Compliance in de cloud
Bij het kiezen van een service provider moet je verschillende elementen in overweging nemen. Sommige onderdelen zijn essentieel en zouden deel moeten uitmaken van het aanbod van eender welke provider – zoals identity en access management, databescherming en incident management & response. Andere zaken zijn minder evident, zoals compliance vereisten. Wat is de impact op compliance wanneer een organisatie de overstap naar de cloud maakt? Wat zijn de risico’s en waar moet de CIO extra aandacht aan besteden? Een compliance vereiste kan bijvoorbeeld de fysieke locatie van de bedrijfsdata zijn. Overeenkomstig de Europese wetgeving moet de cloud provider de data van Europese klanten op servers zetten die zich fysiek in Europa bevinden. Nieuwe standaarden Voor de meeste bedrijven is het werken met een cloud provider voor business applicaties redelijk onbekend. Nieuwe standaarden in cloud computing kunnen de CIO ondersteunen te beslissen welke applicaties op welk moment in de cloud moeten gezet worden. SAS 70 Type II en ISO 27001 lijken werkbare certificaten voor compliance binnen financiële en IT security vereisten. Ze zijn echter geen garantie voor de compliance van de organisatie met betrekking tot data security, identity management of administrator controle. De voortdurende inspanningen van verschillende cloud intitiatieven leiden in de nabije toekomst hoogstwaarschijnlijk tot gestandaardiseerde governance, risk en compliance tools. Dit laat organisaties toe hun cloud projecten in lijn te laten lopen met alle wettelijke richtlijnen. Uiteraard start compliance met een correct begrip van de relatie die de organisatie aangaat met de cloud service provider. Het geheel van die relatie moet in detail beschreven worden in het contract met de provider. Indien dit contract niet voldoet aan de compliance behoeftes van de organisatie is het noodzakelijk extra SLA’s toe te voegen totdat het juiste compliance-niveau bereikt is. Aan de andere kant, als het cloud verhaal nieuw is voor een organisatie is het een goed idee eerste een pilot project op te starten, gebaseerd op niet-kritische data. Zo bouwt de organisatie ervaring op in het omgaan met de complexiteit van compliance in de cloud en in het onderhandelen over het juiste contract met de provider. Nieuwe prioriteiten De CIO moet moet altijd vooruit denken. SLA’s zijn niets waard wanneer de cloud van een cloud provider ‘uitvalt’ en niet lager operationeel is. De CIO moet garanties kunnen bieden over de business continuity van zijn organisatie, zelfs wanneer zo’n ‘worst case’ scenario’s zich voordoen. Het prioriteren van beveiliging is essentieel om succesvol te zijn in de cloud: het begrijpen van potentiële risico’s in een vroeg stadium en het permanent aligneren van beveiliging met de bedrijfsdoelstellingen.
Cloud computing, hoe zit het met de wetgeving?
Bij cloud computing worden IT infrastructuur en toepassingen gebruikt over het internet in de vorm van een dienst. Daarbij staan uw bedrijfsgegevens bij een externe partij. Per definitie is die data in de public cloud niet plaatsafhankelijk. De gegevens zijn wereldwijd beschikbaar. De cloud service provider kan de gegevens (ver)plaatsen over verschillende datacenters over de landsgrenzen heen. En dat kan heel wat consequenties hebben op juridisch vlak. Belang van cloud computing Cloud computing wordt stilaan gemeengoed bij bedrijven. De markt voor cloud computing groeit dit jaar opnieuw met 20% tot 25%, tot meer dan 70 miljard dollar wereldwijd. Hiervan wordt een groot deel gerealiseerd door KMO’s. Nu al wordt ongeveer 10% van alle nieuwe software geleverd als Software-as-a-Service modellen. Maar wat zegt de wetgever? Bij cloud computing geeft u een deel of uw volledige ICT in handen van een derde partij die (de zorgen over ) het beheer van uw gegevens voor u zal overnemen. Door het outsourcen van de gegevens verlegt u echter niet de verantwoordelijkheid naar de wetgever toe. Als bedrijf blijf u dus zelf volledig verantwoordelijk om aan alle wettelijke bepalingen, die de wetgever oplegt, te voldoen. Uw IT kan u outsourcen in de cloud, maar de verantwoordelijkheid hierover niet. Privacy wetgeving Een tweede aandachtspunt is de privacy. Bij zo goed als iedere cloud dienst zal u in één of andere vorm gegevens opslaan over klanten, leveranciers of business partners. De Europese richtlijnen, omgezet in de Belgisch wetgeving, is hierover bijzonder streng. Er staan bijzonder hoge boetes tegenover. De gegevens mogen enkel bewaard worden in landen die een strenge privacy garanderen. Op de lijst van goedgekeurde landen staan alle EU landen, Zwitserland, Lichtenstein, Noorwegen, Ijsland, Canada, Argentinië en Australië. Recent adviseerde adviesbureau Forrester zijn klanten expliciet om beter niet direct gebruik te maken van Amerikaanse Public Cloud providers omdat er onvoldoende privacy garanties zijn in de US door de Patriot Act.
Bekijk daarom aandachtig de volgende punten indien uw data onder de privacy wetgeving valt:
- Vestiging van de Cloud service provider Kijk goed na waar de service provider gevestigd is. Dit kan van belang zijn als er een juridisch conflict komt met de service provider. Het is makkelijker om iets juridisch af te dwingen bij een Belgisch of een Europees bedrijf.
- Bewaartermijnen van gegevens Worden alle gegevens bewaard volgens de wettelijke bewaartermijnen in België?
- bijv. 3 of 7 jaar voor boekhoudkundige documenten
- bijv. 5 jaar voor sociale documenten
- bijv. maximale bewaartijd van persoonsgegevens
- Locatie van de gegevens In het contract moet uitdrukkelijk beschreven staan waar uw gegevens bewaard worden ivm de privacy wetgeving.
- SLA In de Service Level Agreement staat beschreven:
- de beschikbaarheid van de dienst
- garanties naar de veiligheid van de gegevens
- procedures naar back-ups toe
- …. Kijk ook na of er boeteclausules zijn die deze garanties hard kunnen maken en wat de voorwaarden zijn om het contract te verbreken als de service provider (herhaaldelijk) de SLA’s niet nakomt.
- Mag uw service provider eenzijdig het contract verbreken ? Uiteraard wilt u niet dat de service provider uw diensten stopzet of uw gegevens gijzelt als er een conflict ontstaat (bijv. over een onbetaalde factuur).
- Wat gebeurt er bij het verbreken van het contract ? Als u dan toch het contract verbreekt moet ook beschreven staan wat er met uw gegevens zal gebeuren en hoe u die terug kan krijgen. Best wordt dit ook onderbouwt met een schadevergoeding als er toch gegevens zouden gewist worden. Bekijk ook welke procedure uw leverancier gebruikt om de continuïteit van zijn diensten te garanderen na de verbreking van het contract. Conclusie Cloud Computing biedt heel wat opportiniteiten om uw IT flexibeler en goedkoper te maken, maar laat u niet vangen door het jurische aspect. Wilt u geen onnodige risico nemen, laat u dan bijstaan door een jurist als u een contract afsluit met een Cloud service provider, zelfs al gaat het om een standaard contract.
Wat kost het om uit de Cloud te stappen?
De meeste cloud leveranciers vertellen u graag wat bepaalde onderdelen van bijvoorbeeld een IaaS oplossing kosten, zoals de opslag per megabyte. Maar het is aanzienlijk lastiger om te ontdekken hoeveel het kost om het contract te beëindigen. Die belangrijke stap in de levensduur van een cloud project wordt dikwijls vergeten. Informeer u dus goed.
Wat gebeurt er als uw cloudinformatie niet (meer) beschikbaar is?
Voor bijvoorbeeld uw eigen datacenter heeft u waarschijnlijk ook genoeg vragen over data recovery na een storing of hoge beschikbaarheid, maar van de cloud leverancier verlangt u echt meer specifieke informatie rond RPO en RTO. Omdat de SLA’s (service level agreements) van de verschillende aanbieders nogal kunnen verschillen, moet u er zeker van zijn dat er geen onduidelijkheden bestaan over de gegarandeerde uptime en hoe deze gemeten wordt. Dan pas kunt u besluiten of de voorwaarden goed genoeg zijn voor uw organisatie. –
Welke mogelijkheden hebben organisaties die moeten voldoen aan strenge beleidsregels?
Met name voor organisaties die zich moeten houden aan strenge beleidsregels is het weinig zinvol om IaaS te laten leveren door een publieke cloud aanbieder. Uiteindelijk is alles namelijk gedeeld, zelfs al is de data vanuit veiligheidsoogpunt gescheiden. Om deze reden zullen veel CIO’s interesse hebben in gemeenschappelijke clouds, waarbij bedrijven met vergelijkbare vereisten een “community cloud” delen. Dit kan enorme schaalvoordelen opleveren.
Welke mogelijkheden zijn er voor netwerk toegang en wat zijn de beperkingen?
Een van de grootste voordelen van de cloud is dat u via internet op iedere locatie bij uw data kunt komen. Natuurlijk wil u dan ook weten of u die data in de cloud kunt benaderen met mobiele apparaten, maar ook of uw aanbieder vpn’s of dedicated verbindingen ondersteunt. Dit geldt vooral voor organisaties in de financiële dienstverlening, die strengere regels hebben als het gaat om veiligheid en toegankelijkheid.
Hoe gaat u om met het overzetten van grote databestanden en wat kost het?
Hoewel het opzetten van een cloud omgeving meestal direct gebeurd is, kan het uploaden van de benodigde data een ander verhaal zijn. Als u bijvoorbeeld een database in de cloud wilt zetten die te groot is om over het netwerk te sturen, dan moet u wel rekening houden met extra kosten, de beschikbare mogelijkheden voor het laden van data en het samenwerkingsproces met uw aanbieder bij de migratie.
Hoe en vooral waar worden de back-ups gemaakt?
In een cloudomgeving moeten it’ers erop kunnen vertrouwen dat hun data niet alleen wordt gekopieerd, maar ook wordt opgeslagen op verschillende plekken en locaties. Bij een eventuele uitval van het datacenter of ander probleem moeten zij zeker weten dat de data toegankelijk blijft.
Mag ik mijn data in de cloud zetten in een andere EU land?
Dit is sterk afhankelijk van het type van data, immers wanneer het gaat over persoonlijke informatie zoals gegevens van patiënten, of financiële persoonsgegevens dan valt dit automatisch onder de Privacy wetgeving en gelden er nog andere regels. (Zie ook Cloud computing, hoe zit het met de wetgeving?) Belangrijk is om hierover duidelijke afspraken te maken met uw Cloud Provider met betrekking tot het eigendomsrecht van uw data, want ook hier is het op juridisch vlak vaak nog een onontgonnen terrein en zijn er meerdere regels van toepassing waar u rekening mee dient te houden. Vergeet ook niet dat hoe verder weg uw data staat, hoe lastiger het wordt om het (terug) in ontvangst te nemen, en ook de wetgeving in verband met waar uw informatie wordt opgeslagen scheelt van land tot land binnen en zeker buiten de Europese Unie ! Kortom dicht bij huis is (lijkt) veiliger, maar vergeet dan ook niet om een back-up scenario uit te werken.
Cloud versus ondernemersgedrag
De ontwikkelingen staan niet stil als we onze buren van over de Atlantische oceaan mogen geloven. Maar zijn wij er wel klaar voor, en vooral kunnen we met onze Cloud diensten in Belgie Everything As A Service al verkopen aan de potentiële klanten? Op deze site verzamelen we zoveel mogelijk Belgische initiatieven en soms wel eens iets van over de grens? Heb jij een toepassing? Een idee? Laat het dan even weten.
De public cloud is altijd beschikbaar
Niet waar. De recente dagenlange storing in de clouddienst EC2 van Amazon heeft aangetoond dat ook een cloud wel degelijk onderuit kan gaan. De Amazon cloud is echter gericht op lage tarieven zonder garanties over de uptime. Dat is op zich niet erg zolang deze cloud als testomgeving wordt gebruikt. Als het voor bedrijfskritische toepassingen wordt gebruikt zijn garanties juist van essentieel belang. Advies : kies voor een cloudleverancier die de beschikbaarheid garandeert middels een uitgebreide SLA. Of maak gebruik van meerdere cloudleveranciers zodat het risico wordt gespreid, of implementeer een Private Cloud waar meer eigen controle op de gebruikte technologieën en processen mogelijk is.
De Public Cloud is niet beveiligd
Voordat we hier weer beginnen met “Niet waar”, eerst een aantal vragen aan u. Hoe veilig is de data die op uw eigen server staat? Wordt deze dagelijks geback-upt en wordt de back-up buiten uw pand bewaard? Is de software op uw server altijd up-to-date en beveiligd met de laatste updates? Is uw server voldoende afgeschermd van uw internetverbinding? Is uw data nog bruikbaar bij stroomuitval, brand of diefstal? En zo ja, durft uw IT-manager dit ook allemaal te garanderen? Een cloud is ontworpen door professionals, draait op professionele apparatuur in zwaar beveiligde datacenters en wordt dagelijks beheerd door getrainde IT professionals. Is de cloud onveilig? Wij denken dat het antwoord is “Niet waar”. Maar vraag gerust na bij uw Cloud provider welke beveiligingstechnologieën hij toepast!
IaaS, SaaS & PaaS
Termen die veel gebruikt worden wanneer er over de hedendaagse cloud proposities wordt gesproken zijn SaaS, PaaS en IaaS. Met SaaS (Software as a Service) worden web-based applicaties bedoeld die direct via het internet aangeboden worden. De gebruiker heeft alleen een verbinding naar de omgeving, meestal via het internet, nodig om direct gebruik te kunnen maken van de applicatie. Denk hierbij aan applicaties als Hotmail, Facebook, Twitter en Salesforce. Bij PaaS (Platform as a Service) gaat de dienst verder. Er worden geen applicaties aangeboden, maar platformen als Linux of Windows. De Ondernemer krijgt de beschikking over de server die hij vervolgens verder naar eigen inzicht kan inrichten voor de gewenste doeleinden. Onderliggende infrastructuur als netwerkverbindingen, verbindingen met het internet en de resources als CPU, geheugen en storage worden naar behoefte afgenomen bij de provider. Als er voor IaaS (Infrastructure as a Service) wordt gekozen worden alleen de resources afgenomen. De ondernemer is vrij een eigen besturingsysteem te installeren op de afgenomen resources. Met name de laatste twee bieden voordelen van flexibiliteit en schaalbaarheid. Er hoeft niet zelf geïnvesteerd te worden in eigen apparatuur en men hoeft zich geen zorgen meer te maken over uitval van hardware, koeling of netwerkverbindingen. Hiervoor zorgt de cloudprovider, wel afhankelijk van de SLA die hij aanbiedt. Ook de schaalbaarheid heeft natuurlijk wel behoorlijke voordelen. Met name bij websites en webapplicaties is bij de eerste opzet de precieze belasting van de servers niet bekend. Vaak wordt daarom flink overgedimensioneerd bij het ontwerp van een omgeving waarin dedicated servers worden ingezet. Bij een cloudpropositie kunt u beginnen met wat op dat moment nodig is. Blijkt een server naar verloop van tijd meer resources nodig te hebben omdat de applicatie goed aanslaat, dan kunnen deze eenvoudig worden toegevoegd binnen de cloudserver.
Wat betekent cloud eigenlijk
In feite wordt met cloud alles bedoeld dat als IT dienst ergens op het internet aangeboden wordt. Bij sommige aanbieders wordt een enkele pc met virtualisatiesoftware “The Cloud” genoemd, andere aanbieders hebben volledig redundante omgevingen over minstens twee geografisch gescheiden locaties. Voor de ondernemer wordt het er niet makkelijker op om keuzes te maken en de verschillen helder te krijgen tussen deze oplossingen. Het gaat immers beide om “De Cloud”. De naam cloud is eigenlijk ook een nieuwe naam voor een behoorlijk oud model. Een jaar of 35 geleden werd er gewerkt met terminals die via een netwerkverbinding verbonden waren met mainframes. Programma’s werden op “de mainframe” uitgevoerd ‑de gebruiker had geen enkel idee welke mainframe- en de data werd op centrale storage opgeslagen. Over het verdere hoe en wat had de gebruiker zelden een idee. Ook als u kijkt naar het hosten van websites in een shared omgeving, zoals dat al jaren gebeurt, is het concept weinig anders. Als ondernemer neemt u een hostingpakket af bij een provider, u krijgt inloggegevens om data op een server te plaatsen en that’s it. Over welke server, welke hardware, welke harddisk etc. hoeft u zich als ondernemer niet druk te maken. Dat zijn zaken die de provider voor u regelt. Zullen we shared webhosting in het vervolg ook de cloud noemen? Tja, we maken eigenlijk met ons allen al jaren gebruik van de cloud! De formele definities van Cloud gaan echter iets verder dan het bovenstaande: meestal wordt er over 5 eigenschappen gesproken voordat we de term “cloud” kunnen gebruiken: elasticiteit (men kan snel en eenvoudig of zelfs automatisch doorschalen wanneer nodig), pay-per-use (ik betaal in functie van het gebruik zonder vaste kosten), de toegang tot de applicatie is via een netwerk, er wordt een gedeelde infrastructuur gebruikt waarop verschillende omgevingen co-existeren, en de dienst wordt on-demand geleverd, enkel wanneer en waar nodig. Als ondernemer is het belangrijk om cloudhosting als middel te zien, niet als doel op zich. Per case kan bekeken worden of het verstandig is om te werken met dedicated servers, virtuele servers uit de cloud of misschien zelfs om een eigen cloud (private cloud) te bouwen voor de gewenste omgeving. Is “The Cloud” een nieuw fenomeen dat onze wereld gaat veranderen? Wij denken van niet, het is eerder een verzamelnaam voor de evolutie van iets dat al geruime tijd bestaat: namelijk centraal aangeboden IT diensten via het internet. De “altijd online” mentaliteit maakt automatisch dat mensen het vanzelfsprekend gaan vinden alles via het internet te kunnen doen. Of dit nu om Twitteren gaat of om telewerken. De diensten binnen de verzamelnaam cloud bieden de middelen om dit te faciliteren.
Cloud is per definitie grensoverschrijdend
Niet waar. Public cloud computing kan grensoverschrijdend zijn, maar dat hoeft niet. Bij ‑bijvoorbeeld- Google en Amazon is dat vaak wel het geval. Maar er zijn genoeg cloudaanbieders die precies kunnen vertellen waar de data staat. Voor veel Belgische aanbieders geldt dat gegarandeerd wordt dat de data in lokale Belgische datacenters staat, waardoor de Belgische wetgeving ook van toepassing is. Privacy-issues spelen meestal eigenlijk alleen bij de aanbieders van gratis cloud-diensten*. Vaak staat daar in de voorwaarden vermeld dat ze gegevens mogen gebruiken om bijvoorbeeld gerichte aanbiedingen te sturen. Maar dat heeft op zich niets te maken met cloudcomputing. Het gaat hier om de toepassing die je gebruikt en de voorwaarden die de leverancier daaraan stelt. *Denk aan de Sony Playstation “hack”: niet bepaald een gratis dienst waarin ingebroken werd!
Waar staat de Cloud?
Het mooie van de Cloud is dat deze niet meer plaatsgebonden is. Het maakt dus niet uit of deze in België staat of daarbuiten. Of toch? Uw klanten zullen het een prettig idee vinden wanneer hun data gewoon lokaal staat, in een zichtbare en goed bereikbare datacenter dat ze ook nog eens van dichtbij kunnen bekijken. U kunt uw klanten immers meenemen naar het datacenter om ze dit te laten zien. Technisch gezien betekent een Cloud buiten België ook vertraging en mogelijke performance problemen (Latency). Tot slot werkt het voor u waarschijnlijk wel zo prettig dat u een Belgische Cloud provider gewoon kunt bereiken in het Nederlands en geen last heeft van slechte bereikbaarheid door de afwijkende tijdzones.
Kunt u van de ene Cloud naar een andere verhuizen?
Mogelijk wilt u op een later tijdstip kiezen voor een andere aanbieder van Cloud oplossingen . Het is daarom belangrijk om bij het aangaan van het contract afspraken te maken over hoe u kunt verhuizen naar een andere aanbieder. Over het algemeen werken Cloud providers met korte contracttermijnen van een maand of korter. Kijk ook naar de gebruikte software en het data formaat, en of die ook door andere Cloud providers wordt ondersteund. Dat betekent dat u technisch gezien eenvoudig kunt verhuizen naar een andere aanbieder die dit biedt. Spreek ook met de Cloud provider af dat u op verzoek een kopie van uw Cloud omgeving kunt opvragen zodat u eenvoudig kunt overstappen.
Op welke infrastructuur kan de Cloud gebaseerd zijn?
De ene Cloud is de andere niet. Technisch gezien kunt u twee computers die in een kantoor in een netwerk hangen ook al een Cloud noemen. Maar als u uw bedrijfskritische applicaties wilt hosten is het goed om kritische vragen te stellen over de gebruikte techniek en architectuur. Een échte Cloud kenmerkt zich door redundantie, waardoor de hoogst mogelijke uptime gegarandeerd kan worden. Een Cloud wordt minimaal gehost in twee fysiek gescheiden datacenters die onderling verbonden zijn via redundante glasvezels. De beveiliging, netwerkinfrastructuur, klimaatbeheersing en stroomvoorziening moeten goed in orde zijn. Let er ook op dat de gebruikte techniek en software van gerenommeerde leveranciers afkomstig zijn. Dit geeft de beste garanties voor de continuïteit en kwaliteit. Voor meer details zie ook de Partner pagina’s.
Welke garanties kan de leverancier van Cloud oplossingen u minimaal geven?
Niet alle toepassingen hebben een extreem hoge uptime nodig. Ga na welke garanties u wilt hebben voor uw toepassing en kijk kritisch naar de garanties die een Cloud leverancier geeft. Een Cloud service provider moet een uitgebreide SLA bieden waarin alle componenten beschreven zijn en garanties worden gegeven. Omdat er vaak bedrijfskritische informatie wordt opgeslagen is het ook belangrijk om te weten hoe er met de beveiliging van uw data wordt omgegaan. Ook de beveiliging van informatie is belangrijk. Door het inrichten van een information security management systeem (ISMS) volgens de ISO 27001 standaard wordt de beschikbaarheid, integriteit en vertrouwelijkheid gewaarborgd van informatie en systemen die klanten bij een Cloud provider hebben ondergebracht.
Wat is de impact op uw organisatie wanneer de Cloud niet functioneert?
Wanneer u uw diensten op basis van Cloud Computing verkoopt, wordt uw bedrijfsvoering afhankelijk van de werking hiervan. Het is daarom belangrijk om vooraf een risicoanalyse te maken; wat is de impact bij u en/of uw klanten bij storingen in de Cloud? Rekent u eens uit wat een storing van 4 uur u en uw klanten kost. Denk hierbij ook aan omzetverlies, schadevergoedingen en imagoschade. Cloud diensten kenmerken zich door een hoge mate van flexibiliteit. Dat wil dus ook zeggen dat u zelf aan kunt geven op welk niveau u zekerheid wenst. Cloud diensten worden op een platform gebouwd waarmee op alle niveaus reeds een zeer hoge beschikbaarheid gegarandeerd kan worden. Maar voor uw dienstverlening is iedere minuut dat uw diensten niet beschikbaar zijn van groot belang. Kies daarom voor extreem hoge zekerheid op basis van een High Availability variant, of zelfs voor een Fault Tolerant variant die gegarandeerd 99,99% beschikbaarheid kan leveren.
Welke (technische) ondersteuning heeft u nodig , en wie beheert deze Cloud infrastructuur?
U heeft wellicht niet de specifieke kennis in huis die nodig is voor hosting van software of ICT diensten, of maakt bewust de keuze om dit uit te besteden. U kunt er voor kiezen om alleen virtuele servercapaciteit te huren vanuit de Cloud. Dat betekent dat de Cloud provider zorg draagt voor beheer van de Cloud infrastructuur, maar dat u zelf zorgt voor de installatie van het OS en het beheer daarvan. Sommige Cloud providers gaan echter een stap verder en kunnen dit ook voor u uitvoeren, zodat u verzekerd bent van een goed werkend systeem tot en met het OS. Patches en updates, monitoring en pro-actief beheer worden dan volledig verzorgd door systeembeheerders, zodat u zich kunt concentreren op het leveren van uw eigen diensten.
Welke groei kan u verwachten, en zijn er fluctuaties mogelijk?
Eén van de voordelen van het gebruik van Cloud computing is de flexibiliteit waarmee extra capaciteit bijgeschakeld kan worden, of juist gereduceerd kan worden. Zeker wanneer u net start met een nieuwe gehoste dienst is nog moeilijk in te schatten welke capaciteit nodig is. Dat betekent dat wanneer u zelf een hostingplatform wilt gaan neerzetten, u een schatting moet maken en moet investeren in hardware die klaar is voor de te verwachten groei. Daarmee loopt u onnodig risico wanneer de groeicijfers onverhoopt tegenvallen. Bij een Cloud provider huurt u alleen de capaciteit die u direct nodig heeft. Later bijschakelen of terugschakelen kan, waardoor u flexibel blijft en niet onnodig hoeft te investeren. Pay as you grow!
Wat kunnen de redenen zijn om voor Cloud te kiezen?
Het is goed om te weten wat voor u de belangrijkste redenen zijn om een keuze te maken voor Cloud oplossingen. Mogelijke redenen zijn flexibiliteit, kostenbesparing, extra mogelijkheden, hoge betrouwbaarheid, verbeterde productiviteit, outsourcing, etc. Afhankelijk van uw antwoord kan de Cloud provider beter inspelen op uw specifieke behoeften.
Wanneer u gebruik maakt van de Public Cloud zit u vast aan de Leverancier.
Niet waar. Flexibiliteit is één van de voordelen van het gebruik van cloud computing en dat betekent niet alleen dat u eenvoudig capaciteit kunt uitbreiden of juist verminderen. Het betekent ook dat u niet vast hoeft te zitten aan één leverancier. U blijft zelf eigenaar van uw data, maar het is wel raadzaam om dit ook eerst op papier te laten zetten. Wanneer u in zee gaat met een cloud provider moet u er natuurlijk wel op letten dat dit ook gegarandeerd wordt en dat u uw data eenvoudig over kan zetten naar een andere leverancier. Pertinente vragen hierrond gaan over het gebruikte data formaat, en of dit compatibel is met andere providers.
De Public Cloud kost de huidige IT Manager zijn job?
Dat hoeft niet. De rol die een IT manager speelt zal echter wel veranderen. Applicatiebeheer zal blijven bestaan, maar hardware en software installatie- en onderhoud zullen meer en meer doorgeschoven worden naar de IT manager. Hierdoor blijft tijd over voor belangrijkere zaken, zoals een strategische focus op hoe IT kan helpen bij het genereren van meer business. Het zal ook meer en meer gaan over het samenbrengen van verschillende applicaties die op verschillende clous draaien, dit meestal naast een bestaande in-huis “legacy” omgeving. De IT manager wordt een dirigent die het orkest van clouddiensten tot een harmonisch geheel vormt!
De performance en betrouwbaarheid van een Cloud kan niet gegarandeerd worden.
Niet waar. Er zijn reeds verschillende aanbieders die keiharde garanties bieden met betrekking tot de uptime en performance van een public cloud omgeving, door middel van Service Level Agreements (SLA’s). In het geval van een private cloud zal deze gedimensioneerd en uitgerust worden om voldoende capaciteit en beschikbaarheid te kunnen garanderen.
Virtualisatie is hetzelfde als Cloud computing.
Niet waar. Servervirtualisatie is weliswaar vaak onderdeel van cloud computing, maar er is meer. Wanneer er één dedicated server wordt gebruikt om meerdere virtuele servers op te draaien dan is dat nog geen cloud computing. Uitval van de server betekent immers dat de gevirtualiseerde servers ook uitvallen, en voor uitbreiding van de geheugencapaciteit zal de server ook eerst uitgeschakeld moeten worden. Bij een cloud staat de hardware los van de applicaties of IT services. Uitval of upgrade van een server hoeft dan geen gevolgen te hebben voor de uptime van de applicaties die daarop draaien. Maar let op! Dit is niet bij alle cloudoplossingen het geval. Informeer dus altijd bij de aanbieder welke garanties worden gegeven.
Bij de Public Cloud weet u niet waar uw data precies staat?
Dat is niet altijd waar. Een cloud provider die in meerdere datacenters wereldwijd zijn data opslaat kan de locatie van uw data vaak niet garanderen. Er zijn echter genoeg providers die u precies kunnen vertellen in welk datacenter en op welke storage omgeving uw data staat.
De Cloud is een hype.
Niet waar. Dat de cloud in het middelpunt van de belangstelling staat is waar, maar het is wel een technologie “which is here to stay”. In feite is cloud computing niets meer of minder dan “een nieuwe naam voor een oud model”. Misschien dat het in de toekomst een nieuwe naam krijgt, maar de gebruikte technieken zullen zonder twijfel ook in de toekomst gebruikt worden.
Wat moet u eigenlijk investeren?
Voor public cloud: meestal niets, immers Capex wordt Opex. Het kan wel zijn dat er eventuele setup kosten worden aangerekend, of dat er eenmalige activerings- of licentiekosten zijn. Dit is vaak afhankelijk van het type Cloud oplossing en de Service provider. Een private cloud oplossing die in eigen beheer komt vereist wel een infrastructuur investering in server, storage en netwerksystemen zowel als management software.
Een Cloud is een Cloud?
Niet waar. “De cloud” is eigenlijk een verzamelnaam, net zoals “de mens”. Er zijn allerlei maten, soorten en types mensen. Bij cloud computing is de diversiteit ook groot, maar wel in te delen in verschillende lagen, modellen en aanbieders.
- Ten eerste zijn er bij cloud computing drie verschillende lagen te onderscheiden: IaaS, PaaS en SaaS. IaaS is de onderste laag die bestaat meestal uit gevirtualiseerde infrastructuur zoals servers, storage en netwerkapparatuur. De laag daarboven (PaaS) zorgt voor een platform waarop softwareontwikkelaars hun eigen applicaties kunnen bouwen. SaaS is de laag waarop applicaties worden aangeboden. Een voorbeeld van SaaS is bijvoorbeeld webmail of Salesforce.
- Ten tweede zijn er verschillende modellen : Private, Public en Hybride. Een Private cloud is een cloudomgeving die door één bedrijf wordt gebruikt, en deze kan in het eigen datacenter of in een shared datacenter gehost worden, volledig in eigen beheer of in outsourcing. Bij een Public cloud wordt de omgeving gedeeld door meerdere afnemers, uiteraard zonder dat ze op elkaars omgeving kunnen kijken. Een Hybride cloud is een combinatie tussen een Private en Public cloud.
- Ten derde zijn er natuurlijk verschillende aanbieders van cloud diensten. Dat varieert van zeer grote spelers die wereldwijd diensten aanbieden, zoals Google en Amazon, tot datacenters met een lokaal cloud aanbod. Elke aanbieder onderscheidt zich in aanbod, prijs en kwaliteit.
Capex versus Opex een veelgehoorde uitdrukking bij Cloud computing, maar wat betekend dit nu juist?
Kapitaaluitgaven (CAPEX of capex) zijn uitgaven of te creëren toekomstige uitkeringen. Kapitaal uitgaven worden gedaan wanneer een bedrijf geld uitgeeft, hetzij om vaste activa te kopen of om toe te voegen aan de waarde van bestaande vaste activa met een levensduur die verder reikt dan het belastbare jaar. Capex worden gebruikt om een bedrijf te verwerven of fysieke activa te upgraden, zoals apparatuur, onroerend goed, of industriële gebouwen. Operationele kosten, huishoudelijke uitgaven, de operationele uitgaven of OPEX zijn de lopende kosten voor het runnen van een product, bedrijf, of het systeem. Haar tegenhanger, de kapitaaluitgaven (CAPEX), zijn de kosten van de ontwikkeling of het verstrekken van niet-verbruikbare onderdelen voor het product of systeem. Bijvoorbeeld de aanschaf van een kopieerapparaat is de CAPEX, en de jaarlijkse kosten voor papier en toner is de OPEX. Voor grotere bedrijven, kunnen OPEX ook de kosten van de werknemers en facilitaire kosten zoals huur en nutsvoorzieningen zijn.
De vijf basisvoorwaarden om over “echte” Cloud te kunnen praten.
De vijf essentiële bouwstenen van cloud-diensten zijn de leidraad voor de evaluatie van aanbiedingen van cloudleveranciers. Het gaat dan om:
- On demand self-service : de mogelijkheid om unilateraal, zonder menselijke tussenkomst van de leverancier, de computercapaciteit te kunnen aanpassen.
- Broad network access : de beschikbaarheid en toegankelijkheid van de dienst op allerlei toestellen, van smartphone tot werkstation.
- Resource pooling : hoe gaat de leverancier om met het poolen van opslag, processing, geheugen en bandbreedte voor al zijn klanten?
- Rapid elasticity : de schaalbaarheid,de mogelijkheid om snel capaciteit aan te passen aan de vraag van het moment.
- Measured service : de transparantie van de clouddienst door monitoring, controle en rapportering.
Backups en “no data loss” garantie inclusief (RPO & RTO)?
Meestal wordt er als extra optie (lees tegen betaling) een backup aangeboden bij de meeste Cloud Service Providers, maar sommige bieden u ook een “no data loss” garantie. Deze garantie wordt dan aangeboden door uw gegevens tussen twee afzonderlijke datacenters te repliceren. Maar de aangeboden garantie zegt echter niets over de RTO (Recovery Time Objective) en/of RPO (Recovery Point Objective). Zorg daarom dat u goed begrijpt welke vorm van garantie er hier wordt aangeboden en vooral wat daar de gevolgen van kunnen zijn voor uw data en omgeving.