Vragenlijst Voor uw potentiële Cloud Computing-leverancier
Haarlem, 2011
Inleiding Terremark heeft sinds de opkomst van server virtualisatie in het begin van deze eeuw veel RFI’s en RFP’s beantwoord. Deze RFx aanvragen geven weer wat er bij partijen speelt bij de overwegingen om gebruik te maken van de diensten van een gevirtualiseerde omgeving bij een Cloud Computing-leverancier. Soms ontbreekt er echter essentiële informatie voor het maken van een juiste afweging. De vragenlijst kunt u gebruiken als checklist voor de vragen die u moet stellen aan uw potentiele Cloud Computing-leverancier. Deze is opgebouwd uit verschillende categorieën en helpen u bij het bepalen van uw informatiebehoefte. Het lijkt voor sommige situaties misschien wat overdreven, maar steeds vaker is “de ICT” een onmisbaar onderdeel van de dienstverlening van een bedrijf of het productie proces geworden. Als het gaat om een tijdelijke test site zal het merendeel van de vragen niet relevant zijn, maar als u een tijdelijke actie op uw website wilt ondersteunen met een schaalbaar cloud platform is het natuurlijk niet de bedoeling dat u potentiële omzet mist door downtime van uw cloud provider. Zeker voordat u een kritische applicatie in de cloud gaat plaatsen, is het goed om te weten met wat voor cloud provider u heeft te maken en welke maatregelen de provider heeft genomen om te voorkomen dat uw business offline gaat. Voor meer informatie kunt u contact met ons opnemen. Terremark Netherlands Kuppersweg 75 2031 EB Haarlem 023-547 79 46
[email protected] www.terremark.nl
Terremark NV Zeelsebaan 83z 9200 Dendermonde 052/890 100
[email protected] www.terremark.be
White Paper Vragenlijst voor uw Cloud Computing leverancier
Organisatie Voldoet de leverancier als organisatie aan de voor u relevante wetten en regels? elke voorbereidingen zijn of worden getroffen om de duurzaamheid van het datacenter te vergroten? elke relevante referentie klanten zijn er? elk tpen Cloud-diensten worden aangeboden? (IaaS, Paas, Saas) In welke mate vormen Cloud-diensten een hoofdactiviteit van de organisatie?
Beschrijving van de dienstverlening Geef een beschrijving rondom de volgende aspecten van de dienstverlening: Standaardcomponenten oadbalancing-opties Bandbreedtetoewijzing Firewalling VP etwerkinfrastructuur Storage IP-adressen Back-up faciliteit Toewijzing van CP/geheugen Interfaces (API) ndersteuning van besturingssstemen anagement tooling IS certificeringen
White Paper Vragenlijst voor uw Cloud Computing leverancier
Infrastructuuur p welke wijze is de infrastructuur gevirtualiseerd? orden de diensten shared en/of dedicated aangeboden? Hoe is eventuele multi-tenanc ingericht? o Geef hiervan een beschrijving Is er sprake van een multi-tier architectuur? o Geef hiervan een beschrijving at gebeurt er bij het uitzetten van de server? o Verliest de gebruiker de machine of niet? Staan alle instanties op dezelfde server, of verspreid? elke vrijheid bestaat er om de instanties te vergroten zonder downtime? Hoe is de scheiding van data georganiseerd? Hoe is de redundantie georganiseerd? o In welke lagen van het platform? (opsomming en toelichting)
Schaalbaarheid, Capaciteit, Oversubscription & Bursting Hoe is de schaalbaarheid georganiseerd? Specifieer de overcapaciteit at is minimale gegarandeerde capaciteit? Is er gedeelde capaciteit beschikbaar voor bursting? at is de gegarandeerde burst-capaciteit? Locatie In welk land staat uw data? ordt de locatie gegarandeerd of kan deze wijzigen gedurende het contract? Heeft de leverancier andere locaties beschikbaar met een Cloud-infrastructuur? Hoe zijn de toegang rechten en toegangsmogelijkheden van beheerders geregeld?
White Paper Vragenlijst voor uw Cloud Computing leverancier
Storingen & Support Zijn de SA’s klant specifiek, of op neighborhood’ basis? elke percentage beschikbaarheid wordt gegarandeerd? at is het aantal storingen per tijdsperiode geweest? elke duur hebben deze storingen gehad? at is de Mean Time Between Failures (TBF) Hoe zitten de Disaster Recover processen, procedures en richtlijnen in elkaar? Is er uitwijkcapaciteit ten behoeve van Disaster Recover? elk onderzoek wordt gedaan na het voordoen van een incident? at is de beschikbaarheid van de dienstverlening? o elke garanties worden gegeven op beschikbaarheid? o Zijn er ervaringscijfers beschikbaar? o elke prestatie indicatoren worden gegarandeerd? elke uren is de supportdesk beschikbaar? Hoe ziet de organisatie van de supportdesk in elkaar? elke kosten worden gerekend voor support? p welke locatie(s) bevindt de supportdesk zich? at zijn de afhandelingstijden van supportverzoeken? Hoe wordt de support geregistreerd? Hoe is de escalatie naar de 2e en 3e lijn support georganiseerd? Doorlooptijden Hoe snel kunnen nieuwe virtuele machines worden opgeleverd? at is de maximale provisioning-tijd? Facturatie en betaling Voor welke diensten worden meerkosten gerekend? p welke wijze is betalen naar de gebruik ingericht? ordt er betaald voor toegewezen resources of alleen indien deze in gebruik zijn? ordt er een geschiedenis bijgehouden van de administratieve stromen ? p welke wijze worden eventuele burst kosten in rekening gebracht? Maatwerk Zijn er maatwerkafspraken mogelijk wanneer er sprake is van een shared platform? Bestaat de bereidheid om specifieke aanpassingen aan de dienst te maken? Contract issues Hoe wordt omgegaan met de vertrouwelijkheid van opgedane gegevens en ervaring? ie is juridisch eigenaar van de hosting omgeving? Voldoet de technische oplossing aan de relevante wetten en regels?
White Paper Vragenlijst voor uw Cloud Computing leverancier
Rapportages elke rapportages worden gegeven? at is hiervan het interval? ver welke items wordt gerapporteerd? elke Service anagement topics worden meegenomen in de rapportages? Trainingen elke trainingen worden er gegeven of zijn mogelijk? In welke taal worden de trainingen gegeven? elke kosten zijn verbonden aan deze trainingen? orden er securit awareness’ trainingen aan medewerkers gegeven? o Geldt hiervoor een deelnameverplichting? o at is de aard en frequentie van deze trainingen? Security Hoe en op welke wijze is traceability mogelijk? Is op rollen gebaseerde toegang mogelijk? Hoe is de authenticatie en autorisatie georganiseerd? Hoe en met welke frequentie vindt auditing van de securit plaats? elke maatregelen zijn er genomen t.b.v. ongeautoriseerde wijzigingen van sstemen en/of configuraties? Is er een securit-incident reactie plan? o Voorziet dat plan in procedures voor het escaleren van intrusion alerts’? o orden alle incidenten gemeld? Garandeert uw toeleverancier het terugzetten van data binnen een gegeven periode? o ok als de andere huurders’ tegelijkertijd een restore wensen? Hoe vaak wordt zo’n back-up geverifieerd door een test-restore te doen? aar precies komen de back-up bestanden fsiek te staan? Hoe ziet de back-up er precies uit? Hoe is in geval van encrptie de decrptie geregeld? ITIL elke IITI-processen zijn geïmplementeerd? o Is er een onderbouwing per proces beschikbaar? o Hoe is de scheiding van verantwoordelijkheden ingebed?
White Paper Vragenlijst voor uw Cloud Computing leverancier