Software defined heeft invloed op de hele datacenter. Leer je klanten kennen via de cloud. Jaargang 5, nr. 3 / 2014

Transcriptie

1 a lles ov er innovat ie in ic t w w w.cloudworks.nu Jaargang 5, nr. 3 / 2014 Onderzoek Macaw: Bedrijven denken veel beter na over cloud-strategie Software defined heeft invloed op de hele datacenter stack Leer je klanten kennen via de cloud En verder Zin en onzin over PRISM, Patriot Act en Wet bescherming persoonsgegevens DCIM van groot belang voor beschikbaarheid datacenter Cloud broker moet public cloud-diensten zorgvuldig selecteren DevOps stuwt agile softwareontwikkeling Gregor Petri over The Billionaire Boys Club

2 Cloud talk Sharing 74% van de Nederlandse organisaties vindt dat de EU wet- en regelgeving meer cloudobstakels levert dan de Patriot Act en de NSA bij elkaar. Zo blijkt uit onderzoek naar de impact van Snowden s onthullingen dat analistenbureau Pb7 Research in opdracht van Macaw heeft uitgevoerd. Heeft u onlangs nog even bij Netflix gekeken? Ik bedoel dan niet bij de tv-series en films die deze firma aanbiedt, maar op hun blog. Of beter gezegd: de blog die gericht is op de technologieontwikkeling die het bedrijf in eigen beheer doet. De afgelopen jaren heeft Netflix namelijk een aantal zeer interessante tools ontwikkeld voor het verbeteren van de IT-omgeving die het bedrijf gebruikt voor het on-demand aanbieden van zijn programma s. Die luisteren naar fraaie namen als Chaos Monkey, Hysterix of Scryer. Op The Netflix Tech Blog wordt uitgebreid geschreven over het hoe en waarom van deze tools. Opmerkelijk hierbij is dat Netflix zijn zelfgebouwde tools in veel gevallen als open source aan anderen beschikbaar stelt. Netflix is daarmee een goed voorbeeld van een trend richting sharing die we bij steeds meer bedrijven zien. Het gaat daarbij steevast om ondernemingen waarvan het business model zwaar leunt op technologie. In het geval van Netflix gaat het om tools die bedoeld zijn om bijvoorbeeld de stabiliteit en voorspelbaarheid van Amazon Web Services verder te verbeteren en uit te breiden. Zo begint Scryer waar de functionaliteit van Amazon s Auto Scaling ophoudt. Waar Amazon s tool in staat is om in realtime metingen te verrichten en - indien nodig - instances op de gemeten waarden aan te passen, is Scryer juist bedoeld om voorspellingen te doen over de capaciteitsvraag en instances hierop voor te bereiden nog voordat zo n piek of vraagvermindering zich daadwerkelijk voordoet. Scryer is in eigen beheer gebouwd en is sinds kort ook als open source-tool beschikbaar voor iedereen die behoefte heeft aan deze functionaliteit. Waarom doet Netflix dit? De reden is eigenlijk heel eenvoudig. Het concern maakt nadrukkelijk gebruik van Amazon s datacenterdiensten. De tools die Amazon levert bieden echter onvoldoende functionaliteit. Door sommige extra features zelf te ontwikkelen en vrij te geven, hoopt het bedrijf dat andere AWSgebruikers hetzelfde zullen doen. En dat gebeurt in de praktijk dus ook. Amazon faciliteert dit soort processen bovendien. Hierdoor ontstaat niet alleen een mooi ecosysteem voor Amazon, maar - of misschien wel: vooral - ook voor de AWS-klanten zelf. Sharing is daarmee dus een belangrijke methode geworden om tot innovatie te komen. Netflix kan nu eenmaal niet in eigen beheer de volledige infrastructuur ontwikkelen en bouwen die het nodig heeft voor uw en mijn abonnement van 9,95 euro. Daarvoor ontbreekt het geld en de mankracht. Maar door samen te werken met andere tech heavy AWS-klanten kan iedere partij zich concentreren op het ontwikkelen van tools die men het hardst nodig heeft. Andere nuttige tools krijgt men vervolgens via andere AWS-gebruikers in de vorm van open source-oplossingen aangereikt. Dat is een slimme manier van innoveren: meer doen met minder op basis van sharing. Robbert Hoeffnagel Colofon In CloudWorks staat innovatie centraal. Met traditionele ICT-omgevingen is het steeds moeilijker om de business goed te ondersteunen. Innovatieve oplossingen op het gebied van bijvoorbeeld cloud computing, mobility, Big Data, software defined datacenters en open source kunnen echter helpen om de IT-omgeving ingrijpend te moderniseren en klaar te maken voor de toekomst. Uitgever Jos Raaphorst jos@fenceworks.nl Twitter: LinkedIn: nl.linkedin.com/pub/dir/jos/raaphorst Hoofdredacteur Robbert Hoeffnagel robbert@fenceworks.nl Twitter: LinkedIn: nl.linkedin.com/in/robberthoeffnagel Facebook: robbert.hoeffnagel Advertentie-exploitatie Will Manusiwa will@fenceworks.nl Eindredactie/traffic Ab Muilwijk Vormgeving Studio Kees-Jan Smit BNO Druk Control Media Kennnispartners: Data Centre Alliance, EuroCloud Nederland, Green IT Amsterdam 2014 CloudWorks is een uitgave van FenceWorks BV. CloudWorks - nr. 3 /

3 inhoud CloudWorks - nr. 3 / 2014 Bedrijven denken veel beter na over cloud-strategie De onthullingen van Edward Snowden hebben een zeer gevoelige snaar geraakt bij Nederlandse organisaties, concludeert analist Peter Vermeulen op basis van een onderzoek dat Pb7 Research in opdracht van Macaw heeft gehouden. Toch wordt de soep niet zo heet gegeten als hij wordt opgediend. Amerikaanse cloud-omgevingen worden nog steeds volop gebruikt. Wel zijn Nederlandse organisaties beter gaan nadenken over de vraag welke data zij in de cloud willen plaatsen en vooral ook: welke niet. Zin en onzin over PRISM, Patriot Act en Wet bescherming persoonsgegevens In deze editie van CloudWorks constateert analist Peter Vermeulen op basis van een onderzoek dat Pb7 Research in opdracht van Microsoftspecialist Macaw heeft uitgevoerd dat Nederlandse organisaties weliswaar flink geschrokken zijn van alle ophef rond Edward Snowden en het NSAschandaal, maar dat van radicale wijzigingen in het IT-beleid vooralsnog geen sprake is. Misschien heeft dat ook te maken met het feit dat veel Nederlandse organisaties slechts een beperkte kennis hebben van de Nederlandse Wet bescherming persoonsgegevens en de Amerikaanse Patriot Act. Allen & Overy zet samen met Schuberg Philis in een onlangs verschenen rapport de consequenties van de wet- en regelgeving op een rij. 18 DevOps stuwt agile softwareontwikkeling 24 Het agile ontwikkelen van applicaties kan zich verheugen in een steeds grotere belangstelling. Dat is niet zo vreemd, omdat methoden als scrum het mogelijk maken zeer snel (delen van) IT-applicaties af te leveren, en een korte time-to-market kan voor de business het verschil maken tussen succes en falen. Door zijn karakter laat agile ontwikkelen zich echter lastig automatiseren. Tijdens de zeer druk bezochte DevOps Summit in Amsterdam liet CA zien enkele vergaande tools te hebben gebouwd die collaboratief agile ontwikkelen en release management vergemakkelijken. Cloud broker moet public cloud-diensten zorgvuldig selecteren Naast hun rol van aanbieder van private cloud-diensten, zullen veel IT-afdelingen zich steeds meer ontwikkelen tot een broker van public cloud services. De vraag is dan alleen wel: hoe kunnen we tot een goede beoordeling van dit soort diensten komen? Rex Wang, vice president product marketing bij Oracle, denkt dat we naar minstens vier aspecten moeten kijken om tot een weloverwogen selectie te kunnen komen. En verder 7 Gregor Petri over The Billionaire Boys Club 8 Application Performance Management cruciaal voor succes e-commercesites en applicatie 13 DCIM van groot belang voor beschikbaarheid datacenter 22 Leer je klanten kennen via de cloud 26 IPM-specialist Virtual Instruments breidt uit naar Nederland 28 Louis van Garderen over vreemd vermogen 30 Dassault Systèmes stimuleert co-creatie in de cloud 32 Service Now lanceert Configuration Automation 34 Zo eenvoudig is een DNS cyberaanval, zo eenvoudig is de verdediging 38 Software defined heeft invloed op de hele datacenter stack 44 Nieuws van EurocloudNL 42 Legal Look Go! CloudWorks - nr. 3 /

4 Tune into the Cloud The Billionaire Boys Club door Gregor Petri PAST ALTIJD CLOUD COMPUTING ZONDER POESPAS Over de cloud wordt vaak erg ingewikkeld gedaan. Bij Ctac houden we het graag helder. Waar het om gaat, is dat al uw processen en applicaties altijd beschikbaar zijn. Dát is ons specialisme. De basis is een open platform waarin we uw business applicaties integreren, terwijl u de volledige regie houdt. U werkt zoals u graag werkt en wij zorgen ervoor dat uw platform groeit als het nodig is, maar ook net zo makkelijk weer krimpt. Daarbij denken we als strategisch partner mee over de te volgen koers, zodat u vandaag alweer klaar bent voor morgen. Kortom, de cloud zoals de cloud bedoeld is. Neem geen genoegen met minder. cloud.ctac.nl Nog niet zo lang geleden hadden ondernemers meerdere eeuwen of minstens decennia nodig om een valuatie van een miljard te bereiken en zo lid van de exclusieve Billionaire Boys Club* te worden. Families zoals de Rothschild s, de Wallton s of de Brenninkmeijer s hebben weliswaar indrukwekkende vermogens opgebouwd, maar doordat dit meerdere generaties duurde is het inmiddels aardig verdund over broers, zonen, dochters, nichtjes en zelfs achter-achter-neven. Met de komst van eerst IT, toen Internet en inmiddels de Cloud is dit significant veranderd. In een paar jaar creëren bedrijfjes met slechts 13 of een kleine 50 medewerkers vermogens waar gerenommeerde bedrijven en wereldberoemde artiesten alleen maar van kunnen dromen. Die versnelling is nog pregnanter wanneer we kijken naar applicaties die zich richten op de Nexus van Social, Mobile, Cloud en Analytics (SMAC) zoals Instagram, Tumbler en meest recent natuurlijk WhatsApp. Er is dan ook veel belangstelling voor de tipparade, de lijst met bedrijven, zoals Spotify, Deezer, Snapchat etc. die wellicht de volgende wereldwijde hit gaan vormen. Het voorspellen van zo n hit Nexus of SMAC applicatie blijkt overigens even moeilijk als het voorspellen van een hit in de muziekindustrie. Zelfs experts komen vaak niet verder dan algemene wijsheden zoals: Wat goed is, komt snel of You ll know a hit, when it smacks you in the face. Voor grote bedrijven met duizenden medewerkers is dat geen acceptabele strategie, vandaar dat men innovatie probeert te institutionaliseren middels strategieën. Een van die strategieën is Lean StartUp (naar het gelijknamige boek). Hierbij probeert men in extreem korte tijd een minimaal levensvatbaar product te lanceren om dit vervolgens razendsnel naar een verbeterd of zelfs compleet nieuw product te laten evolueren. Anderen kiezen de aanpak van zogenaamde Digital Skunk Works. Het opzetten van een eigen start-up, liefst ver van het hoofdkantoor (om zo min mogelijk last te hebben van pottenkijkers of vertragende processen) die - vaak in samenwerking met partners van allerlei pluimage - een hit proberen te creëren. Het mantra hierbij is Fail Fast. Als 99 van de 100 ideeën falen, dan is het immers beter deze snel te laten falen - voordat ze bakken met geld kosten. Overigens geldt die Need for Speed niet alleen voor technologiebedrijven. Nu we aan de vooravond staan van de Digital Industrial Economy (DIE) zullen steeds meer bedrijven en organisaties (in media en entertainment, in de financiële sector, in de gezondheidszorg, in lokale en centrale overheid) waarde toevoegen via digitale momenten. Momenten waarop analyse van (vaak sociale en mobiele) informatie razendsnel wordt gebruikt om via de cloud nieuwe digitale services aan te bieden. Nieuwe services met hopelijk voldoende hitpotentieel. * Een artiest die mee kan praten over hoe moeilijk het is om zelf een hit te creëren, is Pharrel Williams, de man achter het Billionaire Boys Club album-tape en de gelijknamige kledinglijn. Een album waar overigens geen een hit op stond. Niet dat Pharrel geen hit potentieel heeft. Dankzij zijn markante stem en inbreng scoorden artiesten als Mika, Daft Punk, Britney Spears, Snoop Dogg en vele anderen - vaak voor het eerst sinds jaren - in de bovenste regionen van de hitlijsten. Robin Thicke heeft met Blurred Lines (een nummer dat de platenmaatschappij nota bene eerst niet wou uitbrengen!) zelfs dé zomerhit van 2013 op zijn naam (en dus niet op Pharrel s naam). Inmiddels heeft Pharrel echter zelf een dikke wereldwijde hit te pakken met het nummer Happy, uit de film Despicable Me 2. Pharrel s reactie? In diverse interviews heeft Pharrel aangegeven bijzonder verbaasd te zijn over het succes van dit nummer. CloudWorks - nr. 3 /

5 Onderzoek Application Performance Management cruciaal voor succes e-commercesites en applicaties Nergens ter wereld is online winkelen zo vroeg en gretig omarmd als in Nederland. Dozenschuivers worden we zelfs genoemd. Vooral rond de feestdagen, als distributiecentra overuren draaien en dozen van leveranciers via distributeurs naar de voordeur van klanten schuiven. We behoren al jaren tot de top tien. Dat zal voorlopig zo blijven, want e-commerce groeit. Ondanks de economische crisis. De meeste inkopen gebeuren nog steeds via een desktop of laptop. Tussen de vijftien en de twintig procent van de online inkopen gebeurt via mobiel of tablet, met uitschieters tijdens de feestdagen. Uit onderzoek van Compuware naar winkelgedrag van consumenten tijdens feestdagen blijkt dat zij in toenemende mate geïnteresseerd zijn in winkelen via mobiele apparaten. Expertgroep Future Touchpoints van Shopping2020 verwacht zelfs een groei tot 70 procent, door de komst van apparaten als smart watches en smart glasses. Voor retailers betekent dit dat zij er alles aan moeten doen om te zorgen dat hun website optimaal presteert. Dat geldt ook voor applicaties voor online winkelen via mobiele apparaten. Conversie Reactietijden in e-commerce zijn namelijk van wezenlijk belang. Klanten hebben hoge verwachtingen. Applicaties moeten consistent presteren, gebruiksvriendelijk en intuïtief zijn en met snelle responsetijden. Klanten die tegen problemen aanlopen bij online winkelen raken gefrustreerd. Ze breken de aankoop af en gaan naar de concurrent. In het ergste geval worden slechte ervaringen van klanten op internet of in social media gepubliceerd. Dit kan grote gevolgen hebben voor de reputatie van een bedrijf. En een slechte reputatie wordt niet zo maar hersteld. Onderzoek van de Aberdeen Group toont aan dat een vertraging van een seconde, conversies met maar liefst 7 procent kan doen dalen. Voor een e-commercesite die voor US dollar per dag verkoopt, kan een vertraging van een seconde leiden tot 2,5 miljoen dollar omzetverlies op jaarbasis. De conversie verschilt per sub-industrie. In de foodindustrie bijvoorbeeld zal een klant minder snel overgaan tot de aankoop of een bestelling van een product dan op een website van een gespecialiseerde online winkel (0.7% tegenover 4.9%). Hoewel warenhuizen een breder assortiment hebben en naar verwachting dus meer aankopen, is de conversie maar 2.5%. Benchmark Ook Nederlandse bedrijven moeten de responsetijd van hun sites verbeteren. Uit een benchmarkonderzoek van CloudWorks en Compuware uit december 2013 blijkt dat veel bedrijven een responsetijd hebben van 2 seconden of langer. Bedenk daarbij dat na 2 tot 4 seconden de interactie met de klant terugloopt en ze met 10 seconden weg zijn. Het behoeft dan niet veel uitleg dat online winkels veel geld laten liggen. Benchmarkonderzoeken worden met enige regelmaat gehouden. Het geeft veel informatie voor sturing. Voor retailers onmisbaar, want dankzij deze onderzoeken kunnen zij de prestaties van hun applicaties en websites met concurrenten vergelijken. Het biedt inzicht in sterktes en zwaktes. Op die manier worden handvatten geboden voor het verder verbeteren van de bedrijfsvoering. Om de prestaties van websites en applicaties te meten, is proactief monitoren van essentieel belang. Application Performance Monitoring E-commercebedrijven zijn erg kwetsbaar. Moderne applicaties draaien op verschillende edge of the internet apparaten (smartphones, tablets, browsers), over de backbone van verschillende service providers en content delivery netwerken. Dat zijn een grote hoeveelheid connectiepunten. Punten waar het mogelijk fout kan gaan tussen de klant en het datacenter. Op alle locaties in deze applicatie delivery chain kunnen problemen ontstaan. Het is dus belangrijk om performance te monitoren en problemen op te lossen. Bijna een onmogelijke taak en toch kan het. Namelijk door gebruik te maken van de nieuwste generatie Application Performance Management-tools (APM). De tools monitoren en managen proactief performance en beschikbaarheid van softwareapplicaties. APM-tools Bij het kiezen van zo n APM-tool is het van belang te letten op een aantal punten. Zo is het belangrijk om applicaties op dezelfde manier te testen en te monitoren als klanten die gebruiken. Doe dit ook op verschillende apparaten en in verschillende browsers. Applicaties zijn vandaag de dag dynamisch opgebouwd op de edge of the internet, in de browser van de gebruiker of een mobiele applicatie. En dat vraagt een andere aanpak. Smartphones en tablets bijvoorbeeld vereisen een eigen pagina- en siteoptimalisatie. Voor websites is het van belang rekening te houden met verschillende browsers. Vroeger gebruikte iedereen Internet Explorer, maar nu zijn er meerdere versies beschikbaar die allemaal anders werken. En er zijn webbrowsers als Firefox, Chrome en Safari die een deel van de markt hebben veroverd. Andere belangrijke punten zijn het meten van de impact van het probleem en op basis daarvan prioriteiten stellen, inzicht creëren in de applicaties zodat iedere transactie gevolgd kan worden, struikelblokken, downtime en andere problemen meteen aanpakken nog voor de klant er mee te maken krijgt en performance benchmarken ten opzichte van de concurrentie. Vergelijk de prestaties van de applicaties met die van de concurrent en speel daar op in. Alleen als de applicatie performance actief wordt beheerd, behoudt een bedrijf zijn voorsprong en leidende positie in de markt. Klanten zijn tevreden en komen terug, de omzet stijgt en het bedrijf groeit. Back Bone Avg Response Time Back Bone Avg Response Time Google Chrome (sec) Fire Fox (sec) Bartsmit Bartsmit Bol.com Bol.com Bruna Bruna Coolblue.nl Coolblue.nl Debijenkorf.nl Debijenkorf.nl Hema.nl Hema.nl Intertoys Intertoys Neckermann Neckermann Toysrus Toysrus ToysXL ToysXL Vd.nl Vd.nl Wehkamp.nl Wehkamp.nl Gemiddeld Gemiddeld CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

6 Trendonderzoek Onderzoek Macaw naar impact Edward Snowden : Bedrijven denken veel beter na over cloud-strategie Figuur 1. IT-beslissers zijn van mening dat Edward Snowden binnen hun organisatie vooral gezorgd heeft voor een volwassen cloud-beleid. In figuur 1 is dit goed te zien. Op de vraag of men vertrouwen heeft in Europese dan wel Amerikaanse cloud-diensten geven de ondervraagde IT-beslissers redelijk vergelijkbare antwoorden. In figuur 2 is weergegeven hoe Nederlandse organisaties momenteel de cloud inschakelen. Een derde maakt nog in het geheel geen gebruik van de cloud. Het gebruik van publieke, private en community cloud-oplossingen is met respectievelijk 31, 33 en 39 procent redelijk vergelijkbaar. Een community cloud is een omgeving waarbij met een beperkt aantal andere organisaties gebruik wordt gemaakt van een gedeelde cloud-oplossing. door Hans Vandam De onthullingen van Edward Snowden hebben een zeer gevoelige snaar geraakt bij Nederlandse organisaties, concludeert analist Peter Vermeulen op basis van een onderzoek dat Pb7 Research in opdracht van Macaw heeft gehouden. Toch wordt de soep niet zo heet gegeten als hij wordt opgediend. Amerikaanse cloud-omgevingen worden nog steeds volop gebruikt. Wel zijn Nederlandse organisaties beter gaan nadenken over de vraag welke data zij in de cloud willen plaatsen en vooral ook: welke niet. Vermeulen noemt dit een bijzonder gezonde ontwikkeling. Het is van cruciaal belang dat we ons goed realiseren welke consequenties er vast kunnen zitten aan het verplaatsen van applicaties en data naar de cloud, zegt Vermeulen. Dat er in de Verenigde Staten andere regels gelden dan in Europa is op zich helemaal niet erg, zo lang we maar weten wat de gevolgen daarvan zijn als we besluiten een Amerikaanse cloud-omgeving in te zetten. Weerstand Pb7 Research heeft in opdracht van Macaw onderzoek gedaan naar de impact van de onthullingen van Edward Snowden. Nagenoeg de helft van de beslissers is het eens met de stelling dat het cloud-beleid van hun organisatie beduidend volwassener is geworden als gevolg van Edward Snowden. Dirk Zekveld, Senior Consultant van Macaw: De onthullingen rond de NSA hebben mensen aan het denken gezet. Dit heeft tot op zekere hoogte geleid tot een weerstand tegen Amerikaanse cloud-diensten, maar de mate waarin dit is gebeurd moeten we ook weer niet overdrijven. We kunnen uit ons onderzoek namelijk ook concluderen dat het NSA-schandaal heeft geleid tot een wat grotere weerstand tegen cloud in zijn algemeenheid. Figuur 2. Het gebruik van cloud-diensten. Van de voor dit onderzoek ondervraagde IT-beslissers geeft een vijfde (21 procent) aan dat men iets voorzichtiger is geworden als het om cloud-diensten en het naar de cloud verplaatsen van data gaat (figuur 3). Iets meer dan de helft (52 procent) daarentegen geeft aan dat de impact vooral bestaat uit een groter bewustzijn. Figuur 3. Nederland na Snowden: meer bewustzijn, maar weinig concrete veranderingen. 10 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

7 Alternatief Zekveld: Het lijkt wel of er een schandaal a la NSA voor nodig was om mensen zich te laten realiseren wat nu eigenlijk precies cloud is en wat de gevolgen daarvan kunnen zijn. Men weet nu kennelijk beter dan voorheen wat de risico s zijn en kan dus een beter onderbouwde beslissing nemen. En dan blijkt opmerkelijk genoeg dat de kwaliteit van de Amerikaanse cloud-diensten kennelijk toch de doorslag geeft, in combinatie met een bewuste keuze welke data men wel of juist niet naar de cloud brengt. Want slechts 6 procent van de IT-beslissers is concreet op zoek naar een alternatief voor Amerikaanse cloud-leveranciers. Realistisch Een van de gevolgen van Edward Snowden, zo stelt Pb7 Research duidelijk vast, is dat veel IT-beslissers een meer genuanceerde aanpak nastreven ten aanzien van het opslaan en verwerken van gegevens in de cloud. Een derde (31 procent) geeft aan dat er inderdaad sprake is van beleid. Opvallend genoeg zegt nog eens een derde (30 procent) dat het op de agenda staat. In de praktijk betekent dit waarschijnlijk dat men beleid in voorbereiding heeft, maar dat nog geen duidelijke regels zijn opgesteld over het opslaan en verwerken van data in de cloud, meent Zekveld. Tot dit beleid daadwerkelijk van kracht is, volgt men een pragmatische aanpak door simpelweg alle data als gevoelig te bestempelen. Het aantal organisaties dat alle data - ongeacht de classificatie - eenvoudigweg in de cloud plaatst, is inmiddels gelukkig vrijwel verwaarloosbaar (3 procent). Trend IDC over datacenter management: DCIM van groot belang voor beschikbaarheid datacenter door Hans Vandam Figuur 4. EU wet- en regelgeving levert meer obstakels op voor cloud-gebruik dan het NSA-schandaal. Het beschermen van gegevens is wel degelijk een onderwerp waar IT-beslissers zich zorgen over maken. Het is alleen NSA noch Patriot Act waar men vooral naar kijkt bij een eventuele migratie naar de cloud. Zoals in figuur 4 is te zien heeft driekwart van IT-beslissers veel meer moeite met wet- en regelgeving die gericht is op privacybescherming (74 procent). Ook heeft twee derde van de beslissers moeite met de grote hoeveelheid compliance- en governance-regels waar men in de eigen branche aan moet voldoen. Het is opvallend om te zien dat vooral Nederlandse en Europese regels de werkelijke obstakels zijn, vertelt Zekveld. Interessant is overigens ook dat terughoudendheid van ketenpartners ten opzichte van de cloud toch relatief vaak als een probleem wordt ervaren. Wellicht heeft dit ook te maken met het feit dat Nederlandse ITbeslissers zich niet alleen druk maken over privacygevoelige data die al of niet naar de cloud wordt gemigreerd. Bijna een vijfde (18 procent geeft aan dat meer dan de helft van de data die men in de cloud heeft geplaatst een concurrentiegevoelig karakter heeft. Nog eens een kwart (27 procent) is van mening dat een kwart tot de helft van de data gevoelig is uit concurrentieoverwegingen. Figuur 6. Hoever zijn Nederlandse organisaties als het gaat om beleid ten aanzien van het opslaan en verwerken van gegevens in de cloud? Nederlandse IT-beslissers hebben de afgelopen jaren een goed beeld gekregen van de mogelijkheden die cloud services hen te bieden hebben. De onthullingen van Edward Snowden leken in eerste instantie een sterk negatieve invloed te zullen hebben op de verdere acceptatie en toepassing van cloud-diensten. In de praktijk blijkt dit mee te vallen. Wel heeft het NSA-schandaal tot gevolg gehad dat organisaties goed zijn gaan nadenken over de vraag voor welke data of applicaties de cloud voor hen geschikt is. Hierdoor is men ook goed gaan kijken naar andere wet- en regelgeving in Nederland en Europa. Daarmee kunnen we vaststellen dat de NSA-onthullingen de cloud-sector eerder goed dan kwaad heeft gedaan. Natuurlijk heeft iedereen in deze branche een aantal keren moeten uitleggen hoe het nu precies zit met cloud-diensten van Amerikaanse origine, maar hét grote voordeel is in mijn ogen dat IT-beslissers nu een heel realistisch beeld hebben van de mogelijkheden en de beperkingen van cloud-diensten. Dat lijkt mij pure winst, aldus Dirk Zekveld van Macaw. Hans Vandam is journalist Data Center Infrastructure Management ofwel DCIM is van cruciaal belang voor een goede beschikbaarheid van het datacenter. Hoewel Facebook onlangs CA Technologies koos als DCIMpartner moeten we niet de fout maken dat de bekende aanbieders van systems of asset management-software in dit segment de boventoon voeren. DCIM is vooral het domein van softwarepakketten voor gebouwbeheer. IDC bracht deze markt onlangs in kaart. Data Center Infrastructure Management is bedoeld voor het beheren van de technische infrastructuur van een datacenter. Denk hierbij aan de energievoorziening, de koelinstallaties, de indeling en het beheer van de racks en dergelijke. Daarmee zit DCIM vooral aan de facilitaire kant van het datacenter. Veel pakketten die voor deze vorm van datacenter management worden toegepast hebben dan ook een historie die ligt in gebouwbeheer. Tegelijkertijd zien we pakketten die uit de industrie komen en daar bedoeld zijn voor het beheren van productieomgevingen. Verder zien we veel point-solutions op het gebied van monitoring die doorgroeien richting een breder toepassingsgebied. DCIM is bedoeld om twee doelen te realiseren. De eerste is het optimaliseren van de ruimte in het datacenter. De tweede doelstelling is het maximaliseren van de beschikbaarheid van energie en het tegelijkertijd minimaliseren van de kosten die hiervoor gemaakt moeten worden. Een belangrijke trend is verder dat DCIM-leveranciers steeds vaker samenwerken met aanbieders van software voor asset management en systems management. Alleen bij een goede integratie van de technische infrastructuur en de IT-infrastructuur kan een datacenter efficiënt functioneren. waarin de markt voor DCIM in kaart is gebracht. Figuur 1 geeft een beeld van de inschatting die dit onderzoeksbureau heeft gemaakt van de kwaliteiten van de diverse aanbieders van DCIM-pakketten. Behalve CA Technologies komt in dit overzicht geen enkele aanbieder van - zeg maar - traditionele tools voor IT-management voor. Dit betekent voor IT-afdelingen dat zij hun kennis van datacenter management drastisch moeten uitbreiden. Zij doen er verstandig aan, zo meent IDC, om hiermee haast te maken. Met name virtualisatie heeft namelijk een grote impact op het energiegebruik en de koelingsbehoefte van een datacenter. Hans Vandam Figuur 5. Classificatie van bedrijfsgegevens naar privacygevoeligheid en concurrentiegevoeligheid. Voor veel IT-afdelingen is DCIM echter een onbekend fenomeen. Vandaar dat IDC eind vorig jaar met een rapport kwam Figuur 1. Indeling van de DCIM-markt volgens IDC. 12 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

8 Wet- & regelgeving Rapport van Allen & Overy en Schuberg Philis: Zin en onzin over PRISM, Patriot Act en Wet bescherming persoonsgegevens door Robbert Hoeffnagel 14 CloudWorks - nr. 3 / 2014 In deze editie van CloudWorks constateert analist Peter Vermeulen op basis van een onderzoek dat Pb7 Research in opdracht van Microsoft-specialist Macaw heeft uitgevoerd dat Nederlandse organisaties weliswaar flink geschrokken zijn van alle ophef rond Edward Snowden en het NSA-schandaal, maar dat van radicale wijzigingen in het IT-beleid vooralsnog geen sprake is. Misschien heeft dat ook te maken met het feit dat veel Nederlandse organisaties slechts een beperkte kennis hebben van de Nederlandse Wet bescherming persoonsgegevens en de Amerikaanse Patriot Act. Allen & Overy zet samen met Schuberg Philis in een onlangs verschenen rapport de consequenties van de wet- en regelgeving op een rij. Het publiek is in 2013 opgeschrikt door schandalen en bevestigde vermoedens van extreem gebruik en soms zelfs misbruik van spionagesystemen, met betrekking tot veilig geachte data in Nederland en daarbuiten, schrijven Pim Berger van Schuberg Philis en Herald Jongen van Allen & Overy. Wij merken dat in de recente discussies over deze ontwikkelingen zin en onzin nogal eens door elkaar lopen. Zin en onzin Daarom hebben beide organisaties het initiatief genomen om een rapport op te stellen met als titel: Zin en onzin over PRISM, Patriot Act en de Wet bescherming persoonsgegevens; Wet- en regelgeving met betrekking tot het verwerken van gegevens bij gebruik van IT-diensten. In deze whitepaper komen vragen aan de orde als: welke eisen legt de wetgever een organisatie op? Wat is de relevantie van de Amerikaanse Patriot Act? Wat zijn Safe Harbor-principes? Op welke wijze kan een Nederlands bedrijf zich wapenen tegen onbedoeld niet nakomen van de regelgeving? Welke risico s lopen organisaties als persoonsgegevens op straat komen te liggen? Het veertig pagina s tellende rapport bevat te veel informatie om uitputtend in dit artikel te kunnen behandelen. Daarom kan de whitepaper gedownload worden en beperken we ons in dit artikel tot een aantal hoofdpunten. Belangrijk hierbij is vast te stellen om welke wet- en regelgeving het nu eigenlijk gaat. Dit is, zo stellen de auteurs, de wetgeving rond privacy en/of bescherming van persoonsgegevens. Maar ook relevant: wetgeving rond strafrechtelijke onderzoeken, rond onderzoeken door toezichthouders en belastingdiensten en rond inlichtingendiensten. Welke risico s loopt een organisatie nu precies als het om persoonsgegevens gaat? Organisaties moeten bij het gebruikmaken van een leverancier aandacht hebben voor de vraag of er persoonsgegevens buiten de EER (de Europese Economische Ruimte) doorgegeven worden, stellen de auteurs. Hierbij is het remote toegankelijk maken van die gegevens al voldoende. Zo nodig moeten zij daar ook maatregelen voor nemen. Voldoen zij niet aan deze regels, dan kunnen zij aansprakelijk zijn voor de schade die daaruit voortvloeit (al is die vaak moeilijk te bewijzen) en kan er een boete worden opgelegd. Om de zaak nog iets ingewikkelder te maken, wordt de Wet bescherming persoonsgegevens op termijn vervangen door een Algemene verordening gegevensbescherming. Ook deze verordening wordt in het rapport besproken. Buitenlandse overheden Daarnaast hebben we te maken met buitenlandse overheden, die zichzelf vaak een aantal rechten hebben toebedeeld. Bijvoorbeeld dat IT-service providers gegevens die zij verwerken voor hun (buitenlandse) klanten toegankelijk moeten maken voor die overheid. Soms mag de eigenaar van die gegevens hierover niet geïnformeerd worden. Hierdoor kan dus een flink spanningsveld ontstaan tussen enerzijds de Nederlandse wetgeving en die van een buitenlandse mogendheid. In zo n geval is het van belang dat de organisatie er alles aan heeft gedaan om zorgvuldig met een dergelijke situatie om te gaan, schrijven Berger en Jongen. Bijvoorbeeld door gedegen onderzoek te verrichten naar de ITservice provider, het opleggen van een verplichting aan de IT-SP om gedwongen verstrekkingen van gegevens te melden (voor zover toegestaan) en om dergelijke verstrekkingen zo beperkt mogelijk te houden. Bovendien, zo schrijven de auteurs, kan het verstandig zijn om bepaalde gegevens niet onder te brengen bij een IT-service provider. Dit soort risico s zijn niet helemaal uit te sluiten, erkennen de auteurs. Maar ze zijn wel te beheersen. Hierbij is het van belang om onderscheid te maken tussen multinationals en bedrijven die met name in Nederland of Europa actief zijn. Doorgiftebeperkingen die uit de Wet bescherming persoonsgegevens voortvloeien, kunnen het hoofd worden geboden door een beroep te doen op één van de uitzonderingen die deze wet mogelijk maakt en gebruik te maken van modelcontracten die de Europese Commissie heeft opgesteld. Een andere oplossing is gebruikmaken van een Amerikaanse service provider die voldoet aan de Safe Harbor-principes. Bedrijven die enkel in Nederland of Europa opereren, kunnen bovendien kiezen om gebruik te maken van een service provider die geen infrastructuur buiten de Europese Economische Ruimte gebruikt. Zo wordt de doorgiftebeperking niet overtreden. CloudWorks - nr. 3 /

9 Wet- & regelgeving In dat geval is wel nodig dat de klant van de IT-SP kan toetsen dat de persoonsgegevens inderdaad niet buiten de EER worden verwerkt. Bij internationale IT-SP s die een wereldwijde infrastructuur hebben, maar een deel daarvan afschermen als European cloud, waaronder bijvoorbeeld Amazon, kan het lastig zijn om zo n audit uit te voeren. Of wordt dit zelfs geweigerd. Het risico van toegang door buitenlandse autoriteiten is moeilijker te beheersen, stellen de auteurs vast. Hier kan met name bescherming worden ontleend uit het kiezen van een lokale service provider die niet onder buitenlandse regelgeving valt en daarom niet mee hoeft te werken aan een bevel van buitenlandse autoriteiten. Voor wat betreft Amerikaanse wetgeving zijn de vereisten om buiten de Amerikaanse rechtsmacht te vallen wel streng. Er moet een service provider geselecteerd worden die amper of geen banden met Amerika heeft en die geen Amerikaanse werknemers heeft, althans geen werknemers die toegang hebben tot de gegevens (ring fencing). Meer weten? Het rapport van Schuberg Philis en Allen & Overy geeft een mooi overzicht van de wet- en regelgeving en bevat een aantal nuttige tips en adviezen hoe bedrijven en organisaties het beste kunnen handelen. Wie het gehele document wil lezen, kan het hier vinden: Robbert Hoeffnagel Zes misvattingen 1. De Verenigde Staten zijn voorloper als het gaat om wetten die de privacy van individuen ondergeschikt maken aan het algemene belang of de veiligheid. Heel veel landen hebben wetten die toegang tot persoonsgegevens toestaan, als dat nodig is vanwege het algemene belang, de (nationale) veiligheid en opsporingsdoeleinden. Door berichtgeving en de feiten rondom de NSA en de Patriot Act springen de VS echter meer in het oog dan andere landen. 2. De Europese Unie hecht vooral aan privacy van haar burgers, terwijl de VS de (nationale) veiligheid voorop zet. Heel veel landen, zowel die in de EU als de VS en daarbuiten, hebben wetten die de privacy van burgers borgen, als wetten die toegang tot persoonsgegevens mogelijk maken, als dat in het algemeen belang of voor gerechtelijk onderzoek is. In veel van die landen bestaat een spanningsveld tussen privacy en (nationale) veiligheid of gerechtelijke onderzoeken. 3. Nederlandse bedrijven vallen per definitie niet onder de reikwijdte van de Amerikaanse wetgeving. Het is onverstandig om Amerikaanse (IT-)dienstverleners in te schakelen. Dan hebben de VS dankzij de Patriot Act per definitie toegang tot de data van de opdrachtgever. Bedrijven uit alle landen kunnen onder de reikwijdte van de Patriot Act vallen, als zij op wat voor manier dan ook banden met Amerika hebben, Amerikaanse werknemers in dienst hebben of onderaannemers gebruiken die banden hebben met Amerika - en toegang tot de vertrouwelijke gegevens hebben. Bent u veilig in de CLOUD? 4. De vertrouwelijke gegevens van mijn bedrijf staan op server(s) in Nederland of de EU. Ze komen dus niet buiten de Europese grenzen en wij voldoen daarmee netjes aan de regel binnen de Wet bescherming persoonsgegevens die stelt dat persoonsgegevens niet buiten Europa terecht mogen komen. Dat is zeker niet juist: als medewerkers (of partners) buiten Europa toegang hebben (bijvoorbeeld via een remote desktop) tot de gegevens op de server(s), is er al sprake van verwerking of doorgifte van de gegevens, en handelt het bedrijf in kwestie dus ook in strijd met de Wbp. 5. De opkomst van cloud computing brengt een hele reeks nieuwe privacy-risico s met zich mee. De privacy-risico s die gepaard gaan met de cloud zijn allesbehalve nieuw (de wetgeving is dat ook niet of nauwelijks). Alleen de schaal is groter geworden. 6. Als een bedrijf maar gebruikmaakt van een private of hybride cloud, zijn alle privacy-risico s wel afgedekt. Dat is nog maar de vraag: bepalend is waar de fysieke IT-infrastructuur (onder andere de servers) staat die ten grondslag ligt aan de cloud. Als er maar één server buiten de Europese grenzen staat, is dat al in strijd met de Wbp, tenzij dit op de juiste wijze is afgedekt. SECURING THE CLOUD WITH VMWARE VSPHERE De cloud kan een enge plek zijn en met 80% van de cloud werkend op Vmware s vsphere producten dient u klaar te zijn om die omgeving veilig te houden. Volgens een recent onderzoek van IBM, vindt 77% van de respondenten dat de cloud het beschermen van Privacy moeilijker maakt en 50% zorgen heeft over de inbreuk op de gegevensbeveiliging of dataverlies. TSTC levert een antwoord: Als u gebruikt maakt van VMware vsphere om de cloud te beheren, leert u bij ons wat u nodig heeft om de cloud veilig te houden (zowel private als public cloud). Onze gedetailleerde security aanbevelingen helpen u op weg om de meest veilige virtuele omgeving te ontwikkelen. Met een unieke 100-procent-slagingsgarantie kan elke certificering worden behaald bij TSTC, zonder extra kosten voor eventueel benodigde herexamens of het opnieuw volgen van een training. We doen er alles aan onze cursisten uitvoerig op te leiden en te voorzien van de informatie die ze nodig hebben om in de praktijk een verschil te kunnen maken! Voor een totaal overzicht van alle TSTC trainingen kijk op Wilt u graag persoonlijk contact met een van onze opleidingsadviseurs neem gerust contact met ons op: TSTC TRAININGEN: Certified Ethical Hacker (CEH) Certified Security Analyst / Licensed Penetration Tester (ECSA - LPT) Certified Virtualization Security Expert (CVSE) Cloud Security Audit and Compliance ATC of the Year TSTC Plesmanstraat KZ VEENENDAAL 16 CloudWorks - nr. 3 / 2014 Adv-TSTC-1nov.indd WMPro Lloyd.indd /26/13 11/2/12 2:42 2:32 PM

10 Applicatieontwikkeling CA Technologies monitort ontwikkelingsproces en simuleert componenten DevOps stuwt agile softwareontwikkeling door Hans Lamboo Het agile ontwikkelen van applicaties kan zich verheugen in een steeds grotere belangstelling. Dat is niet zo vreemd, omdat methoden als scrum het mogelijk maken zeer snel (delen van) IT-applicaties af te leveren, en een korte time-to-market kan voor de business het verschil maken tussen succes en falen. Door zijn karakter laat agile ontwikkelen zich echter lastig automatiseren. Tijdens de zeer druk bezochte DevOps Summit in Amsterdam liet CA zien enkele vergaande tools te hebben gebouwd die collaboratief agile ontwikkelen en release management vergemakkelijken. De IT-deliveryprocessen kunnen volgens CA Technologies een stuk sneller. Van die overtuiging heeft het Amerikaanse ITbedrijf een doelstelling gemaakt; drie jaar geleden nam CA ITKO over, een bedrijf gespecialiseerd in service-virtutilisatie en begin dit jaar werd Nolio ingelijfd, een van de grotere leveranciers van release automation. CA richt zich traditioneel op de operationele kant van IT - de run kant, maar heeft altijd al een grote drive gehad om aan de software-ontwikkelingskant het verschil te willen maken. Met het CA LISA platform vervullen we die lang gekoesterde wens, zegt Jasper Kloos, Director North App Dev bij CA Technologies. We spreken daarbij over twee verschillende opties: Service Virtualisation en Release Automation, beide onder de productnaam CA LISA. Release Automation Kloos geeft aan dat bij het ontwikkelen van soft- of hardware meestal meerdere gespecialiseerde partijen betrokken zijn, soms verspreid over verschillende landen of zelfs werelddelen. Elke leverancier is verantwoordelijk voor zijn eigen component. Het proces kan je versnellen door de conflicterende belangen eruit te halen en dat goed af te stemmen. Feitelijk een proces-optimalisatieslag door de hele keten heen. Uit onderzoek blijkt dat er in de release cycle een heel hoog percentage idle time is, tijd die mensen op elkaar zitten te wachten, en een laag percentage touch time, de tijd waarin mensen productief zijn - dat is ongeveer Dus daar valt ontzettend veel winst te halen op het gebied van efficiency - maar daar heb je niet direct een tool voor nodig. Dat heb je wel om het proces vast te leggen en de afspraken als het ware af te kunnen dwingen. Daarvoor levert CA een tool die dat proces monitort en automatiseert, inclusief de onderliggende activiteiten zoals het klaarzetten van een testomgeving en het runnen van een testprogramma. Dat is CA LISA Release Automation. De business value daarvan komt dus tot uiting in hogere efficiency en betere kwaliteit. Service Virtualization Daarnaast is er CA LISA Service Virtualization, een platform dat het mogelijk maakt om elke component van elke partij te simuleren en als het ware aan te bieden als al werkende component in de testomgeving. Door de simulatie van hard- of softwareonderdelen wordt bereikt dat iedereen constant de ideale omgeving tot zijn beschikking heeft om zijn werk optimaal te doen. Dan krijg je kwaliteit; doordat je de boel automatiseert haal je de fouten eruit. Service Virtualisation maakt het mogelijk eventuele fouten veel eerder in de delivery cycle te ontdekken. Dat maakt het op zijn beurt weer mogelijk veel eerder onderlinge integratietesten te doen. De uiteindelijke totale integratietests slagen daardoor veel vaker; de meeste fouten zijn er dan immers wel uitgehaald, verklaart Kloos. Om daar nog aan toe te voegen: Bovendien levert het besparingen op hard- en software in de preproductiefase. Het vult elkaar allemaal heel goed aan. Vooral het vroegtijdig ontdekken van problemen is een groot goed; naarmate de cycle verder gevorderd is, hoe kostbaarder het herstellen van fouten wordt en hoe duurder de omgeving. Een Nederlandse bank vertelde Kloos dat voor integratietesten 25 services nodig zijn die up & running moeten zijn. Dat is zelden het geval. Zo ligt de hele integratietest stil. Het zelfde geldt eigenlijk voor users acceptance testing, ook dat is een hele dure omgeving die bijna identiek moet zijn aan de operationele omgeving. Omdat de kwaliteit van de software hoger is, hoeven de testomgevingen minder lang te worden ingezet. Ook voor hardware Ook bij de collaboratieve ontwikkeling van hardware is Service Virtualization een uiterst nuttige tool. Een van de telco s ontwikkelde onlangs een settopbox - die het mogelijk maakt TV-, HTMI- en IPsignalen op één TV te tonen - die bestaat uit allerhande componenten van evenzovele leveranciers. Soms printkaarten, soms software, soms chips of schakelingen. Die partijen zitten meestal allemaal op elkaar te wachten, eer ze eindelijk een keer kunnen testen. Dat verlengt het ontwikkelingstraject nodeloos, zegt Kloos. CA heeft ze geholpen door de werking van enkele individuele componenten te simuleren en als virtuele service aan te bieden aan de ontwikkelaars. Die sluiten de services vervolgens aan op hun eigen component om de werking te testen. Dat simuleren gaat vrij ver: het kan gaan om een compleet global netwerk of zelfs een totale IT-afdeling. De schaal maakt absoluut niet uit. Kloos tekent daar wel bij aan dat het niet het doel is van de virtuele service om alles tot in de kleinste details exact na te bootsen. Je moet wel goed naar de scope blijven kijken. Het doel is de componenten zoveel na te bootsen als zinvol is voor de test. Ook bij regressietesten biedt Service Virtualization veel toegevoegde waarde. Een nieuwe component die moet worden toegevoegd aan aantal bestaande, stabiele modules kan best eerst getest worden op een gesimuleerde omgeving. Oracle gebruikt Service Virtualization voor het testen van hun middleware, want ze moeten van alle bestaande onderdelen een 18 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

11 aantal verschillende versies blijven supporten. Een nieuwe component moet feilloos kunnen omgaan met al die verschillende versies van al die verschillende modules. Dat is gemakkelijker te testen in een omgeving met gesimuleerde componenten dan in de echte omgeving, aldus Kloos. Nederland en DevOps Sinds januari 2013 wordt er op internet meer dan ooit gezocht op de term DevOps, zo blijkt uit gegevens van Google. Dat gebeurt niet zonder reden, zegt Justin Vaughan-Brown, senior market strategist Application Delivery EMEA van CA Technologies. Reden voor CA om een onderzoek te doen naar de DevOpsmethode onder IT-managers in 21 landen. Uit het onderzoek blijkt Nederland voorop te lopen waar het om de awareness gaat: liefst 80 procent van de ondervraagden kent DevOps en weet waar het voor staat. Dat vind ik persoonlijk erg veel, zegt Vaughan. Bovendien blijkt dat 60 procent ook echt plannen heeft het te gaan invoeren, ruwweg tweederde van de mensen die weten waar DevOps voor staat. Dat is ook veel. Gevraagd naar de belangrijkste componenten van DevOps, luidt het antwoord: release automation. Maar de Nederlanders vinden van alle Europese landen Agile Development verreweg het meest belangrijke. 60 procent, dat is echt heel erg veel. Kijk, agile is prachtig maar in grote ondernemingen krijg je daardoor veel frequenter kleine releases. Vergelijk het met een ov-bedrijf dat vroeger eens per week een grote bus liet rijden, maar nu vier minibusjes per week de weg op stuurt. Het verschil zit in het aantal benodigde chauffeurs en de hoeveelheid brandstof. CA helpt de problemen aanpakken die agile veroorzaakt, door het proces te optimaliseren. De vraag is of de zittende ontwikkelaars de vaardigheden bezitten om DevOps toe te passen. Die kun je ze leren, meent Vaughan. De vraag is: investeer je in technologie zoals CA die biedt of train je de mensen die je hebt? Uit ons survey blijkt dat Nederland een mooie balans heeft tussen technologie en het opleiden van mensen. Als een van de grootste hindernissen om DevOps in te voeren noemt 35 procent de organisatorische complexiteit. Maar daar denken de Nederlanders anders over, laat Vaughan zien: Daar ligt het grootste probleem in het gebrek aan budget, dan wel duidelijkheid over uit wiens budget de investering zou moeten komen. Hoe zou u het succes van DevOps gaan meten? luidde een andere vraag. De meeste Europeanen gaven aan dat te zoeken in interne factoren zoals kostenefficiency, en externe factoren zoals kortere time-tomarket en een groeiend aantal klanten. Maar ook daar hebben de Nederlanders een afwijkende mening over. De antwoorden geven een heel gebalanceerd beeld: intern, extern, het is mooi in evenwicht. De Nederlanders hebben een opvallend heldere mening over DevOps ten opzichte van andere Europeanen. Een kwart meer gebruikers Een van de laatste vragen uit het survey betrof de mening van IT-managers over DevOps, nadat ze die geïmplementeerd hadden. Vaughan: Welke voordelen ziet u? Voor mij zijn alle scores boven de 20 procent van grote waarde en de Nederlanders hebben die: het aantal gebruikers van hun applicaties is met 25 procent toegenomen. Dat is veel, of het nu gaat om een bank of een retailer. Alleen de Zwitsers scoren daar nog boven met 33 procent, maar dat is echt uitzonderlijk. Ten slotte een heel belangrijke uitkomst: de timeto-market is met maar liefst 27 procent bekort. Het behoeft geen betoog wat dat voor de business betekent. Dat maakt Agile Ontwikkeling allemaal mogelijk. Nederland doet het dus uitzonderlijk goed als het gaat om de adoptie van DevOps. Dat zal de verkoop van CA LISA zeker stimuleren. Een mooi vooruitzicht voor CA. Meer weten over business, innovatie & IT? Lees Hans Lamboo is journalist CA Technologies definieert DevOps als a method of developing software which enables developers and other IT operations professionals to communicate and collaborate on projects, with the goal of accelerating the delivery of new business services. Business & IT publiceert artikelen en blog posts over de relatie tussen IT, business en innovatie. Ook publiceren? Kijk op 20 CloudWorks - nr. 3 / 2014

12 Interview Leer je klanten kennen via de cloud 22 CloudWorks - nr. 3 / 2014 door Stefan van Mierlo Cloudgebaseerde Smart positioning location based services (LBS) biedt telecomaanbieders, service providers en detaillisten de mogelijkheid om een breed aanbod van value added services via wifinetwerken aan te bieden. LBS helpt wifi-netwerkaanbieders om hun omzet te verhogen en tegelijk gebruikers een betere ervaring te geven. Het helpt klanten te vinden wat zij zoeken en helpt verkopers en beheerders klantgedragingen in kaart te brengen, zodat zij hun aanbod kunnen optimaliseren. Onze unieke cloudgebaseerde aanpak geeft aanbieders een eenvoudige en krachtige wijze om hun wifi-netwerken toegevoegde waarde te geven door nieuwe diensten te implementeren. Door de service in de cloud te situeren, besparen aanbieders bovendien aanzienlijk op hun hardwareuitgaven, zegt Spencer Hinzen, Regional Sales Director Southern Europe bij Ruckus Wireless. LBS biedt ongekende mogelijkheden om de dienstverlening aan klanten te optimaliseren. Doordat zij klantbewegingen exact kunnen bijhouden, kunnen bedrijven op maat gesneden marketingcampagnes opzetten. Door met wifi in het voetspoor van hun klanten te treden kunnen zij er beter achter komen wat het is dat de klant wenst. LBS biedt bovendien brede analysemogelijkheden op basis van real-time of historische klantinformatie op basis van klantlocatie. In winkelomgevingen kunnen detaillisten door wifi-tracking snel bepalen welk deel van de bezoekers uit nieuwe klanten en welk deel uit terugkerende klanten bestaat. Ze kunnen vaststellen hoe lang klanten bij bepaalde artikelen stilstaan en winkelgedragingen analyseren met gebruik van de vergaarde data. Met deze gegevens krijgen bedrijven een goed beeld van hoe ze hun klanten kunnen behouden en nieuwe klanten voor zich kunnen winnen. Klanttevredenheid In de hotelbranche werkt LBS mee aan het verbeteren van de klanttevredenheid door wensen van gasten te herkennen en daarop in te spelen. Trouwe klanten kunnen voordeel hebben van on-device features als automatische incheck, navigatiemogelijkheden en het toekennen van digitale vouchers. In de gezondheidszorg biedt LBS een brede variatie aan toepassingsmogelijkheden als navigatie via mobiele telefoons of tablets. Dat is in veel grote ziekenhuizen waar bezoekers gemakkelijk verdwalen geen overbodige luxe. Dit spaart kostbare tijd, zeker in noodsituaties. Voor openbare ruimten als vliegvelden, conventiecentra, stadions, themaparken en wifi-netwerken in steden biedt LBS mogelijkheden om real-time crowd control toe te passen. Ook kan locatiegebaseerde informatie worden doorgeven aan gehaaste passagiers om zo snel mogelijk bij hun vervoermiddel te komen. LBS wordt daarmee een soort GPS voor overkapte ruimten. Bewegingsstromen LBS biedt aanbieders van openbaar vervoer real-time passagiersinformatie en informatie over bewegingsstromen, zodat zij hun vertrekschema s en faciliteiten daar op efficiëntie wijze op aan kunnen passen. In de onderwijssector is LBS ideaal om studenten en staf te kunnen lokaliseren. Dit geeft scholen de mogelijkheid innovatieve apps te ontwikkelen die informatie geven op basis van de actuele locatie en de te volgen activiteit. Spencer Hinzen: De verwerking van de data is afhankelijk van het aantal accesspoints bij LBS intensief tot zeer intensief. De verwerking vindt daarom op servers van Ruckus Wireless in de cloud plaats. Hierdoor kunnen klanten afhankelijk van het aantal accesspoints aanzienlijke besparingen op hardware realiseren. Ruckus Wireless is een belangrijke leverancier van wifi-netwerken en LBS. Location based services (LBS) geeft beheerders van wifi-netwerken inzicht in bewegingen en gedragingen van de gebruikers van hun netwerken. Wat voor bezoekers zijn het, nieuwe of terugkerende? Hoeveel tijd besteden zij in het domein? Hoe was dat vorige week of vorige maand? Beheerders zien op een dashboard met stippen, kleurgebieden en grafieken hoe de huidige situatie is en de historische situatie was. Hinzen: Voor de analysetool kan worden gekozen voor een lokale implementatie, zodat de netwerkeigenaar zijn eigen look and feel kan bepalen. Het is mogelijk de dataverwerking via een virtuele machine lokaal te laten plaatsvinden. Dit kan interessant zijn voor sites tot dertig AP s. Stefan van Mierlo is journalist Ruckus SPoT Service Ruckus SPoT Service helpt klanten in overdekte omgevingen met een wifi-netwerk, zoals ziekenhuizen, stations en winkelcentra, op hun zoektocht naar optimale producten en diensten. Ruckus SPoT Service helpt verkopers en beheerders gedragingen en bewegingen te volgen en te analyseren om hun klanten nog beter van dienst te zijn. Ruckus SPoT smart positioning bestaat uit de volgende onderdelen: SPoT Location Engine laat real-time in iedere overdekte omgeving zien waar de klant zich bevindt; SPoT location analytics dashboard presenteert uitgebreide real-time en historische informatie over klantbewegingen; SPoT engagement tools bestaat uit een software development kit (SDK) en API s voor een nieuwe generatie app s. De tools stellen ontwikkelaars in staat Location Intelligent kenmerken toe te voegen aan een nieuwe generatie mobiele applicaties. Doordat zij exact weten waar hun klanten zich bevinden kunnen bedrijven hen op iedere locatie voorzien van de juiste informatie over die bewuste plek om daarmee hun beleving te optimaliseren. Die informatie kan variëren van commerciële aanbiedingen tot waarschuwingen over veiligheid. Een zogeheten heat map geeft met stippen, kleurgebieden en grafieken in real-time een beeld van de positie van klanten in winkel, winkelcentrum, station of stadion. De software biedt mogelijkheden om gebieden met elkaar te vergelijken en om verkeer tussen verschillende zones met elkaar te vergelijken. De real-time data kan tegelijkertijd worden vergeleken met historische data. Ruckus SPoT is wereldwijd verkrijgbaar in het tweede kwartaal van 2014 als een abonnementsgebonden dienst. Bij Ruckus SPoT is een analytics dashboard inbegrepen. Dit is een webgebaseerde tool die het mogelijk maakt plattegronden in te voeren en daarna zones te definiëren. Ruckus SPoT omvat ook een calibratie-gereedschap waarmee netwerkbeheerders snel een RF fingerprint calibration van het betreffende gebied kunnen maken. CloudWorks - nr. 3 /

13 Interview Rex Wang van Oracle: Cloud broker moet public clouddiensten zorgvuldig selecteren natuurlijk al veel langer binnen de IT kennen, kan nu namelijk veel beter ingericht worden. We kunnen nu gaan standaardiseren en dan liefst op een zo klein mogelijk aantal varianten. Want als het verleden ons iets geleerd heeft, dan is het wel dat de IT-afdeling niet alles kan. We kunnen ons beter concentreren op een beperkt aantal services van zeer hoge kwaliteit. Door goed te onderzoeken hoe we de behoeften van de business kunnen indelen in een aantal standaard opties, kunnen we tot een drastische vereenvoudiging van de IT-omgeving komen. Een punt dat vaak in de discussie over private cloud en service catalogi wordt vergeten, zo stelt Wang, is die van security. Alleen al door het simpele feit dat de IT-afdeling de aandacht niet hoeft te verdelen over een brede waaier van allerhande applicaties, databases en middleware, maar zich kan concentreren op een beperkte set van services, zorgt standaardisatie in veel gevallen voor een drastische verbetering van de security. Een duidelijk commitment van de directie van de organisatie is hierbij van cruciaal belang. De business-organisatie moet immers accepteren dat zij niet meer alles kan krijgen wat zij nodig denkt te hebben. Zij zal zich moeten schikken in de reeks van services die in de catalogus beschikbaar is. Meerdere methoden De manier waarop deze verandering tot stand komt, verschilt per bedrijf en is bovendien sterk afhankelijk van de cultuur binnen de organisatie, meent Wang. Hij noemt twee voorbeelden van bedrijven die een geheel andere aanpak hebben gekozen, maar toch tot het gewenste resultaat zijn gekomen: de Zwitserse bank Credit Suisse en de Commonwealth Bank of Australia. De vraag is natuurlijk wel hoe een IT-afdeling tot een goed gekozen lijst met public cloud services kan komen. Welke criteria dient men bij deze selectie te hanteren? Beoordelingscriteria Wang denkt dat we naar minimaal vier aspecten moeten kijken. De eerste is security. Dat is wat mij betreft een heel breed begrip. Het gaat niet alleen om het in technische zin beveiligen van data of applicaties, maar ook om tal van governance-aspecten. Denk aan de locatie waar data wordt opgeslagen. Een tweede punt is wat ik maar even noem: long-term costs. Veel public cloud-diensten worden aangeboden voor de spreekwoordelijke 29,95 euro per maand per gebruiker. Dat klinkt heel aantrekkelijk, maar in de praktijk vallen de kosten vaak heel anders uit als we kijken naar een wat langere periode. Het is dus belangrijk dat we bij het selecteren van een public cloud service de juiste rekensommen op de juiste manier maken. De business-organisatie moet accepteren dat zij niet meer alles kan krijgen wat zij nodig {denkt te hebben door Robbert Hoeffnagel Naast hun rol van aanbieder van private clouddiensten, zullen veel IT-afdelingen zich steeds meer ontwikkelen tot een broker van public cloud services. De vraag is dan alleen wel: hoe kunnen we tot een goede beoordeling van dit soort diensten komen? Rex Wang, vice president product marketing bij Oracle, denkt dat we naar minstens vier aspecten moeten kijken om tot een weloverwogen selectie te kunnen komen. Wang was onlangs in Nederland voor de vertoning van een door Oracle vervaardigde film Cloud Odyssey: A Hero s Quest. Deze mini-speelfilm is bedoeld om de reis die veel bedrijven en overheidsorganisaties richting de cloud afleggen in de vorm van een science fiction-scenario te visualiseren. Sponsorship Private cloud speelt een belangrijke rol binnen deze reis. Mits voorzien van voldoende executive sponsorship biedt het inrichten van een private cloud-omgeving IT-managers grote kansen, vertelde Wang. De servicecatalogus die we De Zwitserse benadering was vrij hiërarchisch. In dit geval is top-down besloten welke services in de catalogus worden opgenomen. De Australische bank heeft een aanpak gevolgd waarbij de interne IT-afdeling zich heeft ontwikkeld tot een volwaardige service provider. Zij hebben in eigen beheer een reeks van services ontwikkeld en concurreren daarmee met externe service providers. Daarmee heeft de Australische IT-afdeling zich ontwikkeld tot een IT-bedrijf dat voor eigen rekening diensten ontwikkelt en aan de Commonwealth-bank aanbiedt. Daarmee is men dus een profit center geworden, waar in het Zwitserse voorbeeld de IT-afdeling veel meer een cost center is gebleven. Preferred suppliers Op deze manier verwacht Wang dat veel IT-afdelingen weer grip krijgen op de manier waarop de business-organisatie ITdiensten in de vorm van cloud services aanbiedt. Toch blijft het probleem van de public cloud services bestaan, erkent Wang. Een business manager die niet tevreden is, kan natuurlijk nog altijd geheel zelfstandig besluiten om zelf een public cloud service in te schakelen. Dat hoeft helemaal niet erg te zijn, maar dan is het wel handig als de IT-afdeling zich als een cloud broker opstelt. In dat geval heeft de IT-afdeling een lijst van - zeg maar - goedgekeurde public cloud services opgesteld. Anders gezegd: IT selecteert een aantal zogeheten preferred public cloud suppliers. Een derde beoordelingscriterium is volgens Wang vendor lockin. Beginnen met een public cloud-dienst is vaak heel eenvoudig. Maar zijn er ook mogelijkheden om snel en gemakkelijk weer te vertrekken? Hoe ingewikkeld is het om data die via de public cloud-dienst is vastgelegd weer te exporteren? Daarbij speelt met name de vraag of de public cloud-dienst gebaseerd is op algemeen geaccepteerde standaarden. Een vierde en laatste punt van beoordeling is in de visie van Wang: functionaliteit. Dat ligt natuurlijk erg voor de hand, maar er speelt hier een punt mee dat gemakkelijk vergeten kan worden. Niet ieder bedrijf heeft voldoende aan de standaard functionaliteit die de aanbieder van de public cloud service biedt. Dan hebben we dus een uitbreiding op die standaard functionaliteit nodig. Kan dat? Vaak wel. Maar hoe gebeurt dat dan? Hebben we het dan over - zeg maar - klassiek maatwerk? Of biedt de aanbieder van de public cloud service naast de SaaS-applicatie ook een platform waarop die uitbreiding kan worden gebaseerd? Als dat SaaS- en dat PaaS-platform bovendien als een geheel kan worden afgenomen, dan hebben we eigenlijk al nauwelijks meer last van een verdor lock-in. Robbert Hoeffnagel 24 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

14 Innovatie Michel Spierenburg (links) en Ramon van Heijenoort door de redactie Virtual Instruments, een leverancier van oplossingen voor infrastructure performance management ofwel IPM, heeft onlangs een Nederlandse activiteit opgestart. Ramon van Heijenoort, voorheen werkzaam voor onder andere Data Domain en Michel Spierenburg, voorheen werkzaam voor Brocade, zijn nu verantwoordelijk voor de Benelux regio. { We kunnen als het ware een opname maken van de prestaties van de infrastructuur in de tijd IPM-specialist Virtual Instruments breidt uit naar Nederland Infrastructure performance management is een relatief nieuw begrip in de IT. Hoewel er meerdere definities in omloop zijn, komt het er in de regel op neer dat IT-afdelingen een beheerplatform nodig hebben waarmee zij inzicht kunnen krijgen in de status, utilisatie en de prestaties van hun totale infrastructuur. Daarbij gaat het dan om zowel de traditionele fysieke systemen, gevirtualiseerde omgevingen, maar ook de in gebruik zijnde cloud services. { We kunnen met Virtual- Wisdom modelleren en simuleren Virtual Instruments (VI) is vroeg in deze markt gesprongen en heeft daarbij onder andere een beroep kunnen doen op investeerders als John Thompson, voorheen CEO van Symantec en die recentelijk is benoemd tot chairman of the board van Microsoft. Hij was een van de eerste investeerders in het bedrijf en heeft besloten als CEO van Virtual Instruments verder aan het bedrijf te bouwen. VI is inmiddels vijf jaar oud en is begonnen als een spin-off van Finisar, een aanbieder van producten op het gebied van fiber optics. In 2009 kwam dit concern tot de conclusie dat een aantal ontwikkelingen niet meer tot de kernactiviteiten behoorde. Hierin bevond zich een optische splitter waarmee Fibre Channel-verkeer kan worden gesplitst. Deze splitter vormt voor VI nu een van de basiscomponenten voor een product dat VirtualWisdom heet. Met VirtualWisdom kunnen IT-managers de prestaties van hun totale infrastructuur in kaart brengen. Wij zeggen altijd: van VM s t/m de LUN s, zegt Chris James, director of EMEA marketing bij Virtual Instruments. Dit gebeurt zonder dat hiervoor aparte software agents in de infrastructuur geplaatst behoeven te worden. VI meet op drie niveaus. Dat zijn allereerst de virtuele servers. Data over de performance van deze VM s haalt VI uit vcenter van VMware. Daarnaast is een zogeheten SAN availability probe beschikbaar die log-data verzamelt van switches van onder andere Brocade en Cisco. De SAN performance probes zijn in hardware uitgevoerd en bekijken de frame headers van ieder Fibre Channel-datapakketje. Deze SAN Performance probes worden aangesloten op een passieve TAP patch pannel ofwel traffic access point dat via de eerder genoemde splitter het optische Fibre Channel-verkeer splitst, waardoor real-time gemeten kan worden. Al deze meetgegevens worden naar een managementserver geleid, waar deze data geanalyseerd kan worden. Hiervoor is een reeks van standaard rapporten en temptaties beschikbaar. Ook is het mogelijk om zelf analyses en rapportages te maken. Bovendien zijn er verschillende dashboards per afdeling beschikbaar, zodat in een oogopslag een beeld kan worden verkregen van de status van de infrastructuur. De meeste IT-afdelingen die VirtualWisdom toepassen, doen dit om de investeringen in hun infrastructuur te optimaliseren. We kunnen met VirtualWisdom modelleren en simuleren. Maar we kunnen ook precies zien waar zich performance issues voordoen. Op die manier kan een IT-manager precies zien welke maatregelen nodig zijn om de infrastructuur optimaal te laten presteren, licht James toe. Interessant aan de aanpak van Virtual Instruments is ook, zegt Van Heijenoort, dat we kunnen meten en opnemen. We kunnen als het ware een opname maken van de prestaties van de infrastructuur in de tijd. Deze opnames kunnen worden opgeslagen en later weer worden afgespeeld. Op die manier kunnen datacenters maar bijvoorbeeld ook cloud providers als het ware bewijzen dat de infrastructuur op een bepaald moment aan een SLA voldeed. Maar dit is natuurlijk ook een mooie optie voor compliance-doeleinden. 26 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

15 Spice in Finance Eigen vermogen, vreemd vermogen, gratis vermogen - deel 2 door Louis van Garderen In dit tweede deel aandacht voor het vreemd vermogen. U weet wel; de post met de schulden rechtsonder, direct onder uw eigen vermogen. Een beetje veronachtzaamd deel van uw vermogen lijkt het soms wel. Maar een post bij uitstek met kansen! In dit deel gaan we er voor t gemak wel vanuit dat u de juiste dingen doet. Misschien een leuk onderwerp voor een latere blog. Allereerst: schulden zijn lekker... Wat u als activa heeft kunnen ontwikkelen is niet uit de lucht komen vallen: investeringen, ontwikkelingen, een debiteurenportefeuille: allemaal activa waarvoor u hard heeft moeten werken. Posten die uw onderneming laten renderen. Maar los van het harde werken: u heeft daarvoor middelen opgeofferd: uw werknemers uitbetaald, facturen van uw netwerk moeten voldoen, belastingen betaald Het investeren in uw onderneming ging samen met uitgaand geld. En voor zover dat uitgaande geld meer is dan wat u kunt factureren ontstaat er spanning op uw betalingen: de belastingdienst moet even wachten, de leveranciers worden nog wat aan de lijn gehouden en met nieuwe uitgaven wordt zoveel mogelijk gewacht. De aanleiding is prima, maar dan toch wel enkele gewaardeerde adviezen: Advies 1: alleen geplande schulden alstublieft! Investeren is prima, maar nooit luchtfietserij! Een goede ondernemer kent zijn bestedingsruimte en overziet zijn leencapaciteit op korte én lange termijn. Ik kom niet zelden tegen dat het schort aan een gedegen cashflow prognose - HET middel om uw ruimte te kennen. Misschien niet zo spannend in een stabiele organisatie maar als u wilt groeien is dat geen wens maar een must. Schulden moet je kunnen zien aankomen. Advies 2: optimaliseer de samenstelling van uw vreemd vermogen Een crediteur levert u gratis vermogen. Soms. Maar voor gratis gaat alleen de zon op, dus zoek de grenzen op tot waar u kunt gaan (is soms ook een bedrijfs-ethische vraag) maar realiseer u ook dat u uw partners nodig hebt. Zeker de strategische partners zullen met meer energie zaken willen doen als u prompt betaalt. Dus ongebreideld uw schuldeisers rekken zodat u minder financiering nodig heeft is niet handig. Even goed over nadenken dus. 28 CloudWorks - nr. 3 / 2014 Advies 3: zoek vooraf dekking! Financieren is heel precies maatwerk. Een bank is echt nog een goed leenalternatief, maar vraagt nu wel meer zekerheid en verkoopt eerder nee (wel handig om dat in een vroeg stadium te ontdekken trouwens!). Misschien een station dat u moet passeren en doorreizen naar een andere vorm van financiering. En die zijn er legio, er is geld genoeg. Succesvol een passende investeerder vinden kan alleen door uw huiswerk te doen en zorgvuldig het risico, de eigendomsaspecten en de prijs van het geld voor uzelf in beeld te brengen. Misschien heeft u meer met crowd-funden? Aan vinden van financiering gaat hoe dan ook flink wat denkwerk vooraf, zoals: Heb ik naast een stevig businessplan een gedegen bedrijfsrisicoanalyse van mijn bedrijf paraat, zodat ik mijn potentiële investeerders kan helpen? Ben ik voldoende kredietwaardig of moeten er nog wat herstructureringen voorafgaan aan een financiering. Welke financieringsvorm past bij mij (variabiliteit, milestones, horizon)? Wil ik een financierder die meeregeert, mee-coacht en meebouwt of juist liever één op flinke afstand die zich niet teveel bemoeit met mijn bedrijf? Of ergens tussenin. Of zoek ik liever de anonimiteit. Of juist familievermogen. Verslik u niet in de voorbereidingsfase, hoe beter u voorbereidt hoe effectiever u financiering ophaalt en u zich weer kunt richten op uw business. Tot slot nog even dit Een goede financiering kan echt geld opleveren. Het kan uw investeringen versnellen en mits uw rendement minimaal de kosten van het vreemd vermogen overstijgt kunt u er in meerdere opzichten aan verdienen. Maar de basis is smal en het verschil tussen bloeien of broeien is heel klein. U raadt het al: monitoring en een strakke regie op de uitgaven. Dus vreemd vermogen is een groeiversneller die loont en die u helpt. Zoeken naar vreemd vermogen is niet een één-twee-drietje. Dat is een zoektocht die vraagt om uw volle aandacht. En het ook verdient. Dus maar weer een kop koffie met uw huisaccountant binnenkort. Succes. Louis van Garderen is oprichter van Joinson & Spice MIGRATIE MIGRATIE IT MANAGEMENT STORAGE HYBRIDE CLOUDCOMPUTING SAAS PUBLIC DATACE GREEN IT PAAS PRIVATE SECURITY LAAS SOLUTIONS VIRTUALISATIE SECURITY SECURITYPRIVATE LAAS CONVERSION SLA CLOUDCOMPUTING VIRTUALISATIE GREEN IT HYBRIDE CLOUDSHOPPING SOLUTIONS PUBLIC STORAGE LAAS PAAS MIGRATIE APPS PRIVATE CONVERSION IT MANAGEMENT GREEN IT cloudworks.nu geheel vernieuwd! Feiten en fictie in kaart gebracht APPS

16 Innovatie Dassault Systèmes stimuleert co-creatie in de cloud door Peter Gloudemans Steeds meer leveranciers bieden cloud-versies van hun applicaties aan. De bij het grote publiek nog amper bekende tweede grootste Europese softwareontwikkelaar Dassault Systèmes gaat in 2014 zelfs co-creatie via de cloud promoten. Tijdens een gebruikersforum in Las Vegas maakte de CEO en President Bernard Charlès bekend dat vanaf januari het complete aanbod via de cloud te gebruiken is. Dassault Systèmes levert software die organisaties helpt om tegen lagere kosten sneller te innoveren. Anders gezegd: hun time-to-market te verkorten. Ondanks de crisis is het bedrijf de afgelopen vijf jaren voorspoedig gegroeid, waardoor de omzet over 2012 ruim e 2 miljard bedroeg en de beurskoers bijna verdrievoudigde. Het geheim achter die succes story is een lange termijnvisie over innovatie en investeringen in strategische samenwerkingsverbanden met een groot aantal klanten. Het naar de cloud brengen van alle softwaretoepassingen is bij Dassault Systèmes dus geen trendvolgend gedrag, maar een belangrijke fase in het realiseren van hun 3DEXPERIENCE-strategie. Een strategie gericht op het versnellen van innovaties, door in virtuele 3D-werelden met supply chain-partners en klanten samen te gaan werken. Charlès gebruikt de slogan connecting the dots om duidelijk te maken dat het 3DEXPERIENCEplatform zowel mensen als middelen wereldwijd verbindt. Om invulling te geven aan hun lange termijn-strategie heeft Dassault Systèmes in 2013 maar liefst zeven complementaire softwarebedrijven overgenomen. De meest recente, Realtime Technology, is marktleider op het gebied van 3D-visualisaties voor marketingtoepassingen, met klanten als Hugo Boss, Adidas, Audi, BMW, Ferrari en Porsche. Co-creatie in de cloud De term 3DEXPERIENCE gebruikt Dassault Systèmes als metafoor om duidelijk te maken dat het succes van innovatie afhankelijk is van de mogelijkheid om bijzondere klantervaringen te creëren. Zoals Apple met de ipod, iphone en ipad heeft gedaan. Door nieuwe producten vanaf het eerste idee tot en met de marktintroductie in 3D te visualiseren en het dagelijks gebruik ervan te simuleren, is de innovatiecyclus flink te verkorten. Verder zijn met virtuele producttesten versus fysieke producttesten enorme kosten te besparen. Denk alleen maar aan de botsproeven van auto s. Ook die worden tegenwoordig acht van de tien keer met meer dan 95 procent nauwkeurigheid virtueel gesimuleerd, omdat het zoveel tijd en geld bespaart. Een ander belangrijke succesfactor voor innovatie is het inspelen op de wensen van klanten. Via het 3DEXPERIENCE-platform kunnen bedrijven de innovators onder hun klanten online betrekken bij het productontwikkelingsproces en met elkaar laten communiceren via online communities. Hoewel al veel software van Dassault Systèmes via de cloud te gebruiken was, zoals de slimme zoektechnologie Exalead en social media monitoring Netvibes, is inmiddels het complete portfolio via de cloud beschikbaar. Daarmee gaat deze softwareleverancier het online samenwerken en communiceren een flinke impuls geven. 3DEXPERIENCE-ervaringen Een onderneemster die de kansen van 3DEXPERIENCES al vroeg ontdekte, is Lynn Tilton. Zij begon 13 jaar geleden aan een missie om mensen de waardigheid te bieden voor hun gezin te kunnen werken. Inmiddels verschaft zij via een investeringsmaatschappij ruim mensen werk bij zo n 75 bedrijven. Het geheim achter het succes van deze turn-around queen is mensen de kans te bieden hun dromen te realiseren met behulp van de modernste technologie. Tijdens het jaarlijkse gebruikerscongres van Dassault Systèmes in Las Vegas vertelde Lynn hoe zij bijna failliete bedrijven opkoopt en tot successen transformeert door te investeren in 3D-ontwerpen, simuleren en andere innovatieve technieken. De mensen die bij haar bedrijven werken, hadden door gebrek aan innovatie hun droom verloren. Vanuit Lynn s visie if you can dream it, we can build it, biedt zij al die mensen een nieuwe kans. Dat zij daarbij niet alleen geluk en de wind mee heeft, blijkt uit het feit dat Lynn s bedrijven in alle marktsectoren actief zijn en zij tijdens de crisis ook de ingedutte automobielindustrie in Detroit weer een flinke impuls heeft gegeven. Uiteraard zijn er in ook in de Benelux bedrijven die met de software van Dassault Systèmes werken, variërend van bekende namen als Fokker Aerostructures, Rijkswaterstaat en Volker Rail, tot echte innovators als IBA Group, FEops en Mutracx. Peter Gloudemans is journalist 30 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

17 IT-beheer Uitbreiding bedoeld om IT meer controle over datacenterinfrastructuur te geven ServiceNow lanceert Configuration Automation door de redactie ServiceNow introduceert ServiceNow Configuration Automation. Deze nieuwe toepassing automatiseert de configuratie van een datacenter-infrastructuur op basis van de ServiceNow Configuration Management Database (CMDB). CMDB is daarmee in de visie van het bedrijf niet langer een historische point-in-time opname van de hard- en softwareconfiguratie. Met behulp van deze nieuwe toepassing wordt het proces volledig omgedraaid. Hierdoor wordt de CMDB de drijvende kracht achter de veranderingen in de configuratie van een datacenter-infrastructuur, stelt het bedrijf. Dit zorgt voor een verbeterde IT-dienstverlening, zelfs in de meest complexe situaties. ServiceNow is een leverancier van enterprise IT-cloudoplossingen. Het bedrijf wil een transformatie van IT bewerkstelligen door het automatiseren en beheren van IT-services. Daarbij worden veel handmatige beheertaken geautomatiseerd en probeert het bedrijf IT-afdelingen in staat te stellen zoveel mogelijk beheerprocessen te standaardiseren. Uitdaging Het verkrijgen van een uitgebreide kennis en controle over een datacenter vormt al jaren een uitdaging voor IT. Het verplaatsten van - delen van - deze infrastructuur naar de cloud, heeft deze uitdaging verder gecompliceerd, omdat veranderingen nu veel sneller en in grotere volumes kunnen voorkomen. Nauwkeurige informatie over de fysieke, virtuele en cloud-gebaseerde infrastructuur zorgt voor een goede IT-dienstverlening en voorkomt storingen in het systeem en een verlies aan kwaliteit van de dienstverlening aan het bedrijfsleven. De combinatie van een sterke groei van de hoeveelheid data en een wildgroei aan automatiseringstools heeft geleid tot verwarring, inconsistentie en uiteindelijk een verlies aan vertrouwen in IT, vertelt Shane Jackson, vice president of marketing, Service- Now. Wanneer de IT-infrastructuur wordt veranderd of gewijzigd, is het belangrijk om rekening te houden met compliance, architectuur en reporting, vervolgt hij. ServiceNow Configuration Automation helpt hierbij, door het combineren van de snelheid en het gemak van automatisering met de noodzaak van een goede controle. We hebben het gehele configuratieproces omgedraaid waardoor het beleid en de controle over het proces nu leidend zijn. Integratie De nieuwe Configuration Automation-oplossing integreert met ServiceNow Change Management, ServiceNow Configuration Management, ServiceNow Cloud Provisioning, ServiceNow CMDB en Puppet Enterprise van Puppet Labs, een serverconfiguratie-oplossing. ServiceNow en Puppet hebben samen een uniform systeem gecreëerd dat zowel gecontroleerd als geautomatiseerd configuratiewijzigingen doorvoert. De configuratie van zowel fysieke-, virtuele- als cloud middelen wordt hiermee een stuk eenvoudiger voor systeembeheerders, claimt het bedrijf. Een verzoek met de ServiceNow Service Catalogus of een eenvoudige update in het CMDB-systeem initieert vastgestelde change management-processen waardoor de datacenter-infrastructuur automatisch opnieuw wordt geconfigureerd naar de gewenste instellingen. Het veranderen van de configuratie van fysieke-, virtuele- en cloud middelen is nu eenvoudig en snel. Zichtbaarheid, inzicht en automatisering gaan hand in hand. Toch worden ze door veel niche-oplossingen te vaak apart behandeld, zegt Dennis Drogseth, vice president, Enterprise Management Associates (EMA). Configuration Automation pakt dit probleem wel aan. ServiceNow toont met deze nieuwe oplossing zijn kracht en laat zien waartoe het in staat is. 32 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /

18 Technologie Zo eenvoudig is een DNS cyberaanval, zo eenvoudig is de verdediging door Nico Wagemans 34 CloudWorks - nr. 3 / 2014 Infoblox heeft de whitepaper A cybercriminal s guide to exploiting DNS for fun and profit uitgebracht. De specialist in netwerkautomatisering en -beveiliging legt hierin met de nodige humor uit hoe je een aanval op het Domain Name System (DNS) kan uitvoeren. Dit is het kloppend hart van alle internetverkeer. Zonder DNS geen internet. Als netwerkprotocol vertaalt het alle domeinnamen naar een numeriek IP adres, waardoor het door de server kan worden opgezocht en naar de cliënt kan worden teruggekoppeld. Omdat DNS voor iedereen op het internet toegankelijk moet zijn, zijn DNS servers dan ook een verleidelijk doelwit voor cybercriminelen of zogenaamde black hat hackers. Zo blijkt uit het groeiend aantal Distributed Denial of Service (DDoS)-aanvallen. Niet dat Infoblox deze black hat hackers daadwerkelijk wil helpen. Daarvoor laat de whitepaper alle technische instructies achterwege. Maar met de beschrijving van een effectieve strategie illustreert het bedrijf in deze controversiële whitepaper perfect waarom en hoe het aantal inbreuken op het DNS volgens sommige studies tussen 2012 en 2013 met maar liefst 200% is toegenomen en dit naast HTTP aanvallen het snelst groeiende type van computercriminaliteit is. Het gemak waarmee deze kunnen gebeuren, legt tegelijk de pijnpunten en de lacunes in de netwerksecurity bloot. Zo blijkt uit een recent rapport over beveiliging van de IT infrastructuur dat iets meer dan een derde van de organisaties in 2013 slachtoffer is geworden van DDoS aanvallen op hun DNS-server. Desondanks ondernemen ze te weinig om dit cruciale onderdeel van hun IT infrastructuur te beschermen: een kwart van de bevraagden verklaarde geen formele verantwoordelijkheid voor de DNS-beveiliging binnen hun bedrijf te hebben vastgelegd. Volgens het 2014 Annual Security Report vonden intelligence experts van Cisco in elk onderzocht bedrijfsnetwerk bewijs van gevaar of misbruik. Alle netwerken hadden bijvoorbeeld DNS lookups met betrekking tot websites die malware hosten, 96% vertoonden webverkeer naar gekaapte servers en 92% ten slotte vertoonden verkeer naar websites zonder enige content wat als kenmerkend voor malware hosting wordt gezien. Deze bevindingen tonen niet alleen de acute bedreiging van DDoS aanvallen aan, maar ook het feit dat DNS servers als gemakkelijk doelwit worden beschouwd, wat wordt genegeerd terwijl ze eigenlijk alle prioriteit verdienen gezien de toegenomen risico s. Maar hoe werken deze aanvallen? En welke maatregelen kunnen ondernemingen treffen om er zich tegen te wapenen? DDoS = massale aanval Het is verrassend eenvoudig om een DDoS aanval op te zetten door de DNS infrastructuur van een onderneming te misbruiken. In plaats van het eigen IP adres aan te wenden, richten de aanvallers hun aanvragen, of queries, bij nameservers op het internet via het spoofed IP adres van het doelwit, waarna de nameservers op hun beurt een antwoord terugsturen. Wanneer deze antwoorden ongeveer dezelfde grootte zouden hebben als de eigenlijke queries, dan zou deze actie niet volstaan om de gewenste schade aan het doelwit toe te brengen. Om maximale schade aan te richten is het immers nodig dat elke query wordt versterkt zodat het de grootst mogelijke respons genereert; een actie die heel wat eenvoudiger is geworden sinds de aanneming van DNS Security Extensions (DNSSEC). Een query van slechts 44 bytes bijvoorbeeld, verstuurd vanuit een spoofed IP adres naar een domein dat DNSSEC registers bevat, kan een respons van meer dan 4000 bytes voortbrengen. Met een relatief bescheiden 1Mbps internetverbinding kan een aanvaller rond 2840 van deze 44-byte queries per seconde versturen. Dit resulteert in ongeveer 93Mbps aan antwoorden naar de gespoofde doelserver. Om te verzekeren dat het doelwit zo oververhit raakt, zou de aanvaller medeplichtigen kunnen rekruteren door een botnet van duizenden computers in te zetten. Met slechts 10 extra aanvallers kon de eerste aanval 1Gbps aan antwoorden leveren om het doelwit te verzwakken. Stel je dan de verwoesting van recente DDoS aanvallen voor die tussen aan 300Gbps en 400Gbps piekten. CloudWorks - nr. 3 /

19 Technologie Het is een geluk dat de meeste nameservers kunnen worden geconfigureerd om er voor te zorgen dat ze herkennen wanneer ze herhaaldelijk om dezelfde data van een zelfde IP adres worden verzocht. protocol als OSBF of BGP te gebruiken, zullen de hosts die de nameserver van een organisatie ondersteunen een route naar een nieuw, virtueel IP adres naar voren schuiven waar de nameserver naar luistert. Recursive nameservers die recursieve queries vanaf een IP adres verwerken, betekenen echter een ander verhaal. Hoewel ze over het algemeen in gesloten omgevingen zoals in bedrijfsnetwerken worden gebruikt, zijn er wereldwijd naar schatting 33 miljoen open recursieve servers. Door dezelfde query van hetzelfde IP adres - spoofed of niet - opnieuw en opnieuw te aanvaarden, zijn recursieve servers geschikt voor gebruik in reflecterende DDoS aanvallen. Voor elke herhaalde query die ze ontvangen, zullen ze een antwoord versturen in een grootorde van de DNSSEC voorbeelden. De beste verdediging Gelukkig kunnen ondernemingen stappen zetten om zich tegen dergelijke aanvallen te verdedigen. Een eerste en wellicht belangrijkste is te leren herkennen wanneer een DDoS aanval plaatsvindt. Een aantal bedrijven zijn zich niet bewust van hun query load, hoewel dit gemakkelijk kan worden nagegaan door bijvoorbeeld gebruik te maken van de statistische supportfunctie die in de BIND software voor het beheer van DNS is ingebouwd. Hiermee kunnen IT-beheerders alle data analyseren. In eerste instantie zou het niet zo veel mogen uitmaken wanneer het niet heel duidelijk is hoe zo n aanval er uit ziet omdat je bij het monitoren van de DNS statistieken een baseline kan vastleggen die toelaat trends, afwijkingen in de query ratio, socket fouten of andere aanwijzingen van een aanval te signaleren. De internet-gerichte infrastructuur van een organisatie zou onder de loep moeten worden genomen om single point of failures in niet alleen de externe authoritative nameservers, maar ook in switch en router interacties, firewalls en verbindingen met het internet te identificeren. Eens vastgesteld, moet de onderneming in overweging nemen of deze zwakke plekken gemakkelijk en kosteneffectief teniet kunnen worden gedaan. Externe authoritative nameservers moeten waar mogelijk breed geografisch worden verspreid wat niet alleen het toelaten van single points of failure zal vermijden, maar ook een meerwaarde zal betekenen in verbeterde prestaties wat betreft de responstijd naar de dichtstbijzijnde klanten van deze servers. Ondernemingen moeten er ook aan denken hun bestaande infrastructuur nog meer uit te rusten als een proactieve manier om met een enorm aantal antwoorden als resultaat van een DDoS aanval om te kunnen gaan. Met geschikte nameservers die tientallen of honderden of duizenden queries per seconde aankunnen, is zo n uitbouw een relatief goedkoop proces dat kan worden getest voorafgaand aan een daadwerkelijke aanval. Anycast laat meerdere servers toe één IP adres te delen en is een techniek die het goed doet met DNS en die kan worden ingezet als verweer tegen DDoS aanvallen. Door een dynamische routing 36 CloudWorks - nr. 3 / 2014 Mocht een bedrijf zes externe name servers hebben, opgedeeld in, laten we zeggen, twee Anycast groepen (i.e. drie servers die één Anycast IP adres delen, en drie servers een ander), dan kan de aanvaller die DDoS gebruikt, het internetverkeer vanuit eender waar en eender wanneer op slechts één lid van één van beide groepen afvuren waardoor de andere servers toch het vereiste vermogen blijven bieden. Tenslotte stellen cloud-gebaseerd DNS providers ondernemingen in staat de voordelen van een brede geografische spreiding te combineren met deze van de Anycast techniek, en dit zonder aanzienlijke uitgaven. Met Anycast nameservers in datacenters over de hele wereld, kunnen DNS aanbieders deze servers laten configureren als secondanten van de eigen servers binnen de onderneming met data ingeladen van de toegewezen nameserver en in house beheerd door de klant. Echter, de meeste providers brengen in zekere mate het aantal data queries in rekening wat drastische proporties kan aannemen tijdens een DDoS aanval. Alvorens in zee te gaan met een dergelijke provider, is het daarom aan te raden na te gaan of er een aparte voorziening is getroffen in geval van een DDoS aanval. Onbewust medeplichtig Naast de configuratie van hun DNS infrastructuur om DDoS aanvallen het hoofd te bieden, moeten organisaties er voor waken niet onbewust medeplichtig te worden aan DDoS aanvallen op derden. Tenzij ze één van de weinige organisaties met een open recursive nameserver zijn, moeten ondernemingen er daarom voor zorgen dat DNS queries tot de IP adressen in hun interne netwerken worden beperkt, waardoor uitsluitend bevoegde gebruikers toegang tot hun recursive nameservers hebben. Voor hen die een authoritative nameserver hebben draaien, maakt Response Rate Limiting (RRL), dat in de BIND nameservers is ingewerkt, het aanvallers moeilijk om de queries te vermenigvuldigen omdat het mogelijk aantal antwoorden naar één IP adres tot een voorgeprogrammeerde drempelwaarde beperkt blijft. Door te begrijpen hoe DDoS aanvallen DNS servers misbruiken en de signalen te herkennen, kunnen organisaties a priori de nodige maatregelen treffen om de risico s voor hun infrastructuur te verminderen, en te vermijden dat ze medeplichtig worden aan aanvallen op anderen. In A cybercriminal s guide to exploiting DNS for fun and profit lees je alvast nog meer over de imperfectie van bestaande gelaagde security, next-gen firewalls en beveiligde web gateways en over de tactieken van de cybercrimineel. Download de whitepaper hier: Nico Wagemans is Regio Sales Manager Noord-Europa bij Infoblox You have to SEE IT to believe it Visibility The only way to make smart decisions in the 21st Century From the C-level office to network administration, business decisions need to be made at light speed decisions that enhance productivity and profitability. WatchGuard Dimension instantly turns raw network data into actionable security intelligence. It gives you the ability to see and understand how to protect your business, set tight security policy, and meet compliance mandates. Go beyond reporting to the decision-making power of WatchGuard Dimension. Pure visibility from any angle. Call us today at +31(0) or sales-benelux@watchguard.com

20 Technologie Software defined heeft invloed op de hele datacenter stack door Hans Vandam Leveranciers van datacenter- en netwerkapparatuur vallen over elkaar heen met hun SDN-visies. Hoewel de voordelen duidelijk zijn, blijft het aanbod bij de meeste aanbieders beperkt tot laag 2 en 3. Het wordt pas echt interessant als je dit kunt koppelen aan de lagen 4 tot en met 7. Partijen als Cisco en F5, die voorheen in elkaars vaarwater leken te zitten, zoeken nu openlijk de samenwerking. Consolidatie en programmeerbaarheid van het hele datacenter was nog niet eerder zo dichtbij. Het belang van de applicatie als succesfactor voor de business wordt niet meer onderkend. Als reactie hierop lijkt iedereen nieuwe, betere en mobielvriendelijke applicaties te ontwikkelen om de honger naar apps te stillen. En niet alleen in de consumentenmarkt. Het gemiddelde Fortune 500 bedrijf ondersteunt duizenden applicaties met alsmaar toenemende druk om dit zowel in mobiele als cloud-vorm te bieden. En dan komt ook nog het Internet-of-Things, of Internet-of-Everything eraan, met alleen maar meer apps en apparatuur die gekoppeld en beveiligd moet worden. IT-afdelingen hebben hierop gereageerd met nieuwe benaderingen voor applicatie-ontwikkelingen (agile) en aansturing (devops), maar in de meeste gevallen blijft het netwerk handmatig beheerd. Gegeven het belang van het netwerk en applicatieservices om applicaties veilig en betrouwbaar te leveren, is het onvermijdelijk dat ook dit geoperationaliseerd moet worden, wil het niet de bottleneck gaan worden. De inspanningen om netwerken end-to-end te versimpelen en snelle services-uitrol mogelijk te maken, spelen in op de uitdagingen van het huidige en toekomstige datacenter. Cisco s Application Centric Infrastructure (ACI) visie sluit daarbij aan op die van F5, genaamd Synthesis. Beide strategieën zorgen voor versnelling van services op systeemniveau, sterke performance en minder complexiteit. Cisco ACI biedt een framework voor service catalogi dat automatische service injection, netwerk stitching en aansturing biedt. Het vermindert complexiteit en breekt met traditionele architecturen. De Application Policy Infrastructure Controller (APIC) biedt gecentraliseerde service-automatisering en policy-aansturing voor netwerkservices. Integratie met F5 Software Defined Application Services, geleverd via Synthesis, stelt IT-organisaties in staat om centrale applicatielevering, applicatieservices en een service-geschikt netwerk te automatiseren. In zowel bestaande als te ontwikkelen datacenters. Een gezamenlijke aanpak biedt ondersteuning aan virtuele workload mobility en continue levering van applicaties zonder dat dit ten koste gaat van een betrouwbaar, schaalbaar netwerk en applicatieservices. Een samengevoegde oplossing voor het datacenter Cisco APIC maakt een eenduidige, applicatie-aangestuurde policy-benadering van de infrastructuur mogelijk die in lijn ligt met F5 s applicatie-bewuste servicemodel, waardoor het datacenter daadwerkelijk applicatiegericht wordt. Cisco APIC vereist van beheerders dat ze een applicatiespecifieke policy ontwikkelen, die via het ACI-netwerk, inclusief services vanuit F5 s high performance services fabric, gedistribueerd worden. De koppeling van netwerk- en applicatieservices wordt op die manier kritisch voor het succesvol leveren van applicaties. Een fabric is zo opgebouwd dat het kan bestaan uit hardware, software en virtuele componenten, zonder tekort te doen aan de voordelen die worden behaald met een samengevoegd, consistent Programmeerbaarheid van het hele datacenter was nog niet eerder zo {dichtbij policy automation framework. Dankzij de combinatie van een netwerk- en services-fabric die zowel opkomende industriestandaarden als traditionele architecturen ondersteunt, kunnen bedrijven de overstap naar een nieuw datacenter maken gebaseerd op hun eigen technologie en vereisten. F5 s applicatie-aangestuurde servicemodel werkt als full proxy. Applicaties, of ze nu door Cisco APIC of een ander policy-model worden aangestuurd, kunnen volledig voorzien worden van allerlei services met betrekking tot onder andere prestatie en beveiliging. Zowel applicaties en tenants zijn end-to-end zichtbaar. Door de levering van end-to-end dynamische service-koppeling en meetbare, programmeerbare applicaties, zijn beheerders in staat kritische datacenter-, netwerk- en applicatieservices te automatiseren. Hans Vandam is journalist video over Cisco en F5 video-uitleg over SDN en SDAS 38 CloudWorks - nr. 3 / 2014 CloudWorks - nr. 3 /