouddiensten van derden, mocht de klant daar behoefte aan hebben. Verder wil HP onder de noemer ‘Financial Services’ diensten aanbieden voor klanten die private cloudtoepassingen willen bouwen zonder de last van de bijbehorende voorinvesteringen te dragen. Op die manier krijgen zij toegang tot geavanceerde technologieën, terwijl ze toch kunnen blijven voldoen aan hun financiële doelstellingen. Op termijn wil HP ook in basisdiensten als een e-mailplatform, bedrijfssoftware (CRM/ERP) en databases gaan voorzien.

Cloud system Om IT-services te ontwerpen, te beheren en te consumeren heeft HP ‘CloudSystem’ ontwikkeld, dat zowel dienst kan

doen in een private, publieke of hybride cloudomgeving. Het systeem is gebaseerd op HP’s BladeSystem Matrix en 3PAR’s utility-storagetechnologie om snel een complete infrastructuur voor applicaties op te bouwen. Via HP’s Cloud Service Automation-software kan het beheer, de beveiliging, en de compliancy voor zowel fysieke als virtuele componenten automatisch geregeld worden. En via zogenaamde ‘Cloud Maps’ wordt automatisch de beste leveringsmethode van toepassingen en de infrastructuur geselecteerd, waardoor nieuwe clouddiensten in slechts enkele minuten up-and-running zijn. Een primeur in de industrie, aldus HP.

KRITIEK HP is in staat om klanten van begin tot eind te begeleiden, vanaf de oriëntatiefase tot en met het ontwerpen, bouwen, implementeren en beheren van toepassingen. Men wil zelfs één- en tweedaagse ‘Cloud Discovery’-workshops aanbieden aan bedrijven en overheden, om meer duidelijkheid te verschaffen over businessmodelimplicaties, beveiliging en het identificeren van de juiste toepassingen voor de cloud. Maar door in potentie zelf het klantproces van A tot Z te kunnen beheren, stoot HP mogelijk wel resellers voor het hoofd, vindt Alfred den Besten, CEO van MarketCap. “Wanneer het gaat om visie en strategie is HP behoorlijk aan het zoe-

ken”, zegt Den Besten. “Daar waar de kracht altijd in het kanaal heeft gelegen, neigt men nu naar een grotere eigen rol. Het zou een veel beter idee zijn om een complete virtual HP Cloud op te bouwen, waarbij de reseller zich kan upgraden tot virtual cloudprovider en de klantrelatie voor haar rekening neemt. Het verkopen van clouddiensten staat immers gelijk aan het verkopen van vertrouwen. Tevens moet HP het de resellers gunnen om marge te maken op de toegevoegde waarde bij cloud computing: de diensten. Het is beter om een duidelijke keuze te maken. Denk bijvoorbeeld aan VMware; men is puur faciliterend voor het kanaal en versterkt zo de waarde van de reseller.” HP laat via woordvoerder Herbert Wormgoor weten dat men juist blijft samenwerken met partners. “We hebben de strategie dat we de grootste ondernemingen in Nederland rechtstreeks bedienen en verder altijd samenwerken met partners en resellers. Juist met deze nieuwe aanbiedingen gaan we om de tafel met serviceproviders en partners om samen ondernemingen te helpen de shift naar een cloudgebaseerde IT te kunnen maken. Waar concurrenten al jaren een directe strategie voeren, is dat nou precies wat HP onderscheidt. En dat blijven we doen.” CW


Juridisch

Partnerships

The Legal Look Door mr. Victor A. de Pous, bedrijfsjurist en industrieanalist

De uitgave van CloudWorks wordt mede mogelijk gemaakt door de steun van een aantal partners.

In ieder nummer van CloudWorks worden meerdere juridische vraagstukken rondom cloud computing behandeld. Hebt u een vraag op het snijvlak van cloud en recht, stuurt u dan een mailtje naar [email protected].

> Is clouddatastorage juridisch anders? Eerst terug naar de basis. Cloud computing betreft een nieuw leveringsmodel op basis waarvan ict als een automatisch schaalbare dienst op afstand wordt geleverd. Zoals bekend kan de eigen automatiseringsafdeling een dergelijke dienst verzorgen, maar het Klein- en Middenbedrijf zal vaker diensten van derden afnemen. Dat leidt dus tot een uitbestedingsrelatie en daar zitten doorgaans de meeste juridische haken en ogen aan. Zo heeft de gebruikersorganisatie in de regel geen controle over en kennis van de geleverde ict-onderdelen en het virtuele informatiesysteem als geheel. Ook ontbeert zij controle over en kennis van de exacte locatie van de geleverde ict-onderdelen en het virtuele informatiesysteem. Bovendien ontstaat er een sterke afhankelijkheidssituatie ten opzichte van de gebruikte technologie en de cloudserviceprovider, omdat zowel de ict-onderdelen als de bedrijfsinformatie in beginsel exclusief – letterlijk – in handen van de externe cloudserviceprovider (en zijn toeleveranciers) zijn. Een en ander geldt mutatis mutandis voor clouddatastoragediensten.

vens, zoals het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Hoewel de cloudstorageserviceprovider in de hoedanigheid als bewerker tevens een eigen wettelijke verantwoordelijkheid heeft, kan de eigenaar van de bedrijfsinformatie zijn juridische verantwoordelijk voor de rechtmatige verwerking van persoonsgegevens niet uitbesteden. Dat geldt overigens niet alleen voor de verplichting tot netwerken informatiebeveiliging. Houd ook

> Wat zegt de wet hierover?

> Zijn er ook andere wetten van toepassing?

Heel veel, maar het belangrijkste is misschien wel dat de gebruikersorganisatie om wiens bedrijfsinformatie het gaat, te allen tijde primair verantwoordelijk is en blijft voor de verwerking van haar gegevens, met inbegrip van opslag en archivering ervan. Neem alleen al de dwingendrechtelijke voorschriften van de Wet bescherming persoonsgege-

Behalve de privacywetgeving zijn het bestuur van een besloten vennootschap en andere rechtspersonen (NV´s, verenigingen, stichtingen) verplicht ‘op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde de rechten en verplichtingen


NEOMAX

van de rechtspersoon kunnen worden gekend’. Afname van de diensten van Salesforce.com of Amazone S3 doet niets aan het rechtsfeit af, dat iedere entrepreneur hiervoor zelf ten opzichte van de Belastingdienst verantwoordelijk en aansprakelijkheid blijft.

‘Niet de cloudprovider, maar de klant is juridisch verantwoordelijk voor de data’ rekening met het feit dat betrokkenen (wier persoonsgegevens het betreft) bijvoorbeeld een recht op inzage in de persoonsgegevens hebben, terwijl in sommige situaties de persoonsgegevens moeten worden verwijderd.

partners CloudWorks

Daarnaast hebben we te maken met een brede reeks van bewaarverplichtingen. Zo geldt op de eerste plaats de algemene wettelijke bewaarverplichting voor bedrijfsinformatie die van belang is voor de belastingheffing (de fiscale bewaarplicht) van zeven jaar op grond van het Burgerlijk Wetboek en de Algemene wet inzake rijksbelastingen. Clouddatastorage zal hieraan moeten voldoen. CW Mr. V.A. de Pous is bedrijfsjurist en industrieanalist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

De cloud-sourcingdivisie van Neomax ontzorgt bedrijven door het technisch beheer en de monitoring van bedrijfskritische applicaties uit handen te nemen. Neomax beschouwt IT als topsport. Het is haar missie de IT-omgevingen van klanten net zo goed te laten presteren als een topsporter. Samen met haar klanten schept Neomax de voorwaarden voor een optimale omgeving en helpt zij tegelijkertijd kosten te besparen en meer functionaliteit en een hogere beschikbaarheid te realiseren. Naast het outsourcen van de gehele IT-omgeving, kunnen organisaties er ook voor kiezen om hun omgeving gedeeltelijk bij Neomax onder te brengen. Neomax is betrokken en biedt kwaliteitgerichte dienstverlening op maat. Neomax verbetert de slagkracht, nauwkeurigheid en efficiëntie van IT-omgevingen. www.neomax.nl/ www.cloudsourcing.nu

Qwise Qwise is een gespecialiseerde system integrator op het gebied van virtualisatie en cloud computing. Qwise zorgt ervoor dat bedrijfsapplicaties en -informatie altijd en overal beschikbaar zijn. Hiervoor heeft het bedrijf 100 hoogopgeleide en ervaren experts in dienst, die zorgen voor een optimale integratie van diverse systemen. Op 29 september 2010 introduceerde Qwise een nieuwe dimensie in cloud computing: Qwise Nebula Worqspace. Met Nebula Worqspace is het mogelijk om anywhere, anytime te werken, veilig, betrouwbaar en tegen lagere kosten. www.qwise.nl www.qwisenebula.nl

Sogeti Nederland B.V.

TelecityGroup Netherlands

Sogeti wil door gepassioneerd ict-vakmanschap bijdragen aan het resultaat van haar klanten. De visie van Sogeti is daarom als volgt samen te vatten: ´Resultaat door gepassioneerd ict-vakmanschap´. Dit betekent dat Sogeti de verantwoordelijkheid neemt voor haar activiteiten bij klanten. Ze verplicht zich aan het resultaat op basis van haar excellente professionaliteit en haar ondernemerschap. Door hechte en langdurige relaties met klanten zet Sogeti ict dusdanig in, dat het bijdraagt aan de strategische doelstellingen van haar klanten. Met het eigen Verkenningsinstituut Nieuwe Technologie (ViNT) geeft Sogeti invulling aan de koppeling tussen bestaande bedrijfsprocessen en de nieuwe ontwikkelingen. www.sogeti.nl

TelecityGroup is de belangrijkste leverancier van hoogwaardige netwerkonafhankelijke datacenters in Europa. Datacenters vormen de kernactiviteit: TelecityGroup ontwerpt, bouwt en beheert beveiligde omgevingen met hoge connectiviteit om technische, online- en IT-infrastructuur in onder te brengen. Het hoofdkantoor bevindt zich in Londen. TelecityGroup beheert 23 datacenters in de volgende steden: Amsterdam, Dublin, Frankfurt, Londen, Manchester, Milaan, Parijs en Stockholm. Het bedrijf heeft een breed en doelgericht programma voor het uitbreiden van de capaciteit. Sinds 2008 zijn nieuwe locaties geopend in Londen, Amsterdam, Stockholm, Milaan en Parijs. www.telecitygroup.nl Voor meer informatie over partnerships: Arnoud van Gemeren, [email protected]. februari 2011 - cloudworks - 47

hybrid

Recommend Documents