Hoewel de cloud inmiddels de hype voorbij is, vormt het voor veel organisaties nog altijd een complex thema. Gaan we wel of niet naar de cloud? En moet dat dan een private of een public cloud zijn? Of misschien een hybride oplossing? Daarbij komt één onderwerp telkens weer als punt van zorg naar voren: hoe zit het met de veiligheid en bescherming van mijn informatie in de cloud? Die informatie is voor veel bedrijven het meest waardevolle bezit, dus het is terecht dat hier heel zorgvuldig over wordt nagedacht.
Zeker met alle bekendmakingen rond de afluisterpraktijken van de Amerikaanse NSA, zijn veel organisaties in Nederland en Europa terecht huiverig over het onderbrengen van die waardevolle gegevens bij een publieke cloud provider met data centers in de VS. Europa roept zelfs op tot het bouwen van een Europese cloud.
Verschillende behoeften
De wens om die bedrijfsactiviteiten te ondersteunen die het meeste opleveren voor de organisatie, zorgt ervoor dat de druk op it toeneemt. En de behoeften zijn divers. Zakelijke managers hebben overal en altijd toegang nodig tot bedrijfsapplicaties en data; ontwikkelaars hebben it-middelen nodig om nieuwe, strategische bedrijfsapplicaties te ontwikkelen, te testen en zo snel mogelijk uit te rollen. Andere stakeholders stellen weer andere eisen aan de it. Om al in deze verschillende it-behoeften te kunnen voorzien, is een transitie nodig van traditionele applicaties die zijn verbonden aan vaste infrastructuren, naar een flexibel, service-gericht model op basis van cloudtechnologie.
Het concept van de cloud – een geconvergeerde, op services gebaseerde, flexibele en in sterke mate geautomatiseerde infrastructuur die overal en met ieder device toegankelijk is – is voor de meeste organisaties een aantrekkelijke oplossing, die voorziet in een duidelijke behoefte naar meer flexibiliteit en efficiency, minder complexiteit en lagere operationele kosten. De keuze voor een public of een private cloud zal voor de meeste organisaties – zeker gezien de hierboven geschetste vraagstukken rond de beveiliging en bescherming van informatie – in de meeste gevallen uitvallen in het voordeel van de pivate cloud. Een private cloud biedt organisaties de zekerheid dat hun data ‘binnen’ de eigen organisatie blijft, maar wel met alle voordelen op het gebied van toegankelijkheid, beheereenvoud en kosten.
Daar komt bij dat een private cloud juist mogelijkheden biedt om de beveiliging en bescherming van gegevens te verbeteren en te garanderen. Er zijn bijvoorbeeld heel veel zakelijke gebruikers die – vaak tegen de beleidsregels van de organisatie in – gebruik maken van publieke filesharingdiensten zoals Dropbox. Daarmee krijgen ze namelijk makkelijk toegang tot allerlei documenten en bestanden vanuit huis of via een tablet of smartphone. Dat is natuurlijk een gapend gat in de beveiliging, want de it-afdeling heeft nul inzicht in die data die in de een publieke filesharingcloud zijn opgeslagen en wat daarmee gebeurt.
Het is duidelijk dat mederkers behoefte hebben aan dit soort functionaliteit en dat ze gewoon een publieke dienst gebruiken als er vanuit de organisatie geen goed zakelijk alternatief wordt geboden. Organisaties hebben dus een vergelijkbare oplossing nodig, compleet met gebruiksvriendelijke tools en mobiele apps, maar dan wel binnen een private cloud-omgeving. Gebruikers hebben dan hetzelfde gemak en kunnen op dezelfde manier overal en altijd bij de documenten die ze nodig hebben voor hun werk, op een veilige, door de organisatie beheerde wijze, compleet met auditing en logging.
Vier stappen
Maar hoe kan een organisatie nu goed mogelijk de transitie maken van een traditionele it-omgeving naar een private cloud? In essentie gaat het daarbij om vier stappen: consolidatie, virtualisatie, automatisering en self-service. Zijn al deze stappen doorlopen, is de private cloud in feite gerealiseerd.
Bij de consolidatie-stap wordt de diverse it-systemen teruggebracht naar, bij voorkeur, één infrastructuurplatform voor alle data en toepassingen. Deze stap kan aanzienlijke kostenbesparingen opleveren, omdat er efficiënter gebruik wordt gemaakt van de middelen en de beheer- en onderhoudskosten sterk afnemen.
Door vervolgens in de tweede stap de beschikbare it-middelen – opslag, netwerkcapaciteit, cpu-capaciteit, et cetera – te virtualiseren en aan te bieden als service, gaat de flexibiliteit enorm omhoog, omdat heel snel capaciteit kan worden toegewezen uit een complete pool van middelen. Daarnaast zorgt die virtualisatie ervoor dat servers en systemen niet langer ‘vastzitten’ aan specifieke applicaties, maar daar kunnen worden ingezet waar ze nodig zijn. In een ideaal geval zou deze virtualisatie worden toegepast op één convergeerde infrastructuur waarin opslag- en rekenmiddelen optimaal met elkaar samenwerken om taken uit te voeren.
Stap drie is het automatiseren van het it-beheer en van allerlei arbeidsintensieve processen. Het automatisch toewijzen van capaciteit vanuit de gevritualiseerde pool van middelen is een voorbeeld. De automatisering van dit soort processen zorgt ervoor dat de it-afdeling efficiënter en sneller kan reageren, inspelen op vragen vanuit de organisatie. Ook kan er zo voor worden gezorgd dat beleidsregels worden nageleefd en wordt de kans op menselijke fouten teruggedrongen.
De laatste stap is het toevoegen van self-service mogelijkheden voor gebruikers, bijvoorbeeld via een portal. Ze kunnen daar zelf de service-levels selecteren die ze nodig hebben en die hun rol toestaat, waarna de benodigde diensten en middelen automatisch worden ingericht en toegewezen. Een complete self-service implementatie biedt ook chargeback- of showback-functionaliteit, waarmee de it-afdeling precies kan meten waar en door wie it-middelen worden gebruikt. En – indien de organisatie dat wenst – kunnen gebruikers een rekening krijgen op basis van het daadwerkelijke gebruik.
Organisatie en planning
Er is heel veel mogelijk met een goed ontworpen private cloud. Maar het succes van een transitie naar een private cloud is toch in de eerste plaats afhankelijk van organisatie en planning. Alles draait in de eerste plaats om de processen en de mensen die er gebruik van maken, waarbij de business het uitgangspunt moet zijn. De traditionele processen veranderen en daar moet de organisatie van tevoren heel goed over nadenken. Zo wordt it op dit moment veelal ‘verticaal’ beheerd, vanuit diverse silo’s (bedrijfsapplicaties, bedrijfsafdelingen, et cetera). Bij convergentie en private cloud gaat het juist om horizontaal beheer, waarbij de hele infrastructuur als een samenhangend geheel wordt beschouwd.
Wat nog wel eens mis gaat bij private cloud-projecten, is dat organisaties beginnen te denken vanuit de techniek. Dat is de verkeerde aanpak, het gaat erom dat je weet waar je je bevindt en waar je naartoe wil met de private cloud. Wat zijn de doelstellingen en aan welke eisen moeten de verschillende services van een private cloud – denk aan beveiliging, backup, storageprestaties en applicatieprestaties – voldoen? Aan de hand daarvan moeten de sla’s worden opgesteld. Het is dan ook essentieel dat wordt gedacht vanuit het oogpunt van services en wat die services precies moeten bieden. Er moeten goede definities worden opgesteld van de services en de sla’s. Aan welke eisen moeten de services voldoen, wat is er nodig en wat wordt er exact verwacht? Aan de hand van die eisen kunnen vervolgens het beste platform en beheertools worden gekozen.
Organisaties die op basis van een goed plan en aan de hand van de hierboven geschetste stappen werk maken van de private cloud, kunnen er zeker van zijn dat de uiteindelijke infrastructuur optimaal gebruik maakt van de capaciteit van het datacenter. Daarbij ondersteunt het de business met nieuwe diensten en biedt gebruikers overal en altijd toegang tot de toepassingen en informatie die zij nodig hebben. En de organisatie kan rekenen op aanzienlijke besparingen in de operationele kosten. De stap naar convergentie is door veel organisaties al gemaakt; de transitie naar een private cloud is de logische volgende stap.
Op het oog een helder verhaal, maar “I am not buying it”
Niettemin zijn er nog kansen, en die zitten in een toelichting, want deze is hard nodig.
“Private cloud is logische stap in convergentie” – Naast dat ik het een moeilijk woord vind zie ik niet wat er bedoeld wordt met “naar elkaar toegroeien”. Is dit de business en IT? Is dit Private en Public? Of is dit het samensmelten van componenten in een infrastructuur? (een pool van middelen)?
Zelf hou ik ervan als man en paard genoemd worden, zelfs als het stuk “high level” is. Er zijn naar mijn weten maar een paar smaken om een cloud os te deployen in de private cloud en deze hebben een enorme impact in wat wel en niet mogelijk is met private cloud computing. Zeker als je selfservice aan wilt bieden zoals geschetst wordt aan de interne organisatie waarin de it afdeling alleen faciliterend is.
“Wat nog wel eens mis gaat bij private cloud-projecten, is dat organisaties beginnen te denken vanuit de techniek.” – Een statement die erg waar blijkt, aangezien ook dit artikel geschreven is vanuit de techniek gedachte.
Als de stap naar een “goede convergentie” gemaakt is, is de stap naar private cloud helemaal niet nodig. Het is dan een uitgehold begrip wat in mijn ogen dan praktisch op “hosting” neerkomt. De toegevoegde waarde van de private cloud moet juist voorkomen uit het feit dat deze “cloud” meerwaarde biedt aan wat je zelf al had.
Public cloud kun je niet vergelijken met private cloud. Het enige verschil zou moeten zijn dat private single tenant is en public multi-tenant. Het feitelijk verschil tussen public en private cloud is dat public veel meer functionaliteit biedt en private vooral neerkomt op hosting of hooguit infrastructure as a service. Als dit niet klopt, dan wil ik hiervan een onderbouwing.
Al met al kan ik hier niet veel mee.
Ik ben het (deels) met Henri eens dat je niet vanuit techniek moet denken, zeker niet als deze vanuit de leverancier gepushed wordt, maar naar de organisatie en processen moet kijken. Helaas lijkt Henri de pot de ketel te verwijten dat hij zwart ziet.
4 stappen van auteur staan naar mijn opinie in de verkeerde volgorde omdat achteraf automatisering of zelfservice toevoegen zorgt voor ‘spaghetti’ oplossingen. Auteur lijkt me trouwens ook abuis over verticaal beheer want we hebben door de horizontale opdeling met client-server model nog nooit zoveel problemen gehad met het service release management.
Als ik kijk naar uitdagingen die er zijn in up-to-date houden en afstemmen van alle lagen dan is automatisch aanmaken van servers geen probleem. Maar services uitrollen met gedeelde en verdeelde componenten kennen nog wel enige uitdagingen. Zeker ook omdat organisaties eerder infrastructuur virtualiseerden maar business logic in vorm van ongewijzigde legacy applicaties behielden.
De cloud is misschien wel effectief maar is deze ook altijd efficiënt?
Als hier man en paard genoemd wordt dan heeft dat paard wel oogkleppen op.
Bij een publieke cloud is het ‘grabbelen’ voor de NSA voor een dubbeltje. Al dan niet via een Patriot Act of samenwerkingsverband met een lokale overheid.
Bij een private cloud zullen ze toch echt moeite moeten doen om het te hacken. Ook dat is niet overkomelijk maar het is tenminste een drempel.
Let op dit zijn geen wilde verhalen maar simpele feiten die je niet over het hoofd zou moeten zien. En ook niet bagatelliseren dat het allemaal wel mee valt want het is echt een serieuze zaak. Simpelweg omdat de personen die ze zichzelf die macht gegeven hebben er niet mee om kunnen gaan. En dan wil je er niet op wachten wanneer het fout gaat.
Johan,
Ik ben de laatste om te ontkennen dat het slecht is dat NSA en soortgelijken toegang hebben tot data waar ze niets te zoeken hebben.
Maar wat is nu het werkelijke probleem dat NSA bij je data kan? En als we het uitdrukken in geld. Hoeveel geld zou jij er voor over hebben dat NSA niet bij je data kan? Of hoeveel geld kost het dat NSA jouw data in kan zien? Wat betekent het juridisch? En zo verder.
Het cru gezegd heeft het 0 impact op je business, tenzij je met bepaalde compliance te maken hebt, gevoelig onderzoek doet of mogelijk strafbare feiten pleegt.
Als je zo bang bent voor de NSA, dan gebruik je dus ook geen smartphone. Oh, die gebruik je wel? Vertel me dan precies waar het verschil zitten tussen het gebruiken van je smartphone en cloud diensten van amerikaanse aanbieders.
de data-graai redenatie snijdt gewoon geen hout. Dat het op moet houden is zeker, maar staat los van business beslissingen.
Als we de NSA nu net zo vurig bestrijden als dat we achter de Pietitie staan, dan maken we nog een kans, maar bij elke cloud discussie NSA roepen is gewoon kansloos.
Op de schaal van business is gedrag van medewerkers is vele malen schadelijker dan meekijkende overheden. Dit staat los van het morele verval van onze maatschappij dat we big brother leren accepteren.
@Henri
Jouw instelling van kleine vissen hebben niets te vrezen is en blijft behoorlijk naïef. Als de NSA aan het vissen gaat met sleepnetten en steeds kleinere mazen zul je uiteindelijk toch een keer gevangen worden.
En geheel onschuldig is het allemaal niet want het is helemaal niet om de terroristen die door westerlingen gefinancierd worden te doen. Het gaat om bedrijfsspionage (Echelon++), opsporen van ondermijnende personen en het sturen van hele bevolkingsgroepen (Panopticon).
De baas van de NSA die tegen het Amerikaanse congres liegt dat ze niet massaal afluisteren en er mee weg komen. De Amerikaanse president die liegt tegen bevriende buitenlandse staatshoofden dat ze niet worden afgeluisterd zijn maar een paar voorbeelden waarvan ieder normaal denkend mens toch eens flink achter de oren zou moeten gaan krabben.
En ja bij elke cloud discussie is dit een belangrijk punt van aandacht. Als heel groot deel van Europa het vertikt om in de Amerikaanse cloud te stappen dan maak je een belangrijk gebaar. Het negeren is het gedogen en als dat de nieuwe norm wordt dan is het hek van de dam.
O ja, laten we niet in “de Amerikaanse cloud” (ik neem aan dat hier bedelt wordt de wereldwijde cloud waarbij de uiteindeijke eigenaar een Amerikaanse bedrijf is?) stappen. Nee joh, want Nederland is tenslotte het land waar de overheid de meeste telefontaps per inwoner uitvoert. En de geheime dienst van de UK was tenslotte de partij die bij Belgacom hackte. Met andere woorden: kom op zeg. Allerlei overheden moeten zich aan regels houden, en hun geheime diensten onder de duim houden. En dat is al duizenden jaren een uitdaging dus dat zal niet morgen geregeld zijn. Ik denk dat ze allemaal regelmatig op de grens lopen en over de grens gaan. Dat gaan we echt niet oplossen door ineens met een Europese cloud of iets dergelijks te komen. Zie bovenstaande 2 voorbeelden, en zo zijn er nog velen te noemen. En los van niet-geoorloofde acies van geheime diensten, NSA´s e.d. zijn er ook nog de diverse procedures die in het ene Europese land wel en het andere Europese land niet gevolgd dienen te worden om bv. als overheid informatie te mogen opvragen. Wat opvalt als je de details induikt is dat het niet in ieder Europeees land even burgervriendelijk geregeld. Ik zou willen dat we de emotie in dit soort discussies weglaten, en het aan de echte experts overlaten om met de feiten te komen. Die zorgen voor een veel en veel genuanceerder beeld, en dat is toch echt nodig om uit het data privacy moeras te komen.
Johan,
Ik ga er al vanuit dat ik allang gevangen ben, en heb ik ergens beweerd dat het onschuldig is? Absoluut niet. Maar je moet onderscheid maken tussen persoonlijk privacy (die heb je niet, punt) en organisatie privacy. Dat er een systeem ontbreekt om de bewakers te bewaken is duidelijk, maar je moet realistisch zijn. Wat is nu *echt* je probleem dat je geen organisatie privacy hebt? Dat is dat overheden wellicht je research en IP kunnen doorspelen naar andere organisaties voor profijt. Maar daarbuiten is er geen schade behalve dan dat privacy een recht is en dat de kans op misbruik door macht wellustigen zo steeds groter word.
Persoonlijke privacy is dood. Op straat hangen overal camera’s we hebben allemaal een mobiele telefoon, bankrekening, bonuskaart, accounts bij internet providers en zelfs porno wordt grotendeels online geconsumeerd. En zoals Marc schrijft, de amerikanen zijn niet de enige die niet te vertrouwen zijn.
Overigens denk ik niet meer dat je kan stellen dat NL tapland nummer 1 is, haha.
Je kunt je vast blijven houden aan alle tegenwerpingen, maar dat maakt je een niche speler. Wie nu nog twijfelt dat cloud computing dominant wordt kan maar beter zorgen dat hij in ieder geval goed wordt in zijn niche en zich richten op de long tail.
Men verruilt nu eenmaal privacy voor gemak en geld.
@Marc
Tappen heeft niet zoveel met de cloud te maken, meer met een onveilig medium of het onachtzaam gebruik ervan waardoor het zo gemakkelijk is. Nederland is niet het braafste jongetje van de klas, gelukkig niet omdat iemand de ‘subversieve elementen’ in onze samenleving moet controleren. En inderdaad is dat al meer dan 1000 jaar gebruikelijk, net als de vraag: quis custodiet ipsos custodes?
Die discussie kunnen we aan experts overlaten maar als dit dezelfde groep is die telkens en ongestraft de grenzen van de wet overschrijden dan hol je naar mijn mening de principes van een democratische rechtsstaat uit. Dat is een andere discussie dan to cloud or not to cloud maar omdat de publieke vorm ervan vaak synoniem is aan uitbesteden dient deze wel gevoerd te worden, graag met de eigenaren van de privacy annex informatie.
Je hebt het over verschillen in wetgeving tussen Europese landen, je erkent daarmee dus de soevereiniteit die juist zo vaak geschonden wordt door Amerikaanse diensten. Bij het exporteren van de data dien je naar mijn mening dus wel degelijk rekening te houden met de wetgeving waar dienstverlener zich aan onderwerpt. En de wijze waarop FISA gebruikt wordt laat zien dat terrorisme ondertussen een heel rekbaar begrip is geworden om de Amerikaanse belangen te beschermen.
Het kan mijn afwijking zijn maar achterkamertjes politiek leidt meestal ook tot achterdeurtjes waarmee de burgervriendelijkheid inderdaad niet gediend is, de geschiedenis zit inderdaad vol met voorbeelden hiervan maar de symboliek van ’the liberty bell’ is ondertussen omgedraaid.