De weg naar de cloud is gecompliceerder dan het simpelweg migreren van de infrastructuur en applicaties naar een nieuwe omgeving. Zeker gevestigde bedrijven met een lange geschiedenis hebben te maken met legacy applicaties. En met systemen die niet naar een publieke of private cloud kunnen. Soms staan compliancy-eisen een beoogde migratie zelfs in de weg. Hoe ziet een gecontroleerde ‘cloud journey’ er dan uit?
We kennen natuurlijk al bedrijven die volledig in de cloud werken. Toch maken de meeste organisaties per workload een keuze tussen wel of niet ‘naar de cloud’. In Nederland zijn het met name databasehosting, opslag van data, crm, e-mail en andere kantoorapplicaties die naar de cloud verhuizen. Dit blijkt uit cijfers van The METISfiles.
Cloud of on-premise?
Het is een van de belangrijkste vragen die een CIO bij een migratie naar de cloud moet beantwoorden. Welke workloads komen in aanmerking voor een verhuizing naar een publieke cloud. En welke vooral ook niet? Wanneer is een private cloud de beste optie?
Bij de genoemde vragen speelt een aantal overwegingen een rol:
- De mate van controle. On-premise IT en tot op zekere hoogte ook de private cloud heeft u zelf onder controle. Die controle heeft u niet in de publieke cloud. Zo delen de aanbieders van publieke clouddiensten meestal geen details over performance en systeemefficiëntie van de onderliggende infrastructuur.
- Kosten. De publieke cloud maakt uitgaven aan hardware overbodig. Daar staan variabele operationele kosten tegenover. Welk model – publieke cloud, private cloud of on-premise – uiteindelijk goedkoper is hangt sterk af van uw gebruik van een clouddienst.
- Wet- en regelgeving. Een organisatie die bijvoorbeeld persoonsgegevens niet buiten Europa mag opslaan, zal niet snel kiezen voor de publieke cloud. Als u in zee gaat met aanbieders van publieke clouddiensten is de kans immers groot dat data op Amerikaanse servers terechtkomen. Een kanttekening is daarbij wel op zijn plaats. Bij steeds meer van dit soort aanbieders kunnen klanten aangeven dat bepaalde workloads alleen in Europese datacenters mogen draaien.
- Onderhoud. In de publieke cloud draagt de provider zorg voor het onderhoud van de hardware. Als klant heb je daar geen omkijken naar. In de private cloud moet je daar op zijn minst afspraken over maken.
- Databeveiliging. Er zijn nog geen gevallen bekend van grootschalig dataverlies bij cloudproviders. Mocht het toch misgaan, dan bepalen de meeste Service Level Agreements (SLA’s) echter dat niet de provider maar de klant verantwoordelijk is voor het dataverlies. Dit kan een reden zijn om gevoelige data in een private cloud of on-premise te houden.
- Schaalbaarheid. Voor het opschalen van de capaciteit ben je in de private cloud afhankelijk van de beschikbare hardware. In de public cloud is de schaalbaarheid om pieken in de vraag op te vangen vrijwel onbeperkt.
- Performance. Waar presteren applicaties of data het best? De bandbreedte van de verbinding met de cloud heeft altijd beperkingen. Dit kan een reden zijn om een workload die veel bandbreedte vergt on-premise te houden.
Datagevoeligheid en kosten
Over het algemeen laten veel bedrijven de keuze tussen cloud en on-premise afhangen van de gevoeligheid van de data en de vraag naar een dienst en daarmee de kosten. In de publieke cloud zijn virtuele machines per dag of per uur af te nemen. Die mogelijkheid wordt kostentechnisch minder aantrekkelijk als u 24 uur per dag en zeven dagen per week gebruikmaakt van de virtuele machines voor een workload die grote hoeveelheden data met zich meebrengt. Dan kan het goedkoper zijn om virtuele machines te draaien op eigen hardware.
Het punt van datagevoeligheid ligt iets complexer. De bekende aanbieders van publieke clouddiensten hebben veel geïnvesteerd als het gaat om security. Ze kunnen zich geen incidenten veroorloven. Wet- en regelgeving, de aansprakelijkheid bij een incident en de controle die een klant heeft over een IT-omgeving, kunnen toch redenen zijn om voor een private cloud of on-premise IT te kiezen.
Een afweging over de assen van ‘datagevoeligheid’ en ‘demand’ leidt ertoe dat bijvoorbeeld een marketingwebsite uitstekend geschikt is voor een migratie naar een publieke clouddienst. De data op zo’n website moeten publiekelijk beschikbaar zijn. Daarnaast kent het bezoek pieken en dalen die een publieke cloud goed opvangt. Een ander verhaal wordt het als u een platform zoekt voor een database met gevoelige data die eigenlijk ieder uur van de dag even zwaar wordt belast. On-premise is dan misschien een betere optie.
Data overal veilig
In de praktijk komt het erop neer dat u per type workload het beste platform selecteert. Vaak komt u dan terecht in een ‘multicloudscenario’ waarin u samenwerkt met verschillende aanbieders van publieke en private clouddiensten. In die multicloud moeten data en systemen snel beschikbaar zijn, en bovendien veilig, ongeacht waar de IT-assets staan.
Aspecten waar u rekening mee moet houden zijn:
- Beveiligingsplan
Werk voorafgaand aan een migratie al een beveiligingsplan uit om ervoor te zorgen dat data en systemen tijdens en ook na de migratie veilig zijn. Per type workload moet u nadenken over de dreigingen waaraan uw cloudassets mogelijk blootstaan, welke beschermende maatregelen van een provider verwacht u en welke additionele maatregelen moet u zelf treffen? Evalueer wat de beoogde providers doen om risico’s te beperken, hoe ze incidenten rapporteren en welke hulp ze bieden bij een disaster recovery.
- Wet- en regelgeving
Beoordeel ook of een cloudprovider compliant is met de wet- en regelgeving waar u mee te maken heeft. De Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 van kracht gaat, stelt ook dat u zelf de verantwoordelijkheid heeft om de privacybescherming en informatieveiligheid te controleren als een cloudprovider namens u persoonsgegevens verwerkt. Dit betekent dat u zelf moet nagaan waar de provider data opslaat en verwerkt. En of de cloudtoepassingen voldoen aan uw privacy- en beveiligingseisen en of persoonsgegevens eenvoudig zijn wissen en over te dragen.
- Bewerkersovereenkomsten
Sluit bewerkersovereenkomsten af met providers die namens u persoonsgegevens verwerken. Hierin staan onder andere de wijze waarop de gegevens worden beveiligd, de afspraken die zijn gemaakt over het uitvoeren van periodieke audits. En de locatie waar de persoonsgegevens worden opgeslagen.
- Controle behouden
Een andere uitdaging voor CIO’s is dat het gecreëerde geheel blijft voldoen aan de corporate policy’s. En kan meebewegen met nieuwe marktontwikkelingen. Daarvoor is het onder andere nodig om de rechten die gebruikers in de cloud hebben aan banden te leggen. Als gebruikers zelf met de creditcard clouddiensten kunnen aanschaffen of extra VM’s kunnen uitrollen, leidt dit al snel tot een wildgroei. Iedere nieuwe cloudapplicatie moet zijn geautoriseerd zodat het gebruik ook kan worden gemonitord.
Maar om de controle te behouden, zijn ook additionele tools onmisbaar. Ook in de cloud hebben CIO’s bijvoorbeeld behoefte aan dashboards die inzichtelijk maken hoe clouddiensten en -applicaties de dagelijkse gang van zaken beïnvloeden. Marktonderzoekers voorspellen dan ook dat de markt voor ‘Cloud Management Platforms’ de komende jaren met tientallen procenten groeit.
Een voorbeeld van zo’n tooling is ‘Integration Platform-as-a-Service’ (IPaaS). Dit platform zorgt voor een naadloze integratie van cloud- en on premise-oplossingen zodat systemen in de multicloud optimaal met elkaar kunnen communiceren en data veilig worden uitgewisseld. Of denk aan orchestratietools om bijvoorbeeld rechten te kunnen toekennen, de compliance te controleren en de financiën onder controle te houden. Anders komen er rekeningen binnenrollen zonder dat iemand weet waarvoor en voor wie. Een multicloud die ontaardt in een ‘multichaos’ is voor niemand prettig.
Bryan Croes, Account CTO bij T-Systems Nederland
