Virtualisatie vraagt om nieuwe security-aanpak

Transcriptie

1 he t va kbl a d ov er cloud compu t ing w w w.cloudworks.nu Jaargang 4, nr. 7-8 / 2013 Etienne van der Woude van WatchGuard: Virtualisatie vraagt om nieuwe security-aanpak Cloud Readiness Assessment Bart Oskam van Eurofiber over Big Data, Cloud 2.0 en SDN En verder Bedrijfsleven op weg naar HPC as a Service VeliQ groeit met Enterprise Managed Mobility Cloud Benchmark Compuware/CloudWorks Shell beveiligt cloud met CA CloudMinder HP zet vol in op Converged Cloud PureStack-technologie helpt de kwaliteit van applicatie-infrastructuur te beheren

2 Cloud talk Easy Hardware is easy, zei Peter Michielse van SURFsara tijdens de ingebruikname van Cartesius, de nieuwe nationale supercomputer. Wie dit door Bull op basis van voornamelijk Intel-technologie gebouwde rekenwonder van dichtbij bekijkt, zal wellicht tot een andere conclusie komen, maar Michielse had wel een punt toen hij op de softwarematige implicaties wees van de hardware-keuzes die bij dit soort systemen worden gemaakt. Op zich neemt de verwerkingssnelheid van individuele processoren namelijk nauwelijks meer toe, maar door een heleboel van dit soort chips tegelijkertijd in te zetten, realiseren we toch nog enorme sprongen in rekencapaciteit. Dat is mooi, maar het roept ook vragen op. Hoe kunnen we softwarematig van al die verschillende cores gebruikmaken zodat we niet een heleboel - zeg maar - kleine processoren hebben, maar juist één of wellicht twee hele grote en krachtige CPU s? Dat is een enorme uitdaging. Want er moet ineens een volstrekt andere softwarearchitectuur worden ontwikkeld. Rekentaken moeten op een slimme manier gesplitst worden in deeltaken, er dienen mechanismen te komen om te zorgen dat al die deeltaken in de juiste volgorde worden afgehandeld, welke core kan het beste welke taak verrichten, noem maar op. Dit is zeer specialistisch werk dat vrijwel uitsluitend door medewerkers van R&D-labs en wetenschappelijke rekencentra wordt verricht. Aan de andere kant van de wereld zien we een commercieel bedrijf als Zipp Speed Weaponry. Dit MKB-bedrijf heeft koolstofvezelversterkte wielen voor racefietsen ontwikkeld. Hier is enorm veel reken- en simulatiewerk voor nodig. Een gewone huis-tuin-en-keuken server zou dagen of weken aan het werk zijn om dat soort berekeningen af te ronden. Maar Zipp liep enkele medewerkers tegen het lijf van een Amerikaans researchlab dat beschikt over een supercomputer. Men besloot samen te werken, waardoor het intensieve rekenwerk via een voor massively parallel processing bedoelde supercomputer kon worden gedaan. Het resultaat is een racewiel dat als zoete broodjes over de toonbank gaat. MKB ers en andere ondernemers zijn niet in staat zelf supercomputers aan te schaffen. Laat staan dat men zelf de software kan ontwikkelen die optimaal gebruikmaakt van de brute rekenkracht van zo n machine. Daarom is binnen Europa een programma op gang gekomen (PRACE geheten) dat HPC as a Service (high performance computing) mogelijk maakt. Ondernemers kunnen dan met een goed idee voor een nieuw product maar waar nog veel aan gerekend moet worden, aankloppen bij bijvoorbeeld SURFsara. Zij kunnen daarbij - uiteraard tegen een vergoeding - gebruikmaken van de technische kennis van de medewerkers van dit soort organisaties om slimme software te laten ontwikkelen die op een Cartesius-achtige supercomputer berekeningen kan uitvoeren. Het idee achter de cloud - denken vanuit services die op maat van de vraag beschikbaar zijn - dringt daarmee door in de R&D en de productontwikkeling van nagenoeg ieder Nederlands bedrijf. Dat is een cruciale ontwikkeling voor een land als Nederland waar we onze welvaart uitsluitend op peil kunnen houden door almaar meer kennis in onze producten te stoppen. Robbert Hoeffnagel Colofon CloudWorks maakt onderscheid tussen feit en fictie op het gebied van cloud computing en helpt organisaties om cloud computing optimaal in te zetten. Toezending van CloudWorks vindt plaats op basis van abonnementen en controlled circulation. Vraag uw abonnement aan via info@cloudworks.nu Uitgever: Jos Raaphorst jos@fenceworks.nl Hoofdredacteur: Robbert Hoeffnagel robbert@fenceworks.nl Redactie: Hans Lamboo Advertentie-exploitatie: Will Manusiwa, senior accountmanager will@fenceworks.nl + 31 (0) Vormgeving: Studio Kees-Jan Smit BNO Druk: Control Media Kopij kan worden ingezonden in overleg met de redactie. Geplaatste artikelen vertegenwoordigen niet noodzakelijkerwijs de mening van de redactie. De redactie noch de uitgever aanvaarden enige aansprakelijkheid voor de inhoud van artikelen van derden, ingezonden mededelingen, advertenties en de juistheid van genoemde data en prijzen. Het kopiëren of overnemen van artikelen, geheel of gedeeltelijk, wordt aangemoedigd, maar is uitsluitend toegestaan na schriftelijke toestemming van de uitgever en onder vermelding van: Overgenomen uit CloudWorks, de publicatie over cloud computing, plus jaargang en nummer. Copyright 2013 FenceWorks BV. CloudWorks is een uitgave van FenceWorks BV Maredijk VR Leiden CloudWorks - nr. 7-8 /

3 Bedrijfsleven op weg naar HPC as a Service Staatssecretaris van Onderwijs, Cultuur en Wetenschap Sander Dekker verrichtte op 14 juni bij SURFsara in Amsterdam de officiële ingebruikname van de nieuwe nationale supercomputer Cartesius. Tijdens een speciaal hiervoor georganiseerd symposium roemden sprekers uit binnen- en buitenland niet alleen de kwaliteiten van deze door Bull op basis van Intel-technologie gebouwde supercomputer, maar werd ook het belang van high-performance computing benadrukt. Om de toegang tot supercomputers voor het bedrijfsleven te verbeteren, wordt in Europees verband daarom gewerkt aan een project waarmee de rekenkracht van dit soort systemen als een cloud service aan het bedrijfsleven wordt aangeboden. inhoud 3 30 VeliQ groeit met Enterprise Managed Mobility Het uit Barendrecht afkomstige VeliQ groeit al jarenlang succesvol onder de radar van een internationaal partnernetwerk. Het Nederlandse bedrijf levert een cloudoplossing voor Enterprise Managed Mobility. Tot die partners behoren ook grote leveranciers als KPN, SAP en T-Systems. CEO en oprichter Alex Bausch vertelt zijn visie en wereldwijde groeiambitie. Virtualisatie vraagt om nieuwe securityaanpak Virtualisatie is een van de belangrijkste bouwstenen waarmee zowel IT-afdelingen als commerciële datacenters cloud services ontwikkelen. In de markt wordt soms met grote stelligheid beweerd dat gevirtualiseerde omgevingen veiliger zijn dan niet-gevirtualiseerde ofwel fysieke omgevingen. Maar klopt dat? Etienne van der Woude van security-specialist Watch- Guard plaatst grote vraagtekens bij dat soort beweringen. Zeker als we bedenken dat veel IT-afdelingen nog altijd druk bezig zijn om hun security-beleid rondom virtualisatie in te vullen. Daarmee lopen bedrijven die richting de cloud willen grote risico s. 4 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 / Inhoud 9 Cloud Benchmark Compuware/CloudWorks: Reisverzekeringen: vergelijken loont! 10 Bart Oskam van Eurofiber over Big Data, Cloud 2.0 en SDN 14 Shell beveiligt cloud met CA CloudMinder 16 IT Room Infra Event: Hoe energiezuinig en betrouwbaar is de IT-infrastructuur? 17 OpenStack is niet te stoppen 18 Cloud Readiness Assessment deel 2: Finance en Architectuur & Security 26 HP zet vol in op Converged Cloud 28 PureStack-technologie helpt de kwaliteit van applicatie-infrastructuur te beheren 34 Cloud is de motor achter innovatie door mass customization in IT 38 Grootschalige adoptie van SSD s in datacenters nabij 41 Column Andi Mann (CA): De tijd voor pilots is voorbij 42 Verslag XebiCon 2013: DevOps en de optimalisatie van IT 46 Nieuws van DHPA 48 EurocloudNL-nieuws 50 Legal Look Go!

4 Trend Intel en Bull leveren fundament voor nieuwe nationale supercomputer Cartesius Op weg naar HPC as a Service door Robbert Hoeffnagel Staatssecretaris van Onderwijs, Cultuur en Wetenschap Sander Dekker verrichtte op 14 juni bij SURFsara in Amsterdam de officiële ingebruikname van de nieuwe nationale supercomputer Cartesius. Tijdens een speciaal hiervoor georganiseerd symposium roemden sprekers uit binnenen buitenland niet alleen de kwaliteiten van deze door Bull op basis van Intel-technologie gebouwde supercomputer, maar werd ook het belang van high-performance computing benadrukt. Om de toegang tot supercomputers voor het bedrijfsleven te verbeteren, wordt in Europees verband daarom gewerkt aan een project waarmee de rekenkracht van dit soort systemen als een cloud service aan het bedrijfsleven wordt aangeboden. Wat hebben het Human Brain Project, Zipp Speed Weaponry en Intelligent Light met elkaar van doen? Het eerste is een Europees researchproject om de werking van de hersenen te doorgronden, Zipp is een fabrikant van speciale met koolstofvezel versterkte wielen voor racefietsen en Intelligent Light houdt zich bezig met wat wel genoemd wordt Computational Fluid Dynamics ofwel simulaties van vloeistof- en luchtstromingen. Op het eerste gezicht niet zo vreselijk veel, totdat we ons realiseren dat alle drie niet kunnen bestaan zonder de ongekende rekenkracht die supercomputers ons te bieden hebben. Hoofdrol binnen Intel Onder andere deze drie voorbeelden kwamen aan de orde tijdens de officiële ingebruikstelling van Cartesius, de naar de beroemde Franse filosoof en wiskundige René Descartes vernoemde nieuwe nationale supercomputer. Deze grotendeels op Inteltechnologie gebaseerde high-performance computer is de vijfde rekenfaciliteit die op nationaal niveau in Nederland is aangeschaft (zie kader Cartesius in het kort ). De officiële handelingen werden verricht door Staatssecretaris van Onderwijs, Cultuur en Wetenschap Sander Dekker, nadat voor hem een hele reeks van nationale en internationale sprekers voorbeelden van projecten hadden behandeld die zonder de rekenkracht van supercomputers niet van de grond hadden kunnen komen. Of zoals professor Thomas Lippert van het Duitse Jülich Supercomputing Centre en coördinator van het Europese PRACE-project het tijdens de dag uitdrukte: Making sense of 1 Petabyte of data with pen and paper is very hard to do. Stephen Wheat van Intel was speciaal voor de ingebruikname van Cartesius naar Amsterdam gekomen. Wheat is binnen Intel verantwoordelijk voor de HPC-activiteiten van het technologieconcern, een business unit die normaliter enigszins in de schaduw van met name de processordivisie staat. Maar zoals alle wetenschappelijk onderzoek in feite de aanjager van nieuwe technologie vormt, hecht ook Intel zeer veel belang aan highperformance computing. De reden is duidelijk: door de lat wat betreft performance, beschikbaarheid, maar ook waar het gaat om innovatieve architecturen en netwerktechnologie almaar hoger te leggen, duwt een bedrijf als Intel niet alleen de spreekwoordelijke grenzen van de techniek vooruit, maar ontwikkelt het tevens technologieën die in een later stadium hun weg weer vinden naar meer gewone apparaten als laptops, smartphones en dergelijke. En vergeet ook niet welke stappen een dochteronderneming van Intel als McAfee op het gebied van security kan zetten dankzij activiteiten in de wereld van high-performance computing. PRACE-project De Intel-topman vertelde tijdens het symposium hoe het concern besloten heeft nauw te gaan samenwerken met onder andere de Universiteit van Oklahoma. Doel: betere modellen ontwikkelen waardoor mensen in deze zeer tornado-gevoelige regio eerder gewaarschuwd kunnen worden als zich een orkaan of wervelstorm ontwikkelt. Een kwartier extra tijd om een schuilplaats te zoeken, kan het verschil tussen leven en dood betekenen. Hoe dicht wetenschappelijk onderzoek en HPC daarmee bij de mens kunnen staan, bleek wel uit zijn opmerking over een van de bekendste foto s na de recente verwoestingen door tornado s even buiten Oklahoma City. Op de foto is een jong stel te zien die elkaar vasthouden, terwijl zij de restanten van hun verwoeste huis inspecteren. De man in de foto blijkt de neef van Wheat te zijn. Het Europese PRACE wil supercomputing op een andere manier dichter bij de mens brengen. Dit voluit Partnership for Advanced Computing in Europe geheten project heeft tot doel om binnen Europa een volwaardige HPC-infrastructuur te creëren. Dit doet men met Europees geld dat gekoppeld wordt aan nationale en regionale initiatieven. Binnen Europa is inmiddels een soort piramide van supercomputing-capaciteit ontstaan. De top van de driehoek (de zogeheten Tier-0 supercomputingfaciliteiten) wordt hierbij gevormd door een handvol zeer grote HPC-centra in onder andere Duitsland en Frankrijk. Een laag hieronder bevinden zich nationale supercomputers zoals Cartesius (Tier-1), aangevuld met een brede basis van regionale rekenfaciliteiten (Tier-2) die door onderzoeksinstellingen en universiteiten worden gerund. Staatssecretaris van Onderwijs, Cultuur en Wetenschap Sander Dekker verrichtte op 14 juni bij SURFsara in Amsterdam de officiële ingebruikname van de nieuwe nationale supercomputer Cartesius. Stephen Wheat van Intel: Moderne economieën kunnen niet zonder high-performance computing. HPC as a Service Hierdoor ontstaat, vertelde professor Thomas Hippert, een Europees HPC-ecosysteem dat niet alleen wetenschappelijk 6 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

5 Trend onderzoek van wereldklasse ondersteunt, maar dat tevens een aanbieder van HPC services is geworden. PRACE loopt sinds 2004 en heeft voor de periode 2010 tot miljoen euro beschikbaar voor investeringen in HPC. De rekencapaciteit van dit netwerk van supercomputers ligt inmiddels op 15 Petaflops per seconde. Gebruikers kunnen rekencapaciteit huren via een systeem van peer review, waarbij wetenschappers en onderzoekers uit het bedrijfsleven op gelijke basis behandeld worden. Hippert benadrukte met name de toegang die PRACE aan het bedrijfsleven biedt. Zijn organisatie heeft hierbij - letterlijk - gekozen voor een aanpak waarbij sprake is van HPC as a Service. Dat het bedrijfsleven toegang heeft tot de rekencapaciteit die supercomputers bieden, is van zeer groot belang voor de economie van Europa, meent hij. Hij noemde een aantal voorbeelden van Europese bedrijven die op deze manier zeer rekenintensief onderzoek kunnen doen dat de basis legt voor nieuwe producten en diensten, zonder dat zij vele miljoenen behoeven te investeren in HPC-systemen waarvoor zij zelf eigenlijk onvoldoende werk hebben. Hij vertelde onder andere over Renault dat via HPC as a Service veel onderzoek heeft gedaan naar het gedrag van auto s tijdens botsingen. Hippert gaf aan dat Renault dankzij dit rekenwerk in 2015 kan voldoen aan de eisen die gesteld worden in de zogeheten EuroNCAP6-norm. Grote Trends Wheat van Intel toonde zich erg enthousiast over Cartesius. In zijn ogen kunnen we namelijk niet genoeg belang hechten aan supercomputing. Iedere goed ontwikkelde economie kan alleen maar blijven groeien als het bedrijfsleven investeert in kennisintensieve producten en diensten. De tijd dat we achter de analoge tekentafel en met behulp van een rekenliniaal nieuwe producten konden ontwerpen, ligt ver achter ons. Professor Thomas Lippert van het Duitse Jülich Supercomputing Centre: Making sense of 1 Petabyte of data with pen and paper is very hard to do. Ontwerpen, simuleren en monitoren gaan naadloos in elkaar over, waarbij ongekende hoeveelheden data en zeer ingewikkelde modellen doorgerekend moeten worden. Daarbij komt een aantal grote trends ondertussen bij elkaar, meent Wheat. Dat is allereerst the internet of everything ofwel apparaten en sensoren die aan internet zijn gekoppeld en die continu data doorsturen. Cloud is een tweede zogeheten Grote Trend van Wheat. Die twee samen zorgen voor het verzamelen en vastleggen van ongekende hoeveelheden data (Big Data). Willen we in al die data interessante patronen kunnen ontdekken waar we ook nog eens snel mee aan de slag kunnen (wat inmiddels ook wel Big & Fast Data wordt genoemd), dan hebben we een zeer grote rekencapaciteit nodig. De top van bedrijfsleven en de onderzoekswereld kan het zich financieel veroorloven om die rekencapaciteit zelf aan te schaffen bij firma s als Bull en Intel. Andere partijen zullen steeds vaker kiezen voor een voor hen meer betaalbare oplossing in de vorm van HPC as a Service. Bovendien zien we steeds meer samenwerking tussen bedrijven - ook kleinere ondernemingen - en onderzoeksinstellingen. Dat is een zeer succesvolle aanpak, vertelde Hippert, ook in Nederland. De Zipp-wielen voor racefietsen zijn hier een mooi voorbeeld van. Voor hij voor het Cartesius-symposium naar Amsterdam was afgereisd, had Hippert nog even de statistieken opgezocht: Nederland (universiteiten plus bedrijfsleven) neemt inmiddels 5 procent af van de Tier-0 supercomputing-capaciteit die binnen Europa beschikbaar is. En daar komt de nieuwe Cartesius dus nog eens bij. Gezien de bescheiden omvang van Nederland en onze economie toonde Hippert zich onder de indruk van dit percentage. HPC as a Service voorziet kennelijk in een duidelijke behoefte. Robbert Hoeffnagel Cartesius in het kort Cartesius is de vijfde nationale supercomputer. Eerder al werd deze rekenfaciliteit geleverd door: - Control Data: Cyber 205 (1984), 1 CPU, 100 Megaflops per seconde - Cray: de C916/ (2003), 12 CPU s, 12 Gigaflops per seconde - Silicon Graphics: Altix 3700 (2003), 1400 CPU s, 3,2 Teraflops per seconde - IBM: Power 6 (2008), 3456 cores, 65 Teraflops per seconde De Cartesius is opgebouwd rond een aantal nodes (32 fat nodes en 2 interactieve nodes, aangevuld met meerdere zogeheten thin node islands ) die via een Infiniband-netwerk met elkaar verbonden zijn. Het werkgeheugen bedraagt bij oplevering 180 Terabyte, terwijl het systeem via een Lustre file system 5 Petabyte aan data kan adresseren. De prestatie van Cartesius bedraagt anno Teraflops per seconde. De nu reeds voorziene uitbreiding in 2014 brengt dit prestatieniveau naar 1 Petaflop per seconde en meer. Onderzoek De Cloud Benchmark Powered by Compuware Reisverzekeringen: vergelijken loont! De premies van reisverzekeringen zijn in het afgelopen jaar met 5 procent gestegen blijkt uit een vergelijking van onderzoeksbureau MoneyView. 1 op de 5 verzekeringen is zelfs 10 procent duurder. Een duidelijke oorzaak hiervan is de verhoging van de assurantiebelasting van 9 naar 21 procent begin dit jaar. Die heeft geen invloed op het schadedeel van de verzekering, maar bijvoorbeeld wel op de dekking voor annulering en rechtsbijstand. Duurder wordende reisverzekeringen zijn een goede aanleiding om te kijken of goedkoper of minder verzekeren mogelijk is. Is überhaupt een reisverzekering nodig? 1 op de 8 mensen gaat onverzekerd op vakantie, blijkt uit onderzoek van het Verbond van Verzekeraars. Regelmatig kijken of er elders goedkopere reisverzekeringen te krijgen zijn kan veel geld schelen. Bij de duurste polis is de premie De Cloud Benchmark De Cloud Benchmark is een gezamenlijk initiatief van CloudWorks en Compuware en wordt maandelijks gepubliceerd. Hierbij wordt gebruikgemaakt van de technologie van Compuware voor application performance monitoring (APM). APM-tools maken het mogelijk om een goed inzicht te krijgen in de prestaties van cloud services zoals deze door de gebruiker worden ervaren. Niet de beschikbaarheid of prestaties van de individuele namelijk drie keer zo hoog als bij de goedkoopste, wees recent onderzoek van de Consumentenbond uit. Bij gezinnen met twee kinderen loopt het verschil op tot bijna 150 euro voor een doorlopende basispolis inclusief wintersportdekking. Vergelijken loont dus! Dat geldt ook voor de reisverzekeraars met betrekking tot de prestaties van hun websites. In het benchmarkonderzoek van deze maand maken we onderscheid tussen de prestaties van de Back Bone (BB) van Internet Explorer-gebruikers en Firefox-gebruikers. De ondergrens van de gemiddelde laadtijd van een site is 2 seconden, vanaf dan beginnen bezoekers een pagina te verlaten, met de daarmee gepaard gaande potentiële omzet. De site van Unigarant presteert in dat opzicht met beide webbrowsers het beste. Bij Hema Verzekeringen is er nog werk aan de winkel, met een relatief lage beschikbaarheid van de site en een responstijd van bijna 4 seconden via Internet Explorer. Internet Explorer Avg Response Time Availab. Firefox Avg Response Time Availab. (sec) (%) (sec) (%) Aegon_HP-IE-Insurance-NL 1,623 99,73 Aegon_HP-FF-Insurance-NL 1,642 99,73 ASR Verzekeringen_HP-IE-Insurance-NL 2,532 99,6 ASR Verzekeringen_HP-FF-Insurance-NL 2, Centraal Beheer_HP-IE-Insurance-NL 2, Centraal Beheer_HP-FF-Insurance-NL 2, Delta Lloyd_HP-IE-Insurance-NL 0,81 99,87 Delta Lloyd_HP-FF-Insurance-NL 0, Europeesche_HP-IE-Insurance-NL 1, Europeesche_HP-FF-Insurance-NL 0,942 99,87 FBTO_HP-IE-Insurance-NL 0, FBTO_HP-FF-Insurance-NL 0,785 99,87 Hema Verzekeringen_HP-IE-Insurance-NL 3,993 99,73 Hema Verzekeringen_HP-FF-Insurance-NL 1,991 99,73 OHRA_HP-IE-Insurance-NL 1, OHRA_HP-FF-Insurance-NL 0, Reaal_HP-IE-Insurance-NL 2,405 99,87 Reaal_HP-FF-Insurance-NL 2,461 99,87 Unigarant_HP-IE-Insurance-NL 0, Unigarant_HP-FF-Insurance-NL 0, Unive_HP-IE-Insurance-NL 2,271 99,87 Unive_HP-FF-Insurance-NL 2,456 99,46 Zilverenkruis_HP-IE-Insurance-NL 1,843 99,73 Zilverenkruis_HP-FF-Insurance-NL 1,615 99,87 systemen en componenten die bij het gebruik van een cloud-dienst worden toegepast staan hierbij centraal, maar de ervaring van de eindgebruiker die deze volledige keten - inclusief de last mile - benut. Kijk voor meer informatie op 8 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

6 Strategie We zijn op een punt beland waar een aantal belangrijke ontwikkelingen in IT en Telecom bij elkaar komen. Het gaat dan met name om Big Data, Cloud 2.0 en software-defined networking. Alsof deze trends ieder op zich al niet voldoende impact hebben op de manier waarop we over IT en Telecom denken en hoe we onze IT-infrastructuur inrichten, hebben deze drie ontwikkelingen ook nog eens een forse invloed op elkaar. Ze versterken elkaar namelijk. Met alle gevolgen van dien voor onze digitale infrastructuur, vertelt Bart Oskam. Hij is managing director van Eurofiber in Utrecht, een grote aanbieder van enerzijds glasverzelverbindingen en anderzijds co-locatie-diensten vanuit een eigen datacenter. De kunst is natuurlijk om Big Data om te zetten in Great Information. Daar hebben we Cloud 2.0 voor {nodig Bart Oskam van Eurofiber over Big Data, Cloud 2.0 en software-defined networking: Enorme impact op telecomvoorzieningen door Robbert Hoeffnagel De tijd dat een datacenter genoeg had aan één of twee X.25- lijntjes ligt duidelijk achter ons. Er is ten aanzien van de telecomvoorzieningen van grotere organisaties echter veel meer aan de hand dan enkel en alleen een discussie over bandbreedte of snelheid, waarschuwt Bart Oskam, managing director van Eurofiber in Utrecht. De combinatie van Big Data, Cloud 2.0 en software-defined networking zet de digitale infrastructuur van grotere organisaties volledig op zijn kop. Het is cruciaal dat we ons op deze snel veranderende wereld voorbereiden. Onvermoede patronen Om de invloed van Big Data op de telecomvoorzieningen van een organisatie in kaart te brengen, is het belangrijk om goed zicht te hebben op de uitdagingen waar business-organisaties en IT-afdelingen op dit gebied voor staan. Het is namelijk niet voldoende om Big Data simpelweg te definiëren als heel veel data. Een minstens zo n belangrijk kenmerk is het gegeven dat Big Data een zeer sterke groei kent en bovendien in belangrijke mate bestaat uit ongestructureerde data. Met andere woorden: spraak, foto s, video s, loggegevens, informatie afkomstig van social media en dergelijke. Het idee achter Big Data is natuurlijk duidelijk: ontdek de onvermoede patronen in al deze data en creëer daar waarde mee. Hetzij door met nieuwe diensten nieuwe omzet te genereren, door kostenbesparingen te realiseren via een efficiënter gebruik van middelen of door innovatieve oplossingen te genereren voor de maatschappelijke uitdagingen van deze tijd. Om dat volledige potentieel te kunnen vangen, moeten we Big Data transformeren naar Great Information. Zoals dit wel vaker gebeurt in de IT-markt is Big Data in korte tijd uitgegroeid tot een belangrijke hype. Maar daarmee doen we dit fenomeen tekort, vindt Oskam. Big Data is inmiddels een serieuze markt die zeer snel groeit. Wij gaan er van uit dat de uitgaven van organisaties voor Big Data-producten en -diensten tot 2017 met meer dan 50 procent zullen toenemen. En dan hebben we het wereldwijd over een markt van ruim 50 miljard dollar. Om die groei echter werkelijk te laten plaatsvinden, zullen we als gebruikers en aanbieders nog wel een aantal belangrijke problemen moeten oplossen. Oskam ziet drie belangrijke uitdagingen. De eerste is security en privacy. Een goed opgezette Big Data-oplossing weet straks bij wijze van spreken meer van een individuele klant dan hij of zij zelf. Hoe voorkomen we dat al die kennis in verkeerde handen valt? En voor welke toepassingen willen we die informatie eigenlijk beschikbaar maken? Een tweede uitdaging heet transparantie. Het is natuurlijk heel interessant om allerlei gegevens te verzamelen, te crossen en te analyseren, zodat we tot een bepaald resultaat komen. Maar we moeten de zaak straks natuurlijk ook nog kunnen omdraaien: hoe zijn we eigenlijk tot een bepaalde conclusie gekomen? Met andere woorden: kunnen we als het ware terug redeneren en achterhalen hoe bepaalde kennis of informatie over een persoon of een bedrijf tot stand is gekomen? Dat is niet alleen belangrijk als sanity check, maar dit punt gaat ongetwijfeld ook een belangrijke rol spelen bij governance, bij risk management, maar - vrees ik - ook in rechtszaken die Big Data onvermijdelijk in de toekomst gaat uitlokken. Een derde uitdaging ziet Oskam in de robuustheid van de gehele Big Data-infrastructuur. We slaan enorme hoeveelheden gegevens op. Maar hoe doen we dat technisch eigenlijk op een fatsoenlijke manier? Hoe kunnen we die groeiende berg data blijven verwerken tot betekenisvolle informatie zonder dat de hiervoor gebruikte IT-infrastructuur het wat capaciteit betreft niet meer kan bolwerken? Ook interessant: hoe transporteren we al die data eigenlijk? Cloud 2.0 De zogeheten pre-cloud infrastructuur van IT-afdelingen is simpelweg niet in staat om te gaan met de volumes die bij Big Data spelen. De hoeveelheid data kan misschien nog wel worden opgeslagen, maar het is onmogelijk om er betekenis aan te geven - en zeker niet met een acceptabele performance. De hoeveelheid gegevens is veel te groot om met klassieke sequentiële verwerkingsmethoden te kunnen verwerken. En ook de transportcapaciteit van data was in het pre-cloud tijdperk absoluut ontoereikend. Dat had niet alleen met de beschikbare bandbreedtes te maken, maar ook met verouderde, inefficiënte protocollen. Die zijn te traag voor de eisen die Big Data aan een telecomnetwerk stelt. De eerste cloud-golf, of Cloud 1.0 zoals ik het noem, is echter ook niet optimaal geschikt voor Big Data, meent Oskam. Cloud 1.0 faciliteert weliswaar decentralisatie en virtualisatie van verwerkings- en opslagcapaciteit, maar het ontbreekt bij Cloud 1.0 nog aan de benodigde intelligentie om efficiënt met Big Data te kunnen omgaan. Met Cloud 2.0 krijgen we de beschikking over gegevensverwerking zo dicht mogelijk bij de bron en een nog verder gedistribueerde vorm van gegevensopslag. De echte doorbraak zit m echter in het feit dat we die grote hoeveelheid gedecentraliseerde gegevens parallel kunnen verwerken om er informatie uit te destilleren. Dit wordt gefaciliteerd met innovatieve open source-oplossingen als Hadoop van Apache of Dremel van Google. In onze visie is Cloud 2.0 een Big Data enabler. Het regelt de intelligente, snelle en gedistribueerde gegevensopslag én 10 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

7 Strategie { Als we alle marketing speak weglaten, zien we als gevolg van softwaredefined networking de mogelijkheid ontstaan om netwerken op maat van specifieke klanten of toepassingen te maken Column Crime of the Century parallelle gegevensverwerking. Dankzij Cloud 2.0 kunnen we Big Data omzetten in Great Information. Software-defined networking De laatste belangrijke trend die Oskam signaleert - softwaredefined networking - is een doorbraak die de mogelijkheid creëert om software te gebruiken voor het ordenen en besturen van de enorme diversiteit aan protocollen en hardware binnen telecomnetwerken. Software-defined networking is kort gezegd het ontsluiten van hardware-specifieke operating software en hardware-specifieke protocollen via generieke, hardwareonafhankelijke besturingssoftware. Dat wil overigens niet per definitie zeggen dat we de hardware van fabrikanten als Cisco, Alcatel Lucent, Juniper of Huawei niet meer in het datacenter of in telecomnetwerken zullen tegenkomen. Wat software-defined networking doet, is een vendor neutral softwarelaag over al die vendor specific hardware heen leggen. Die neutrale software gaan we vervolgens gebruiken om onze telecominfrastructuur te definiëren, waarbij die software-defined networking-laag zorgt voor het besturen van al die bedrijfsspecifieke hardware. We stappen dus af van het model waarbij netwerkbeheerders ieder individueel merk en apparaat zelf moet besturen en beheren. Software-defined networking kent daarmee dus twee belangrijke voordelen: een efficiënte vorm van netwerkbeheer en bovendien programmeerbare netwerken. Met name dit laatste punt spreekt natuurlijk aan. Als we alle marketing speak over software-defined networking weglaten, zien we natuurlijk vooral de mogelijkheid ontstaan om netwerken op maat van specifieke klanten of toepassingen te maken. Geen one size fits all meer, maar maatwerk. Die netwerken zijn virtueel en kunnen worden geleverd op basis van het on demand -principe. Met andere woorden: de connectiviteit, de bandbreedte en de snelheid worden volledig afgestemd op de daadwerkelijke behoefte. Verandert deze behoefte, dan kan het virtuele netwerk hier direct op worden aangepast. Om toch maar weer een marketing-kreet te gebruiken: netwerken worden hierdoor application aware. Iedere toepassing kan bij softwaredefined networking immers zijn eigen virtuele netwerk krijgen. OSI layer collapse De toonaangevende software-defined networking-innovaties, zoals OpenFlow, zijn overigens volledig gebaseerd op open standaarden en worden aangedreven door bedrijven als Microsoft, Google en Yahoo. Ook deze ontwikkeling toont maar weer eens aan dat de samensmelting van telecom en IT onverminderd doorzet. De impact hiervan is enorm, meent Oskam. Ik noem dat gekscherend wel eens de OSI layer collapse. De functionaliteit op de oorspronkelijke zeven lagen van het Open Systems Interconnect-model verdwijnt weliswaar niet, maar wordt wel sterk vereenvoudigd omdat het opgaat in drie nieuwe, open lagen: een gegevenslaag, een managementlaag en een toepassingslaag. De gegevenslaag (data layer) regelt een efficiënte vorm van opslag en transport van data. De managementlaag (management layer) zorgt voor het intelligent organiseren en interpreteren van data en datastromen, terwijl de toepassingslaag (application layer) zowel bedrijven als particulieren in de gelegenheid stelt optimaal gebruik te maken van de digitale infrastructuur van de toekomst. Oskam: Aangezien deze lagen zullen moeten voldoen aan open standaarden om onderling te kunnen samenwerken, behoren de verticaal geïntegreerde vendor lock-ins definitief tot het verleden. Open is de nieuwe norm. Robbert Hoeffnagel door Gregor Petri De meningen over wie tot nu toe de Crime of the Century (Supertramp, 1974*) op cloud-gebied heeft gepleegd, zijn verdeeld. Sommigen wijzen naar de diverse overheden achter initiatieven als PRISM, Tempora en de diverse lokale varianten die nu aan het daglicht komen. Anderen wijzen juist naar de klokkenluiders die deze aan het licht brachten als de grote boosdoeners. Maar ook de diverse cloud service providers die - naar verluid, al dan niet gedwongen - meewerkten aan het grootschalig delen van privacygevoelige informatie staan onder druk van hun klanten en gebruikers. Overigens zijn gebruikers en klanten bij de meeste cloud-aanbieders van consumentendiensten twee totaal verschillende groepen met sterk verschillende belangen en ideeën. Het grote publiek is tot nu toe redelijk onverschillig (althans totdat men zelf het doelwit is, zoals recent enige EU-politici overkwam) onder het moto Zolang ik niets fout doe, heb ik er geen last van. Maar of een individu iets fout doet, is sterk gebonden aan tijd en plaats. Wat hier al jaren legaal kan zijn (zoals downloaden), is in andere landen vaak (nog) strafbaar of zelfs een misdrijf. Bovendien hebben we hier in het verleden geleerd dat goedbedoelde dataverzamelingen misbruikt kunnen worden voor andere doeleinden. Denk maar eens aan de goed bedoelde en zeer accurate gemeentelijke bevolkingsadministraties tijdens WOII. Inmiddels gaan de digitale mogelijkheden van nieuwe technologie vaak verder dan wat wellicht wenselijk is. Dankzij big data monitoring kunnen we terroristische aanslagen voorkomen, maar ook voorspellen wie ziektes zoals obesitas zullen ontwikkelen en binnenkort wellicht welke huwelijken het wel of niet zullen halen. De verleiding om hierop te anticiperen door in te grijpen in persoonlijke omstandigheden zal steeds meer toenemen. Het feit dat dergelijke maatregelen werden genomen ter verhoging van de publieke en persoonlijke veiligheid wordt vaak als legitimatie aangedragen. Maar ook bij digitale en cloud-innovaties die worden ingevoerd voor andere redeneren zoals zelfrijdende auto s in het verkeer of autonome operatie robots in ziekenhuizen speelt de discussie rond veiligheid een belangrijke rol. De automatische auto s van Google mogen alleen rijden met een menselijke chauffeur op de bestuurdersstoel, zelfs als deze niets doet. Op welk moment staan we toe dat de machine het volledig overneemt. Is dit wanneer hij (of eigenlijk het ) 1, 10 of 100 keer minder fouten maakt dan zijn menselijke concurrent? We komen dan op het terrein van de digitale en de cloud-ethiek. Nadenken over niet alleen de mogelijkheden maar ook de wenselijkheid van cloud, big data, sociale netwerken en mobiele technologie die samen een nexus aan ethische dilemma s opleveren die nog op geen enkele school in het curriculum zit. En laat School (Don t forget your books, you ve got to learn the golden rules!) nu net het eerste nummer van de cd Crime of the Century zijn. *Crime of the Century (1974) is het derde album van de Engelse groep Supertramp en leidde tot hun internationale doorbraak in zowel Europa als de USA. Het album is opgedragen aan Sam, een acroniem voor de van oorsprong Nederlandse miljonair en filantroop Stanley August Miesegaes die de band financierde als start-up. 12 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

8 Security Basis voor cloud first -strategie van olieconcern Shell beveiligt cloud met CA CloudMinder Shell en CA CloudMinder Op het moment dat security manager Ken Mann van Shell besloot om de cloud first-strategie van het olieconcern te baseren op CA CloudMinder was dit product nog in de ontwikkelingsfase, vertelde Mann tijdens CA World De richting waarin CA met deze IAM-oplossing werkte, sloot echter wel goed aan bij de plannen en ideeën van Shell. door Hans Vandam Shell is er van overtuigd dat de cloud het beste platform is voor nieuwe applicaties en services. Probleem was alleen lange tijd: hoe beveiligen we niet alleen al die nieuwe cloud-applicaties, maar ook de gegevens die via deze systemen worden verwerkt? Het olieconcern vond hiervoor een oplossing bij CA Technologies in de vorm van een IAM-oplossing die CA CloudMinder heet. Tijdens CA World 2013, de internationale gebruikersconferentie van het softwarebedrijf eerder dit jaar in Las Vegas, trok een interview met Ken Mann grote aandacht onder de bezoekers. Mann is security architect van Shell en mede verantwoordelijk voor IT-security. In een live-interview dat werd gevolgd door vele honderden conferentiedeelnemers ging Mann onder andere in op de IT-strategie van de oliegigant. Die komt er kortweg op neer dat men een oliebedrijf is en geen IT-bedrijf. Met andere woorden: IT wordt zoveel mogelijk uitbesteed, waarbij de cloud steeds meer een hoofdrol speelt. Applicaties worden daarom meer en meer gehost in de datacenters van T-Systems, terwijl ook het beheer van de infrastructuur en het beheer van de werkplekken extern is ondergebracht - bij respectievelijk AT&T en HP. Cloud first -strategie Sinds enkele jaren kent het bedrijf bovendien een zogeheten cloud first - strategie als het om IT gaat. Applicaties die vanuit de cloud worden afgenomen, hebben daarmee duidelijk de voorkeur boven lokaal draaiende systemen. Een lastige vraag hierbij was echter wel, zo vertelde Mann tijdens CA World, hoe met zekerheid kan worden vastgesteld dat alleen de juiste personen toegang hebben tot cloud-toepassingen. Dat blijkt een complexere zaak dan we in eerste instantie wellicht zouden denken. Niet alleen kent Shell zelf al clients, BYOD-gebruikers, maar er is ook nog eens sprake van zo n toeleveranciers en wereldwijd tientallen joint ventures. Het gaat daarmee dus om een ongekende hoeveelheid mensen die soms op de loonlijst van Shell staan, vaak ook niet, soms permanent toegang tot bepaalde applicaties nodig hebben, maar vaak alleen voor een beperkte periode. Complexe omgeving Om in deze complexe omgeving overzicht te houden en iedere individuele gebruiker de juiste toegangsrechten te kunnen geven, is Shell in 2011 het project Federated Authentication and Authorization Service kortweg FAAS gestart. Uitgangspunten hierbij zijn: een tweeledige authenticatie (two factor authentication), een autorisatie-procedure die losgekoppeld is van de applicaties en single sign-on. Daarnaast wordt de toegang tot applicaties niet rechtstreeks aan individuele personen toegewezen, maar aan rollen, waarbij gebruikers onder bepaalde rollen worden gebracht. Die rollen kunnen betrekking hebben op eigen Kenn Mann (links) is als security architect van Shell mede verantwoordelijk voor het wereldwijde beleid rond IT-security. medewerkers of mensen werkzaam voor externe partijen. De toegangscontrole dient bovendien cloudgebaseerd te zijn en open standaarden als SAML, OAuth en dergelijke te ondersteunen. Onderdeel van FAAS was uiteraard ook de selectie van de leverancier van de Identity en Access Management-oplossing (IAM) dat dit security-platform moet bieden. Uit vier gegadigden werd uiteindelijk CA CloudMinder van CA Technologies gekozen. CA CloudMinder CA CloudMinder is een oplossing voor Identity en Access Management (IAM) en integreert met on-premise en cloud-applicaties, zoals Office 365. Het CloudMinder-platform bestaat uit drie hoofdcomponenten die afzonderlijk of gezamenlijk in een geïntegreerde IAMservice kunnen worden toegepast. CA CloudMinder Advanced Authentication beschermt tegen ongeautoriseerde toegang door het gebruik van meerdere vormen van sterke authenticatie en risicoanalyses om de identiteit van gebruikers te valideren. CA CloudMinder Identity Management biedt gebruikers toegang tot een breed scala aan on-premise applicaties en cloud-diensten, maar regelt ook dat deze toegang op de gewenste momenten weer wordt ingetrokken. Daarnaast biedt CA CloudMinder Identity Management uitgebreide mogelijkheden om individuele gebruikers en groepen te beheren. Door met bestaande zogeheten Identity Stores als Active Directory en LDAP samen te werken en te synchroniseren, zorgt CA CloudMinder voor een zeer snelle implementatie en ingebruikname. De derde component is CA Cloud- Minder Single Sign-On (SSO). Deze ondersteunt organisaties met betrouwbare identiteitsfederatie in een samengestelde, cloud-gebaseerde single signon -oplossing. Door het gebruik van CA SiteMinder - een separaat product - is CloudMinder Single Sign-On zeer schaalbaar en controleert het de toegang van zeer grote aantallen gebruikers van binnen en buiten de organisatie. Eén systeem CA CloudMinder biedt één enkel systeem voor identiteits- en toegangscontrole binnen de gehele organisatie van Shell. Daarbij levert de oplossing kostenbesparingen op door de snelle implementatie, zijn de kosten veel meer dan voorheen goed voorspelbaar en is de beheerlast aanzienlijk teruggebracht. Bovendien wordt een veel kleinere belasting gelegd op de bestaande ITinfrastructuur. Hans Vandam is journalist Meer weten over cloud en security? Kijk voor meer informatie over CA CloudMinder op: Inmiddels is CA CloudMinder wél helemaal af en zijn inmiddels ook al weer nieuwe versies van deze software verschenen. Recente uitbreidingen op het product zijn onder andere: Ondersteuning voor sociale identiteiten. Met de ondersteuning voor OpenID, OAuth, WS-Fed en SAML, levert CA CloudMinder een single sign-on en zelfregistratie bij websites van klanten die Facebook- en Google-identiteiten gebruiken. CA CloudMinder Advanced Authentication biedt daarnaast ook zogeheten step-up beveiliging voor traditionele logins op basis van gebruikersnaam en wachtwoord. Ondersteuning voor on-premise en cloud-applicaties. Met CA CloudMinder is veel minder tijd en inspanning nodig voor het opzetten en invoeren van een systeem voor Identity Management. Dit wordt onder andere gerealiseerd via de meer dan dertig connectoren voor provisioning, waaronder ondersteuning voor Microsoft Office 365, mainframe en andere populaire applicaties. Hierdoor kent CA CloudMinder een aantal configuraties die out of the box worden ondersteund. Ondersteuning voor keuze in IAM. CA CloudMinder biedt IT-afdelingen de keuze hoe zij hun IAM-behoeften willen ondersteunen in de back-end, terwijl het management en administratie op de front-end gestroomlijnd wordt. Hierdoor kan CloudMinder nauw samenwerken met andere oplossingen van CA voor provisioning, federatie en authenticatie. 14 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

9 Event branchevereniging IT Room Infra: Hoe energiezuinig en betrouwbaar is de ITinfrastructuur? Het IT Room Infra Event is hét event waar IT-managers zich kunnen laten informeren over de technische uitdagingen rond de technische infrastructuur van het datacenter. Dit stelt de IT-manager in staat om de juiste afweging te maken bij investeren in de power, koeling, security en dergelijke rond een datacenter. Maar dit zijn natuurlijk ook belangrijke thema s in gesprekken met commerciële datacenters. Een datacenter wordt veelal betaald op basis van het energieverbruik. Logisch dat veel commerciële datacenters in hun marketing veel aandacht besteden aan hun PUE (Power Usage Efficiency). Maar is PUE eigenlijk wel de juiste waarde om een uitspraak te doen over energiezuinigheid? Wat gebeurt er als de stroom uitvalt? Welke keuzes zijn op dit punt gemaakt? En waarom? Op het IT Room Infra Event ziet u welke keuzes er te maken zijn en welke gevolgen dit heeft. Ook brandbeveiliging is een onderwerp waar pas vragen over worden gesteld als het te laat is. Daarom staan alle faciliteiten die nodig zijn om een computerruimte of datacenter draaiende te houden centraal tijdens IT Room Infra op 12 november in De Kuip. Het lezingenprogramma bestaat uit vier tracks, te weten: energie-/ datatransport, installaties/veiligheid, management/monitoring en koude/warmte. Om te beoordelen of een ruimte energiezuinig en betrouwbaar is, is kennis van al deze onderwerpen noodzakelijk. Plenair worden de laatste trends op het gebied van dataverkeer en duurzaamheid vanuit een datacenter perspectief besproken. Ook al staan alle gegevens van een bedrijf in de cloud, er moet een connectie zijn tussen het bedrijf en een datacenter. Maar welke faciliteiten zijn er nodig rond deze connectie? Welke keuzes worden er gemaakt ten aanzien van de bekabeling en is hierbij rekening gehouden met de datagroei in de toekomst? Bezoek voor het antwoord op deze en andere vragen over het datacenter het IT Room Infra Event op 12 november in De Kuip. IT Room Infra Wat? Beurs en congres Wanneer? 12 november 2013 Waar? De Kuip Rotterdam Info en aanmelden? Relatiecode: CloudWorks - nr. 7-8 / 2013 Trend Behoefte aan open standaarden verklaart snelgroeiende populariteit OpenStack is niet te stoppen door Lennard Zwart In drie jaar tijd is OpenStack uitgegroeid tot wereldwijd de grootste open source cloud community. OpenStack is een serie open source-projecten waarmee schaalbare clouddiensten ontwikkeld, beheerd en uitgerold worden. Het grote voordeel voor cloudbouwers is dat het een open platform is, dat door iedereen op maat kan worden gemaakt. Gebruikers van OpenStack zitten daardoor niet meer vast aan een één softwareleverancier. Zelfs grote bedrijven, die eigenlijk helemaal geen belang hebben bij een open cloud-platform, zoals VMware en Microsoft, duiken nu op OpenStack. OpenStack werd in 2010 door NASA en de Amerikaanse cloudprovider Rackspace geïnitieerd. In september 2012 is de OpenStack Foundation opgericht, waarmee OpenStack echt een onafhankelijk open source project werd. Op dit moment zijn Red Hat, IBM, Rackspace en HP de grootste gebruikers. Onlangs kondigde ook Dell aan een private clouddienst gebaseerd op OpenStack te gaan ontwikkelen. Het laatste nieuws is dat grote fabrikanten van netwerkapparatuur, zoals Cisco en Brocade, OpenStack in hun productlijn gaan verwerken. Groeiende functionaliteit De reden dat al deze grote partijen gebruik gaan maken van OpenStack, is dat het steeds duidelijker wordt dat cloudgebruikers in het algemeen en grote bedrijven in het bijzonder behoefte hebben aan een open platform. De cloud gaat voor de inrichting van toekomstige IT-infrastructuur zo belangrijk worden, dat bedrijven steeds minder geneigd zijn zich vast te leggen bij één enkele leverancier zoals Microsoft, Amazon of VMware. Leveranciers van hard- en softwarecomponenten (bijvoorbeeld switches en cloud-managementsoftware) hebben ook belang bij cloudstandaarden die zo open mogelijk zijn. Deze krachten zorgen ervoor dat OpenStack bijna verzekerd lijkt van een zeer prominente rol in het cloudlandschap. Dit is ook te zien aan de enorm snelle ontwikkeling van de software. Er zijn steeds meer bedrijven en developers die bijdragen aan OpenStack en dat is aan de functionaliteit te merken. Elk half jaar lanceert het project een nieuwe versie die significant beter is dan de versie ervoor. De volgende sterk verbeterde versie, genaamd Havana, zal in november beschikbaar zijn. Nieuwe technologie vergt een fundamenteel andere mindset De implementatie van OpenStack moet niet worden onderschat. Het kost veel tijd en mankracht om een infrastructuur te bouwen op een open platform. Niet alleen moet de organisatie vertrouwd raken met de techniek, er is vaak ook een culturele omslag nodig omdat de organisatie deel uit zal gaan maken van een open source community. Partijen als Dell en IBM investeren nu enorm veel mankracht in het project om dit goed aan te kunnen pakken. Lennard Zwart, Algemeen Directeur van CloudVPS CloudWorks - nr. 7-8 /

10 Strategie Drieluik over cloud checklist van Quint voor organisaties: deel 2 Cloud Readiness Assessment door Alfred de Jong 18 CloudWorks - nr. 7-8 / 2013 Steeds meer organisaties onderzoeken de mogelijkheden die cloud computing ze biedt. Maar wat is nu precies de impact van cloud computing op een organisatie en is deze daar wel op voorbereid en toegerust? Quint ontwikkelde een Cloud Readiness Assessment dat op deze vragen antwoord geeft. In een drieluik wordt deze cloud checklist verder besproken. Dit is het tweede deel. Het Cloud Readiness Assessment geeft inzicht in de (on)mogelijkheden van de organisatie waar het om cloud computing gaat. De cloud checklist van Quint kijkt naar sourcingstrategieën vanuit zes perspectieven: de HR-aspecten, ICT-services, Legal & Inkoop, Finance, Architectuur en Security, en het Besturingsmodel. In deel 1 zijn de eerste drie punten besproken, in dit artikel wordt nader ingegaan op de punten Finance en Architectuur & Security. Finance Een veel gehanteerd afrekenmodel voor cloud-diensten is payper-use. Het alleen betalen voor het daadwerkelijk gebruik wordt beschouwd als een van de grote voordelen die de cloud biedt. Er zitten echter wel wat haken en ogen aan. In de eerste plaats: wat is de exacte prijs van de dienst en is die volledig schaalbaar? Bij Microsoft 365 is dat bijvoorbeeld het geval: de leverancier kijkt naar het aantal accounts in de Active Directory-omgeving en de fluctuatie die daarin plaatsvindt wordt aangehouden als het afnamemodel. De afnemer koopt dus het gebruik van de hele suite, maar de afrekening vindt plaats op basis van het aantal actieve gebruikers die daadwerkelijk per tevoren afgesproken periode gebruikmaken van de software. Bij storage in de cloud is het vaststellen van de prijs per eenheid al een stuk lastiger. De aangeboden cloud-faciliteit is per partij verschillend: naast de opslagcapaciteit levert de ene marktpartij er back-up & restore-faciliteiten bij, de ander verstrekt een bepaalde hoeveelheid gratis storage voordat de rekening gaat lopen, weer andere leveranciers bieden daar verschillende combinaties van. Het aanbod laat zich daardoor uiterst moeilijk vergelijken en een goede afweging van alle facetten om te komen tot een passende leverancier is onontbeerlijk. Dat is echt een uitdaging. Ten eerste is er een wildgroei aan leveranciers die beweren van alles te kunnen en ten tweede zijn de opties heel erg verschillend. Archivering is qua aanbod helemaal een schemergebied; confidentialiteit van de data en compliance spelen daarbij een belangrijke rol. Op welke manier krijgt de afnemer de waarborg dat vertrouwelijke data dat ook blijven? Een private cloud geeft hierover al heel wat meer zekerheid, hoewel er ook dan vanuit juridisch aspect goed moet worden uitgezocht of de leverancier geen claim legt op data die in zijn datacenter staan opgeslagen. Dat is absoluut geen overbodige luxe, zo blijkt in de praktijk. Het feit dat een leverancier een eigendomsclaim kan leggen op de data, zullen vooral klanten van de afnemer niet prettig vinden. In een traditionele hostingsituatie zijn daar nog wel afspraken over te maken, maar in de cloud ligt dat allemaal een stuk moeilijker. Advocatenkantoren en andere juristen zijn zich aan het specialiseren in dit type vraagstukken dat blijkt nodig te zijn. Ten tweede: hoe krijgt de afnemer de zekerheid dat de betaalde diensten daadwerkelijk geleverd zijn volgens de tevoren afgesproken voorwaarden? De derde vraag hangt daarmee samen: hoe kan de afnemer er zeker van zijn dat het af te rekenen bedrag overeenkomt met het gebruik? De meeste grote providers bieden daartoe een monitoringtool die ook de doorbelasting presenteert. Feitelijk is dat een minimumvereiste, hoewel in de praktijk blijkt dat het vragen om transparantie ook spanningen kan oproepen. Het is voor afnemers echter de enige manier om sturing te kunnen geven. Hoewel dergelijke monitoringtools eigenlijk een must zijn, worden ze nog lang niet door elke aanbieder meegeleverd. Een laag volwassenheidsniveau dus, dat in ieders belang wel wat hoger zou mogen liggen. De uitdaging die Forecasting heet Het laatste en waarschijnlijk grootste probleem schuilt in de voorspelbaarheid van het gebruik van de cloud-dienst. Pay-peruse maakt het heel moeilijk tevoren een inschatting te maken van CloudWorks - nr. 7-8 /

11 Strategie het gebruik van de cloud-diensten in het komende begrotingsjaar. Dat komt vooral doordat de business in staat is om zelfstandig en gemakkelijk capaciteit bij te schakelen als dat nodig is. Bij de meeste organisaties speelt de IT-afdeling een belangrijke rol in de monitoring van beschikbaarheid van diensten en het beoordelen van de afrekeningen van de cloud-provider. De business wil echter steeds meer in control zijn van IT-faciliteiten en wil ook invloed uitoefenen op het kostenmodel. Zeker met de opkomst van de informatiemanager verplaatsen deze activiteiten zich steeds meer naar de business. Dat vraagt om andere kennis en competenties vanuit business-perspectief, en het vraagt ook om andere kennis en ander gedrag vanuit supply management. Toch is het onvermijdelijk dat de vaststelling van afname, gebruik, en doorbelasting van cloud-diensten en het forecasten daarvan binnen enkele jaren geheel bij de business zal liggen. Het management zal immers willen voorkomen dat business-medewerkers op eigen houtje ongelimiteerd online diensten inkopen en allerlei ongeautoriseerde apps gebruiken. Het topmanagement zou de verantwoording voor de afname van cloud-diensten geheel bij IT kunnen leggen, waarbij de business niet zelfstandig mag bijschakelen. Maar een bedrijf kiest nu juist voor de cloud vanwege de flexibiliteit en verkrijgt een groter competitief voordeel als de business zelf aan de knoppen kan draaien. Veel moderne business-afdelingen zien de IT-afdeling inmiddels als een belemmerende factor zonder added value. Ze stellen zich op het standpunt dat IT maar geheel moet focussen op het in de lucht houden van de basisprocessen; zodra het gaat om de snellere benadering van klanten of het sneller reageren op marktbewegingen, dan wil de business zelf het heft in handen nemen. Men wil niet meer dat IT zich daarmee bemoeit maar toch is dat nu onderwerp van gesprek. Gezien vanuit het demand/supply-model is het wellicht beter een speciaal cloud-team op te richten dat zowel met een business- als een IT-bril op gaat werken aan forecastmodellen. Het team benadert cloud-diensten apart, naast de bestaande organisatie. Het klinkt misschien als een organisatie-eiland, maar dat is het zeker niet. Het is meer een optimale vorm van business IT alignment, waarbij het zeker niet alleen gaat om de intermediairfunctie van dat team. Andere elementen, zoals bijvoorbeeld architectuur, worden daarbij nadrukkelijk betrokken. Het team buigt zich over de flexibiliteit die cloud teweegbrengt en de monitoring daarvan, de afrekenmodellen en de forecasting. Er zijn al voorbeelden in de praktijk in de telecom- en de financiële sector. Het is ook een voorschot op de toekomst, waarin er ongetwijfeld steeds meer cloud-diensten zullen worden bijgeschakeld. De vraagstukken van business en IT kruipen daardoor steeds dichter naar elkaar toe en de samenvloeiing van business en IT wordt steeds explicieter. Pay-per-use is een veelgebruikt model, maar er zijn meer afrekenmodellen. Het kan ook verstandig zijn altijd de beschikking te hebben over een vaste opslagcapaciteit en een vaste hoeveelheid licenties. Dat maakt het forecasten in elke geval een stuk eenvoudiger. Het is bovendien vaak mogelijk kortingen te bedingen bij de leverancier, omdat deze immers ook precies weet wat de klant zal gaan afnemen. Ook dit tamelijk traditionele model wordt in de cloud wel degelijk toegepast. In het Cloud Readiness Assessment wordt nadrukkelijk gekeken naar de financiële mogelijkheden en de toegevoegde waarde voor de organisatie die overweegt om naar de cloud te gaan. Het assessment geeft daarbij inzicht in de markt en de verschillende leveranciers, in de mogelijkheden en beperkingen, en de problematiek van het selecteren. Architectuur en beveiliging Het grootste gevaar dat een organisatie kan lopen, is het binnenhalen van een cloud-oplossing die vervolgens als een soort silo in een eigen domein functioneert en dus niet integreert met de bestaande IT-omgeving. Helaas komt dat in de praktijk nog veel voor. In de meeste gevallen gaat het om ketenintegratie, waarbij organisaties beschikken over meerdere afdelingen die diensten leveren; dat vraagt dus om een ketenbenadering. Besluit men in die context cloud-diensten te gaan gebruiken, dan is het absoluut noodzakelijk dat er een langetermijnvisie en planning is die de cloud-dienst integreert in de keten. Een eiland binnenhalen verplicht immers tot het slaan van tijdrovende en kostbare bruggen. Een cloud-oplossing moet dus altijd passen in het bestaande landschap en in het bestaande ketenproces. Deze problematiek is onderdeel van het assessment. Zeker bij cloud-diensten in de vorm van PaaS is integratie een redelijk lastig traject. Het standaardiseren naar één platform zorgt voor lagere kosten - maar als blijkt dat dit platform niet integreert met de bestaande applicaties en data, is dat voordeel snel teniet gedaan. Een interessant vraagstuk voor bedrijven als Microsoft en Google: ze bieden weliswaar een integratiemogelijkheid, maar dan moet de afnemer wel een keuze gaan maken uit beide platforms. Veel organisaties werken nog met een mix van SQLServer en Oracle, en willen dat niet langer behouden. Er moet dus gekozen worden. Een lastig vraagstuk, mede door het feit dat de leveranciers zullen bepleiten dat cloud computing pas rendabel is als het gestandaardiseerd wordt ingezet - zodra de afnemer iets anders wil, gaan de kosten significant omhoog. De architect als lastpost Architectuur is cruciaal bij dit soort vraagstukken. Dat wordt ook wel erkend, maar in de praktijk wordt de architectuur nog onvoldoende geraadpleegd; men beschouwt architecten als hindernissen en lastposten. Architectuur heeft in Nederland een ander imago dan bijvoorbeeld in de VS, waar deze discipline veel meer betrokken is bij besluitvorming, aanpassingen en veranderingen. Er wordt veel meer vanuit business-architectuur gekeken naar de (on)mogelijkheden. In Nederland wordt de architect ook wel betrokken, maar vaak in een veel te laat stadium. Een reden daarvoor zou wel eens kunnen zijn dat Nederlandse architecten de neiging hebben te veel in silo s te denken. Dat begint al bij de opleidingen die ze volgen. De aangeleerde strikte scheiding tussen infrastructuur, applicaties, informatie en business-architectuur is in de praktijk eigenlijk al niet meer haalbaar. Ook het denken in één of twee frameworks is niet handig. Het Landelijk Architecten Congres besteedt daar weliswaar aandacht aan, maar zeker niet voldoende. Het congres focust nog steeds op tooling, visualisatie en modelleerfunctionaliteit, en onvoldoende op de competentie- en kenniskant van de architect. Die bouwt na zijn opleiding zijn kennis en ervaring Nederland loopt achter in snelheid op innovatiegebied. Cloud-toepassingen behoren tot de mogelijkheden om {vastgelopen bedrijfsprocessen weer vlot te trekken 20 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

12 Strategie door de jaren heen op met bepaalde systemen, met specifieke platforms en een vertrouwde oplossingsrichting en vindt het ontzettend lastig om daar omheen, er boven- en onderlangs te kijken, zijn blik te verruimen en zijn dagelijkse werkveld te verbreden. Met de opkomst van cloud-diensten levert dat steeds vaker fricties op. In de praktijk komt het voor dat er voor de integratie van een Salesforce-omgeving, een provisiesysteem om de bonus voor de accountmanagers te berekenen, en een bestaand billing-systeem drie architecten nodig zijn om dat te realiseren. Dat kan toch niet de bedoeling zijn. Architecten hebben dus de neiging het silo-denken te versterken ten koste van een enterprisebeeld. Het resultaat hiervan is dat informatiemanagers steeds dichter tegen architectuur aankruipen om te kijken of daar een winwin situatie te behalen is. Die informatiemanager zit over het algemeen dichter tegen de business aan, begrijpt wat de behoeftes zijn en zorgt vervolgens voor een doorvertaling op functioneel gebied richting IT. Daar moet hij de architect in de slipstream gaan meenemen en vice versa. Nederland loopt achter in snelheid op innovatiegebied. Cloud-toepassingen behoren tot de mogelijkheden om vastgelopen bedrijfsprocessen weer vlot te trekken door ze te vereenvoudigen en directer toepasbaar te maken. Daarvoor zijn informatiemanagers en architecten nodig want het heeft niets meer te maken met traditionele activiteiten zoals IT-beheer. Dit zit enkele lagen hoger; het moet direct aansluiten op de business, die dicht op de klant wil zitten en snel wil kunnen reageren. Remmende factoren Nadat het Cloud Readiness Assessment heeft plaatsgevonden is al direct waar te nemen waar de remmende factoren voor de stap naar de cloud zitten. Vaak zijn dat oude applicaties die aan het einde van hun lifecycle zitten maar waar de organisatie niet buiten kan. Onderzocht moet worden wat de mogelijkheden zijn om dergelijke applicaties te laten om- of herbouwen, of bijvoorbeeld te voorzien van een schil waarmee de oude kern gevirtualiseerd aangeboden kan worden. Dat moderniseert de legacy, waarna de randapplicaties worden gerationaliseerd of uitgefaseerd. Zo blijft de kernapplicatie over, die vervolgens naar een SaaS-omgeving kan worden gepoort. Met andere woorden: het assessment geeft ook aan wat met welke applicaties moet/kan gebeuren. Daarin maken organisaties al flinke stappen, vooral als er nauw moet worden samengewerkt met partners: dan wordt standaardisatie een must en zullen bedrijven die een ingewikkeld proces hebben met tientallen applicaties een standaardisatieslag doen, om kosten te besparen en om de informatie met partners gemakkelijk te kunnen delen. Dat kan prima via de cloud. Het dwingt bedrijven om anders naar IT te kijken, veel meer vanuit business-perspectief. Security Beveiliging is al jarenlang een zeer heet hangijzer. De exacte fysieke locatie van de data, de beschikbaarheid ervan en exitscenario s blijven discussiepunten. Ook bij de beveiliging van eindpunten zijn de SaaS-leveranciers niet allemaal even actief. Een aantal sluit partnerships met bepaalde securityleveranciers. Het blijft echter meestal een soort eiland-aanbieding; alleen de hele grote leveranciers bieden al een totaaloplossing. Om allerlei redenen bestaat er bij cloud computing een grote angst voor de Amerikaanse geheime diensten die ongelimiteerd toegang zouden hebben tot alle data. Dat kan en hoeft echter geen belemmering te zijn om toch data in de cloud onder te brengen. Het is een kwestie van slim omgaan met data. Hoewel we spreken over de cloud bestaat er immers een groot verschil tussen public en private cloud. Data die niet geclassificeerd en openbaar zijn, kunnen prima in de public cloud worden gezet als dat voordeel oplevert, zoals bijvoorbeeld het gemakkelijk kunnen delen van de data. Geclassificeerde data vragen uiteraard om het maken van goede, rationele afwegingen, waarbij het vaak verstandiger kan zijn de data binnen de muren van de eigen organisatie te houden. De organisatie steekt liever energie en tijd in het veilig houden van het eigen fort met firewalls en allerhande andere voorzieningen. Helaas houdt bij veel organisaties het nadenken over informatiebeveiliging dan op. Maar moet er dan niets gebeuren met de werknemers die met informatie omgaan? De overheid, die zich ernstig zorgen maakt over de databescherming, laat tegelijkertijd ambassadepersoneel in exotische landen een diplomatenkoffer met gevoelige informatie over straat vervoeren. Met een ketting aan de arm geketend. Is dat dan wel veilig? Veel organisaties vergeten dat medewerkers met hun eigen device gaan rondlopen in het bedrijf en ook daarbuiten. Ze maken gebruik van de trein en kijken daar wellicht vertrouwelijke documenten door; ze willen hun zwager een foto op hun ipad laten zien, maar klikken per ongeluk eerst een rapport van de FIOD aan. Medewerkers laten papieren met vertrouwelijke informatie liggen bij de printer of laten gevoelige gegevens op hun beeldscherm staan als ze koffie gaan drinken. Aan dat gedrag zal de bedrijfsleiding veel aandacht moeten geven. Ook dat is een consequentie van mobility, BYOD en cloud computing: de gebruiker moet worden geleerd hoe hij om moet gaan met data. Daar moet ook budget voor gereserveerd worden, niet alleen voor technologie. Het Cloud Readiness Assessment houdt daar rekening mee: zowel met dataclassificatie als de bewustwording van de interne organisatie. Op dit moment is er bij organisaties een nieuwe functie aan het ontstaan: de CISO, de Chief Information Security Officer. Dat begint echt een belangrijke functie te worden, vooral omdat de CISO niet alleen over IT gaat, maar juist ook over gedrag. Helaas, ook hier blijkt dat de thans beschikbare opleidingen niet aansluiten bij de enorme snelle bewegingen die plaatsvinden op het gebied van cloud, BYOD, BYOA - want daar zit de crux als het om security gaat. Alle bestaande richtlijnen zijn hopeloos verouderd. Aan een goed opgeleide CISO zou zomaar eens een grote behoefte kunnen zijn. Het volgende en laatste deel van dit drieluik gaat dieper in op het besturingsmodel. Alfred de Jong is Managing Consultant Architectuur & Innovatie Security Advisory bij Quint Wellington Redwood, een adviesbureau dat zich richt op het grensvlak van organisatie en IT. Interview CEO en oprichter Alex Bausch: VeliQ groeit met Enterprise Managed Mobility door Robbert Hoeffnagel Het uit Barendrecht afkomstige VeliQ groeit al jarenlang succesvol onder de radar van een internationaal partnernetwerk. Het Nederlandse bedrijf levert een cloudoplossing voor Enterprise Managed Mobility. Tot die partners behoren ook grote leveranciers als KPN, SAP en T-Systems. CEO en oprichter Alex Bausch vertelt zijn visie en wereldwijde groeiambitie. Alex Bausch van VeliQ: Onze oplossing heet MobiDM en is jarenlang onder andere door Vodafone aan een groot aantal klanten geleverd. Sindsdien is MobiDM echter uitgebouwd tot een compleet mpaas-ecosysteem, met alle benodigde functionaliteit voor het beheer van mobiele toestellen (MDM), mobiele content (MCM) en mobiele toepassingen (MAM). 22 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

13 Interview Mensen die al langer meelopen in de IT-wereld associëren de naam Bausch waarschijnlijk met modems uit de begintijd van het Internet. Alex Bausch heeft in de jaren tachtig namelijk samen met zijn vader Bausch Datacom opgericht en met de verkoop van grote aantallen Postbank-modems het nodige geld verdiend. Na een studie in de Verenigde Staten en aansluitend enkele jaren voor een business incubator te hebben gewerkt, werd hij in 2006 voor de tweede keer ondernemer door in samenwerking met Fox IT het bedrijf Veilig Mobiel op te richten. Omdat Bausch meer toekomst ziet in abonnementenbusiness dan in de specialisatie security, heeft hij zijn mede-investeerders later uitgekocht en de bedrijfsnaam veranderd in VeliQ. Daarom is het onverstandig om die keuzewens te negeren. Wij vinden dat je mobility niet vanuit mogelijke IT- en beveiligingsrisico s moet beperken, maar juist moet stimuleren om mensen de kans te geven hun capaciteiten optimaal te benutten. Altijd en overal mobiel kunnen werken en toegang hebben tot alle benodigde beslisinformatie, wordt de komende jaren steeds belangrijker voor managers. mpaas-ecosysteem VeliQ levert een volledig cloudgebaseerd platform om alle mobiele apparatuur binnen bedrijven platformonafhankelijk en centraal te kunnen beheren. Dat is begonnen als een zogenaamde Mobile Device Management-oplossing, waarvan onder andere de Afaria-software van SAP deel uitmaakt. Wij zijn ooit begonnen met de ontwikkeling van een cloudversie van Afaria die bedrijven tegen veel lagere kosten op abonnementsbasis konden gebruiken, in plaats van vooraf te moeten investeren in een eigen configuratie achter de firewall, vervolgt Bausch. In mijn visie biedt terugkerende business uit abonnementen het beste toekomstperspectief en daarom ben ik mij met VeliQ volledig op de cloud gaan richten, zegt Bausch. Dat die visie hem geen windeieren legt, blijkt wel uit het feit dat er inmiddels zo n 70 mensen bij VeliQ werken vanuit kantoren in Barendrecht, Boston en Keulen voor de regio Duitsland, Oostenrijk en Zwitserland. Verder werken er een zevental ontwikkelaars vanuit het Turkse Antalya. Omdat Bausch samen met een snelgroeiend aantal partners internationaal wil doorgroeien, is hij vergevorderd met een nieuwe investeerder voor een volgende kapitaalinjectie in zijn bedrijf. In 2011 is partner T-Systems al mede-aandeelhouder geworden. BYOD en CYOD Hoewel wij als nuchtere Nederlanders internationaal gezien niet voorop lopen, geven steeds meer bedrijven gehoor aan de wens van hun personeel om de eigen smartphone of tablet op het werk te mogen gebruiken (BYOD). Of zij mogen kiezen uit een door de werkgever geselecteerd aantal populaire toestellen, Choose Your Own Device (CYOD) genoemd. Uit het onlangs gepubliceerde Global Mobile Workforce-rapport van zakelijke mobility-leverancier ipass blijkt dat BYOD en WiFi de toekomst van mobiel werken sterk gaan beïnvloeden. Dat rapport is gebaseerd op een enquête onder mobiele werknemers van bedrijven in de hele wereld. In Noord-Amerika maakt al zo n 70 procent van alle respondenten gebruik van het BYODbeleid van hun werkgever, terwijl 35 procent aangeeft dat zo n beleid zelfs hun keuze aangaande een dienstverband kan gaan beïnvloeden. In Europa en Azië liggen die percentages lager, maar ontwikkelt zich dezelfde trend. Smartphones en tablets maken tegenwoordig deel uit van de mobile lifestyle van mensen, zegt Bausch. Die oplossing heet MobiDM en is jarenlang onder andere door Vodafone aan een groot aantal klanten geleverd. Sindsdien is MobiDM echter uitgebouwd tot een compleet mpaas-ecosysteem, met alle benodigde functionaliteit voor het beheer van mobiele toestellen (MDM), mobiele content (MCM) en mobiele toepassingen (MAM). Wij noemen het tegenwoordig een mobility Platform-as-a-Service (mpaas) ecosysteem, waarin zowel steeds meer eigen technologie als de beste tools van partners zijn geïntegreerd. Waaronder voor beveiliging de Mobile App Protection (MAP) van Mocana en de Webroot Security Intelligence for Mobile Suite voor Android-toestellen. Maar ook connectors om met back-office ERP-systemen te kunnen integreren, zoals van onze wereldwijde partner SAP. Die hele oplossing is nog steeds tegen een lage TCO en dus snelle terugverdientijd te gebruiken. App management Hoewel de grootste vraag naar VeliQ s oplossing momenteel nog uit de hoek van Mobile Device Management en Content Management komt, verwacht Bausch een snelle toename van het zakelijke app-gebruik. In de slipstream van toenemend mobiel werken worden apps meer en meer de intuïtief te gebruiken interface naar complexe back-office systemen. Bijvoorbeeld om de vele verkopers onderweg offertes te laten nakijken en goedkeuren, of servicemonteurs hun gewerkte tijd en gebruikte onderdelen via een app te laten inboeken. Omdat mobiel werken en altijd toegang hebben tot bedrijfsinformatie de reactiesnelheid van bedrijven steeds meer gaat bepalen, is het belangrijk om vanuit een strategisch perspectief naar mobility te kijken, zegt Bausch. Niet alleen voor de huidige generatie, maar zeker ook voor de aankomende generatie die letterlijk met mobiele apparatuur is opgegroeid. Over het managen daarvan hoeven IT-managers zich geen zorgen te maken, want dat is via ons mpaas-platform kinderlijk eenvoudig te regelen, tegen een maandelijkse pay-per-use vergoeding. Dat ook de beveiliging geen issue meer is, blijkt uit het feit dat onze oplossing ook door accountants, advocaten en overheden wordt gebruikt. Gezien het toenemend zakelijk app-gebruik biedt MobiDM ook functionaliteit om een eigen app-store in te richten en te beheren en voegen wij de Mocana-technologie toe voor de beveiliging daarvan. Accelereren, integreren en innoveren Door het snelgroeiend aantal partners en klanten staat VeliQ voor de continue uitdaging om zowel met de schaalbaarheid van MobiDM, maar ook als organisatie mee te blijven groeien. Volgens Bausch is zijn organisatorische uitdaging het grootst. Wij ontwikkelen al anderhalf jaar aan de vijfde generatie van het MobiDM mpaas-platform, die dit najaar beschikbaar komt. Nu staat versie 4.8 online. Dankzij een multi-tenant platformarchitectuur kunnen wij de capaciteit voor klanten flexibel schalen en die zowel via een private, public als hybride cloud aanbieden. Verder draait onze cloudsoftware in de best beveiligde datacenters van meerdere leveranciers, waaronder van partner T-Systems en sinds kort ook Amazon voor de Noord-Amerikaanse markt. Organisatorisch is het veel lastiger om de beste mensen te vinden en aan te nemen, en die van VeliQ een wereldbedrijf kunnen maken. Gelukkig bestaat de kern daarvan uit ervaren experts die hun sporen al ruim hebben verdiend en die ik al tientallen jaren ken en al jaren mee heb samengewerkt. Verder leveren de vele partners natuurlijk een grote bijdrage aan ons succes. De strategie van Bausch voor VeliQ is gebaseerd op blijven accelereren met de snelheid van ontwikkeling en groei, meer integratiemogelijkheden naar back-office systemen aanbieden en innovaties toevoegen. Door de nieuwe samenwerking met KPN om alle MKB-klanten een MobiDM-gebaseerde Mobile Device Manager aan te bieden en grote partners als BT, Portugal Telecom, SAP en Swisscom lijkt die acceleratie te gaan lukken. Robbert Hoeffnagel MobiDM MobiDM maakt het via een intuïtieve webinterface mogelijk om routinematige beheertaken in vergaande mate te automatiseren, apparatuur- en platformonafhankelijk. Dat verkort de implementatietijd voor een mobility beheeroplossing aanzienlijk en verlaagt tevens de kosten en risico s. Voor een vast bedrag per apparaat, per maand, hoeven bedrijven niet meer zelf te investeren in software, mensen en ontwikkeling. MobiDM is een eenvoudig te gebruiken SaaS-oplossing, die in 15 minuten te implementeren is en naar behoefte en mobility strategie flexibel uit te breiden. 24 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

14 Conferentie Internationale gebruikersconferentie in teken van converged cloud HP wil met Cloud OS hybride IT-omgeving mogelijk maken door Robbert Hoeffnagel HP zet flinke stappen in de richting van het volledig op maat van individuele applicaties en services inrichten van een IT-omgeving. Na de eerdere aankondigingen rond Moonshot op server-gebied, heeft HP nu ook een Cloud Operating System aangekondigd. Opgebouwd rond OpenStack maakt deze software het mogelijk om poules van verwerkingscapaciteit te creëren die in de vorm van fysieke of virtuele servers beschikbaar worden gesteld aan individuele applicaties of workloads. Natuurlijk zien veel IT-managers de voordelen van een op services gebaseerde manier van werken. Hét grote probleem waar zij steevast tegenaan lopen is echter: hoe komen we van onze huidige omgeving naar de gewenste situatie? Nieuwe services introduceren is mooi, maar die zullen dan wel van een dusdanig niveau moeten zijn dat voldaan kan worden aan de eisen ten aanzien van beschikbaarheid, stabiliteit, performance en governance. Een volledige overstap naar een cloud-model zal hierbij in vrijwel alle gevallen simpelweg niet haalbaar zijn. Dus ontstaat een gemengde omgeving van public cloud, private cloud en on-premise applicaties. Kunnen we die gemengde omgeving op een fatsoenlijke manier beheren en - nog mooier - kunnen we hierbij de flexibiliteit creëren om workloads tussen de diverse omgevingen uit te wisselen zodat deze altijd op het meest geschikte platform kunnen draaien en we dus de door de business zo gewenste flexibiliteit realiseren? Discover 2013 Het is in dat licht dat we de aankondigingen die HP tijdens zijn internationale gebruikersbijeenkomst Discover in juni in Las Vegas deed het beste zien. Het concern lanceerde niet alleen een Cloud Operating System, maar ook de nodige nieuwe storage- en serversystemen (Moonshot en meer traditionele systemen). Vaak blijven deze wat onderbelicht bij aankondigingen van HP, maar belangrijk is dat deze een forse bijdrage leveren aan het snel en gemakkelijk kunnen introduceren van nieuwe services. Het Cloud Operating System is bedoeld om de reken-, opslag- en netwerkcapaciteit van grote aantallen virtuele machines te kunnen beheren. Dat lijkt verdacht veel op de doelstelling van OpenStack en dat klopt ook. Via het dashboard van Open- Stack kunnen deze zaken natuurlijk ook aangemaakt en beheerd worden. Maar dat is niet voldoende, meent HP. Het concern volgt namelijk een aanpak rond cloud die aanzienlijk afwijkt van die van concurrenten. Het biedt een op OpenStack gebaseerde managementlaag, maar een groot verschil zit m met name in de onderliggende hardware. Waar veel concurrenten vooral kiezen voor het toepassen van almaar zwaardere servers waarop honderden of desnoods duizenden VM s worden geplaatst, kiest HP voor meer differentiatie. In de visie van HP biedt een aanpak waarbij almaar zwaardere hardware wordt ingezet te weinig flexibiliteit. Differentiatie Het is beter, meent HP, om ook op het niveau van het hardware-platform te kunnen variëren en de gebruikte servers af te stem- men op de applicaties. IT-aanbieders spreken de laatste tijd in dit opzicht vooral van workloads. Een IT-afdeling die zeer zware en - zeg maar - klassieke server-hardware wil gebruiken voor het hosten van vele honderden VM s per server kan hiervoor - net als voorheen - bij HP terecht. Wil een IT-afdeling echter liever ook op hardwaregebied maatwerk creëren en bijvoorbeeld de onderliggende hardware beter afstemmen op de te draaien workloads, dan kan men eveneens een beroep op HP doen. Dat laatste gebeurt dan in de vorm van de Moonshot-lijn. Deze microservers kennen een geheel nieuwe architectuur - geen traditionele moederborden en dergelijke meer - en hebben meer weg van het idee van een system on a chip. Wie op basis van HP-technologie met cloud-platformen aan de slag wil, kan nu dus kiezen uit een soort matrix van oplossingen. Private (HP CloudSystem) of public (van een Autonomy-cloud tot een Vertica-cloud) en klassieke hardware (zoals ProLiant en SuperDome) of microservers (Moonshot). Die bieden samen met HP s op ONE gebaseerde storage (zie kader) de basis voor het creëren van poules van compute power. Ook daarvoor biedt HP nu dus keuzevrijheid: zelf OpenStack installeren en configureren of HP s Cloud Operating System selecteren. Bloedgroepen HP s Cloud OS is gebaseerd op Open- Stack, maar voegt daar het een en ander aan toe. Dat is allereerst een veel gestroomlijndere installatieprocedure, zo vertelde HP tijdens de Discover gebruikersconferentie. Dat is nuttig, maar belangrijker is de integratie die HP rond Cloud OS nastreeft met Cloud Service Automation. Dit is het beheerplatform van HP voor hybride cloud-omgevingen. Hierdoor kunnen de cloud services die IT-afdelingen op basis van HP-technologie gebruiken, op een eenduidige manier beheerd worden. Sterker nog, het beheer van cloud en on-premise kan hierdoor tot op zekere hoogte in elkaar geschoven worden. Daarmee heeft HP dus een interessante aanbieding in de markt gezet, zeker als we dit combineren met de bestaande en nieuwe ondersteunende diensten van HP voor assessments, cloud design en dergelijke. Voor veel IT-managers is het niet meer de vraag of zij publieke of private cloud-diensten zullen introduceren, maar zit de crux m veel meer in het beheer van de daarmee ontstane IT-omgeving. Die bestaat straks immers uit drie of misschien wel meer bloedgroepen : on-premise, public cloud, private cloud plus allerlei meer traditionele vormen van gehoste applicaties en managed services. Als we die allemaal weer via eigen managementsoftware moeten beheren, wordt de situatie er voor menig IT-manager natuurlijk niet beter op. Dat maakt de integratie van Cloud OS met Cloud Service Automation dan ook erg belangrijk. We kunnen de kreet hybride immers ook breder definiëren dan enkel en alleen een mix van public en private cloud. Nemen we daar ook allerlei klassieke on-premise en andere delivery-modellen bij en vinden we een aanbieder die deze gehele ITomgeving als een samenhangend geheel kan beheren en aansturen, dan zijn we als IT-manager natuurlijk ineens wél een stap verder gekomen. Met zijn aankondigingen rond Moonshot, Cloud OS en de bijbehorende professional services zet HP nu een interessante stap in die richting. Robbert Hoeffnagel Polymorphic Simplicity HP is op weg naar wat het noemt Polymorphic Simplicity. Dat is een wat ingewikkelde kreet waarmee het concern de 3PAR-aanpak als dé centrale architectuur voor alle primary storage tracht te positioneren. Hiertoe zet het bedrijf nu een ONE geheten architectuur in die één operating system kent, één interface en één feature set, ongeacht de opslagcapaciteit die nodig is. Daarbij maakt het niet uit of de IT-afdeling een kleine en goedkope storage-oplossing nodig heeft of juist massieve capaciteit (tot 2,2 PB). In deze lijn is nu zowel disk als flash opgenomen. 26 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

15 Technologie PureStack-technologie helpt de kwaliteit van applicatie-infrastructuur te beheren door Wouter Hoeffnagel IT-organisaties staan vandaag de dag voor steeds meer uitdagingen. Bedrijven moeten omgaan met een toenemende mate van complexiteit, terwijl ook de vraag vanuit gebruikers en het bedrijf toeneemt. IT-organisaties zullen dan ook voldoende manuren en geld vrij moeten maken om antwoord te kunnen bieden aan deze uitdagingen. Het garanderen van een kwalitatief goede gebruikerservaring is echter een flinke uitdaging, waarbij traditionele APM-tools geen uitkomst bieden. Sneller is beter Organisaties moeten daarnaast in staat zijn steeds flexibeler en sneller te reageren. Sneller is beter is vandaag de dag dan ook een veel gehoorde uitspraak. Applicaties stellen bedrijven in staat zowel flexibeler als sneller te werk te gaan en zijn dus van cruciaal belang. Hierbij is een duidelijke scheiding zichtbaar tussen twee soorten apps: interne administratieve applicaties die de bedrijfsvoering mogelijk maken en externe applicaties die klanten, partners en medewerkers helpen interactie te hebben met de organisatie. Problemen in kaart brengen Het blijkt echter een forse uitdaging te zijn zeker te stellen dat applicaties beschikbaar zijn en naar behoren presteren. Deze uitdaging wordt vooral veroorzaakt doordat bedrijven niet in staat zijn alle problemen in kaart te brengen die invloed hebben op deze applicaties. Problemen kunnen zich niet alleen voordoen in de applicatie zelf, maar ook in de infrastructuur waarop de app draait of in de wereldwijde leveranciersketen van de applicatie. Bedrijven zullen dan ook een oplossing moeten vinden om zowel de applicaties, de onderliggende infrastructuur als applicatie delivery chain nauwlettend in de gaten te houden en gegevens over de prestaties van de onderdelen te koppelen aan de zakelijke impact van iedere transactie. Gezondheid van de infrastructuur De infrastructuur waarop een zakelijke applicatie draait is van grote invloed op de prestaties van de applicatie. Het beheren van de kwaliteit van de infrastructuur is dan ook van groot belang. PureStack-technologie van Compuware helpt door de IT-infrastructuur te analyseren en de kwaliteit nauwkeurig in kaart te brengen. De gezondheid van zowel gast- als host-infrastructuur wordt in real-time door de PureStack-technologie gekoppeld aan individuele applicatietransacties en gebruikerservaringen. De technologie stelt hiermee beheerders in staat razendsnel de impact van infrastructuurproblemen op de gebruikerservaring en prestaties inzichtelijk te maken. De APM-oplossing biedt ondersteuning voor alle {grote besturingssystemen infrastructuur en koppelt deze aan applicaties, zonder dat de oplossing hiervoor eerst handmatig geconfigureerd hoeft te worden. Compuware s PureStack is een aanvulling op de PurePath-technologie. De oplossing zorgt voor een verbeterde doorstroming van transacties en biedt IT-beheerders inzichten in de infrastructuur met details die tot nu toe niet beschikbaar waren. Hiervoor bevat PureStack drie verschillende analysetools: een top-down afhankelijksheidsanalyse, een bottom-up impactanalyse en een tool om sessies op te nemen zodat problemen kunnen worden gerepliceerd. Top-down afhankelijkheidsanalyse Met de top-down afhankelijkheidsanalyse levert PureStack nauwkeurige en gedetailleerde informatie over alle componenten van de infrastructuur. Denk hierbij aan de CPU, het intern geheugen, opslagruimte, I/O en andere onderdelen die noodzakelijk zijn om antwoord te kunnen geven op een verzoek van een individuele gebruiker. Zelfs processen die geen directe relatie hebben met het verzoek, maar deze wel in de weg staan worden in kaart gebracht. De bottom-up impactanalyse maakt ieder verzoek van iedere gebruiker inzichtelijk. De verzoeken worden gecategoriseerd op basis van de specifieke componenten van de infrastructuur waar applicaties en zakelijke transacties gebruik van maken. De top-down afhankelijkheidsanalyse zorgt samen met de bottomup impactanalyse voor nauwkeurige inzichten in de impact van infrastructuurproblemen op de prestaties van applicaties. Applicatie- en IT-beheerders kunnen nu nauwkeurig in kaart brengen welke applicaties, transacties of eindgebruikers getroffen worden door gezondheidsproblemen van de infrastructuur. De technologie ontdekt automatisch kritieke systemen en gezondheidsinformatie over de infrastructuur. Deze gegevens worden verzameld en gemarkeerd op de infrastructuur stack, die onder andere het netwerk, hypervisor, besturingssysteem, opslag en CPU omvat. Vervolgens worden deze onderdelen gekoppeld aan individuele end-to-end transacties en eindgebruikers. Hoe gaat PureStack in zijn werk? PureStack is een technologie die alle belangrijke gegevens verzamelt over de infrastructuur waarop applicaties draaien. De APMoplossing maakt automatisch en direct de impact van deze data op individuele transacties en eindgebruikers inzichtelijk. PureStack biedt 100 procent inzicht in alle transacties die 24/7 worden uitgevoerd: van de eindgebruiker tot de database. De unified agent -technologie in de APM-oplossing detecteert automatisch Sessies opnemen PureStack bevat daarnaast een tool om sessies op te nemen, zodat het altijd mogelijk is problemen te repliceren en nader te onderzoeken. Iedere transactie wordt opgenomen, waarbij alle beschikbare gegevens over de gezondheid van de infrastructuur en gebruikte systemen worden opgeslagen. De bewaarde gegevens kunnen worden opgeroepen zodra een prestatieprobleem wordt aangetroffen en helpen IT-beheerders de problemen in korte tijd zowel te identificeren als op te lossen. De APM-oplossing biedt ondersteuning voor alle grote besturingssystemen. Ook zowel hypervisors van onder andere VMware en Citrix als publieke cloudomgevingen van cloudproviders als Amazon en Windows Azure worden automatisch gedetecteerd. Kortom, een moderne APM-tool, die antwoord biedt aan de huidige uitdagingen van IT-organisaties. Wouter Hoeffnagel 28 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

16 Security Veel klassieke security-maatregelen niet voldoende in virtuele omgeving Virtualisatie vraagt om nieuwe security-aanpak Virtualisatie is een van de belangrijkste innovaties die de ITsector de afgelopen tien jaar tot stand heeft gebracht. De snelle adoptie van deze technologie laat zich vooral verklaren door de mogelijkheid om te besparen op de IT-kosten, efficiënter te kunnen werken en de benutting van IT-voorzieningen verder te verbeteren. Workloads met wisselende beveiligingseisen (trust levels) worden nogal eens geconsolideerd naar één fysieke server zonder dat er een duidelijke scheiding wordt aangebracht tussen de diverse workloads, waardoor onnodig zware security-eisen worden opgelegd of juist de beveiliging van applicaties met hogere trust levels wordt gecompromitteerd. door Etienne van der Woude Virtualisatie is een van de belangrijkste bouwstenen waarmee zowel IT-afdelingen als commerciële datacenters cloud services ontwikkelen. In de markt wordt soms met grote stelligheid beweerd dat gevirtualiseerde omgevingen veiliger zijn dan niet-gevirtualiseerde ofwel fysieke omgevingen. Maar klopt dat? Etienne van der Woude van security-specialist WatchGuard plaatst grote vraagtekens bij dat soort beweringen. Zeker als we bedenken dat veel IT-afdelingen nog altijd druk bezig zijn om hun security-beleid rondom virtualisatie in te vullen. Daarmee lopen bedrijven die richting de cloud willen grote risico s. Waar we veel minder over horen, is de vraag hoe we een gevirtualiseerde omgeving goed beveiligen. Er bestaat ook veel onduidelijkheid over het beveiligen van gevirtualiseerde omgevingen. Is goede security in een gevirtualiseerde infrastructuur bijvoorbeeld makkelijker of juist moeilijker tot stand te brengen? Er is tot op heden ook maar een handvol onderzoeken verschenen waarin deze vraag gesteld wordt. De onderzoeken die wél zijn gepubliceerd, laten steevast een wisselend beeld zien. Applied Research ondervroeg bijvoorbeeld IT-managers en security managers in 27 landen. Eenderde van de ondervraagden bleek van mening dat als gevolg van het toepassen van virtualisatie en cloud het tot stand brengen van een goed beveiligingsniveau er vooral lastiger op is geworden. Nog eens eenderde denkt dat het juist makkelijker is geworden, terwijl een even grote groep vindt dat er als gevolg van virtualisatie eigenlijk niet zo veel veranderd is. CIO Research komt met vergelijkbare resultaten. Misvattingen Analisten komen op basis van deze resultaten tot de conclusie dat veel IT-afdelingen geen speciale maatregelen nemen als het om het beveiligen van gevirtualiseerde omgevingen gaat of deze maatregelen nog even voor zich uit schuiven. Daar zijn de onderzoekers niet blij mee, want daarmee is in hun ogen de conclusie gerechtvaardigd dat een meerderheid van de gevirtualiseerde servers minder goed beveiligd is dan hun fysieke tegenhangers. Gartner spreekt in dit opzicht zelfs van 60 procent van de servers. Wat zijn de belangrijkste problemen waar we in een gevirtualiseerde omgeving tegenaan lopen? Specialisten op het gebied van informatiebeveiliging zijn vaak niet vanaf het begin betrokken bij virtualisatieprojecten. Een security-incident op de virtualisatielaag compromitteert direct alle gehoste virtual machines. Bovendien komt niet zelden de splitsing die dient te bestaan tussen de taken van netwerk- en security-specialisten als gevolg van virtualisatie in gevaar. Activiteiten van beide disciplines gaan al gauw door elkaar heen lopen en dat is niet gewenst. Best practices In een klassieke IT-omgeving wordt netwerk-security veelal aangepakt op basis van een model waarbij per individuele applicatie een security appliance wordt ingezet. In het ontwerp gaat men vrijwel altijd uit van de fysieke netwerkinfrastructuur. Wie aan een gevirtualiseerde omgeving begint, komt er echter niet als enkel en alleen met de traditionele uitgangspunten in het achterhoofd een security-opzet wordt ontworpen. Bescherming aan de randen van het netwerk (perimeter enforcement) is dan niet voldoende, terwijl ook het idee dat alle data door het fysieke netwerk stroomt volstrekt achterhaald is. Gebaseerd op een groot aantal security-projecten waarbij virtualisatie een hoofdrol speelt, zijn wij als security-specialist tot een aantal best practices gekomen: De term perimeter laat zich in een gevirtualiseerde omgeving lastig definiëren. Door het veelvuldig gebruik van VPN s (virtual private networks) hebben gebruikers op tal van voorheen ondenkbare plekken in de infrastructuur toegang tot de IT-resources. Het gebeurt steeds vaker dat binnen een bedrijf meerdere afdelingen en applicaties zich aan een en dezelfde kant van de fysieke perimeter bevinden. Hetzelfde geldt voor service providers waar applicaties van meerdere bedrijven worden gehost. Termen als binnen en buiten verliezen hierdoor grotendeels hun betekenis. Compliance en privacy-regels maken het noodzakelijk om meerdere security- en audit-voorzieningen te regelen op tal van plaatsen in een gevirtualiseerde infrastructuur. Mobiele gebruikers brengen maar al te gemakkelijk malware in een met andere partijen of applicaties gedeelde infrastructuur. 30 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

17 Security Voor service providers is een maximale security cruciaal, aangezien applicaties van verschillende klanten veelal op een en dezelfde server farm of zelfs een en dezelfde fysieke server staan. Lang niet alle fysieke appliances zijn in staat om een goede in-line beveiliging te verzorgen in een gevirtualiseerde omgeving. De behoefte aan hoge beschikbaarheid gekoppeld aan de live motion -voorzieningen van virtualisatiesoftware betekent dat virtuele machines en applicaties niet altijd op dezelfde fysieke servers draaien. Dataverkeer kan zich door een virtueel netwerk binnen één fysieke server bewegen, zonder dat een fysiek security-apparaat hier een vorm van beveiliging op kan toepassen. Multilayer architectuur We kunnen dit soort problemen alleen oplossen als we werken met een security-architectuur die op meerdere lagen actief is. De security-maatregelen die actief zijn op de diverse lagen dienen bovendien goed met elkaar samen te werken, waardoor een maximale beveiliging gekoppeld kan worden aan uitstekende prestaties. Want daar zit natuurlijk een groot probleem: het is op zich niet zo vreselijk ingewikkeld om een multilayer security-aanpak voor een gevirtualiseerde infrastructuur te bedenken, maar dit zal veelal een grote negatieve impact hebben op de snelheid waarmee data door het al of niet gevirtualiseerde netwerk stroomt. De uitdaging zit m er dus in dat deze uit lagen opgebouwde beveiligingsaanpak ook nog eens een zeer hoge performance moet bieden. Het is ook niet voldoende om simpelweg een lijst met securityproblemen op te stellen en voor ieder probleem vervolgens een dedicated tool in te zetten. Het is - zeker ook vanuit performance-oogpunt bezien - van cruciaal belang dat iedere laag binnen deze architectuur een duidelijk omlijnde eigen functie vervult én zeer goed samenwerkt met de functies op de andere lagen. De enige security-maatregel die we op iedere laag nodig hebben, is zero-day protection, zodat bescherming geboden wordt tegen nieuwe en nog onbekende bedreigingen. Maatregelen Welke maatregelen hebben we nu precies nodig die specifiek zijn gericht op virtual machines en gevirtualiseerde applicaties? Allereerst is dat een check op de reputatie van URL s. Deze wordt bij voorkeur vanuit de cloud aangeboden. Daarmee De uitdaging zit m er in dat deze uit lagen opgebouwde beveiligingsaanpak een zeer hoge performance {moet bieden Een erg belangrijke functie van een goede virtuele appliance is daarnaast de mogelijkheid om vooraf te {kunnen configureren worden gebruikers beschermd tegen gecompromitteerde webpagina s. In veel gevallen zal het gebruik van dit soort URL reputation engines bovendien tot een drastische verbetering van de web throughput leiden. Een tweede belangrijke maatregel: het blokkeren van ongewenste mail. Hierbij moeten we echter zeer hoge eisen stellen aan de nauwkeurigheid waarmee dit gebeurt. False positives of false negatives hebben namelijk allebei een sterk negatieve invloed op de productiviteit van de medewerkers van de organisatie, maar zijn natuurlijk ook in technische zin gevaarlijk. Ook de payload van spam - ook payloads verstopt in bijvoorbeeld foto s of illustraties - dient met een nauwkeurigheid van 100 procent uit de mailstroom gefilterd te worden. Daarnaast dient een URL filtering te zijn ingericht die toegang tot ongewenste websites blokkeert. Let hierbij op dat zowel het HTTP- als het HTTPS-protocol ondersteund wordt. Op die manier kunnen zogeheten HTTPS loopholes worden gesloten. Daar waar het externe dataverkeer het interne en al of niet gevirtualiseerde netwerk binnen komt, dienen virussen, trojans, worms, spyware en dergelijke op basis van signatures te worden herkend en tegengehouden. Ook dienen alle poorten waarop verkeer kan binnenkomen, gescand te worden op mogelijke aanvallen waarbij dataverkeer wordt toegepast dat zich weliswaar houdt aan de afspraken van het gebruikte protocol, maar waarvan de content wel degelijk kwaadaardig is. Denk aan buffer overflows, SQL injecties en remote file inclusions. Virtuele appliance Hoewel het niet onmogelijk is om met fysieke appliances tot een goede bescherming van een gevirtualiseerde infrastructuur te komen, kiest WatchGuard liever voor het gebruik van virtuele appliances. Dat heeft alles te maken met het feit dat we hierdoor een maximale grip krijgen op het beheer van de gevirtualiseerde omgeving doordat security policies kunnen worden ingesteld per virtual machine of gevirtualiseerde zone of beide. De virtuele appliance van WatchGuard kent exact dezelfde functionaliteit als de fysieke appliances, maar laat zich in de vorm van een virtuele applicatie heel makkelijk installeren en past zich bovendien op zeer eenvoudige wijze aan op de gevirtualiseerde infrastructuur die het vervolgens aantreft. Daarbij kunnen policies en maatregelen worden gehanteerd die niet alleen de randen van het netwerk beschermen, maar ook security bieden tussen virtuele machines en gevirtualiseerde applicaties onderling. De fysieke locatie hiervan speelt hierbij geen rol. Policies hebben hierbij ook niet langer enkel en alleen betrekking op fysieke netwerken, maar kunnen even goed uit de voeten met gevirtualiseerde netwerkverbindingen. Wordt een VM verplaatst, dan verhuizen de security-maatregelen simpelweg mee naar de nieuwe fysieke omgeving. Indien nodig, worden deze security-instellingen bovendien dynamisch aan de nieuwe fysieke of virtuele omgeving aangepast. Een erg belangrijke functie van een goede virtuele appliance is daarnaast de mogelijkheid om vooraf te kunnen configureren. Hierdoor kan deze virtuele security appliance met virtual machines mee worden uitgerold in de IT-infrastructuur. Hierdoor kunnen VM, virtuele applicaties en de data worden beschermd vanaf het allereerste moment dat deze in gebruik worden genomen. Scenario s In welke situaties komt de hier beschreven security-aanpak nu het beste tot zijn recht? Interessant genoeg bieden virtual appliances in sterk uiteenlopende scenario s mogelijkheden. Denk aan een IT-afdeling waar men in een gevirtualiseerde infrastructuur een zogeheten acceptable use beleid wil combineren met een goed opgezette security-aanpak. Virtuele security appliances zijn ook zeer interessant voor het moderniseren van een verouderde security-infrastructuur. Zonder grote investeringen in hardware kan men snel tot een vernieuwing van de aanpak komen. Er zijn ook meer zakelijk georiënteerde scenario s waarbij we aan virtual {appliances kunnen denken SECURE DATA TRANSFER / TOTAL SECURITY / CLOUD PERFORMANCE WS_FTP Server with SSH Simple. Secure. Managed. SSL / SSH support PCI DSS Compliance FIPS ValidatedCryptography Secure Copy (SCP2) SSH Key Management Quick Heal Endpoint Security 5.0 Multi-layered security for your critical enterprise infrastructure. Superior Endpoint Protection to Secure Data and keep Daily Workflows Smooth. Peerless visibility, control and response to threats. Host of powerful technologies that can be deployed and managed from a single advanced graphical console. advertentie Distributie: SCOS Software bv info@scos.nl tel Er zijn ook meer zakelijk georiënteerde scenario s waarbij we aan virtual appliances kunnen denken. Bijvoorbeeld een situatie waarin een organisatie met zowel interne als externe auditors te maken heeft en men een zeer fijnmazige, maar toch flexibele bescherming wil opzetten. Of denk aan een organisatie waar men reeds veel geld heeft geïnvesteerd in virtualisatie en men maximaal van die gevirtualiseerde infrastructuur gebruik wil maken. Een eveneens sterk in de belangstelling staand scenario is deze: een IT-afdeling heeft reeds op basis van hardwarematige appliances een goede security-aanpak opgezet, maar wil nu ook tussen gevirtualiseerde systemen en applicaties tot een maximale bescherming komen. Dan is een mix van fysieke en virtuele security-appliances ideaal. Etienne van der Woude is Regional Sales Manager Benelux van WatchGuard MOVEit: Secure Managed File Transfer Built-in end-to-end encrypted transfer and storage Encrypted transfer over SSL (FTPS/ HTTPS), SSH(SFTP) and EDIINT ASx Non-repudiation and guaranteed delivery FIPS validated cryptography (NIST and CSE) Hardened platform and OS security independence Cloud Application and Network Performance PathView Cloud Network-based Application Performance Insight Path, Packet, Flow, Device... Plus End User Experience TraceView Server-based Application Performance Insight Real User Monitoring network and security solutions 32 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

18 Visie Cloud is de motor achter innovatie door mass customization in IT door Hans de Visser Bent u er nog steeds van overtuigd dat cloud computing niet meer te bieden heeft dan een besparing op IT-kosten? Dan kunt u wellicht beter stoppen met lezen. Maar als u verder kijkt dan kosten en cloud computing wilt inzetten om tegen een redelijke prijs te innoveren, dan vindt u in dit artikel een visie over het inzetten van ijzersterke principes uit de productiewereld in de IT. Dankzij het uitgebreide aanbod van cloud services dat tegenwoordig beschikbaar is. Ik ben ervan overtuigd dat er een behoorlijke verschuiving gaat plaatsvinden in de IT-industrie. Ik zit midden in die verschuiving en ik kan me niet aan de indruk onttrekken dat er opvallend veel overeenkomsten zijn met ontwikkelingen in de productiewereld in de afgelopen decennia. Natuurlijk, kostenbesparingen zijn een groot voordeel van cloud computing. Maar een fundamenteler en groter patroon ontvouwt zich bij het consumeren van IT-diensten. Door de cloud kunnen we nu IT-diensten tegen een goede prijs op maat maken. Je zou kunnen zeggen dat de cloud IT gedemocratiseerd heeft en ervoor zorgt dat op maat gemaakte applicaties en diensten voor iedereen bereikbaar worden. De cloud bevordert innovatie tegen een goede prijs zodat we met maatwerk kunnen zorgen voor een betere productiviteit en een grotere betrokkenheid van onze klanten, partners en werknemers. In de wereld van de productie wordt dit mass customization genoemd. Dit principe werd twintig jaar geleden voor het eerst beschreven door B. Joseph Pine. De sleutel tot effectieve mass customization is het zo lang mogelijk uitstellen van het klantspecifiek maken van producten of diensten tegen zo laag mogelijke kosten per eenheid. Als we dit principe toepassen op IT, zouden grote bedrijven hun voordeel kunnen halen door: Cloud computing in te zetten voor het consumeren van diensten as-a-service waar en wanneer dit maar mogelijk is (al moet gezegd zijn dat het goed is dat sommige diensten ook on-premise beschikbaar zijn). Het tweede waar deze bedrijven hun voordeel mee kunnen doen, is het kiezen van een assembleerlijn waarmee je de verschillende diensten kunt integreren, combineren en orkestreren. In mijn optiek is een BPM-platform de ideale assembleerlijn: je kunt er de nodige diensten mee beheren en aansturen maar ook aan elkaar stikken. BPM-as-a-Service is wat mij betreft de perfecte vorm van zo n assembleerlijn. Ik had het bewust over voordeel kunnen halen. Als je de boot mist en cloud computing en mass customization niet inzet, vormen ze op korte of lange termijn een ernstige bedreiging. Ik zie namelijk dat er steeds meer ondernemingen zijn die de benadering wel hanteren en tegen een lager kostenniveau veel sneller innoveren dan wanneer ze hetzelfde on-premise hadden gedaan. Omdat mass customization het fundamentele concept is in deze benadering, zal ik de achtergrond ervan schetsen zodat u een goed beeld krijgt van mijn insteek. 34 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

19 Visie Baan ERP In de jaren 90 was Baan Company één van de vier spelers die vorm gaven aan de ERP-markt. De wortels van het huidige Cordys liggen in Baan Company. Baan was ijzersterk in het bieden van een breed functionaliteitenpakket waarmee verschillende productieprincipes konden worden ondersteund: van make-to-stock tot engineer-to-order en assemble-to-order. Make-to-stock wordt vooral gebruikt voor het produceren van goedkope, algemene producten: massaproductie maakt een zeer lage prijs per unit mogelijk. Engineer-to-order is van toepassing op de productie van dure en op maat gemaakte goederen; bijvoorbeeld hoogstaande machines die in kleine series gebouwd worden. Tussen deze twee benaderingen in treffen we assemble-to-order aan. Door gebruik te maken van standaardmodules kunnen we met dit concept snel producten samenstellen die unieke klanteigenschappen hebben. De slimme mengvorm van beide concepten wordt mass customization genoemd. Mass customization wordt ook wel gedefinieerd als het effectief uitstellen van de activiteit die de differentiërende waarde voor de klant realiseert tot het laatst mogelijke punt in het productieproces. Het combineert de lage kosten per eenheid van massaproductie met de flexibiliteit van maatwerk voor de klant. Autofabrikanten hebben deze interessante ontwikkeling al langer geleden doorgemaakt. Ongeveer een eeuw terug werden auto s geproduceerd volgens het principe van engineer-to-order: iedere auto werd op gemaakt op aanvraag en aangepast aan alle wensen. Henry Ford revolutioneerde de industrie met de productie van de T-Ford die besteld kon worden in elke kleur, als het maar zwart was. De laatste decennia hebben autofabrikanten dit standaardproductieproces geperfectioneerd volgens het principe van mass customization. Een goed voorbeeld is BMW die de Mini Cooper tot een gepersonaliseerd maar betaalbaar stijlicoon heeft getransformeerd. Volgens BMW zijn slechts twee op de honderdduizend Mini s exact hetzelfde. Wat zijn de stappen om mass customization toe te passen in een productieproces: Zorg allereerst dat je alle componenten, modules en bouwstenen van het uiteindelijke product hebt, maar ook dat je weet welke route al deze onderdelen moeten afleggen om het uiteindelijke product te assembleren. Ten tweede: zorg dat je een productie- en assembleerlijn hebt om het product te kunnen samenstellen. Als laatste is het van belang om de tools in huis te hebben waarmee de klant het basisproduct kan configureren conform haar wensen. Binnen de (technische) mogelijkheden die het systeem biedt. Mass customization combineert de lage kosten per eenheid van massaproductie met de flexibiliteit {van maatwerk SOS International is in Nederland het callcenter dat pech- en noodmeldingen uit binnen- en buitenland verwerkt. Bij SOS International hebben we een Siebel CRM-systeem vervangen door een BPM- en Dynamic Case Management-oplossing. In deze nieuwe oplossing combineren we klantspecifieke applicatielogica (zoals een UI voor klantgegevens) met een aantal publieke diensten vanuit de cloud. Hierdoor kan SOS International sneller en effectiever pechhulpaanvragen afhandelen. BPM is hierbij het mechanisme dat de applicatie aanstuurt en de diensten orkestreert. Door middel van Case Management wordt de dynamische workflow (ongestructureerde processen die vaak ad-hoc-beslissingen in zich dragen en onverwachte wendingen nemen) gecombineerd met standaard-workflow (werkprocessen die vrijwel altijd hetzelfde verlopen). Op deze wijze worden de medewerkers die alle meldingen verwerken optimaal ondersteund. Een manier waarop we mass customization toepassen bij SOS International is de integratie van Google Maps in de applicatie om zo alle garages en hotels in de buurt van het incident in kaart te brengen. Wanneer een melding binnen komt, kan de SOSmedewerker direct op zijn of haar scherm zien welke diensten hij het beste kan inschakelen. Soortgelijke integraties zijn ook gedaan met diensten voor bijvoorbeeld nummerplaatcontroles en verzekeringscontroles. Mass customization & IT Maar wat heeft dit alles nu met IT te maken? Net als autofabrikanten zijn we in de IT begonnen met het bouwen van systemen en applicaties volgens de principes van engineer-to-order. Dit verschoof naar commercial-off-the-shelve (COTS)-applicaties die voor iedereen hetzelfde waren en geen bijzonder aanpassing vereisten. De opkomst van het internet, Web 2.0 en breedbandinternet heeft de groei van as-a-service-oplossingen gestimuleerd met een snelheid die ongekend is binnen de IT. Door deze pijlsnelle innovaties hebben we nu de beschikking over een grote variëteit aan bouwstenen en de juiste granulariteit voor elke service (granulariteit is de reikwijdte van functionaliteit van een service). Denk aan het netwerk, opslag, virtuele servers en een veelvoud aan applicaties als CRM, ERP, SCM, BI, office-pakketten en mobiele apps. Al deze zaken zijn as-a-service beschikbaar in de cloud en als ze voldoen aan de standaarden voor plug & play kun je er razendsnel mee aan de slag. Wat we nu nog nodig hebben is een assembleerlijn die de juiste bundels van diensten samenstelt en beschikbaar maakt voor de eindgebruiker: mass customization in de IT. SOS International Zoals gezegd, is wat mij betreft een BPM-platform de perfecte assembleerlijn. Dit platform moet dan wel beschikken over functionaliteiten voor integratie en applicatieontwikkeling. Het volgende voorbeeld maakt perfect duidelijk wat de voordelen zijn van deze benadering. Zo n specifieke klantoplossing zouden we nooit tegen een redelijke prijs hebben kunnen bouwen zonder de beschikbaarheid van de juiste clouddiensten (in dit geval Google Maps). Complexer voorbeeld Het bovenstaande voorbeeld laat nog vrij eenvoudige clouddiensten zien. Een ander voorbeeld is de oplossing die we samen met een partner hebben gebouwd: een dienst die een 360 o -kijk geeft op klanten. Daarvoor is een pakket van clouddiensten ingezet waaronder een content managementsysteem (Drupal), marketingautomatisering (Eloqua), CRM (Salesforce.com) en analytische software (Adobe). Dit pakket aan diensten wordt als één oplossing aangeboden waarbij de partner het beheer verzorgt volgens specifieke Service Level Agreements (SLAs). In beide genoemde gevallen fungeert het BPM-platform als de ontkoppellaag tussen de verschillende systemen en ondersteunt het platform het samenstellen van verschillende nieuwe diensten. Tegelijk biedt het een grote mate van flexibiliteit en productiviteit om de diensten aan te passen en te vernieuwen wanneer verandering gewenst is. Als de benadering uit de voorgaande voorbeelden geïndustrialiseerd wordt, zullen we de geboorte van mass customization in IT zien. Aan de ene kant de afnemer die zijn ideale servicepakket samenstelt (configureert) en aan de andere kant een geschikte assembleerlijn die de mix van services beschikbaar maakt. Hans de Visser is Chief Strategy Officer bij Cordys 36 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /

20 Technologie Grootschalige adoptie van SSD s in datacenters nabij Nieuwe techniek verbetert levensduur van flash door John Scaramuzzo De datacenteromgeving is altijd aan verandering onderhevig en is vooral de afgelopen vijf jaar sterk veranderd. Nieuwe technieken als cloud computing en virtualisatie en veranderende behoeften stellen datacenterbeheerders voor nieuwe uitdagingen als het gaat om opslag. Om deze uitdagingen aan te kunnen moeten zij op zoek naar oplossingen die tegemoetkomen aan hun eisen op het gebied van performance en betrouwbaarheid, maar die niet te veel kosten. Deze bewustwording zorgt voor een verschuiving van traditionele media, zoals harddiskdrives, naar flash-based SSD s (solid state drives). De prijsstelling vormde echter altijd een obstakel voor grootschalige adoptie van SSD s. Maar waarom kiest de IT-industrie steeds vaker voor SSD s? En wat doen SSD-fabrikanten om flash toegankelijker en kosteneffectief te maken? Onderzoeksbureau IDC voorspelt dat in 2015 een hoeveelheid van 8 ZB (Zettabytes) aan digitale content zal worden bereikt tegenover 2,7 ZB in Daarnaast voorspelt het Institute of Electrical and Electronics Engineers (IEEE) dat de hoeveelheid dataverkeer tussen 2010 en 2015 zal zijn vertienvoudigd en tegen 2020 maar liefst verhonderdvoudigd. Een belangrijke oorzaak van deze groei in data is de overgang naar real-time interactie, thuis en op kantoor. Van en social media likes tot uploads van video s, foto s en documenten. Dit levert uiteraard een belangrijke bijdrage aan de enorme groei van data, maar er zijn nog miljoenen andere bronnen die hieraan bijdragen. Uiteindelijk leidt dit alles tot een verbazingwekkende uitkomst: 90 procent van alle data wereldwijd is in de afgelopen twee jaar gecreëerd, en het neemt alleen maar sneller toe. Enterprise-opslag Gezien het feit dat datasets blijven groeien, zijn datacenters gedwongen hun fysieke infrastructuur op te schalen. Dit is nodig om het niveau van geaggregeerde doorvoer te behalen die nodig is om de data te manipuleren en real-time beschikbaar te maken. Vanwege het beperkte doorvoervermogen van harddiskdrives (HDD) zijn datacenterbeheerders gedwongen honderden of zelfs duizenden drives aan te schaffen en de bekende prestatieverhogende technieken te gebruiken, zoals short stroking, om een merkbare impact te realiseren of de enorme latency aan te kunnen die gepaard gaat met magnetische, roterende media. Prestatieverhogende technieken als short stroking beperken de plaatsing van data op HDD s naar een beperkt aantal cilinders, wat de bruikbare capaciteit van de drive beperkt tot 10 à 20 procent van de nominale capaciteit. Het gevolg is dat er meer schijven moeten worden aangeschaft. Hierdoor stijgen niet alleen de aanschafkosten voor schijven, maar ook de kosten die gepaard gaan met een groeiend datacenter, zoals energie- en koelingkosten. SSD s in enterprise SSD s kwamen op de markt als het antwoord op het HDD-dilemma vanwege de aanzienlijke presentatieverbetering. Bij de ontwikkeling van oudere generaties SSD s moesten ontwikkelaars echter keuzes maken tussen belangrijke kenmerken, zoals performance, prijs, levensduur en betrouw- 38 CloudWorks - nr. 7-8 / 2013 CloudWorks - nr. 7-8 /