Works DATACENTER. Het cloud-ready. Digitale onderwereld sterk in opkomst. Voorkomt catastrofale fouten. nummer 4 oktober 2010

Cloud Works www.cloudworks.nu | nummer 4 oktober 2010

HET Vakblad over cloud computing

Het ‘cloud-ready’

DATACENTER Cloud-based SECURITY Digitale onderwereld sterk in opkomst

TESTOMGEVING IN DE CLOUD Voorkomt catastrofale fouten

EN VERDER: TRANSFORMATIE VAN HET DATACENTER | AVAILABILITY EN PERFORMANCEMANAGEMENT | STAPPENPLAN NAAR DE CLOUD, DEEL 2 | SERVERCAPACITEIT UIT DE KRAAN | OXILIONS VIRTUELE DATACENTER | CLOUDHOSTING| IMAGINE CUP | LEGAL LOOK

Colofon

Datacenters "DUVFMF
*5
DVSTVTTFO
JO
 ◆

CISSP¥ De enige schriftelijke Nederlandstalige opleiding voor het officiële CISSP®-examen van (ISC)2! Deze cursus bestaat uit een Nederlandstalige schriftelijke cursus plus een (optionele) intensieve CISSP examentraining. Ook als u zich niet wilt laten certificeren is de kennis uit deze cursus een waardevol bezit!

◆

e-Security E-security ontwikkelt zich met de snelheid van het licht. Effectief beveiligen is dan ook een kwestie van bijblijven. Na bestudering van de lessen kunt u onder meer uw eigen anti-hackingplan opstellen waarmee u uw organisatie beschermt tegen aanvallen nu en in de toekomst.

◆

Identity & Access Management (IAM)

en de cloud

(FBDIUF
$MPVE8PSLT
MF[FS 0Q
EF[F
QBHJOB
USFGU
V
FFO
PWFS[JDIU
BBO
WBO
FFO
BBOUBM
PQMFJEJOHFO
PQ
VX
WBLHFCJFE
&FO
HSPPU
EFFM
IJFSWBO
CFUSFGU
TDISJGUFMJKLF
DVSTVTTFO
&FO
TDISJGUFMJKLF
DVSTVT
IFFGU
UBM
WBO
WPPSEFMFO
[PBMT ◆ 6
TUVEFFSU
JO
VX
FJHFO
UFNQP
XBBS
FO




XBOOFFS
Ù
EBU
XJMU ◆ (FFO
PVU
PG
QPDLFU
LPTUFO
HFFO
SFJTUJKE



HFFO
SFJTLPTUFO
FO
CFMBOHSJKLFS
OPH
V
CFOU



OJFU
EBHFO
WBO
LBOUPPS
XFH
6
CFTQBBSU




PQ
EF
LPTUFO
WBO
FFO
NPOEFMJOHF



DVSTVT ◆ 6
LVOU
VX
WSBHFO
SFDIUTUSFFLT
BBO
EF



BVUFVST
TUFMMFO ◆ /B
BGMPPQ
WBO
EF
DVSTVT
IFFGU
V
FFO



HFEFHFO
FO
QSBLUJTDI
OBTMBHXFSL 8JK
OPEJHFO
V
VJU
FFO
LJKLKF
UF
OFNFO
PQ
PO[F
XFCTJUF
XXXJNGPOMJOFDPNQBSUOFSXPSLT

In veel organisaties is het identiteits- en toegangsbeheer slecht geregeld. Bij u niet (meer) na het bestuderen van deze cursus! ◆

Informatiebeveiliging in de praktijk Deze cursus biedt u concrete handvatten voor het opstellen van uw informatie beveiligingsbeleid. Een waardevolle cursus voor de beveiliging van uw IT!

◆

Informatiebeveiliging in de zorg

4UBSUEBUB %F
TDISJGUFMJKLF
DVSTVTTFO
TUBSUFO
FMLF
EFSEF
EPOEFSEBH
WBO
EF
NBBOE
,JKL
WPPS
NFFS
JOGPSNBUJF
PQ
PO[F
XFCTJUF
XXXJNGPOMJOFDPNQBSUOFSXPSLT

Opsporen en opheffen van beveiligingslacunes in uw organisatie of instelling. ◆

Governance & IT Alle succesfactoren voor een professionele inrichting van uw IT-besturing.

◆

Post-HBO Information Security Management Professional In deze post-HBO opleiding krijgt u de benodigde strategische richtlijnen en praktische handvatten en vaardigheden aangereikt voor het adequaat opzetten,

*ODPNQBOZ "M
WBOBG

EFFMOFNFST
LVOOFO
XJK
EF[F
DVSTVTTFO
UFHFO
FFO
[FFS
BBOUSFLLFMJKLF
QSJKT
JODPNQBOZ
CJK
V
PSHBOJTFSFO
/FFN
DPOUBDU
NFU
POT
PQ
WPPS
EF
NPHFMJKLIFEFO
WJB






inrichten en managen van uw informatiebeveiliging. In 16 weken behaalt u het officiële registeropleidingsdiploma. ◆

Certified Information Security Penetration Tester

50("'

'PVOEBUJPO

Leer in vijf dagen te testen als een hacker. ◆

Post-HBO Digitaal Forensisch Analist In deze geaccrediteerde post-HBO opleiding worden zowel de methodologie als

%F[F
DFSUJGJDFSJOHTDVSTVT
CFIBOEFMU
EF
IFMF
JOIPVE
WBO
50("'

ÍO
"SDIJ.BUF
FO
CFSFJEU
V
WPPS
PQ
IFU
PGGJDJÌMF
50("'

'PVOEBUJPO
MFWFM

FYBNFO

de hulpmiddelen tijdens het forensisch digitaal onderzoek uitvoerig belicht.

7PPS
NFFS
JOGPSNBUJF
FO
JOTDISJKWFO
XXXJNGPOMJOFDPNQBSUOFSXPSLT

Datacenters hebben de afgelopen jaren grote veranderingen ondergaan. Individuele servers werden weliswaar kleiner en energiezuiniger, maar doordat er daardoor meer in een serverrack zitten, is de energiebehoefte niet gedaald. En doordat virtualisatie afrekent met het nutteloos en inefficiënt gebruik van servers, is de vraag naar meer energie en betere koeling alleen maar toegenomen. De groei van cloud computing versterkt dit alles nog eens. Vandaar dat we in dit nummer van CloudWorks het thema ‘datacenters’ behandelen. Zo beschrijven we de transformaties die het datacenter zoal ondergaat (pagina 20-22) en welke eisen er gesteld worden aan een ‘cloud-ready’ datacenter (pagina 10-11). Daarnaast nemen we een kijkje in een virtueel datacenter (pagina 28-30) en gaan we in op het beheer van een datacenter met een private cloud (pagina 42-45). Het laatstgenoemde artikel draagt de titel servercapaciteit uit de kraan en dat is zoals het eigenlijk ook zou moeten zijn. Rekenkracht wanneer dat nodig is, oneindige opslagcapaciteit en virtuele applicaties of zelfs een volwaardige, virtuele desktop. Oftewel, typisch cloud computing. Maar om deze diensten optimaal te faciliteren, moet het datacenter zich doorontwikkelen. Is de gebruikte koelmethodologie, al dan niet op basis van gescheiden warme of koude gangen, lucht- en waterkoeling, voldoende voor tienduizenden dampende servers? Is het datacenter vrij van hotspots? Is er voorzien in een (toekomstige) stroomvoorziening van 1.500 tot 2.500 watt per vierkante meter? En is de opslagcapaciteit berekend op de enorme vraag naar extra storage? Wat dat laatste betreft: volgens IDC groeide de omzet van verscheepte harde schijven met ruim 20 procent (goed voor maar liefst 3.645 petabytes). Met name de mid-range en high-end genoten van een hogere vraag van 30 tot 50 procent, wat duidt op een ‘voorzichtige economische groei’. Virtualisatie is natuurlijk de motor van de cloud. Recente cijfers van Gartner geven aan dat 80 procent van de organisaties bezig is met virtualisatie. Echter, slechts 25 procent van alle server workloads worden afgehandeld door een virtuele machine. Men stelt dat er nog opvallend veel gebruik wordt gemaakt van traditionele servers, waarvan in de praktijk 80 tot 90 procent van de capaciteit onbenut blijft. Gartner stelt dan ook dat het automatiseren van het ontwerp en het management van de diverse virtuele bronnen ‘the next big thing’ tijdens de volwassenwording van virtualisatie is. Opslag en het netwerk zijn al grotendeels gevirtualiseerd. De grootste uitdaging is nog steeds het virtualiseren van de overige 75 procent van de servers. En het ontwerp en beheer van het datacenter, evenals de apparatuur in de racks, speelt daarbij een cruciale rol.

CloudWorks maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorks vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via [email protected]. Uitgever: Arnoud van Gemeren, [email protected] +31 (0)6 53 57 34 90 Hoofdredacteur: Jeroen Horlings, [email protected] Postadres redactie: Postbus 82, 2460 AB Ter Aar e-mail: [email protected] Vormgeving: Ron Rossen Media Services Uitgeest B.V. Druk: Drukkerij De Globe, Amersfoort Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: ‘Overgenomen uit CloudWorks, de publicatie over cloud computing’, plus jaargang en nummer. © Copyright 2010 FenceWorks BV. CloudWorks is een uitgave van FenceWorks BV.

Jeroen Horlings, hoofdredacteur CloudWorks [email protected]

oktober 2010 - cloudworks - 

24

Inhoud

THEMA: Datacenters

9

10-11

Het ‘cloud-ready’ datacenter

20-22

Transformatie van het datacenter

28-30 Oxilions virtuele datacenter

VASTE RUBRIEKEN 6-8 Nieuws 41

The Legal Look

SECURITY 32-35 Cybercrime en cloud-based security

16

HARDWARE EN SOFTWARE 12-14 Availability en performancemanagement 24-27 DHPA over cloudhosting 38-40 Stappenplan naar de cloud, deel 2

12

42-45 Servercapaciteit uit de kraan

INTERVIEW 16-18 Sogeti over ‘cloudtesting’

COLUMNS

10

15 Paul Zeldenthuis: Bring your own

20

23 Gert Brouwer: Datacentra van alle tijden

38

36 Stephan Bosman: IT is topsport

32

EN VERDER

28

 - cloudworks - oktober 2010

9

Verslag Imagine Cup

32-35 Cloud-based security

oktober 2010 - cloudworks - 

Nieuws

Applicatie

acceleratie- en WAN-optimalisatie

Ahold stapt over op Google Apps

Aryaka heeft een cloudgebaseerde applicatie acceleratie- en WAN-optimalisatiedienst op de markt gebracht. Het bedrijf claimt dataverkeer met behulp van IP Sec binnen 20 milliseconde naar de dichtstbijzijnde beste locatie door te sturen. De dienst maakt gebruik van een model waarbij betaald wordt naar gebruik. Hierbij wordt gekeken naar de hoeveelheid bandbreedte die een bedrijf verbruikt. Aryaka claimt dat haar netwerk opereert met de voordelen van een private cloud, gecombineerd met het prijsniveau van een public cloud. Ook belooft men een uptime van maar liefst 99,999 procent. www.aryaka.com

•

Supermarktketen Ahold heeft bekendgemaakt over te stappen op Google Apps Premier Edition. De organisatie moet nog op zoek naar partijen die de overstap gaan realiseren. Het bedrijf heeft de overstap naar de cloudapplicaties vooral gemaakt voor de e-mailen agendafunctionaliteiten van Google

Apps en de mogelijkheid om samen te werken aan documenten. Daarnaast worden berichten die Ahold-medewerkers naar elkaar versturen automatisch door Google vertaald. Het bedrijf blijft voorlopig wel gebruikmaken van Microsoft Office, maar overweegt in de toekomst over te stappen op Google Docs.

HP neemt Stratavia over

Samenwerking Orange

HP kondigt de overname aan van Stratavia, een database- en applicatie-automatiseringsbedrijf. De voorwaarden voor de overname zijn niet bekendgemaakt. Met de overname wil het bedrijf de HP Cloud Service Automation-oplossing uitbreiden door vereenvoudigde en geautomatiseerde implementatie van databases, middleware en applicaties in cloud-computingomgevingen. Daarnaast wil de organisatie de HP Software and Solutions-portfolio versterken door inzet-, configuratie- en managementoplossingen voor bedrijfsdatabases, middleware en packaged applicaties toe te voegen. Deze oplossingen zijn bedoeld om klanten te helpen bij het vereenvoudigen van de inzet en het beheer van applicaties in hybride IT-omgevingen. Deze omgevingen bestaan uit on-premise, off-premise, fysieke en virtuele omgevingen. www.hp.nl

•

 - cloudworks - oktober 2010

Door de overstap gaan 55.000 medewerkers van het bedrijf werken met de cloudapplicaties. Hierdoor is het bedrijf volgens Google de grootste Google Apps-gebruiker in de Benelux. www.google.com

•

Business Services, Cisco, EMC en VMware Orange Business Services is samen met Cisco, EMC en VMware een samenwerkingsverband gestart onder de naam Flexible 4 Business om end-to-end cloud-computingdiensten aan te bieden. Deze businessalliantie moet klanten helpen bij een gemakkelijke overstap naar cloud computing. Orange heeft in het samenwerkingsverband de rol van serviceprovider en zal de vier types van pay-per-use managed cloud solutions leveren. Deze oplossingen zijn gebaseerd op de toonaangevende technologieën van de vier partners. Het aanbod clouddiensten van Flexible 4 Business zal in eerste instantie bestaan uit Infrastructure as a Service- (IaaS-)oplossingen (inclusief cloud- en back-updiensten) en Software as a Service-(Saas-)oplossingen (inclusief beveiliging en unified-communications-

services). Onderling werken de vier partijen al langer samen en vond men zo innovatieve oplossingen voor de zakelijke uitdagingen van hun klanten. Orange Business Services is door Cisco, EMC en VMware op het hoogste niveau gecertificeerd om de noodzakelijke netwerk-, server-, storage-, virtualization- en managementexpertise in te brengen. Dit is nodig om een complete cloudoplossing op wereldwijde schaal te integreren. Als serviceprovider voor alle Flexible 4 Business-afspraken, zal Orange Business Services zorgen voor maatwerk end-toend service level agreements (SLA’s). De diensten omvatten virtualisatie-, backup- en beveiligingsdiensten en unified communications. www.orange-business.com

•

F-Secure Internet Security 2011 F-Secures Internet Security 2011 is speciaal bedoeld om cloudomgevingen te beschermen. De software neemt beslissingen op basis van de reputatie die bestanden krijgen aan de hand van uiteenlopende criteria, bijvoorbeeld hoe vaak een bestand op het internet voorkomt. In totaal zegt F-Secure dagelijks 50.000 voorbeelden van ‘potentiële nieuwe risico’s’ te zien.

Als regel hanteert het bedrijf dat een unieke applicatie vaak malware betreft. Dit aangezien legitieme software vaak voorkomt. Ook kan een onbekend bestand dat veel gebruikt wordt als veilig worden beschouwd. Onbekende en ongebruikelijke bestanden zijn volgens de regels van F-Secure meteen verdacht. Hierdoor is de cloud volgens het bedrijf beschermd tegen de trucs die criminelen

IDC: Veel

Werkplek op maat

Veel bedrijven willen private clouddiensten gaan implementeren die serviceproviders aanbieden. De groeiende vraag hiernaar wordt veroorzaakt door onrust over de veiligheid, beschikbaarheid en prestaties van de public cloud. Dit heeft Chris Morris, onderzoeksdirecteur voor de regio Asia Pacific van onderzoeksbureau IDC, gezegd op de Cloud Computing Conference 2010 in Singapore. Morris deed de uitspraak op basis van een enquête over cloud computing die IDC heeft gehouden. Uit het onderzoek bleek dat gebruikers van cloud computing in Singapore de private cloud als een vorm van cloud computing zien waarbij wordt geprofiteerd van een aantal voordelen van de cloud, zonder de nadelen van een public cloud te hoeven ondervinden. De voorkeur gaat hierbij uit naar het implementeren van private clouddiensten van serviceproviders, aangezien de bedrijven zelf op dit gebied nog weinig kennis in huis hebben. www.cloudslam10.com

Qwise heeft een nieuwe gevirtualiseerde werkplek ‘uit de cloud’ aangekondigd, onder de noemer Nebula Worqspace. Met deze dienst kan Qwise werkgevers op elk moment en met elk apparaat toegang bieden tot de benodigde applicaties en data, waardoor ze niet meer hoeven te investeren in een complexe ITomgeving die is ingericht op elke individuele werknemer. De naam Nebula verwijst naar de oerknal van het nieuwe, plaatsonafhankelijke werken. Er zijn momenteel al veel afzonderlijke applicaties in de cloud beschikbaar, maar Qwise is met Nebula de eerste IT-dienstver-

bedrijven neigen naar private clouddiensten

•

gebruiken om malware te verbergen. www.f-secure.com/nl_NL

•

uit de cloud

lener die deze geïntegreerd en op maat aanbiedt. Voor klanten van Nebula betekent het dat zij zonder investeringen in hard- en software elke medewerker de juiste applicaties kunnen aanbieden. De organisatie rekent af per gebruik en gebruiker. Belangrijk voordeel is ook de eenvoudige schaalbaarheid dankzij cloud computing: het aantal gebruikers kan probleemloos en op elk moment fluctueren. Zelfs werken via een 3G-verbinding is mogelijk, met mobiele telefoon of iPad. www.qwisenebula.nl

•

Ict-sector in 2020 ontwricht door cloud computing Bert Landman, ict-analist en consultant van Landman Consultancy, voorspelt in het rapport IT BUDGET 2020 een ontwrichting van de ict-sector in Nederland door de opkomst van cloud computing. Door een grootschalige invoer van cloud computing zou het rendement op IT-investeringen aanzienlijk verbeteren, budgetten voor automatisering zouden

langzamer stijgen en bijdragen aan het aflossen van toegenomen schulden bij overheden en bedrijven. Ook neemt de werkgelegenheid in de automatisering af van 184.000 voltijd banen in 2010 naar 144.000 in 2020, een vermindering van 22 procent. Deze daling kan volgens het onderzoek door de afnemende beroepsbevolking volledig worden opgevangen

door natuurlijk verloop in de sector. Daarnaast zou een deel van de bestaande dienstverleners en distributiepartners verdwijnen omdat zij geen bijdrage kunnen leveren in de ‘cloud value chain’. www.ame.nl

•

oktober 2010 - cloudworks - 

Nieuws

Event %JOTEBH

OPWFNCFS
.FEJB
1MB[B
JO
6USFDIU


Microsoft introduceert lokale cloud in container

$MPVEGPSVN

:PVS
CVTJOFTT
QPXFSFE
CJK
DMPVE
DPNQVUJOH %"(7003;*55&34
1SPG
ES
&EP
3PPT
-JOEHSFFO
3&








)PPHMFSBBS
*5

"VEJUJOH
6OJWFSTJUFJU
WBO
"NTUFSEBN








1BSUOFS
,1.(


•

Cloud computing voor

millenniumdoelen Een bril voor blinden die beelden van gezichten doorstuurt naar de cloud, en vervolgens op Facebook de juiste naam bij het gezicht zoekt om deze via een oortje door te geven. Een systeem dat gegevens verwerkt en analyseert voor kleine boerderijen in ontwikkelingslanden, zonder dat deze dure ict hoeven aan te schaffen. Een op Azure gebaseerd rampenwaarschuwingssysteem dat nu al wordt ingezet in Haïti. Het zijn voorbeelden van internationele cloudprojecten die afgelopen zomer meedongen naar de Imagine Cup in de Poolse hoofdstad Warschau.

)FOOJF
8FTTFMJOH








0VE
$*0
5/5
1PTU
Microsoft introduceert Windows Azure Appliance, een mobiel datacenter waarmee Microsoft bedrijven een afgeschermde lokale cloud aanbiedt die snel inzetbaar is. De mobiele container, in feite een cloud-in-a-box, kan bijvoorbeeld op de parkeerplaats van een bedrijf worden geplaatst, waardoor bedrijven op die manier eenvoudig de stap zetten naar de cloud, terwijl hun data letterlijk binnen handbereik blijft. Het is een private cloud, waardoor er niets gedeeld hoeft te worden met andere partijen. Het is echter wel mogelijk om het geheel te mixen met een public cloud. Logischerwijs worden de datacenters uitgerust met Microsofts eigen cloudsoftware Azure. Het concept is erg schaalbaar doordat een mobiel datacenter kan worden uitgerust met 2.500, 5.000 of 10.000 server cores. Daarnaast is het mogelijk om meerdere appliances (oftewel containers) in gebruik te nemen. Het management van de software gebeurt op afstand, waarbij Microsoft belooft alles up-to-date te houden. Microsoft wil een standaard neerzetten voor haar cloud containers, waardoor meerdere partijen, waaronder Dell, HP en Fujitsu, bevoegd zullen zijn ze te bouwen. Op dit moment wordt de Azure Appliance getest door eBay. De cloud-in-abox moet eind dit jaar ook op de Nederlandse markt komen. www.microsoft.nl

Imagine Cup 2010

Door Michiel van Blommestein, freelance journalist

De studentenontwikkelwedstrijd wordt ieder jaar georganiseerd door Microsoft, maar anders dan voorgaande jaren is de cloud nu alom vertegenwoordigd. Niet minder dan een derde van de 300 fina-

4DISJKG
V
WBOEBBH
OPH
HSBUJT
JO


XXXDMPVEGPSVNOM


Samenwerking CloudWorks

‘De studenten van nu zijn opgegroeid met cloudtechnologie’ leprojecten maakt op de een of andere manier gebruik van dit computingmodel om de VN-milleniumdoelen te behalen. Een jaar geleden was dat nog rond de 8 procent, aldus Jon Perera, General Manager van de Microsoft Education Group.

en IMF rond opleidingen

CloudWorks is een samenwerking aangegaan met IMF voor het gezamenlijk aanbieden van opleidingen en cursussen. Het International Management Forum (IMF) verzorgt opleidingen en cursussen voor tal van functies, competenties en vakgebieden. Denk aan enterprise-architecturen, functioneel beheer, IT-sourcing, governance & IT, informatiebeveiliging, projectmanagement, verandermanagement en meer. www.imf-online.com/partner/works/

Dat de cloud ook in deze, meer experimentele en idealistische ontwikkelsferen sterke voet aan de grond krijgt, is volgens Perera “een combinatie van de mogelijkheden van de cloud en de belevingswereld van de studenten.” Het is

•

 - cloudworks - oktober 2010

vooral de manier waarop de cloud door studenten wordt ingezet, die afwijkt van de norm, zo vindt Perera. “Bedrijven hebben toegang tot uitgebreide clouddiensten, maar uiteindelijk komt

het erop neer dat ze inloggen op een hosted dienst met een webgebaseerde frontend.” De huidige generatie studenten zijn anders gewend: sociale netwerken en diensten die systemen aan elkaar knopen, zijn voor hen dagelijkse kost. Daardoor zijn studenten sneller geneigd ze in te zetten voor het oplossen van problemen, betoogt Perera. “Ze zijn opgegroeid met cloudtechnologie. De meeste professionele ontwikkelaars hebben die bagage niet.”

“Daarbij komt dat de platformen een stuk volwassener zijn geworden”, gaat Perera verder, uiteraard duidend op het Microsoft Azure-platform. “Het betekent dat ze minder tijd kwijt zijn aan het hardcore-loodgieterswerk en meer energie kunnen steken in de applicaties zelf.” Als het gaat om daadwerkelijke inzetbaarheid, moet bij veel projecten nog flink geschaafd worden: (Hoe richt een blinde de gezichtsherkenningsbril op het gezicht van een ander? En hoeveel blinden maken gebruik van een visueel netwerk als Facebook? Twee moeilijke juryvragen die ontwikkelaar Kevin Pfister niet goed kon beantwoorden tijdens zijn finalepresentatie). Ook de constant benodigde connectiviteit is een belangrijk obstakel. Toch dient die kritische noot gerelativeerd te worden, aangezien het hier om studenten gaat. “Studenten die meer hebben bereikt dan vele huidige professionals op die leeftijd.” CW

oktober 2010 - cloudworks -  HEL1419 Advertentie Cloud Forum.indd 1

08-09-2010 09:24:45

Datacenter

Cloud-ready datacenter vereist strakke choreografie Cloud computing heeft op verschillende niveaus invloed op de inrichting van een datacenter. Met als aanjager virtualisatie op het niveau van server, netwerk en storage wordt de dichtheid (density) per vierkante meter snel groter. Het is daarom goed om stil te staan bij de fysieke en virtuele veranderingen die ons te wachten staan bij het realiseren van een cloud-ready datacenter. Door Kurt Glazemakers, CTO Terremark Europe Zo’n tien jaar geleden, toen de x86-systemen nog minder krachtig waren, was er fysiek veel meer ruimte nodig om applicaties in datacenters te ‘hosten’. Met één toepassing per server, die niet eens 20 procent benut werd, lag de gemiddelde stroomvoorziening op 800 à 1.000 watt per vierkante meter (w/m2). Dat is de afgelopen jaren al gestegen tot 1.500 w/m2, en de verwachting is dat de gevraagde gemiddelde capaciteit naar 2.000 tot 2.500 (w/m2) gaat. Ter vergelijking, een gemiddeld huishouden verbruikt gemiddeld 60 w/m2 voor verwarming van de woning.

Cloud-ready infrastructuur Het is duidelijk dat de stijging van de gemiddeld gevraagde capaciteit veroorzaakt wordt door de toegenomen rekenkracht van servers in combinatie met een hogere bezettingsgraad per server dankzij virtualisatie. Net zo helder is het dat veel van de huidige datacenters als geheel niet zijn voorbereid op het grootschalig onderbrengen van cloudcomputingimplementaties. De voor dit type computing vereiste piekbelasting van zes tot tien kilowatt – die op dit moment reëel is – kan in verschillende datacenters wel gedragen worden door de creatie van ‘warme zones’. Daardoor wordt het w/m2 uitgebreid ten koste van andere delen van het datacenter. Het is echter veilig om te stellen dat er wereldwijd in dit perspectief nog niet veel ‘cloud-ready’ datacenters zijn.

10 - cloudworks - oktober 2010

Energie Bij het bouwen van high-density omgevingen is de fysieke realisatie een aspect dat een grote impact heeft op de kosten om een cloud-computingdatacenter te bouwen. Zoals bekend, zijn de energiekosten voor een datacenter een substantieel onderdeel van de maandelijkse financiële last die in de miljoenen euro’s per maand kan lopen. Naast het energieverbruik voor de servers, de opslag- en netwerkapparatuur zelf is er ook energie nodig voor de randapparatuur als failoversystemen, generatoren en koeling – vaak weergegeven in de meetwaarde PUE (power usage efficiency). De afgelopen jaren is dit getal al teruggebracht van 2 naar 1,8 en momenteel worden nieuwe datacenters gebouwd met als doel lager te komen dan 1,3, vooral gerealiseerd door een slimmere manier van luchtkoeling en verwarming en door de locatie van het datacenter zelf.

Koeling Nederland, waar Terremark momenteel een nieuw network acces point (NAP) bouwt, heeft als groot voordeel dat het grootste deel van het jaar gebruikgemaakt kan worden van buitenluchtvrije koeling om in het datacenter de gewenste temperatuur tussen 16 en 24 graden Celsius te bereiken. In combinatie met de hot (bovenaan) en cold corridors (onder de vloer) ter voorkoming van luchtmenging – inmiddels alweer zo’n vier à vijf jaar gemeengoed in de datacenterwereld – vallen hier aanzien-

lijke besparingen te behalen. In relatie tot cloud computing zijn hierbij twee trends waar te nemen. Enerzijds komen de verhoogde vloeren hoger te liggen; van veertig tot zestig centimeter traditioneel naar ongeveer een meter in een cloud-ready datacenter om meer aanvoer te realiseren. Dientengevolge zullen ook de warmteafvoerende plafonds hoger komen te liggen en een grotere capaciteit krijgen. Anderzijds verschuift de sturing voor de koeling van de servers van de aanvoer van airco-units naar de racks zelf om sneller en efficiënter te kunnen anticiperen op temperatuurwisselingen.

Opslagvirtualisatie Virtualisatie, als aandrijver voor cloud computing, zal tot steeds meer lagen binnen de IT-infrastructuur doordringen. Nu al is het goed mogelijk tot 80 procent van alle toepassingen te virtualiseren, waarbij de resterende 20 procent ofwel vanuit licentietechnisch (onderhoudscontracten) oogpunt ofwel vanuit legacy-overwegingen niet gevirtualiseerd wordt. De virtualisatieslag heeft als grote voordeel dat je de burstcapaciteit kunt uitbreiden, aangezien niet elke virtuele machine (VM) dezelfde rekenkracht en schijfruimte (tegelijkertijd) nodig heeft. Zeker als deze burstcapaciteit nog eens met verschillende klanten op hetzelfde platform kan worden aangeboden. Daarnaast stelt het organisaties in staat om daadwerkelijk pay per use te gaan invoeren en zo kostenposten heel expliciet te kunnen toewijzen aan klanten of afdelingen. Om dat effectief te kunnen bewerkstelligen, zullen ook dataopslag en networking worden meegenomen in het cloudconcept. In de basis zullen beide componenten dienen te worden uitgebreid om de toenemende datastromen en opslagcapaciteit goed aan te kunnen. Op het niveau van dataopslag zijn thin provisioning en opslagvirtualisatie sterk in opkomst. Partijen als

Equallogic (nu onderdeel van Dell) en Lefthand (nu HP), die deze mogelijkheden faciliteren, lagen al langer goed in de markt bij hostingorganisaties. Meer recent was er de felle, door HP gewonnen strijd om de technologie van 3Par dat storagemanagement voor gevirtualiseerde SAN’s op grote schaal mogelijk maakt.

Netwerkvirtualisatie Op netwerkniveau wordt al veel langer gevirtualiseerd. De eerste vLAN’s dateren uit de jaren tachtig en in dat perspectief is er binnen cloud computing niets nieuws onder de zon. Waar de grootste verschuiving plaatsvindt, is de integratie tussen het fysieke netwerk en het virtuele netwerk. De Cisco Nexus1000v is hiervan een duidelijke exponent, een virtuele switch met alle functies van een fysieke. Deze ontwikkeling lost een blinde vlek op die werd veroorzaakt doordat activiteiten tussen verschillende virtuele machines op dezelfde host niet zichtbaar waren voor de netwerkbeheerder en dus ongemerkt processen konden verstoren. Dit nieuwe type routers lost dat probleem op, ook vanuit beveiligingsoogpunt. Een goed voorbeeld hiervan zijn Intrusion Detection Systems. Deze

werden in het verleden aan een fysieke datapoort gekoppeld via een agent en dan gemirrord om te kunnen uitlezen, of er werd geprobeerd ‘in te breken’ op de server. Oneigenlijke informatie-uitwisseling tussen virtuele machines op een host kon ongemerkt plaatsvinden.

Policies Binnen de nieuwe gevirtualiseerde architectuur zal databeveiliging steeds meer gestuurd worden vanuit policies die gelden voor de VM en informatie bevatten over de hardware, het netwerk en de opslag. De hypervisorlaag dient daarbij voor de inrichting van de complete omgeving en het beheer ervan. Het wordt als het ware een cloudbesturingssysteem. Deze stelling wordt onderstreept door de ambitie van de grote IT-fabrikanten om cloud-computingbouwblokken te kunnen leveren aan het datacenter voor een geïntegreerde benadering van server, netwerk en storage. Het Virtual Compute Environment (VCE), het samenwerkingsverband tussen VMware, Cisco en EMC, is hiervan het meest expliciete voorbeeld, en de acquisities van 3Com en 3Par door HP wijzen eveneens deze richting op.

Internetconnectiviteit Tot slot is het nog van belang om erop te wijzen dat de behoefte aan internetconnectiviteit in een cloud-ready datacenter navenant toeneemt. Dit heeft te maken met de huidige beweging naar hybride clouds, waarbij bedrijven een deel van hun workload in huis hebben staan en een deel (tijdelijk) in de cloud plaatsen. Wil een cloud-ready datacenter in staat zijn om snel te kunnen schalen en toepassingen over de verschillende locaties te synchroniseren, dan veroorzaakt dat een aanzienlijke bijkomende belasting. Daarop kan geanticipeerd worden door zoveel mogelijk carrierneutraal te werken. De klant moet de keuze hebben om te kiezen met welke telecomprovider hij in zee gaat, en niet gebonden zijn aan de provider die dat datacenter beheert. Vanuit datzelfde perspectief zal een lidmaatschap van de AMS-IX, een van de grootste internetknooppunten ter wereld, een voordeel zijn, aangezien daarmee tegen een vaste prijs per poort per maand eenvoudig open peering kan worden toegepast om grote hoeveelheden data te verplaatsen of te repliceren. CW

oktober 2010 - cloudworks - 11

Monitoring

Meer aandacht voor availability en performancemanagement

Beter zicht

op impact cloudapplicaties Een holistische benadering, met daarin een rol voor een open gemeenschap, moet de controle over de performance van cloudoplossingen vergroten. Dat zegt Compuware, dat zichzelf als het ‘meest complete antwoord voor user-experiencemanagement’ in de markt tracht te zetten. Door Koos Plegt, Freelance journalist

Hoewel er veel lawaai is rond cloud computing zijn er nog altijd kritische kanttekeningen te plaatsen. Veel organisaties en individuen hebben de cloud al innig omarmd, maar de ‘don’t believe the hype’-mensen wijzen nog altijd gretig naar de niet-opgeloste issues, met name op het gebied van veiligheid en controle. Toch is de opmars van cloud

Zeker nu veel IT-organisaties nog steeds worstelen om grip te krijgen op hun eigen processen, is er veel begrip op te brengen voor hun aarzelingen. Hoe kunnen ze immers de waarde van thirdpartyservices meten, of zelfs een interne transitie teweegbrengen naar een virtueel datacenter? Veel van het debat rond cloud computing ging tot nu toe

Zonder gedetailleerde informatie over foutieve domeinen is het bijna onmogelijk om deze problemen te isoleren en op te lossen computing nauwelijks meer te stoppen. Veel IT-organisaties voelen zich, vaak door kostenoverwegingen, onder druk gezet om naar de cloud te gaan. Onderzoek wijst er echter op dat de transitie naar de cloud een extra duw krijgt wanneer deze samengaat met een verregaande mate van servicemanagement.

12 - cloudworks - oktober 2010

over beveiliging. De zorgen daarover zijn ook heel goed te beargumenteren, maar een veel fundamenteler onderdeel wordt vaak over het hoofd gezien: welke impact heeft cloud computing op service level agreements (SLA’s) en andere eisen die de business stelt?

Zelfde verwachtingen Bedrijfstoepassingen die afhankelijk zijn van cloud computing moeten uiteindelijk voldoen aan dezelfde verwachtingen als het gaat om gebruikerservaringen en impact op de business als niet-gevirtualiseerde applicaties. Feitelijk is performancemanagement met inzichten in gebruikerservaringen een goede barometer voor de effectiviteit van cloudapplicaties. Enterprise Management Associaties (EMA), een toonaangevend consultancy- en onderzoeksbureau in de markt van IT- en datamanagement, interviewde een groot aantal IT-organisaties aangaande hun verwachtingen over cloudmanagement. In het onderzoek ‘The Responsible Cloud’ kwam naar voren dat 57 procent van de respondenten verwacht cloudservices via de eigen monitoring- en managementsystemen te controleren. Dit is echter wel een ‘enen’-situatie, omdat 55 procent ook verwacht alerts te krijgen van hun cloudservicesprovider. Het onderzoek liet ook zien dat 88 procent van de respondenten die in cloud computing investeren (actief of met de intentie dit te gaan doen) vertelde performance- en availabilitymanagement belangrijk of zeer belangrijk te vinden (53 procent vond het ‘zeer belangrijk’).

Meer complexiteit Helemaal ‘ongestraft’ kunnen organisaties de IT-keten niet uitbreiden buiten de firewall van de eigen organisatie. Het

oktober 2010 - cloudworks - 13

Monitoring

Column keloos vanuit gaan dat er geen reden tot zorgen is over prestaties en beschikbaarheid. Daarmee zouden we een belangrijk punt negeren: de serviceprovider is maar één deel van de keten achter de applicatie. Vanuit het perspectief van de eindgebruiker is een probleem altijd hetzelfde, waar dit ook vandaan komt (serviceprovider, datacenter, netwerk, organisatie of apparaat van de eindgebruiker zelf). Zelfs de geografische locatie kan een grote impact op de werking van een applicatie hebben, ondanks dat veel mensen denken dat communicatie via internet overal gelijktijdig plaatsvindt. Alle lampjes kunnen op ‘groen’ staan in een datacenter, terwijl gebruikers nog steeds klagen over gebrekkige prestaties. Zonder gedetailleerde infor-

voornaamste nadeel: meer complexiteit bij het managen ervan. Voorheen, toen alles nog huisde in de eigen datacenters, had de IT-afdeling immers de volledige controle over alle applicaties en data. Managers zijn zich hier terdege van bewust. Uit cijfers van marktonderzoeksbureau IDC, dat IT-professionals ondervroeg over hun voornaamste zorgen bij cloud computing, blijkt dat 88,6 procent van mening is dat cloudserviceproviders hun beloofde prestaties moeten vastleggen in service level agreements (SLA’s). Deze serviceproviders zijn vooralsnog echter zeer huiverig om zich te committeren aan specifieke SLA’s. Terecht, zo hebben providers die dit wel doen gemerkt. Zij lopen tegen veel verwarring aan over hun definities van prestaties en beschikbaarheid. We kunnen er overigens ook niet klak-

Vooral aantrekkelijk is het gegeven dat een klant bestaande monitoringsystemen kan uitbreiden in de cloud matie over foutieve domeinen, door de hele keten, is het bijna onmogelijk om deze problemen te isoleren en op te lossen.

Holistische benadering Diverse bedrijven storten zich dan ook op de markt van controle en monitoring. Een belangrijke rol hierin is weggelegd voor het bedrijf Compuware. Door de koop van Adlex in 2005 en Gomez in 2009, heeft de dienstverlener inmid-

Zes stappen naar de cloud Hoe zet je als organisatie de eerste stappen naar de cloud? Enterprise Management Associates (EMA) merkte onlangs in een white paper over cloud computing op, dat effectieve assimilatie van cloud computing vaak draait om dezelfde zes best practices. Vraag jezelf het volgende af: waarom wil ik naar de cloud? Is het om operationele kosten of kapitaaluitgaven te drukken? Om de veerkracht van de infrastructuur te vergroten of de beschikbaarheid van applicaties? Of om een effectievere ‘disaster recovery’ tot stand te brengen? Zorg ervoor dat de juiste personen in

14 - cloudworks - oktober 2010

dels een rol bemachtigd als ‘het meest complete antwoord voor user-experiencemanagement, inclusief monitoring binnen en buiten de firewall’, zoals het bedrijf het zelf graag verwoordt. Vooral aantrekkelijk is het gegeven dat een klant bestaande monitoringsystemen kan uitbreiden in de cloud. Met de applicatie Compuware Vantage brengt hij alles samen in een eenduidig dashboard waarop de service-impact van cloudapplicaties te monitoren is. Compuware legt applicaties en de infrastructuur waarin ze met elkaar samenhangen bloot, inclusief gevirtualiseerde en interne cloudstructuren. Met een realtime (of eigenlijk ‘near-realtime’ zoals het bedrijf het zelf zegt) beeld geeft dit de mogelijkheid om effectieve diagnoses

de organisatie, businesseigenaren en stakeholders, op de hoogte zijn van wat je doet en waarom je het doet. Maak ook duidelijk waarom het hen aangaat. Leg vast wat je doet zodat je passende doelen kunt opstellen. Meet je succes. Kies voor een gefaseerde adoptie van cloud-based functionaliteiten. Dit vergroot de controle en zichtbaarheid. Leg succes en falen vast en deel dit met de relevante stakeholders. Leg dan ook de doelen voor de volgende fase vast. Wees bereid om gaandeweg steeds bij te leren over cloud computing. De beste plannen worden alleen maar beter wanneer je ze na verloop van tijd moet aanpassen op basis van ervaringen.

te stellen en locaties van problemen aan te wijzen, maar ook om preventief acties te ondernemen. De oplossing zit, zo zegt Wim Rietdijk, Country Manager van Compuware Nederland, in het holistisch benaderen van volledige ecosystemen. Niet alleen betekent dit een wereldwijde blik als het gaat om schaalbaarheid en bereik, maar ook met betrekking tot geografische inzichten in hoe cloudapplicaties functioneren op verschillende geografische locaties.

CloudSleuth In april kwam Compuware met de introductie van CloudSleuth, een open gemeenschap gericht op het meten en rapporteren van de prestaties van cloudserviceproviders. Compuware doet dit met een combinatie van een internetportal waarop gebruikers informatie delen, en een suite van tools die geschikt zijn voor de verschillende cloudservices. Met behulp van het pakket aan oplossingen van Compuware moeten IT-organisaties en cloudserviceproviders informatie gaan delen die consistent is, actueel en relevant over meerdere ecosystemen. Op managementniveau wordt de controle (en daarmee de beslissingen) nauwkeuriger, zowel wat betreft het monitoren van cloud en non-cloudtoepassingen, evenals hybride systemen. CW

Bring Your Own Door Paul Zeldenthuis, Business Unit Manager Outsourcing bij Qwise

In de dagbladen duiken steeds vaker de woorden cloud computing op. En dan niet alleen op de pagina’s Techniek of Economie, maar ook op de algemene pagina’s. Wat daarbij opvalt, is dat menig redacteur zich van aanhalingstekens bedient of een cursief font uit de letterbak trekt. Alsof hij de lezer wil waarschuwen: hier gebruiken we een nieuwe term, waar je misschien nog even aan moet wennen.

We zagen dit eerder gebeuren met woorden als: ‘e-mail’, ‘internet’ of ‘browser’. Daarom weten we nu al hoe het afloopt: binnen afzienbare tijd raakt iedereen ermee vertrouwd en kunnen de aanhalingstekens in de koelkast, tot het moment dat het volgende nieuwe begrip aan onze taal wordt toegevoegd. Behalve dat het even zal duren voordat iedereen vertrouwd is met de term cloud computing, zal iedereen ook moeten wennen aan de consequenties die het heeft voor onze manier van werken en denken. Ja, zelfs voor onze manier van leven. En daar gaat net even iets meer tijd in zitten... Nieuwkomer cloud computing heeft echter één onderscheidende meevaller: je mag je eigen computer meenemen. Of zoals het in de branche heet: Bring Your Own computer. Niet langer is een medewerker aangewezen op het

toetsenbord en scherm dat door de systeembeheerder wordt opgetuigd en beheerd. Cloud computing biedt iedereen de mogelijkheid om simpelweg zijn eigen laptop of iPad in de cloud te hangen en zo toegang te krijgen tot

de slag te kunnen, lijkt een vanzelfsprekendheid. En dat is het natuurlijk ook. Impliciet. Maar het zal de acceptatie van deze ontwikkeling enorm versnellen. Medewerkers zullen eindelijk een keer niet aanhikken tegen een verandering,

‘Iedereen kan nu met z’n eigen laptop of iPad het bedrijfsnetwerk op’ bedrijfsapplicaties en -gegevens. Dat scheelt alles, want je werkt altijd vanaf je eigen hardware, je eigen vertrouwde omgeving. Jouw device, met een screensaver van je kinderen of hond, waar ook je privéadressenbestand en de foto’s van de laatste vakantie op staan. Dit vindt zowel de eindgebruiker als de systeembeheerder fijn. Dat bij cloud computing je eigen computer volstaat om privé en zakelijk aan

omdat wéér alles anders moet. Dáár hoeft dus niet of nauwelijks energie in geïnvesteerd te hoeven worden. Het kost hoogstens enige begeleiding. Dat is maar goed ook, want cloud computing is een van de weinige IT-ontwikkelingen waar de overtuigingskracht vooral ingezet moet worden om systeembeheerders en het management te overtuigen. CW

oktober 2010 - cloudworks - 15

Interview

Stiefbroertje van IT-landschap

Testomgeving in de cloud

Testen in de cloud is een fenomeen in opkomst. Niet zo vreemd, want de voordelen zijn evident: het is flexibel en operationele kosten zijn eenvoudig op te vangen. Toch is het voorzichtigheid geboden. “Veel bedrijven hebben alleen de klok horen luiden, maar weten niet waar de klepel hangt.” Door Koos Plegt, freelance journalist

Ewald Roodenrijs is Research & Development Engineer bij Sogeti en van daaruit Global Lead IBM Cloud Tester. Een hele mond vol, maar het betekent in feite dat hij als tester naar de cloud kijkt vanuit een R&D-rol, legt hij uit. Roodenrijs geldt door zijn ervaring als een expert op testgebied, wat al resulteerde in het co-auteurschap van het boek TMap NEXT® Business Driven Test Management, waarvoor hij samen met Leo

de cloud telkens de centrale factor is. “Dat kunnen tools zijn, test- en ontwikkelomgevingen en cloud-like diensten die vooral gebaseerd zijn op pay-asyou-go- en SaaS-principes.” Het belang van testen komt voort uit economische overwegingen, weet hij. “Fouten die niet in productie worden genomen, zijn goedkoper dan fouten die pas tijdens de productie boven water komen.” Hij geeft enkele voorbeelden waarin

“Bedrijven kijken vaak primair naar hun directe productieomgeving en niet daarbuiten” van der Aalst, Rob Baarda, Johan Vink en Ben Visser de pen ter hand nam. In dat boek zet hij uiteen hoe testen bestuurbaar wordt voor opdrachtgevers. Gericht testen zorgt immers voor een goede balans tussen het voorkomen van hoge kosten en verantwoording vanuit de IT-afdeling zelf. De laatste maanden is Roodenrijs bezig met het creëren van diensten waarbij

16 - cloudworks - oktober 2010

uitgebreid testen veel ellende had kunnen besparen. “Enkele jaren geleden ontplofte er een Europese ruimteraket na lancering. De oorzaak lag in een foutje in de software. Dat had voor een gering bedrag voorkomen kunnen worden; men had zich dan bovendien de imagoschade bespaard. Of neem nou een Marslander die niet werkte doordat centimeters met inches verward waren.

oktober 2010 - cloudworks - 17

Ewald Roodenrijs, Research & Development Engineer bij Sogeti.

Het testen zelf is overigens aan verandering onderhevig. “Tegenwoordig werken we volgens specificaties, waarin vastgesteld is hoe een applicatie moet werken. Op basis daarvan voeren we tests uit om te kijken of de applicatie daar wel of niet aan voldoet.” Het verschil met de vroegere tijden is dat een applicatie nu nog niet hoeft te werken voordat het de testfase ingaat, omdat testsystemen goedkoper zijn. Sogeti is, zo vertelt hij, zelf de grondlegger geweest van dit denken. Het bedrijf ontwikkelde begin jaren negentig, toen nog onder de naam IP Informatica Projectgroep, de methode TMap® (Test Management approach). “Veel methodes zijn daarvan afgekeken.”

Stiefbroertjes en -zusjes Weer een foutje van een paar miljoen.” Ook zijn er voorbeelden dichter bij huis. “Internetbankieren bijvoorbeeld. Er zijn banken geweest waar het soms weer wel, dan weer niet werkte. Zoiets tast het vertrouwen aan dat klanten in hun bank hebben.”

Voorkom dodelijke fouten “Dat zijn de economische motieven, maar soms moet een product om andere redenen echt wel goed zijn”, vervolgt Roodenrijs. “Dan kan een foutje bijvoorbeeld mensenlevens kosten. Bij de zaak waarbij in korte tijd tientallen auto’s op hol leken te slaan – enkele keren met dodelijk gevolg – zocht men in eerste instantie naar een fout in de software. Uiteindelijk bleek dit niet het geval te zijn, maar de gedachte was natuurlijk niet zo heel vreemd. Alles draait tegenwoordig immers op computers, het had dus zomaar gekund. Zo’n fout wil je er koste wat kost uithalen.” Waar het gaat om testen heeft Roodenrijs al het nodige onder zijn ogen gehad. “Soms vraag ik me af wat wij binnen Sogeti eigenlijk niet testen. Van de financiële keten tussen verschillende overheidsinstanties tot legacy-systemen van banken en mobiele applicaties. Je kunt het zo gek niet bedenken.” Wat is er zo leuk aan al dat testen? “Nou, de uitdaging is dat je iets goed wil hebben. Ik ben een pietje-precies en kwaliteitsgericht. Maar ook is het leuk om eens een fout te vinden, ook al is het natuurlijk niet de bedoeling dat die in het product zit.”

Het testen in de cloud kan wat Roodenrijs betreft ‘nog veel meer gebeuren’. Er zijn immers cloud-based applicaties, zoals Facebook, Google Docs en Salesforce.com, die nog maar weinig worden getest. Iets anders is het overhevelen van infrastructuur naar een cloudomgeving en kijken hoe dit werkt. “Ook is het een optie om er test- en ontwikkelomgevingen onder te brengen. Maar dit

onderhouden terwijl je die één of twee keer per jaar gebruikt. Als je dit in de cloud neerzet, dan zet je de omgeving aan en uit wanneer je die nodig hebt. Dit zorgt voor financiële flexibiliteit.” Een omgeving kun je prima nabootsen in een cloudomgeving, stelt Roodenrijs. “Stel dat je normaal met een server van het type X en besturingssystemen van de types Y en Z werkt, dan kun je dat maken in een cloudomgeving. Met het voordeel dat je pieken en dalen kunt opvangen.” Maar er is nog een ander voordeel: operationele uitgaven. “Stel,” zo zet Roodenrijs uiteen, “je hebt harde schijfruimte nodig. Je kunt dan een businesscase opzetten voor de aanschaf daarvan, maar je kunt het ook goedkoop uit je business halen, zonder oponthoud.”

$ATACENTER7ORKS NUOOKONLINE

Automatisering, virtualisering, standaardisering Er mogen grote voordelen kleven aan testen in de cloud, toch stelt het fenomeen ook eisen. Op beveiligingsgebied natuurlijk (“veel geopperd, en enigszins terecht”), maar ook wat betreft standaardisering van infrastructuur. Veel bedrijven hebben nog verschillende Win-

“40 procent van alle fouten is het gevolg van een verkeerde testomgeving” zijn vaak nog de stiefbroertjes en stiefzusjes van het IT-landschap, die veelal niet goed zijn onderhouden.” De oorzaak schuilt volgens hem in bedrijven die primair kijken naar hun directe productieomgeving en daarom weinig aandacht hebben voor wat daarbuiten gebeurt. “Dat is helemaal niet erg, maar vaak werkt het voor geen meter. Waarom? Als tester loop je hier tegenaan. Wist je dat 40 procent van alle fouten het gevolg is van een verkeerde testomgeving?” (Onderzoek van Gardner, red.)

Cloud testing De cloud biedt voor een tester interessante voordelen. Zo is het een grotendeels flexibele omgeving. “Het ontwikkelen van nieuwe applicaties doe je niet iedere dag, waardoor je een omgeving traditioneel 365 dagen per jaar moet

dows-versies in bedrijf, evenals oudere apparatuur waarvan wegens besparingen de levensduur is verlengd. “Zij zullen een stap moeten zetten. Om die reden is het vooral geschikt voor bedrijven die al bezig zijn met het rationaliseren van hun portfolio’s.” Momenteel lopen er bij Sogeti ‘meerdere leads’, aldus Roodenrijs, die vertelt over een performancetest die voor een klant is uitgevoerd op een schaalbare pay-per-use-server. “We kunnen niet alles verklappen, maar er is veel interesse”, stelt hij vast. Hij waakt tegelijkertijd voor te veel optimisme. “Veel bedrijven die zeggen naar de cloud te willen, hebben alleen de klok horen luiden, maar weten niet waar de klepel hangt. Automatisering, virtualisering en standaardisering moeten alle drie uitgevoerd worden. Doe je dat niet, dan zit je in de problemen.” CW

+IJKVOORALLEARTIKELENENHETLAATSTENIEUWSOP WWWDATACENTERWORKSNL %NVOORDATACENTERVIDEO´SOPWWWYOUTUBECOMUSER$ATACENTER7ORKS

18 - cloudworks - oktober 2010

Datacenter

Cloud en virtualisatie stellen hoge eisen

Transformatie van het datacenter Als datacenter verhuurt BIT al sinds de jaren negentig fysieke ruimte aan klanten voor het onderbrengen van IT-apparatuur. Mede door de opmars van cloud computing is er een verandering zichtbaar in de apparatuur die klanten bij BIT willen onderbrengen. Dat betekent ook dat het datacenter zelf aan verandering onderhevig is. Door Alex Bik, Technisch Directeur BIT

Serverapparatuur wordt steeds kleiner, denk maar aan de zogenaamde ‘pizzadozen’ en bladecenters. Maar mede doordat er meer in een rack passen, neemt het stroomverbruik niet af. Door de toepassing van virtualisatie zijn er minder fysieke servers nodig. De servers echter die overblijven, hebben veel meer te doen en verbruiken dus meer stroom. Concreet komt het erop neer dat de taken die voorheen over drie, vier of misschien wel vijf racks verdeeld waren, nu allemaal in een enkel rack worden samengevoegd. Bedrijven met een eigen serverruimte houden daardoor ruimte over. Voor commerciële datacenters is dat een ander verhaal. Een klant verwacht immers (terecht) dat alle gehuurde racks volgestapeld kunnen worden met apparatuur. Dat betekent dus meer apparatuur, meer gewicht,

20 - cloudworks - oktober 2010

meer stroomverbruik en meer koeling. En dat vraagt ook om veranderingen binnen het datacenter.

Stroomvoorziening De eerste hobbel die genomen moet worden is de stroomvoorziening. Als het om één of twee racks gaat, kun je waarschijnlijk nog wel een paar extra stopcontacten aan (laten) leggen, maar bij een datacenter gaat het om zulke

grote hoeveelheden dat de rek er al snel uit is en de hele keten zal moeten worden aangepast: een zwaardere aansluiting op het elektriciteitsnet, grotere transformatoren, grotere generatoren, grotere UPS-systemen, schakelkasten en bekabeling. En alles maal twee om eventuele storingen op te kunnen vangen. In een commercieel datacenter moet bovendien de distributie naar de racks flexibel zijn. Je weet als datacenter

tenslotte nooit wat voor een apparatuur klanten zullen gaan gebruiken. De een heeft voor zijn bladecenters een 3-fasen krachtstroomaansluiting nodig, de ander hangt zijn rack vol met pizzadozen en heeft dus juist heel veel ‘gewone’ 230V-aansluitingen nodig.

Koeling De volgende hobbel is koeling. Energie kan niet verloren gaan of uit het niets

ontstaan, wat inhoudt dat alle stroom die in een datacenter gebruikt wordt uiteindelijk wordt omgezet in warmte (eerste wet van de thermodynamica). De capaciteit van de koelinstallatie moet dus minimaal gelijk zijn aan de totale hoeveelheid gebruikte stroom, waarbij ook het eigen verbruik van de UPS-systemen en de ventilatie (wat ook al snel goed is voor 150 à 200W per m2) meegerekend moet worden. Ook voor de koelinstalla-

tie is redundantie een must. En storing aan het koelsysteem betekent ten slotte net zo goed downtime voor de servers als een storing aan de stroomvoorziening. Om al die warmte af te voeren uit de racks, zijn afgesloten koude paden een must. Er wordt zo veel warmte in zo weinig ruimte geproduceerd, dat in een volgestapeld rack de fans in de servers niet meer in staat zijn om die warmte af te

oktober 2010 - cloudworks - 21

Datacenter voeren, tenzij ze een handje geholpen worden. Door de ruimte in te delen in koude en warme paden en de koude paden volledig af te sluiten met een dak en schuifdeuren, zorgt de koude lucht die uit de vloer komt voor overdruk. Alle niet-gebruikte ruimte is afgedicht met blind panels (lege panelen) waardoor de koude lucht niet anders dan door de apparatuur heen kan. Hierdoor is de afvoer van warmte veel beter (in sommige servers scheelt dit ruim tien graden ten opzichte van niet-afgesloten gangen), het zorgt ook voor energiebesparing. Doordat de koude en warme lucht zich niet meer met elkaar vermengen is de retourlucht warmer en kan efficiënter gekoeld worden. Het is ook van belang om niet-gebruikte ruimte in de racks af te sluiten met blind panels. In een commercieel datacenter is dat een uitdaging, omdat klanten zich het belang hiervan vaak niet realiseren. Dat vergt dus de nodige voorlichting en controle.

Inzicht in stroomverbruik Alhoewel die hogere dichtheid dus wel wat technische uitdagingen met zich meebrengt, zitten er ook voordelen aan. Voor het stroomverbruik van de losse servers in het ouderwetse ‘serverhok’ op kantoor, was nooit zo veel aandacht. Logisch, want dat stroomverbruik kwam ook vrijwel nooit ten laste van het ITbudget. Door de hardware buitenshuis in een datacenter onder te brengen, is het stroomverbruik zichtbaarder, waardoor er ook meer aandacht is voor energiebesparing. Zowel door de klant (die bij de aanschaf van apparatuur eerder geneigd is om behalve naar de prijs ook naar het stroomverbruik te kijken) als voor de exploitant van het datacenter. Als het niet is om het milieu te sparen,

Datacentra

zijn van alle tijden

Afgesloten koude en warme paden zijn een must | foto: BIT] dan in ieder geval uit commerciële overwegingen. Een paar procent besparing op het stroomverbruik van de koelinstallatie, levert al gauw tienduizenden euro’s per jaar op.

Heden en verleden Ook de veranderde toepassingen stellen andere eisen aan het datacenter. In de jaren negentig was apparatuur in het BIT-datacenter uitsluitend internetgerelateerd. Klanten gebruikten het datacenter voor (web)servers om zodoende te kunnen besparen op dure dataverbindingen. Tegenwoordig wordt een groot deel van de apparatuur niet gebruikt voor internetgerelateerde zaken, maar voor interne automatisering. Een storing aan het systeem houdt meestal direct in dat er duizenden mensen niet kunnen werken. Een enorme schadepost dus. Klanten stellen daarom terecht hoge eisen aan datacenters. De IT-omgeving moet beschikbaar blijven, ook als er

Powerbars Deze door Schleifenbauer en BIT ontworpen powerbars zijn geschikt voor 32A en zijn voorzien van dertig outlets.

22 - cloudworks - oktober 2010

Column

Doordat ze per drie zijn afgezekerd, kan nooit de situatie ontstaan dat bijvoorbeeld een server die 6A nodig heeft niet meer kan worden aangesloten, terwijl op de ene 16A-groep nog 4A over is en op de andere nog 5A. Verder zijn de powerbars voorzien van een meter die het stroomverbruik meet. Deze meter is extern en door middel van een kabeltje op de powerbar aangesloten, zodat een defecte meter zonder downtime vervangen kan worden.

"Groen, security en encryptie zijn nu de sleutels"

ergens een probleem optreedt. UPSsystemen, generatoren, automatische brandbestrijding, bliksembeveiliging, redundante koelsystemen, et cetera zijn tegenwoordig de normaalste zaak van de wereld.

Cloud Voor de klant is alle techniek achter zijn cloudoplossing meestal maar vaag. Leveranciers gebruiken ‘cloud’ behalve als marketingkreet vaak ook als middel om niets te hoeven zeggen over zaken waar men liever niet over praat, zoals de kwaliteit van het netwerk, de mogelijke impact van andere gebruikers op de prestaties van het systeem, beveiliging, et cetera. Veel mensen zijn geneigd om niet al te ver door te vragen als het om clouddiensten gaat. En daar zit ‘m het gevaar. Voor je het weet, draait je IT-omgeving ergens in het buitenland, is het niet meer vooruit te branden als een andere gebruiker van ‘de cloud’ te maken heeft met seizoensdrukte, lekken geheime documenten uit (al dan niet per ongeluk) of heb je ineens behalve met Nederlandse ook met buitenlandse wetgeving rekening te houden. Zorg dus voor grip op de IT-omgeving. Blijf kritisch. Zoek uit hoe het zit met de techniek achter de oplossing. Ga op zoek naar een andere leverancier als men dat niet kan of wil vertellen. En zorg dat de hardware waar de cloud op draait in ieder geval in de EU staat, het liefst in Nederland. Kortom: prik door de hype heen en vraag je af welke afwegingen en keuzes je zou maken als het geen ‘cloud’ zou heten. CW

Door Gert Brouwer, onafhankelijk adviseur en storage architect bij Brouwer Storage Consultancy

Datacentra zijn van alle tijden, maar natuurlijk is er veel veranderd. Als middelbare scholier ging ondergetekende in het midden van de zestiger jaren met zijn broer mee naar het datacentrum van de voormalige scheepswerf van NDSM, waar hij als customer engineer service deed aan het immens grote mainframe van Control Data – een legendarisch merk dat evenals NDSM inmiddels niet meer bestaat. Van security was niet veel te merken, behalve de controle aan de poort. Vijftien jaar later was ikzelf in de IT verzeild geraakt. Als customer engineer van het legendarisch merk Memorex kwam ik in de datacentra van KLM, Shell, Akzo, Raet, RCC (tegenwoordig deel van Getronics) en Philips CNP (maakt nu deel uit van Atos Origin). In 1980 werd ik technisch verantwoordelijk voor de dagelijkse gang bij deze laatste partij. Gevolg was dat je meer aan het werk was dan thuis. Vrijwel iedere maand vond er wel een reconfiguratie plaats en om de paar maanden kwamen er mainframes bij of werden ze vervangen door snellere en krachtiger systemen. We hadden voortdurend last van defecte diskdrives

en andere storingen, wat veel werk genereerde. De hoofdcomputerruimte zat in het hart van het gebouw, omgeven door een glazen kooi. Met het aanscherpen van brand- en security-eisen werd er een brandvrije muur omheen geplaatst en kwamen er tourniquets als toegangsdeur. Ook kwamen er diverse securityzones en dit maakte het werk er niet makkelijker op. Dergelijke gebouwen waren er niet op ingericht. Door de voortdurende groei kon steeds minder apparatuur worden aangesloten op de no-breakinstallatie. En als het allemaal te warm werd, liet men water op het platte dak lopen om erger te voorkomen. Het regelen van de juiste vochtigheid zorgde nogal eens voor een uitdaging. Zo kwamen we er op een bepaald moment achter dat de luchtvochtigheid die onder de apparatuur werd ingeblazen bijna 100 procent bedroeg; het water liep letterlijk langs de kabels, met als gevolg een jaar lang ondefinieerbare storingen. Ook blussen met het sinds 2000 verboden Halon deed zijn intrede en we werden erop getraind hoe je een ‘halonexplosie’ moest overleven.

Rond 2000, de tijd van de internetbubble werden er massaal rekencentra gebouwd rond de grote steden, met name in de buurt van Amsterdam, wat natuurlijk ook verband hield met ’s werelds grootste internetknooppunt. De infrastructuur was hier niet op berekend, met als gevolg dat er onvoldoende stroom bleek te zijn voor verdere uitbreidingen – want apparatuur vraagt nu eenmaal stroom om te kunnen functioneren en voor de koeling. Toen internetbubbles en beursgangen uiteenspatten, loste het probleem zich tijdelijk op. Inmiddels lijkt de situatie op dezelfde plaatsen opnieuw uit de hand te lopen, door de groei van de laatste jaren en de nieuwe hype rondom de cloud. Het lijkt er echter op dat de hang naar groen en CO2-neutraal uitkomst gaat bieden. Afstanden spelen ook steeds minder een rol en steeds vaker lezen we over nieuwe CO2-neutrale datacentra buiten de bekende groeikernen. Groen, security, encryptie en CO2-neutraal zijn de nieuwe peilers van het huidige datacenter. CW

oktober 2010 - cloudworks - 23

‘Tijd voor een

Hosting

ict-ministerie’

Optimale veiligheid in de cloud mag geen USP zijn van hostingproviders. Het is een harde voorwaarde. De bij de Dutch Hosting Provider Association (DHPA) aangesloten hostingbedrijven hebben veiligheid dan ook hoog in het vaandel staan. De cloud is door de groei van e-commerce en data- en applicatieverkeer zo belangrijk geworden, dat veiligheid nu een zaak is van nationaal belang. Toch ontbreekt bij veel beleidsmakers de actuele kennis van de hostingsector. Is het tijd voor een ministerie van ict & internet? Door Jan Willem des Tombe, voorzitter DHPA

24 - cloudworks - oktober 2010

oktober 2010 - cloudworks - 25

Hosting Steeds meer bedrijven brengen hun data en applicaties onder in de cloud. De managed-hostingproviders (MHP’s) die deze dienst bieden, krijgen een taak die steeds grotere verantwoordelijkheden met zich meebrengt. De twintig bedrijven die zijn aangesloten bij de DHPA, zijn verantwoordelijk voor de helft van al het dataverkeer in Nederland. DHPA-leden vormen daarmee de voorhoede van de sector.

Clouddiensten Hostingbedrijven ontwikkelen zich van technologieleverancier tot dienstverlener. De ontwikkelingen op het gebied van cloud computing gaan razendsnel. Een wereldwijde groei in deze sector van meer dan 16 procent naar een omzet van bijna 70 miljard dollar in 2010 vormt het bewijs voor deze stelling. De groei van de sector wordt nog eens versterkt door de economische krimp. Clouddiensten zijn ten slotte veel kostenefficiënter dan alles zelf in huis halen. Het basisprincipe van clouddiensten is on demand beschikbaarheid van data en applicaties, en het betalen naar gebruik. De toenemende beschikbaarheid van breedband en virtualisatie maakt dat MHP’s deze diensten kunnen leveren. De zwakste schakel in de levering van clouddiensten is veiligheid. KPMG concludeert dit ook in zijn rapport ‘From Hype to Future’ uit 2010. Voor klanten is

het lastig om te bepalen welke hostingprovider zijn zaakjes op dit gebied op orde heeft. Aan de website is het niet te zien. Ga daarom eens kijken bij de hostingprovider die je al je bedrijfskritische data toevertrouwt. Pas dan weet je of je te maken hebt met een ‘echt bedrijf’ en kun je inschatten of deze partij de veiligheid en beschikbaarheid van data en ap-

wordt steeds meer op internet gepubliceerd, de impact van criminaliteit wordt groter. Daarmee is het onderwerp veiligheid meer dan ooit van belang. De leden van de DHPA investeren maximaal in veiligheid, het is cruciaal voor hun business. Veiligheid van data, internetverbindingen, netwerken, serverinfrastructuren: het zijn allemaal zaken

Nu nog zijn verschillende ict- en internettopics verspreid over verschillende ministeries plicaties kan garanderen. Beveiliging en beschikbaarheid zijn naast goed opgeleid personeel, de harde criteria waarop een bedrijf voor een MHP kiest.

Gedragscode De DHPA heeft een gedragscode opgesteld voor hostingproviders, waar ook de Notice & Takedown-procedure deel van uitmaakt. DHPA-leden verplichten zich in die gedragscode tot het ontwikkelen en hanteren van een kwalitatief hoogstaand beleid voor het handhaven van beschikbaarheid, veiligheid, vertrouwelijkheid en privacy van systemen en gegevens van hun klanten. Dit is geen gegeven, maar een continu proces. Internet is een opeenvolging van acties en reacties. Er

waar de klant zich geen zorgen over wil maken. Een goede MHP neemt die zorg uit handen. Bedrijven versturen niet alleen hun kritische data via een netwerk naar een datacenter, ook pinautomaten versturen via hetzelfde netwerk hun gegevens. Geen enkele klant wil dat zijn hostingprovider lichtzinnig omgaat met die data. Hosters moeten zorgen voor intrusion detection en maatregelen nemen tegen hacking, phishing, spoofing en DDOS-aanvallen. Dit kan door bijvoorbeeld een abuse desk en firewalls, en door de laatste software-updates te installeren. De datacenters die de hosters gebruiken, moeten zijn uitgerust met fysieke bewaking, camera’s en uitgebreide toegangscontrole.

De Dutch Hosting Provider Association (DHPA) De stichting DHPA is de vertegenwoordiger van professionele hostingproviders in Nederland, die hosting-, SaaSen cloud-computingdiensten leveren. De DHPA is een non-profitorganisatie die zich bezighoudt met de promotie van outsourcing van hosting, web- en applicatiediensten, met certificering, en met de ontwikkeling van kwalitatief hoogwaardig marktonderzoek. De organisatie ontwikkelt beleid en ondersteunt bedrijven met activiteiten op het gebied van technologie-evenementen, onderzoek, promotie en het onderhouden van zakelijke en strategische contacten. De DHPA wil de Nederlandse hostingsector verder professionaliseren door:

26 - cloudworks - oktober 2010

• De strategische waarde van de sector te versterken. • Uitwisseling van kennis en informatie tussen de aangesloten leden te bevorderen. • Op te treden als spreekbuis en aanspreekpunt voor de zakelijke markt, media, onderwijs, politiek en andere invloedrijke organisaties. Op dit moment zijn twintig managedhostingproviders aangesloten bij de DHPA. Al deze organisaties zijn gehouden aan de Code of Conduct van de DHPA. De deelnemers zijn samen verantwoordelijk voor meer dan de helft van het Nederlandse dataverkeer. De DHPA heeft verder een aantal marktrelevante bedrijven om zich heen verza-

meld, die de stichting steunen en de rol van de DHPA in deze markt bevestigen.

Keurmerk Iedereen kan een hostingbedrijf beginnen in Nederland, waardoor er wildgroei is ontstaan. Daarom is het de ambitie van de DHPA om een keurmerk voor hostingproviders te ontwikkelen. Aan dat keurmerk kunnen bedrijven zien dat ze te maken hebben met een professionele organisatie op het gebied van beschikbaarheid en veiligheid. Klanten krijgen overigens ook nu al de waarborg dat DHPA-leden hebben geïnvesteerd in mensen, middelen en veiligheid. Met een officieel keurmerk onderscheiden hostingproviders zich nog duidelijker. Een hostingprovider kan overigens eindeloos investeren in veiligheid en beschikbaarheid. Maar dat is weggegooid geld als klanten er de noodzaak niet van inzien. De klanten bepalen of ze bereid zijn te betalen voor veiligheid en dus of een hostingprovider iets terugziet van zijn investering.

Kennisachterstand Naast ontwikkelingen op het gebied van internet en beveiliging, krijgen hostingproviders vaak te maken met overheidsmaatregelen op het gebied van dataretentie en -verkeer. Meer en meer wil de overheid gegevens aftappen en de mogelijkheid hebben om zonder tussenkomst van de rechter websites uit de lucht te halen. Veel van deze maatregelen zijn bedacht door een overheid met een kennisachterstand. De maatregelen zijn vaak goed bedoeld, maar praktisch onuitvoerbaar of niet ingebed in degelijke wetgeving. De DHPA heeft zich in korte tijd ontwikkeld tot een volwaardige gesprekspartner van de overheid. De organisatie is de spreekbuis en het aanspreekpunt voor hostinggerelateerde zaken. De DHPA voorziet de overheid gevraagd en ongevraagd van advies. En dat is hard nodig, want te makkelijk legt de overheid de schuld van strafbare content bij de internetserviceproviders (ISP’s). Zo stelde demissionair minister Hirsch Ballin van Justitie onlangs voor een wetswijziging door te voeren, die het OM in staat stelt om een website zonder vorm van proces uit de lucht te halen. Een hostingprovider kan een website misschien wel op zwart zetten, maar op basis waarvan? En hoe zit het dan met de omzetderving? Een goed voorbeeld van de kracht van een georganiseerde sector en de erkenning van de DHPA, is

de implementatie van onze Notice & Takedown-procedure. Hiervoor werkte de stichting samen met het Ministerie van Justitie en de Nationale Infrastructuur Cyber Crime (NICC).

Kloof Cloud computing is een blijvertje, daar twijfelt niemand aan. Daarom vindt de DHPA dat er een coherent beleid ontwikkeld moet worden voor deze infrastructuur en de diensten daarop. Nu loopt de overheid achter de feiten aan en reageert ad hoc op incidenten in de samenleving. Die reactie is vaak niet gebaseerd op actuele kennis van de hostingsector. Hierdoor groeit de kloof tussen theorie, regelgeving, en de praktijk, het bedrijfseconomische model van hostingproviders. Staat internetcriminaliteit bijvoorbeeld wel in Den Haag op de agenda? Voor er misverstanden ontstaan: ook de DHPA erkent de noodzaak van maatregelen van de kant van de overheid. DHPA-leden zijn niet gebaat bij anarchie op internet. Dat betekent namelijk een onveilig platform en het einde van e-

Jan Willem des Tombe, voorzitter van de DHPA: “Het is tijd voor een ict-ministerie.”

Cloud computing Volgens onderzoeksbureau Gartner is cloud computing: het bieden van schaalbare en flexibele IT-mogelijkheden als een dienst aan klanten door middel van wereldwijde internettechnologie. De verwachting is dat de omzet van clouddiensten dit jaar 68,3 miljard dollar zal bedragen. Dat is een groei van 16,6 procent ten opzichte van 2009. In dat jaar was de omzet volgens Gartner 58,6 miljard. De verwachting is dat de sector tot 2014 een grote groei zal doormaken. In dat jaar zal de omzet in de sector zijn opgelopen tot 148,8 miljard dollar.

business. Alleen zijn veel overheidsmaatregelen niet of nauwelijks praktisch uitvoerbaar en wordt het lek er niet mee gedicht. Dus overheidsmaatregelen: ja, maar wel als onderdeel van een coherent beleidsplan.

Ministerie van Ict & Internet Nu nog zijn verschillende ict- en internettopics verspreid over verschillende ministeries. Een groot deel valt onder de Telecomwet en de OPTA controleert, maar ook de Ministeries van Justitie en van Binnenlandse Zaken beheren een deel. Daarom pleit de DPHA voor één Ministerie van Ict & Internet. Toen de snelwegen en waterwegen belangrijk werden voor de Nederlandse economie, werd het Ministerie van Verkeer & Waterstaat opgericht. Ook Europa ziet het belang in van gericht beleid op dit gebied. Neelie Kroes, oud-minister van Verkeer & Waterstaat, is als Europees Commissaris belast met de portefeuille Digitale Agenda. Zo’n ministerie hoeft wellicht niet eens in de vorm van een fysiek persoon met een kantoor. Het kan ook, geheel in de geest van internet, een virtuele entiteit zijn of een community. Een Ministerie van Ict & Internet moet in de eerste plaats een plek zijn waar kennis en kunde samenkomen. Een plaats waar ict-issues besproken worden, zodat we bouwen aan een veilig en goed georganiseerd internet. Zoals gezegd heeft de hostingsector alle belang bij het aanpakken van internetcriminaliteit. Maar laten we dat doen op basis van goed doordacht beleid. CW

oktober 2010 - cloudworks - 27

Hosting

Gebaseerd op Red Hat Enterprise Virtualization

Oxilion lanceert

virtueel datacentrum De in Enschede gevestigde hostingprovider Oxilion biedt sinds enkele maanden een nieuwe dienst in de vorm van een virtueel datacentrum. Hiermee kunnen klanten via een webportaal zelf hun ict-infrastructuur inrichten en beheren. Servers, RAM of opslagcapaciteit toevoegen is een kwestie geworden van een vinkje plaatsen, waarmee de belofte van infrastructure as a service (IaaS) eindelijk is ingelost. CloudWorks sprak met Henk Jan Hogebrug van Oxilion over deze nieuwe dienst. Door Paul Matthijsse, freelance journalist

De naam Oxilion mag niet iedereen even bekend in de oren klinken, maar dat komt omdat die naam nog maar een jaar bestaat. Oxilion is namelijk sinds vorig jaar de nieuwe naam van JR Online, dat al sinds 2000 internetgerelateerde diensten levert aan bedrijven in het hele land. Oxilion richt zich op vier gebieden: internetdiensten, datacenterdiensten, opslag en connectiviteit. Hierbij wordt nauw samengewerkt met partners als

opnieuw, VMware-technologie. Met de nieuwe dienst van Oxilion, het virtuele datacenter, krijgen klanten de mogelijkheid om zelf een cloud in te richten en te beheren – en dat eenvoudiger dan ooit, zoals verderop zal blijken. De nieuwe dienst is gebaseerd op Red Hat Enterprise Virtualization (RHEV), een commerciële uitvoering van het opensourceproduct KVM (Kernel-based Virtual Machine). Red Hat, vooral bekend

Virtualisatie is zo eenvoudig dat een kind de was kan doen VMware, Microsoft, Dell, Citrix XenEnterprise, HP en Red Hat. Het bedrijf heeft naar eigen zeggen meer dan 7.000 klanten, waaronder Rijkswaterstaat, NS, Belastingdienst en ING Bank.

van z’n Red Hat Enterprise Linux (RHEL), kreeg deze technologie in 2008 in huis door de overname van het Israëlische bedrijf Qumranet.

Eigen cloud inrichten

Henk Jan Hogebrug, salesmanager van Oxilion, vertelt waarom voor de Red Hat-oplossing is gekozen. “We zochten al langer naar een mogelijkheid om onze klanten de gelegenheid te bieden

Wat datacentrumdiensten betreft biedt Oxilion al een uitwijkservice voor VMware-omgevingen, beveiligde rackspace en een beheerde cloud op basis van,

28 - cloudworks - oktober 2010

Kostenplaatje

helemaal zelf een ict-infrastructuur in te richten. Met virtualisatietechnieken kan dat, maar het probleem was dat de bedrijven die deze technologie leveren ons verplichtten om te rapporteren over het totale aantal in gebruik zijnde virtuele machines. Dit uiteraard met het oog op licenties. Afgezien van het feit dat je zo de flexibiliteit verliest waar we nu juist naar op zoek waren, leverde dit ook prohibitieve kostenplaatjes op. Zo zijn we uiteindelijk bij Red Hat terechtgekomen, want de Red Hat-oplossing werkt volgens een licentievrij abonnementsmodel op basis van supportsubscriptie. Dit betekent dat onze klanten nu de vrijheid hebben om via ons webportaal onbeperkt virtuele machines aan te maken of weer te verwijderen, al naar gelang hun capaciteitseisen. En hiermee hebben we ons doel bereikt: de klant heeft een flexibele, veilige en betaalbare infrastructuur en wij zorgen voor de rest: hardware, connectiviteit, storage en beveiliging. Dit is dus een complete IaaS-propositie. De klant heeft er na installatie in principe geen omkijken meer naar, behalve als hij processoren, opslagruimte of RAM-geheugen wil bijprikken of verminderen.”

In de praktijk Hoe eenvoudig het is om met dit virtuele datacenter van Oxilion een ictomgeving op te zetten, blijkt wel uit de volgende rondgang. Een klant logt in op het portal van Oxilion en komt daarna terecht op het hoofdscherm van het virtuele datacentrum. Door op de knop ‘Servers’ te drukken verschijnt de pagina met het aantal geïnstalleerde virtuele servers. Hier kan ook een nieuwe virtuele machine worden aangemaakt, waarbij de gebruiker de keuze heeft uit soort besturingssysteem, hoeveelheid geheugen, aantal processorkernen (cores, maximaal zestien) en het aantal sockets waarover de cores verdeeld moeten worden. Dit laatste is van belang in verband met licentiekosten van bepaalde besturingssystemen en applicaties. Het moge duidelijk zijn dat binnen deze Red Hat-omgeving uiteraard ook commerciële besturingssystemen en software geïnstalleerd kunnen worden. Is dat gedaan, dan kunnen de schijven worden aangekoppeld: soort, interface en bootable ja/nee. Vervolgens kan de netwerkinterface worden gekozen. Standaard wordt het virtuele datacenter

opgeleverd met twee netwerkinterfaces: een voor een virtueel lokaal netwerk en een voor internet. Via de LAN-interface kunnen alle virtuele machines die binnen een account zijn aangemaakt onderling communiceren, uiteraard afgeschermd. Als dit achter de rug is, is het tijd om het besturingssysteem zelf te installeren vanaf een iso-bestand. Dat duurt natuurlijk even en daarna kunnen de gebruikers worden aangemaakt. Per gebruiker kan hierbij worden aangegeven hoeveel RAM-geheugen en schijfruimte moeten worden gereserveerd. Is deze procedure eenmaal in zijn geheel doorlopen, dan heeft de klant dus zomaar één of meer virtuele servers die met een druk op de knop zwaarder of lichter kunnen worden gemaakt. Virtualisatietechnologie is inmiddels zo ver gevorderd dat een kind letterlijk de was kan doen, respectievelijk een virtueel datacentrum kan inrichten.

Snel werken Hogebrug: “De implementatie van deze virtuele datacenterdienst is heel snel verlopen. Afgelopen december hadden we ons idee op papier uitgewerkt en in juni

dit jaar zijn we live gegaan! De eigenlijke ontwikkeling heeft zelfs maar tien weken geduurd. Toen we ons plan voorlegden aan Red Hat zagen ze daar wel brood in en hebben ons toen geholpen om de API te ontwikkelen tussen RHEV en ons datacentrum. Dit uiteraard ook met het oogmerk om hun eigen marktaandeel in dit virtuele segment uit te breiden. Red Hat heeft zich daarnaast met de infrastructuur bemoeid. We hebben een stel nieuwe Dell-servers neergezet met elk 144 GB RAM en wat storage-units van Dell/EqualLogic en HP Lefthand. Het voordeel van Red Hat is dat het een heel platte organisatie is, waardoor je snel kunt doorschakelen naar de juiste mensen.”

Klanten Sinds de dienst actief is, heeft Oxilion al zo’n tweehonderd servers verkocht, aldus Hogebrug. “Het klantenbestand is heel divers. Op dit moment hebben we klanten uit de financieel-juridische hoek, een paar webshops en een ministerie. Dat maakt meteen al duidelijk dat de dienst geschikt is voor elk soort organisatie. We verkopen dit op wholesale-

oktober 2010 - cloudworks - 29

Hosting

CLOUD COMPUTING?

basis, met een minimumafname van 20 GB RAM. Dat kan in delen worden afgenomen, zodat je kunt beginnen met 10 GB. Klanten hebben dan zes maanden de tijd om uit te groeien naar 20 GB. Daarnaast huren ze aantallen CPU’s en cores en terabyteblokken aan opslag. Een van de voordelen van Red Hat Enterprise Virtualization is dat de prijs per GB RAM een stuk lager uitvalt dan wanneer je concurrerende producten zou gebruiken. Als we ons virtuele datacentrum op basis van VMware inrichten, kunnen we dat aanbieden voor 37,50 euro per GB RAM. Met de RHEV-oplossing is dat slechts 17,50 euro per GB RAM, dus dat is een aanzienlijk verschil. Het is waar dat VMware met z’n technologie nog ietsjes voorloopt op Red Hat, maar niettemin is RHEV een geweldig product! Klanten hebben hiermee dus ook alle voordelen van cloudtechnologie: geen initiële investeringen in hardware en een pay-asyou-goprijsmodel.”

Redundant Het datacentrum van Oxilion in Enschede is ondergebracht bij Equinix in dezelfde plaats en daarnaast verbonden

SIMPLE IF YOU KNOWHOW_ � met verschillende Equinix-dc’s in het land, waaronder Zwolle en Amsterdam. Ook loopt er een lijn naar een datacentrum in het Duitse Munster. Momenteel werkt Oxilion aan de inrichting van een nieuw datacentrum in Hengelo, dat volledig bestemd is voor de nieuwe RHEV-dienst. Vanaf september dit jaar gaat er getest worden en volgens de huidige planning moet die site in januari 2011 live gaan. Hogebrug: “Op dat moment beschikken we dus over twee geografisch gescheiden locaties voor

de RHEV-dienst, zodat eventuele lokale storingen zoals grootschalige en langdurige stroomuitval geen invloed hebben op het functioneren van het virtuele datacentrum. Enschede en Hengelo verbinden we met een 10 GB-glasvezellijn en door de korte geografische afstand – we hebben doelbewust voor Hengelo gekozen – blijft de latency zeer beperkt. Dan beschikken onze klanten dus over een heuse redundante private cloud.” CW

� �

Bedrijfszekere, geavanceerde IT-faciliteiten Geheel op maat Tegen vaste, lage kosten per gebruiker

Qwise maakt Cloud Computing praktisch werkbaar voor elke organisatie. Op voorhand investeren in betrouwbare en op maat gemaakte IT-faciliteiten hoeft dus niet meer. Wees verzekerd van een omgeving die altijd en overal beschikbaar is. Op maat ingericht om uw bedrijfsproces zo optimaal mogelijk te laten verlopen.

Lees onze succesverhalen op Snel volwassen Dit verhaal vormt een mooie illustratie van de enorme snelheid waarmee de virtualisatietechnologie volwassen is geworden. Gepruts met een programma als Gemu om de eerste virtuele machines te draaien, liggen nog maar een paar jaar achter ons. Later het ‘gehack’ van de VMware Player om eigen iso’s te draaien in plaats van de iso’s die VMware zelf gratis aanbood. Vervolgens schoten programma’s als VirtualBox

van het Duitse Innotek (later opgekocht door Sun Microsystems, dat zelf weer werd opgeslokt door Oracle), Parallels en Microsoft Hyper-V uit de grond, terwijl VMware met z’n verschillende virtualisatieoplossingen de markt bleef aanvoeren en doorontwikkelen. Maar dat ook een kleinere speler als Red Hat een aardig partijtje op de virtuele trompet kan meeblazen, is wel duidelijk geworden.

www.qwise.nl/cloud.

Het inrichten door gebruikers van een eigen ict-omgeving in een virtueel datacentrum, is letterlijk kinderspel geworden. Daarmee is de belofte waar in de markt al jaren over gepraat wordt, eindelijk werkelijkheid geworden. Infrastructuur als een dienst – of IT uit de muur, zoals het ook wel genoemd wordt – is tegenwoordig als water uit de kraan.

www.qwise.nl 30 - cloudworks - oktober 2010

�

[email protected]

Security

Cybercrime bestrijden met cloud-based security Nieuwe technologische ontwikkelingen noodzaken bedrijven hun securitybeleid kritisch tegen het licht te houden. Web 2.0 bijvoorbeeld biedt ongekende mogelijkheden voor gebruikers, maar ook voor cybercriminelen. Aanvallen via het web stijgen in aantal en worden geraffineerder. Marco Weeber, Regional Manager van WatchGuard, beschrijft welke cybergevaren ons bedreigen en hoe cloud-based security daar oplossingen voor biedt. Door Henk Groenendijk, freelance journalist

‘Lekken gezocht: hoge beloning’, stond er op 20 maart van dit jaar op de voorpagina van NRC Handelsblad. Het artikel beschrijft hoe op internet illegaal wordt gehandeld in gereedschappen waarmee cybercriminelen trachten in te breken in systemen. Het waardevolst is informatie over ‘zero-day explots’: lekken die nog door niemand zijn opgemerkt en waar een potentieel slachtoffer zich dus ook nog niet tegen heeft beschermd. Hoe sneller die informatie

wel duidelijk dat cybercriminelen steeds beter worden ‘beloond’. Beveiligingsexperts schatten de prijs van het softwarelek via welk Chinese hackers in december 2009 Google wisten te hacken, op 40.000 dollar. Het zijn schattingen, maar dat er grof geld omgaat, staat vast. Met name het via ‘social engineering’ in kaart brengen van het ‘digitale gedrag’ van personen betaalt goed. Dat laatste wordt door nieuwe technologie steeds eenvoudiger.

De digitale onderwereld is sterk in opkomst daarover in verkeerde handen komt, hoe groter de kans op succes voor cybercriminelen. “Precies daar schuilt het gevaar van de nieuwe digitale wereld”, zegt Marco Weeber. Aan dit nieuwe gevaar liggen twee belangrijke oorzaken ten grondslag: nieuwe technologie en geld. Om met die laatste te beginnen: hoewel de ‘digitale onderwereld’ allerminst transparant is, is

32 - cloudworks - oktober 2010

Weeber: “De snelle verspreiding van web 2.0 in combinatie met de enorme toename van spam via e-mail en de steeds geavanceerdere technieken voor social engineering, maken het relatief makkelijk om malware als webbased infections, botnets en spyware, of combinaties hiervan te verspreiden. Dat maakt web 2.0 voor cybercriminelen een ideaal platform voor een scala aan illegale ac-

ties.¹ Vorig jaar verliep zelfs 21 procent van alle geregistreerde hackingincidenten via web 2.0-toepassingen.² Het gevaar van deze nieuwe aanvallen is dat ze ook vanuit vertrouwde omgevingen komen. Webcontent van bonafide partijen kan embedded malware bevatten. Hetzelfde geldt voor e-mail van bekende afzenders.”

Hoofdrol voor browser In dit complex van bedreigingen is de steeds prominentere rol van de browser een belangrijk element. Bij vrijwel elke organisatie wordt de browser steeds meer een platform om applicaties te faciliteren. “Wie een beetje handig is, heeft daardoor via de browser toegang tot allerlei informatie. Waar bedrijven voorheen vooral via e-mail geïnfecteerd

werden met malware, richten cybercriminelen zich nu steeds meer op de browser. E-mail, instant messaging, en niet in de laatste plaats een scala aan activiteiten op het terrein van e-commerce maken de browser steeds interessanter voor het lanceren van allerlei aanvallen. Er bestaan inmiddels hackertools die de browser permanent in de gaten houden en registreren welke acties zich afspelen. Daarmee is redelijk makkelijk een terugkerend patroon te ontdekken zoals het dagelijks op vaste tijden inloggen op een website. Het is een kwestie van tijd om uit dat soort acties patronen te destilleren, zoals het veranderen van keywords. Daarmee is de browser niet langer alleen een venster op de digitale wereld, maar ook een entree vanuit de buitenwereld naar het interne netwerk,

zowel legaal als illegaal.” Dat gevaar is groter dan menigeen zich realiseert, omdat aanvallen via het web makkelijk ‘undercover’ kunnen worden uitgevoerd. Bovendien vergt het voor hackers nauwelijks enige inspanning om van één bedreiging duizenden varianten te maken. “Tegelijkertijd zien we dat botnets vaak gebruikmaken van nieuwe technieken als Fast Flux DNS voor het creëren van dynamische domeinen, waardoor sites die malware verspreiden weken of zelfs maanden actief kunnen zijn”, zegt Marco Weeber. Tot slot speelt ook de ongeremde groei van het wereldwijde web een belangrijke rol. Het aantal webadressen stijgt onverminderd en daarmee krijgen digitale oplichters een steeds groter werkterrein. Kaspersky lab, wereldwijd de grootste

leverancier van antivirustoepassingen, registreerde vorig jaar 33,9 miljoen verspreiders van malware, waarvan bijna de helft uit nieuwe sites bestond.³ Wie zich realiseert dat het aantal geregistreerde domeinen in september vorig jaar met 184 miljoen groeide (bron: VeriSign) beseft ook dat het aantal dubieuze sites met dezelfde snelheid toeneemt.

Bedreiging en oplossing De grote vraag is hoe men deze groeiende bedreiging het hoofd kan bieden. Marco Weeber zegt dat één ding duidelijk is: gebruikers de toegang tot het web ontzeggen of beperkingen opleggen, is geen optie. De meeste organisaties willen de voordelen van het web ten volle benutten, en rigide beveiligingsvoorschriften passen daar niet in. Inter-

oktober 2010 - cloudworks - 33

Security net heeft te veel te bieden om er niet actief mee bezig te zijn. Om nog maar te zwijgen van de opkomst van cloud computing, waarbij bedrijven steeds meer diensten als service via het web zullen afnemen. Curieus genoeg speelt het web met al zijn bedreigingen, in combinatie met cloud computing ook een belangrijke rol in het bestrijden van moderne cybercriminelen. De crux van ‘cloud based security’ is dat er binnen de cloud een permanente uitwisseling van informatie over activiteiten van cybercriminelen plaatsvindt. “Zodra nieuwe malware zich via internet verspreidt en bedrijfsnetwerken tracht te infecteren, wisselen diezelfde bedrijfsnetwerken informatie over die aanvallen uit en houden elkaar daarmee middels cloud-based securitytechnologie up-to-date. Cruciaal daarin zijn de nieuwe ‘reputation services’: technieken waarmee de ‘black lists’ actueel worden gehouden. Omdat dit updaten zich binnen de cloud autonoom afspeelt en een continu proces is, beschouwen analisten cloud-based security op dit moment als de enige praktische mogelijkheid om gelijke tred te houden met de voortdurend veranderende bedreigingen uit cyberspace, zonder dat de kosten voor security buitenproportioneel op het ITbudget drukken.”

ficeren. Ze worden sinds 1990 gebruikt en hun belangrijkste rol is om malware ‘bij de poort’ te onderscheppen. Reputation services baseerden zich aanvankelijk op ‘DNS blacklists’ (DNSBL), lijsten waarop alle webadressen die spam verspreidden, werden bijgehouden. Alle verkeer afkomstig van deze IP’s werd eenvoudigweg tegengehouden. Inmiddels is malware echter doorgedrongen in domeinen die als vertrouwd zijn aangemerkt. De eerste generatie reputation services maakt echter geen onderscheid tussen legitieme domeinen en spamdomeinen en is daardoor steeds minder effectief. Als vuistregel geldt nu dat deze producten zo’n 50 tot 80 procent van de probleem-IP’s identificeert en berichten daarvan onderschept.

Nieuwe techniek “We zullen het moeten hebben van de derde generatie reputation services, waarvan de eerste varianten nu op de markt komen. Deze next generation reputation services combineren de DNSBL en volumeanalyses met gedragsanalyse, contentinspectie, en het detecteren van ‘feedback loops’. Deze combinatie van methoden verhoogt de effectiviteit aanzienlijk. Volgens sommige experts ligt daarmee een catchrate van 98 procent binnen handbereik.”

Cloud computing De nieuwe generatie reputation services kan alleen in combinatie met cloud computing effectief zijn, omdat binnen de cloud permanent informatie wordt gedeeld. Dat gaat om de combinatie van statistische data van securitysyste-

Oude techniek Reputation services, de naam zegt het al, zijn technieken die de herkomst van verkeer op het web checken en classi-

Think Passport Scan

Weeber legt uit dat de volgende generatie, waartoe de meeste huidige reputation services behoren, ‘kijkt’ naar zowel de DNSBL als naar het volume dat van een IP-adres afkomstig is. Hoge volumes wijzen vaak op het verspreiden van malware. Deze dubbelcheck verhoogde de effectiviteit van de tweede generatie reputation services aanvankelijk fors, maar het onderscheppingspercentage ligt nu op 70 à 80 procent en is dalende. Met de explosief stijgende hoeveelheid webverkeer, wat impliceert dat ook de hoeveelheid malafide berichten stijgt, is zo’n onderscheppingspercentage niet meer afdoende.

Think Airport Metal Detector Security Scan

Think Airport Biothermal Body Xray Scanners

50% - 80% Effective

70% - 80% Effective

93% - 98.3% Effective

Assign reputation scores based on

Assign reputation scores based on

Assign reputation scores based on

• DNS Blacklisting (DNS BL) Only

• DNS BL • Volume

• DNS BL • Volume • Content Inspection • Behavioral Analysis

Early Services: Monitoring

Most Current Services: IP reputation

Next-Generation: Behavioral Analysis

Figuur 1: De eerste generatie services zijn te vergelijken met een standaardpaspoortcontrole waarbij alleen naar het verleden wordt gekeken. De meeste huidige reputation services lijken op metaaldetectoren bij luchthavens. Beter dan alleen paspoortcontrole maar niet waterdicht. Reputation services van de toekomst bieden naast paspoortcontrole en metaaldetectie ook biometrische identificatie, bodyscans en gedragsanalyse met camera’s.

34 - cloudworks - oktober 2010

men van actieve gebruikers, third-party DNSBL’s, plus een veelheid aan informatie uit bekende en onbekende bronnen. Door deze techniek wordt elk bericht ‘doorgelicht’ op mogelijke embedded links, headers en inhoud van de content, mogelijk actieve malware, spyware en crimeware. Er wordt gescand op spamkarakteristieken, op URL-filtering en op het gedragspatroon van de IP van waar verbinding wordt gemaakt. “Next generation reputation services verzamelen deze informatie onafgebroken, analyseren de data en updaten zichzelf, terwijl ze onderwijl continu en realtime bezig zijn nieuwe bedreigingen te inventariseren. Cruciaal in dit samenspel is dat de leverancier van cloud-securityoplossingen de stroom van beveiligingsupdates via het eigen netwerk naar zijn klanten distribueert, zodat er werkelijk sprake is van dynamische beveiliging”, aldus Weeber. “De kracht van cloud-based security ligt in het realtime combineren van informatie uit duizenden systemen verenigd in de cloud, wat leidt tot een permanent updaten van beveiliging. Het resultaat daarvan is dat vrijwel elke bedreiging, waaronder ‘denial of service’-aanvallen en ‘spammer probing’ al verdampen bij de voordeur. Een belangrijk voordeel van dit ‘afvangen bij de poort’ is dat overbelasting van het interne netwerk wordt voorkomen. Minstens zo belang-

Catchrate Aangezien de score van de reputation service doorslaggevend is voor het al dan niet accepteren van e-mail, wordt bij de next generation reputation services de nadruk gelegd op het optimaliseren van wat wordt aangeduid als de ‘catchrate’. Next generation reputation services kunnen informatie uit meer dan een miljard bronnen verzamelen, zelfs uit beveiligde HTTPS-verbindingen (port 443-connections). Ze detecteren ook synchronisaties van derden zoals ‘spamhaus’ en Spam and Open Relay Blocking System, de SORBS en ‘honeypots’, om er een paar te noemen. Daardoor komen ze op een veel hogere ‘catchrate’ dan hun voorgangers. En catchrate telt! Neem een organisatie die twee miljoen e-mails per maand ontvangt. Uitgaande van een voorzichtige schatting kan worden gesteld dat grofweg zo’n 20 procent, 400.000 berichten dus, onge-

rijk is dat cloud-based security gelijke tred houdt met de explosieve groei van het netwerkverkeer.” CW The Register, Adobe Flash attack vector exploits insecure web design, November 13, 2009. http://www.theregister. co.uk/2009/11/13/adobe_flash_wallop/. 1

wenst is. Traditionele DNS Blacklisting zou daar zo’n 50 tot 80 procent van ondervangen. Dat betekent dat er tussen de 80.000 en 200.000 verdachte berichten op het interne netwerk toegelaten zouden worden. Zelfs als de volgende verdedigingslinie, die de IP-trafficvolumes analyseert, nog eens 75 procent ondervangt, komen er nog altijd 20.000 tot 50.000 ongewenste berichten je bedrijf binnen. Het merendeel daarvan zal weliswaar door de point-securitysystemen worden geanalyseerd en tegengehouden, maar dat belast zowel de systemen als het netwerk. Next generation reputation services met een catchrate van meer dan 98 procent zullen hooguit 8.000 verdachte berichten doorlaten. Dat legt navenant minder beslag op de interne securityfaciliteiten, en daarmee op de systemen en de netwerkcapaciteit.

Secure Enterprise 2.0 Forum, Web 2.0 Hacking Incidents on the Rise in Q1 2009, May 5, 2009. http://www.secureenterprise20.org/node/39, www.watchguard.com page 2. 3 Kaspersky Lab, ‘Cyberthreat Landscape 2009: Outcomes, Trends and Forecasts’, Moscow, January 28, 2010. 2

Cloud-based security in de praktijk Stel dat vanuit een niet-vertrouwd emailadres contact wordt gelegd met een bedrijf dat diverse vestigingen heeft. Zodra het berichtenverkeer van dit adres zich aandient, wordt het door de reputationservice als ‘onbekend’ geïdentificeerd en geblokkeerd. Berichten van vertrouwde adressen worden doorgelaten en komen via het interne netwerk bij het systeem van de geadresseerde. Daar komt de point security, de beveiligingssystemen van de betreffende pc, in actie en analyseert zowel het bericht, de inhoud ervan en de afzender. Er kan immers embedded malware aanwezig zijn. Zodra deze point security onregelmatigheden of spam signaleert, wordt de content geblokkeerd. Tegelijkertijd rapporteert de point security zijn bevindingen terug aan de reputationservice die op zijn beurt de infor-

matie direct over het interne netwerk verspreid. Dus ook naar de systemen in de andere vestigingen van het bedrijf. Daarmee zijn alle reputation services en point-securitysystemen van het bedrijf geüpdatet om ‘verdachte’ content te onderscheppen. Parallel aan deze actie analyseert de reputation service zowel de afzender van het IP-adres, het domein waar het IP-adres uit voortkomt, als de reputatie van het IP-adres zelf. Op basis van deze bevindingen stuurt de reputationservice een ‘reputation score’ naar het point-securitysysteem van de interne pc die ‘alarm sloeg’. Afhankelijk van het niveau van beveiliging dat door de gebruiker is ingesteld, wordt daar bepaald of het systeem van de eindgebruiker toestaat de verbinding te leggen, of dit juist zal weigeren. Ook die informatie

wordt uiteraard weer teruggekoppeld aan de reputationservice en de andere point-securitysystemen in het netwerk. Gedurende de interactie tussen het gebruikerssysteem en de reputationservice wordt vanuit diezelfde reputationservice ook contact gelegd met verwante beveiligingssystemen in ‘de cloud’. Enerzijds om daar de informatie over de gesignaleerde bedreiging te delen met andere systemen, maar ook om te ‘vragen’ naar de ervaring van andere reputationservices met mogelijke bedreigingen vanuit dat specifieke IPadres of naar nieuwe bedreigingen. Het grote voordeel daarvan is dat er extern wordt gecheckt of een bericht mogelijk verdacht is. Daardoor hoeven de interne beveiligingssystemen veel minder data te analyseren, wat weer tot minder belasting van het interne netwerk leidt.

oktober 2010 - cloudworks - 35

Column

IT is topsport

Cloud Works

Nu ook online!

"Bedrijven hoeven niet meer te investeren in kennis en hardware"

Door Stephan Bosman, directeur/eigenaar van Neomax

Als IT-manager wordt er veel van je geëist. Gebruikers verwachten bijvoorbeeld dat hun apparatuur altijd werkt, een prestatie van 100 procent. Er heerst vaak onbegrip als dit niet gehaald wordt. Maar hoe ga je dit gewenste niveau bereiken? Eigenlijk moet je jezelf vergelijken met een topsporter. Daar gelden dezelfde verwachtingen voor; het publiek rekent altijd op een topprestatie. Om daaraan te voldoen moeten de juiste voorwaarden worden geschapen. Kijk bijvoorbeeld naar golf. De kracht van een goede golfer is dat hij iedere bal hetzelfde slaat. De club die hij hierbij gebruikt, is van invloed op de afstand van zijn slag. De keuze van de club is dus een belangrijke voorwaarde, want bij een goede slag met de verkeerde club wordt het gewenste resultaat niet behaald. De tooling van de golfer bepaalt dus voor een groot deel zijn succes. Dit geldt ook in de IT: de keuze

36 - cloudworks - oktober 2010

voor de juiste tooling is essentieel. Niet alleen de harde eisen die aan de tooling gesteld worden, ook de zachte factoren vormen een belangrijk onderdeel van het bereiken van succes. Net als bij onze golfer. Naast zijn techniek zijn er andere voorwaarden om de golfer optimaal te laten presteren. Zijn shirt-, materiaal- en/of baansponsor voorzien hem in de middelen die hij nodig heeft om zijn sport uit te oefenen. Daarnaast heeft hij (wellicht verschillende) trainers en een caddy die met hem sparren en hem adviseren. Deze samenwerking is alleen succesvol als de golfer volledig vertrouwen heeft in deze middelen en mensen. De rust die dit de golfer biedt, zorgt ervoor dat hij optimaal kan presteren. Ook voor de IT-manager is vertrouwen in zijn leveranciers een voorwaarde voor een optimale prestatie. De snelle technologische ontwikkelingen maken het

lastig voor IT-afdelingen om hun kennis op peil te houden. Door applicaties in de cloud onder te brengen, hoeven bedrijven niet meer te investeren in kennis en hardware, en betalen zij middels een ‘pay as you go’-model voor de infrastructuur. Hiermee kunnen organisaties vele tientallen euro’s per werkplek per jaar besparen en daarvoor krijgen ze meer functionaliteit, een hogere beschikbaarheid en meer datacapaciteit terug. Natuurlijk is dit alleen succesvol als de IT-manager 100 procent vertrouwen heeft in de kennis en kunde van zijn leveranciers en hun middelen om de omgeving optimaal te laten presteren. Heeft u dit gevoel bij uw cloudleverancier? Ik hoop het wel, want dan bereikt u de slagkracht, efficiëntie en accuratesse die nodig zijn voor een optimale prestatie. U kunt zich dan met recht een topsporter noemen. CW

Kijk voor alle artikelen en het laatste nieuws op:

www.cloudworks.nu

SaaS

Stappenplan naar de cloud (deel 2)

In deel 1 van het artikel ‘Stappenplan naar de cloud’ – zie CloudWorks nummer 3 – keken we naar een aantal functionele aspecten van het ontwikkelen in de cloud. In dit tweede deel staan we stil bij een aantal technische aspecten bij het ontwikkelen van applicaties die eenvoudig als SaaS-dienst geleverd kunnen worden. Door Jan Aleman, CEO van Servoy

Het ontwikkelen van applicaties die als een dienst afgenomen worden, heeft veel overeenkomsten met het ontwikkelen van grote applicaties. De applicatie moet zo zijn opgezet dat veel gebruikers met verschillende rollen en verschillend gebruik tegelijkertijd in de applicatie

actief kunnen zijn. Een van de aspecten waar men mee te maken krijgt in een multi-tenant omgeving, is dat sommige data voor iedereen hetzelfde is en andere data niet. De data die voor iedereen hetzelfde is, kan opgeslagen worden in zogenaamde ‘systeemtabellen’. Tabellen met landcodes zijn een goed voorbeeld van een systeemtabel: ze zijn voor iedereen hetzelfde. Systeemtabellen zijn over het algemeen alleen te wijzigen door de leverancier van de SaaS-dienst.

Normaliseren en denormaliseren

Jasper Reports, een open-source reportingtool, levert krachtige en uitgebreide reportingfunctionaliteit en is uitstekend te intergreren in cloudapplicaties.

38 - cloudworks - oktober 2010

Als je je applicatietabellen volgens het boekje normaliseert, zou je met één tot drie tabellen (afhankelijk van welke theorie je volgt) een volledige applicatie kunnen draaien. Dat is dan wel volgens het boekje maar niet erg praktisch in het dagelijks gebruik. Ga daarom niet te ver met normaliseren en hou het praktisch. Bijvoorbeeld: sla een straatnaam en huisnummer niet op in een separate tabel in een CRM-systeem, maar doe dit gewoon in de adrestabel.

Reporting Een zeer belangrijk onderdeel van de applicatie zijn de rapporten die ermee meegeleverd worden. Er zijn feitelijk drie opties: • Geen reportingtool meeleveren Met deze keuze ben je het snelste klaar maar zul je in salestrajecten op meer afwijzingen moeten rekenen omdat in vrijwel alle selectietrajecten er vanuit wordt gegaan dat degelijke reporting bij de applicatie inbegrepen zit. • Een eigen reportingtool ontwikkelen Hiermee houd je de meeste controle maar creëer je ook een hoop werk voor je ontwikkelteam. In de meeste gevallen kost het enorm veel tijd om een eigen reporting engine te ontwikkelen en het is – uitzonderingen daargelaten – meestal geen goed idee.

• Een standaardreporttool meeleveren Dit is de meest gangbare keuze. Kies voor een tool die past bij je doelgroep, zowel qua licentieprijs (er zijn gratis tot heel dure opties), als qua functionaliteit, schaalbaarheid en gebruikersgemak.

‘KISS’ ‘Keep It Simple, Stupid’, is een goed advies. Vrij vertaald staat het voor: ‘hou het toch simpel, sufferd’. Dit slaat op een val waar softwareontwikkelaars op verschillende niveaus maar al te vaak intrappen. Ontwikkelaars zijn, terecht, altijd bezig met het vinden van een nog betere oplossing voor een probleem; wat vaak uit het oog verloren wordt, is de balans tussen pragmatisch en kunst. Zorg in de eerste versie van je software dat je zo pragmatisch mogelijk blijft, maar niet meer dan nodig is.

Our stack or their stack? Je kunt voor het ontwikkelen en uitrollen kiezen voor een eigen SaaS-stack (stapel) of voor een standaard. Als een derde bedrijf een volledige stack inclusief hosting levert, wordt dit Platform as a Service (PaaS) genoemd: je hebt een volledige stack uit de muur en hoeft geen keuzes meer te maken. Veel zaken zoals multi-tenancy en schaalbaarheid worden vaak door de stack opgelost. Wie hiervoor kiest, dient zich wel te realiseren dat een groot aantal aanbieders ook een grote lock-in veroorzaken: je kunt er niet makkelijk meer van af. Het is dus belangrijk om voor een openstandaardenstack (en liefst ook open-source) te kiezen, waarbij je ook de vrijheid hebt om de software elders dan bij de aanbieder te hosten. Microsofts Azure en Force.com (van SalesForce) zijn goede

oktober 2010 - cloudworks - 39

SaaS

Juridisch

The Legal Look

voorbeelden van een gesloten PaaS– stack. Mits je een specifieke uitbreiding op deze platformen schrijft, is het beter om hen te vermijden vanwege de absolute vendor lock-in op alle niveaus: van development tools tot de hosting van de applicatie.

Door mr. Victor A. de Pous, bedrijfsjurist en industrieanalist

Do’s en dont’s Zorg ervoor dat je ontwikkelaars met productkennis in je team hebt. Als je bijvoorbeeld een ERP-product ontwikkelt, is het cruciaal dat je iemand in je team hebt met minstens tien jaar ervaring. Zo’n ontwikkelaar kan heel goed de impact voorspellen van bepaalde designkeuzes die gemaakt worden. Zorg er ook voor dat je ontwikkelaars hebt die juist niet al jarenlang ontwikkelen wat je gaat ontwikkelen. Dit geeft een frisse kijk op zaken en kan leiden tot nieuwe inzichten. Ga niet voor een big-bangproject. Het gevaar dat het dan nooit afkomt, is vele malen groter dan wanneer je gaat voor een agile ontwikkelaanpak, waarbij vaak functionaliteit wordt opgeleverd en eindgebruikers worden betrokken bij de ontwikkeling van de applicatie. Laat de user interface nooit designen door een programmeur. Er zijn vrijwel geen programmeurs die hier goed in zijn. Huur desnoods een externe partij in voor het design van de applicatie; er zijn bedrijven die hierin gespecialiseerd zijn. Gebruik een platform dat bewezen schaalbaarheid biedt en al in andere projecten succesvol ingezet is voor het ontwikkelen van cloudapplicaties. Kies bij voorkeur voor een open-sourceplatform. Hiermee wordt vendor lock-in voorkomen en kunnen aanpassingen en uitbreidingen aan het platform makkelijker worden uitgevoerd. Kies voor een hybride model: bij hybride ontwikkel je feitelijk een cloudapplicatie die je ook lokaal kunt installeren. Hiermee bereik je dat je klanten die nog niet comfortabel zijn met cloud computing ook een on-premise alternatief kunt aanbieden. Tevens geeft het jezelf en je klanten meer vrijheid in de keuze waar je platform gehost is: je kunt het zelf doen, een derde partij vragen of je PaaS-leverancier dit laten doen. Last but not least: stop met twijfelen en begin met ontwikkelen: SaaS is de toekomst! Of jouw applicatie gaat naar de cloud of je concurrenten zullen je voor zijn. CW 40 - cloudworks - oktober 2010

In ieder nummer van CloudWorks worden meerdere juridische vraagstukken rondom cloud computing behandeld. Hebt u een vraag op het snijvlak van cloud en recht, stuurt u dan een mailtje naar [email protected].

> Wat is juridisch belangrijk bij SaaS? Applicatiesoftware als dienst komt op stoom. Volgens een net verschenen studie van onderzoeksbureau Dialogic gaat het nu al om 13 tot 15 procent van de softwaremarkt in Nederland. In absolute getallen komt dit neer op een omzetwaarde tussen de 1,26 en 1,45 miljard euro. Bezien door de bril van de gebruiker, is het bij SaaS allereerst belangrijk dat de leverancier zijn intellectuele eigendomsrechten goed op orde heeft. Want ook al gaat het om een dienst, wie software van een ander gebruikt, heeft altijd toestemming nodig. Een licentie dus. En dat is tegenwoordig – onder meer door virtualisatie van servers – (nog) lastiger geworden omdat softwareproducenten hiervoor uiteenlopende spelregels hebben bedacht. Besef goed dat de SaaSleverancier op zijn beurt gebruikmaakt van computerprogramma’s en ict-diensten van een groot aantal andere partijen.

> Moeten leveranciers garanderen dat ze bevoegd zijn tot levering?

ISP-Soft levert een hybride ERP-oplossing die zowel in de cloud als lokaal geïnstalleerd kan draaien.

Daar is veel voor te zeggen. Gebruikers hebben recht op zekerheid dat de levering van de toepassingssoftware als dienst ‘juridisch in orde is’. In feite gaat het om een breed toegepaste gewoonte in het handelsverkeer. Niets nieuws onder de zon dus. Dat betekent dat de SaaS-leverancier contractueel verklaart dat hij bevoegd is om de betreffende dienst(en) te leveren én dat hij zijn klanten vrijwaart tegen aanspraken van derden die bijvoorbeeld claimen

dat de software of dienst inbreuk maakt op intellectuele eigendomsrechten of wellicht op distributierechten van een andere leverancier.

> Welke rechtsaspecten staan centraal? Dat zijn er een aantal. Wanneer de programmatuur persoonsgegevens verwerkt, heeft de SaaS-leverancier als bewerker in de zin van de Wet bescherming persoonsgegevens de verplichting voor technische en organisatorische maatregelen te zorgen voor het gehele verwerkingsproces. Er is geen excuus, ook al is het niet zíjn informatie. Goed beschouwd moet alle elektronische be-

terug. Voor nu is relevant dat het dienstenniveau aan de vraag van de klant voldoet. Wie niet ’s nachts (ook niet vanuit een andere tijdzone) wil boekhouden, kan best genoegen nemen met de omstandigheid dat het systeem tussen 3 en 4 uur voor onderhoudswerkzaamheden uit de lucht kan zijn.

Wie software van een ander gebruikt, heeft altijd toestemming nodig drijfsinformatie in voldoende mate worden beveiligd en in overeenstemming met de geldende wet- en regelgeving worden verwerkt. Ook hier is een garantie op z’n plaats. Dat impliceert dat de SaaS-leverancier op voorhand weet in welke jurisdictie(s) de verwerking plaatsvindt. Waar staan de datacenters?

Vergeet vooral de continuïteit van uitbesteding niet, vooral niet wanneer applicatiesoftware als een dienst een geheel bedrijfsproces (zoals salarisverwerking) betreft. Hier spelen ten minste drie zaken: kies als het even kan voor een open dataformat, overweeg escrow, en maak afspraken over de exitprocedure. CW

Naast een licentie voor de programmatuur en de beveiliging van de data, gaat het om afspraken over de beschikbaarheid en het onderhoud, die doorgaans in een service level agreement worden vastgelegd. Op SLA’s komen we later

Mr. V.A. de Pous is bedrijfsjurist en industrieanalist. Hij houdt zich sinds 1983 bezig met de juridische aspecten van digitale technologie en informatiemaatschappij en is medewerker van uitgeverij FenceWorks.

oktober 2010 - cloudworks - 41

Management

Beheertools voor de private cloud

Servercapaciteit

uit de kraan Net zoals een serverpark vele mogelijkheden kent, zo is ook IT-management veelvormig. Bovendien lijkt elke benadering ‘isolationistisch’ ingesteld; men kent een eigen muur c.q. horizon, en samenwerking met teams voorbij die grens loopt niet makkelijk. Bij onderstaande verkenning van de markt worden toolsets voor twee afdelingen onder de loep genomen, die wél kunnen samenwerken. Waarop moet gelet worden bij een dergelijke integratie? Voldoen Tivoli en APC aan de open standaarden die voor integraties gelden? Door Erik de Ruijter RI, freelance journalist

IT-management is nogal een toren van Babel. Dit komt deels door de verscheidenheid aan ontwikkeldenkwijzen en architecturen die moeten worden beheerd. In onderstaande tabel is getracht de soorten beheertools te ordenen. De tools splitsen zich op in twee hoofdsoorten: voor echte ‘technische’ lagen (rondom het ijzer) en voor de op servers, desktops en in het netwerk gedraaide software. Voor de eerste technieklaag

Categorie

gebruiken we als paraplunaam ‘facilitymanager’. Alle beheerzaken rond het datacentrum die nodig zijn om hardware te laten draaien, vallen hieronder: bijvoorbeeld voeding, koeling en misschien zelfs geïntegreerde toegangsbeveiliging. Dat woord ‘geïntegreerd’ doet het ’m: vanuit het IT-management is facilitybeheer alleen relevant als er signaalcommunicatie plaatsvindt met server- en applicatiebeheer. Hier zien we dat er

veelal een gratis toolversie meegeleverd wordt bij ijzerwaar zoals de UPS of overallkoeling, maar dat voor plugins rondom bijvoorbeeld rapportage of integratie betaald moet worden. Exact datzelfde geldt voor de volgende categorie, de ‘boxmanager’. Die wordt mee gebundeld bij alle A-merkservers (en desktops), en communiceert via agentcode in de machine-ROM over al-

Functie

Kan rapporteren aan

Voorbeelden

Facilitymanager

Detailbeheer ‘facilities’ waaronder voeding

Beheersuite, subdomeinmanager

APC ISX Central, Emerson, Eaton

Boxmanager

Detailbeheer specifieke HW

Beheersuite, subdomeinmanager

IBM Director, Dell OpenManage, HP Systems Insight Manager

Point solution

Beheer van één specifieke (software)component

Beheersuite, subdomeinmanager

LANDesk tools, Shavlik Patchbeheer, VeeAm VM-beheer

Subdomeinmanager

Beheer (geïntegreerd) van aantal gelijksoortige componenten (qua vendor of omgeving); met beperkte CMDB. Kan witteboordentools hebben. Beheer (integreerbaar en modulair) van vele soorten componenten; bevat volledige CMDB. Ook witteboordentools.

Beheersuite

Oracle Enterprise Manager, Microsoft System Center, Vmware vCenter Suite, EMC Ionix, Symantec/Altiris, CiscoWorks

IJzeren/technische lagen

Softwarelagen

Beheersuite

42 - cloudworks - oktober 2010

N.v.t.

IBM Tivoli, CA IT Management, HP Business/IT Service Management, BMC Atrium

lerlei zaken zoals CPU-temperatuur en slotgebruik; ook herconfigureren gaat via de manager. Plugins zijn bij te kopen waarmee ook niveaus zoals Linux/Windows-beheer en capaciteitsmanagement geboden wordt, maar als we software ‘een laag hoger’ inzetten vervult die veelal deze rol al. Net als bij facilitymanagers zijn deze plugins vooral bedoeld voor kleinere organisaties/afdelingen die een alles-in-éénoplossing nodig hebben. De koppeling naar ‘een laag hoger’ wordt uitgelegd in de derde kolom: facilitymanagers en boxmanagers kunnen rapporteren naar de bredere varianten van de softwarelaagbeheertools, en hun console kan ook vanuit zo’n tool weer gelanceerd worden voor details. ‘Softwarelaag’ is hier overigens een oprekbare term: netwerkbeheer via open standaards als SNMP of RMON scharen we er ook onder; de manager communiceert met gestandaardiseerde ROMagents in het netwerkijzer.

Drie typen Die ‘softwaretools’ komen ook weer in soorten en maten. Er zijn grofweg drie typen: point solutions, subdomeinmanagers en beheersuite. Point solutions zijn expert op één deelterrein, maar niet geschikt om zelfstandig brede problemen te vinden; root cause analysis van een storing bijvoorbeeld kunnen ze niet. Subdomeinmanagers ontstaan veelal vanuit het software-equivalent van boxmanagers: een vendor zoals VMware, Cisco of Oracle, die diepgaand beheer kan bieden voor de eigen stack en ook een gratis basisversie levert. Gaandeweg komen er betaalde plugins bij, deels voor het bieden van een alles-in-éénoplossing aan kleinere organisaties/afdelingen. Maar ze blijven begrensd qua domein: probeer niet pakweg een Windows-tuningprobleem op te lossen via CiscoWorks of een probleem met potentiële WAN-/loadbalanceraspecten in MS System Center. De beheersuite, de op-

volger van de ‘beheerframeworks’, kan alles beheren en alles koppelen; doch niet noodzakelijkerwijs zo diepgaand als point solutions of subdomeinmanagers. In de praktijk gebruiken we de beheersuite dan ook samen met point solutions of subdomeinmanagers, plus met facility- en boxmanagers. Hetgeen niet wil zeggen dat deze beheertoolcategorie onmisbaar is; mede vanwege de zwaarte (en prijs) werken heel wat organisaties met een ‘lichtere’ combinatie van gekoppelde subdomeinmanagers en point solutions, met veel meer verspreide (en beperktere) onderlinge integraties. Pas vanaf het niveau van subdomeinmanagers zien we professionele integratiemechanismen aan boord komen, verdergaand dan simpele SNMP-koppelingen of WMI/syslog-events. Hier zien we ook de voor goede integraties vereiste CMDB oftewel configurationmanagementdatabase aan boord komen, een

oktober 2010 - cloudworks - 43

Management Figuur 2. Integrated servicemanagement.

Figuur 1. Private-cloudbeheerlus. op open standaards gebaseerd opslagen koppelmechanisme. Ook pakt pas het subdomeinniveau de nóg wat ‘zachtere’ beheerlagen aan. Wat we in de tabel beschrijven, heet ook wel ITIL Service Operation, oftewel het ‘blauweboordenwerk’ om het datacentrum te runnen. Daarnaast hebben we ook ITIL ‘Service Management’ voor de administratieve hulp; denk aan capaciteitsplanning, asset- en licentiebeheer, SLA-bewaking, et cetera. Maar ook buiten de beschreven scope valt een tussencategorie tussen beide groepen, de hele keten vanaf trouble ticket (incident) via problemmanagement naar de te plannen configuratiechanges. Lichtere tools, zoals point solutions of zelfs boxmanagers, kunnen dit ook bieden of koppelen, maar pas vanaf de subdomeinmanagers kunnen alle ITIL-lagen degelijk gekoppeld worden.

HW/SW meten

facilitymanager

boxmanager

en de serieelachtige MobBus-interface, met de andere facilitylagen. Met die van Schneider maar ook bijvoorbeeld TAC, PowerLogic of Cisco. De signalen ‘naar boven’ gaan dan weer naar de Microsoft-subdomeinmanagers en alle vier de grotere beheersuites. Tivoli en BMC hebben de meest uitgebreide support.

Scripts workflow

ice view

business serv

(Her-)

Meten (performance/ storingen) = Performance- en foutbeheer = Operations = Configuratiebeheer en CMDB

als de boxmanager bijvoorbeeld gebruiken we in deze insteek de ‘paarse’ functionaliteit van fout- en performancebeheer; hun configuratiebeheerzijde is wat minder relevant voor de beheerlus. De groene kleur beschrijft de ‘consoliderende’ taken die met name een beheersuite of een subdomeinmanager vervult, samen met de eigen agents die hij zal hebben voor onder andere Linux/Windows en specifieke serverapplicaties.

Inventory/ configuratie

Tivoli portfolio en invulling beheerlus

Servercapaciteit moet geleverd worden alsof het 'uit de kraan' komt

De Tivoli-divisie is IBM’s merknaam voor systeembeheer; daarnaast kent IBM qua software ook merknamen zoals Rational, Lotus en WebSphere. Zoals overal in de markt is de productfamilie een combinatie van eigen ontwikkeling en overnames. Naast het brede blauwe- en witteboordenbeheer, waar we zo meteen op ingaan, kent de Tivoli-groep ook hele familietakken voor security en opslagbeheer; dat laatste is wel degelijk relevant voor ‘capaciteit uit de kraan’ maar de meet- en provisioningsmodulen sluiten waar nodig aan op de Tivoli Storagemodulen.

naargelang de behoeften van de gebruikers. Dit heet ook wel ‘private cloud’, en is mogelijk dankzij goed geïntegreerd IT-beheer plus veelal ook servervirtualisatie. De lus is vrij simpel in woorden te beschrijven: we bezitten een bepaalde servercapaciteit voor applicatie (businessservice) X, en we meten continu eventuele storingen en de load/performance. De conclusies van die metingen over applicatie X leiden tot een set scripts met eventueel handmatige workflow, die zorgen voor bijplaatsen dan wel weghalen van compleet ingerichte servers/VM’s voor applicatie X. En daarna begint de beheerlus van voren af aan... De kleuren in het schema geven beheerfunctionaliteiten aan; dat is een andere indeling dan de vijf eerder gegeven productcategorieën. Van zowel de facility-

In figuur 2 zien we de Tivoli-invulling voor de beheerlus, plus de andere familieleden. De ‘mapping’ is als volgt: • De paarse stukken uit ons schema, het metingenwerk, zit linksonder in het schema in IBM Tivoli Monitoring en Networkmanagement; en in CAM (composite application manager) voor stukken performancemeting. • ITM for energymanagement is de brug naar facilitymanagers zoals APC, en IBM Director wordt linksonder genoemd als voorbeeld van een boxmanager. • Het stuk linksboven vertaalt naar de groene stukken in ons schema: overige metingen, correlatie en business service view (en daarnaast een historische opslag van metingen, het datawarehouse). • Rechtsonder staan dan CCMDB, Tivoli provisioningmanager en service-automationmanager. Dat zijn de blauwe en gele stukken van het schema.

De private-cloudlus De samenhang tussen de ‘ijzeren’ en de softwarelagen kan nog wat duidelijker worden aan de hand van het schema van figuur 1. Daarmee beschrijven we ook direct een kerntaak van een modern datacentrum: servercapaciteit ‘uit de kraan’ leveren, op- en neerschalend al

44 - cloudworks - oktober 2010

Lagenintegratie en standaarden

provisionering

Terug naar de samenhang tussen de lagen, die we ook bij vendoren APC en Tivoli gaan zien. Bij de ‘technische’ tools, boxmanager en facilitymanager, hanteren we niet primair hun eigen consoles maar laten we alle events doorsturen naar de business service view, dus de beheersuite. Die bepaalt zowel de root cause van storingen en metingen als de geraakte businessservice, en op basis van de SLA kunnen dan de scripts tot provisioning inclusief eventuele live migraties besluiten. Daarna kunnen falende componenten, na het deprovisionen, netjes vervangen worden. Problemen met bijvoorbeeld een server-CPU of een UPS-zone kunnen veel beter op dit niveau worden opgelost dan primair ‘binnen’ de technische beheerafdeling zelf. Ziedaar de kracht van het voorbij de eigen horizon kijken!

• En verder biedt Tivoli rechtsboven nog heel wat ‘witteboordenmodules’, die eveneens koppelen met onder andere business-servicemanager en CCMDB. • In de tussenkolom vinden we ISM-processmanagers; dit zijn wederom vooral ‘witte boorden’ best practice-flows die helpen om informatie tussen modulen te routeren op de voor deze omgeving optimale manier, bijvoorbeeld optimaal qua changemanagement of qua uptime. Tussenconclusie kan zijn dat Tivoli keurig voldoet aan de eisen van een suite: kan alles beheren en alles koppelen. Het geheel is erg breed maar ook opvallend goed geïntegreerd middels onder andere de CMDB; qua eenduidigheid heeft men de laatste jaren onder andere door de Micromuse-overname sprongen vooruit kunnen maken.

APC-hardware en beheermodules Net zoals server- en netwerkbeheerders met tools zoals Tivoli werken, kennen de beheerders van de ‘prik’ en de gebouwenfaciliteiten hun eigen platform. APC is gegroeid vanuit de UPS- (uninterruptable power supply)markt tot een veel bredere aanbieder; men levert ook complete rackoplossingen voor serverplaatsing inclusief voeding, koeling en wiring closets. Sinds drie jaar maakt men deel uit van het Franse Schneider Electric. De andere divisies van Scheider zijn industrie-infra, energiedistributie, gebouwstroomvoorziening en gebouwenbeheer (inclusief koeling); die laatste twee ge-

bieden zijn naast IT-facilities essentieel voor een datacentrum. De APC-software kan voorzieningen van Schneider of andere partijen ook op dit vlak beheren, als opstapje naar een toekomstige nog verdere integratie van die kolommen. InfraStruXure Central (ISX-C) is APC’s platform voor facilitymanagement. Het is redelijk vergelijkbaar met de server ‘boxmanagers’ in die zin dat we bij gekochte APC-hardware een gratis stukje beheertool krijgen; volledig, geïntegreerd gebruik plus aanvullende opties kosten echter extra. Voor de privatecloudloop zijn twee basisfuncties van ISX-C nodig: de inventory en operationeel beheer, beide deel van ISX-C Operations. Met die twee kunnen we signalen genereren zoals ‘powergebruik is boven helft van maximum’ of ‘UPS heeft voeding moeten overnemen, server moet binnen halfuur downgaan’. Extra modulen zijn vooral nuttig voor facilitybeheerders zelf, deels in ‘witteboordentaken’. Denk aan capacity (trends, adviezen waar een server het best bijgeplaatst kan worden); change, voor en-bloc aanbrengen van wijzigingen onder andere in herallocaties; en Energy Cost en Energy Efficiency, die het totale stroomverbruik opslaat voor kostenberekening maar ook adviezen voor optimalisatie geven. We zeiden al dat ISX-C ook als totale facilitymanagementconsolidator kan optreden. Dat is erg handig voor het overzicht maar ook om alle mogelijke signalen – ook vanuit onder andere koeling – aan de softwarelaag te kunnen doorsturen. Voor die integratierol ‘praat’ hij via de hier gangbare protocollen, SNMP

De integratie van ISX-C in Tivoli gaat zoals we boven al zagen met monitoring for energymanagement. Hierin zit een APC-plugin. Deze kan SNMP-traps ontvangen vanuit ISX-C als we daarin primair de bewaking zouden doen. Gaat het echter vooral om APC-hardware, dan is het veel fraaier om de bewaking in Tivoli te doen. De ISX-C-plugin van TMEM bewaakt (via SOAP-calls) tientallen meetwaarden van ISX-C, en vergelijkt ze met tresholds. Ook trendontwikkelingen kunnen met rules bewaakt worden. Ons hoofddoel, geïntegreerde bewaking van de fysieke laag en servers/software, is hiermee gehaald. Een ‘root cause’ kan dus over alle lagen heen bepaald worden. Maar ook de volgacties: een UPS-alarm bijvoorbeeld zal niet tot een met de botte bijl controlled shutdown van Windows leiden, maar via complexe rules eerst tot een vMotion-livemigratie van de serverload naar een machinegroep die nog wél prik heeft! De inzet van TPM blijft overigens beperkt tot de servers en software. Een ‘signaal terug’ naar ISX-C is weinig zinvol omdat er op fysiek niveau meestal mensenhanden nodig zijn voor herconfiguratie. Ooit kan dit veranderen, dat zien we onder andere gebeuren bij blades waar de boxmanager een zeer ‘vloeibaar’ idee heeft van wat nu precies een server is.

Voorbij de horizon Zowel bij APC als bij Tivoli zien we mogelijkheden voor kop-tot-staartbeheer van het datacentrum, dus de afdelingen kunnen over muren heen kijken. Open protocollen zoals SNMP en MobBus dekken een deel van de integraties, en iets meer proprietary aanvullingen zoals plugins met SOAP zorgen voor de details. Het begin is er, dus na private clouds kunnen we gaan werken aan een bredere ‘datacentercapaciteit als nutsvoorziening’! CW

oktober 2010 - cloudworks - 45

Partnerships

partners CloudWorks

De uitgave van CloudWorks wordt mede mogelijk gemaakt door de steun van een aantal partners. NEOMAX De cloud-sourcingdivisie van Neomax ontzorgt bedrijven door het technisch beheer en de monitoring van bedrijfskritische applicaties uit handen te nemen. Neomax beschouwt IT als topsport. Het is haar missie de IT-omgevingen van klanten net zo goed te laten presteren als een topsporter. Samen met haar klanten schept Neomax de voorwaarden voor een optimale omgeving en helpt zij tegelijkertijd kosten te besparen en meer functionaliteit en een hogere beschikbaarheid te realiseren. Naast het outsourcen van de gehele IT-omgeving, kunnen organisaties er ook voor kiezen om hun omgeving gedeeltelijk bij Neomax onder te brengen. Neomax is betrokken en biedt kwaliteitgerichte dienstverlening op maat. Neomax verbetert de slagkracht, nauwkeurigheid en efficiëntie van IT-omgevingen. www.neomax.nl/ www.cloudsourcing.nu

Qwise Qwise is een gespecialiseerde system integrator die zich toelegt op de centralisatie van IT-omgevingen. In de praktijk vertaalt die focus zich in oplossingen op het gebied van virtualisatie, server based computing en web based computing. De klanten van Qwise hebben vele malen ervaren dat Qwise zich onderscheidt in haar dienstverlening door de excellente kennis en zeer ervaren consultants. Op vrijwel alle vraagstukken die leven rondom de centralisatie van bedrijfssystemen en -applicaties heeft Qwise een passend antwoord. Niet alleen in de vorm van advies en implementatie, maar zeker ook als het gaat om detachering, training en outsourcing. Voor de centralisatie van IT-omgevingen heeft Qwise passende antwoorden. www.qwise.nl

Sogeti Nederland B.V.

TelecityGroup Netherlands

Sogeti wil door gepassioneerd ict-vakmanschap bijdragen aan het resultaat van haar klanten. De visie van Sogeti is daarom als volgt samen te vatten: ´Resultaat door gepassioneerd ict-vakmanschap´. Dit betekent dat Sogeti de verantwoordelijkheid neemt voor haar activiteiten bij klanten. Ze verplicht zich aan het resultaat op basis van haar excellente professionaliteit en haar ondernemerschap. Door hechte en langdurige relaties met klanten zet Sogeti ict dusdanig in, dat het bijdraagt aan de strategische doelstellingen van haar klanten. Met het eigen Verkenningsinstituut Nieuwe Technologie (ViNT) geeft Sogeti invulling aan de koppeling tussen bestaande bedrijfsprocessen en de nieuwe ontwikkelingen. www.sogeti.nl

TelecityGroup is de belangrijkste leverancier van hoogwaardige netwerkonafhankelijke datacenters in Europa. Datacenters vormen de kernactiviteit: TelecityGroup ontwerpt, bouwt en beheert beveiligde omgevingen met hoge connectiviteit om technische, online- en IT-infrastructuur in onder te brengen. Het hoofdkantoor bevindt zich in Londen. TelecityGroup beheert 23 datacenters in de volgende steden: Amsterdam, Dublin, Frankfurt, Londen, Manchester, Milaan, Parijs en Stockholm. Het bedrijf heeft een breed en doelgericht programma voor het uitbreiden van de capaciteit. Sinds 2008 zijn nieuwe locaties geopend in Londen, Amsterdam, Stockholm, Milaan en Parijs. www.telecitygroup.nl CW Voor meer informatie over partnerships: Arnoud van Gemeren, [email protected].

Ook op uw bureau?

Cloud Works

Mail uw gegevens naar [email protected] en ontvang het magazine CloudWorks gratis!* *Indien uw functie en werkkring relevant zijn. Vergeet deze niet te vermelden.

46 - cloudworks - oktober 2010

Continuity of the Cloud TelecityGroup: solide basis TelecityGroup is een toonaangevende pan-Europese leverancier van netwerkonafhankelijke datacenters, en biedt een scala aan flexibele, schaalbare datacenters en waarde toevoegende services. TelecityGroup is gespecialiseerd in het ontwerpen, bouwen en beheren van veilige omgevingen met een hoge connectiviteit waar klanten hun web- en internetinfrastructuren kunnen vestigen. Elk datacenter fungeert als een connectiviteitsknooppunt waar het faciliteren van opslag, delen en distribueren van data, content en media mogelijk is. Het hoofdkantoor van TelecityGroup is gevestigd in Londen. De onderneming beschikt over 23 datacenters in zeven Europese landen. Deze datacenters zijn gevestigd op uitstekende A1-locaties in Amsterdam, Dublin, Frankfurt, London, Manchester, Milaan, Parijs en Stockholm.