I B M W e b s p h e r e

I B M W e b s p h e r e Ondernemingskans of IT risico? Scriptie ter afronding van de postgraduate IT Audit opleiding aan de VU Datum: 2008-04-03 Versie 1.0 Auteurs: Walter Borgstein, Eric den Haan, Jacques Putters Teamnummer: 820 VU begeleider: Dhr. C.W.P.J. van Hoof RE Bedrijfscoach: Dhr. E. de Vries RE CIA CISA Afstudeerdatum: nog te bepalen

W e b S p h e r e P a g i n a I IBM Websphere Ondernemingskans of IT risico Walter Borgstein Eric den Haan Jacques Putters Amsterdam, april 2008

W e b S p h e r e P a g i n a II Woord vooraf Deze scriptie is geschreven ter afsluiting van de postgraduate IT Audit opleiding aan de Vrije Universiteit (VU) te Amsterdam. De drie auteurs zijn allen werkzaam bij de interne audit afdeling van ABN AMRO Bank N.V. en in die hoedanigheid betrokken bij interne audits binnen de automatiseringsomgeving. Omdat er bij het audit management een behoefte bestaat aan het vergaren van meer kennis over IBM WebSphere en de IT Audit aspecten die daarbij een rol spelen, is besloten WebSphere als onderwerp te kiezen voor de afsluitende scriptie. Deze scriptie zou niet tot stand zijn gekomen zonder de begeleiding vanuit de VU door Kees van Hoof en de interne begeleiding door Erik de Vries (Audit manager). Tevens willen wij de medewerkers van IBM, Shell en ABN AMRO bedanken voor hun input en het beantwoorden van onze vele vragen. Dankzij hun informatie zijn wij in staat geweest WebSphere in een breder perspectief te plaatsen. Daarnaast willen wij ook onze collega s en partners bedanken voor hun steun en bijdragen tijdens de uitvoering van ons onderzoek. Walter Borgstein, Eric den Haan, Jacques Putters Amsterdam, april 2008

W e b S p h e r e P a g i n a III Inhoud SAMENVATTING... 1 1 INLEIDING... 3 1.1 ONDERZOEKSVRAAG... 3 1.2 ONDERZOEKSAANPAK... 4 1.3 OPBOUW VAN DE SCRIPTIE... 4 2 WAT IS WEBSPHERE EN HOE HEEFT HET ZICH ONTWIKKELD?... 5 2.1 DEFINITIE... 5 2.2 ONTSTAANSGESCHIEDENIS VAN WEBSPHERE... 6 2.3 WEBSPHERE COMPONENTEN... 7 2.3.1 People Integration... 8 2.3.2 Process Integration... 9 2.3.3 Information Integration... 10 2.3.4 Application Integration... 11 2.3.5 Application and transaction infrastructure... 12 2.3.6 Accelerators... 12 2.4 UITWERKING AUDIT ASPECTEN COMPONENTEN... 13 3 WAT MAAKT WEBSPHERE INTERESSANT VANUIT EEN BUSINESSPERSPECTIEF?... 14 3.1 CONCURRENTEN... 14 3.2 BEWEEGREDENEN INZET WEBSPHERE... 15 4 ENKELE TOEPASSINGEN VAN WEBSPHERE IN DE PRAKTIJK... 17 4.1 ABN AMRO INTERNET BANKIEREN OMGEVING... 17 4.1.1 WebSphere componenten... 17 4.1.2 Architectuur... 19 4.2 SHELL SUPPLY CHAIN MANAGEMENT... 20 4.2.1 WebSphere componenten... 20 4.2.2 Architectuur... 20 5 IT AUDIT ASPECTEN... 22 5.1 INLEIDING... 22 5.2 VOORBEELD CONFIGURATIE... 23 5.3 UITWERKING IT AUDIT ASPECTEN... 24 5.4 LOGISCHE TOEGANGSCONTROLE... 25 5.5 CONFIGURATIE ASPECTEN... 26 5.5.1 Configuratie WAS en NDM.... 27 5.5.1.1 WAS... 27 5.5.1.2 Operating system... 28 5.5.1.3 Logging... 28 5.5.2 Configuratie MQ... 28 5.6 BERICHTEN UITWISSELING... 29 5.6.1 WAS... 29 5.6.2 MQ... 30 5.7 INFRASTRUCTUUR VULNERABILITIES... 31 5.8 OVERZICHT VAN RISICO'S EN MITIGERENDE MAATREGELEN... 31 6 CONCLUSIE... 34 6.1 PERSOONLIJKE REFLECTIE... 35 7 BIBLIOGRAFIE... 36 8 DEFINITIELIJST... 37

W e b S p h e r e P a g i n a IV 9 BIJLAGEN... 38 9.1 BIJLAGE 1: VOLLEDIG OVERZICHT VAN IBM WEBSPHERE PRODUCTEN... 39 9.2 BIJLAGE 2: INFORMATION INTEGRATION COMPONENTEN... 42 9.3 BIJLAGE 3: PRODUCT VERGELIJKING TUSSEN WEBSPHERE EN WEBLOGIC... 43 9.4 BIJLAGE 4 BEHEER ROLLEN BINNEN WAS... 45 9.5 BIJLAGE 5: VULNERABILITY VOORBEELDEN... 46 9.6 BIJLAGE 6: AANVULLENDE IT AUDIT ASPECTEN... 47 9.6.1 Overbelasting... 47 9.6.2 Applicatiebeveiliging... 47 9.7 BIJLAGE 7: TOP 10 WEB APPLICATION VULNERABILITIES (2007)... 49 10 INDEX... 50

W e b S p h e r e P a g i n a 1 Samenvatting Zakendoen in de huidige tijd is ondenkbaar zonder web presence. De uitdaging voor ondernemingen ligt in het ontsluiten van hun applicaties en data via een gebruikersvriendelijke interface op een veilige manier. Uit de drie grote spelers in de markt van commerciële webapplicatie server software is IBM s WebSphere gekozen als scriptieonderwerp. Het onderzoek richt zich op de vraag wat WebSphere is, waarom ondernemingen WebSphere willen gebruiken, hoe ondernemingen WebSphere implementeren en welke risico s het gebruik van WebSphere introduceert. WebSphere is een merknaam voor een suite van software producten van IBM die ingezet worden om ontwikkeling en beheer van web applicaties te ondersteunen. De totale suite bestaat uit ruim 60 componenten. Hoofdbestanddeel van deze suite is de WebSphere Application Server (WAS) waarop webapplicaties kunnen worden gehost/gedraaid. Voor het beheer van de WAS is de Network Deployment Manager nodig. Connectiviteit met (legacy) back-end systemen kan worden ingevuld met WebSphere MQ. Voor wat betreft webapplicatie functionaliteit (programmeer mogelijkheden) onderscheidt WebSphere zich niet van concurrent WebLogic van Oracle. Een belangrijke drijfveer om WebSphere te gebruiken is de mogelijkheid om (legacy) back-end systemen te ontsluiten. Wanneer de back-end systemen IBM mainframes zijn, dan geniet IBM nog de voorkeur van bedrijven. Doorgaans hebben grote ondernemingen die gebruik maken van IBM mainframes reeds een jarenlange relatie met IBM. IBM is een internationale onderneming met een aanzienlijke historie die waarborgen biedt voor continuïteit in haar bedrijfsvoering, productontwikkeling en ondersteuning. Mede gezien de internationale klantenkring en het internationale netwerk voor ondersteuning en advies is WebSphere een aantrekkelijke keuze voor ondernemingen. Toch is gezien de implementatiekosten WebSphere pas aantrekkelijk als infrastructureel platform indien een kritische massa is bereikt wat betreft het aantal te hosten applicaties. Voor kleinere ondernemingen of enkele applicaties op één server heeft IBM tegenwoordig ook een Express editie van WebSphere ontwikkeld. In het kader van deze scriptie zijn twee praktijk situaties onderzocht: de Internet Bankieren implementatie bij ABN AMRO en een Supply Chain management implementatie bij Shell. Deze implementaties laten zien dat WebSphere wordt gebruikt voor ontsluiting van back-end systemen op (IBM) mainframes. De webapplicaties van deze ondernemingen verschillen in functionaliteit, maar dat is gezien het verschil in bedrijfsactiviteit vanzelfsprekend. Webapplicaties kunnen via browsers worden benaderd door zowel klanten als medewerkers. Het implementeren van een WebSphere infrastructuur is complex, omdat er meerdere software componenten bij betrokken zijn met elk afzonderlijke configuratie mogelijkheden. De mogelijkheden per component gecombineerd met het aantal betrokken componenten introduceren een groot aantal risico s. De risico s kunnen in de meeste gevallen worden gemitigeerd, op een enkele inherente tekortkoming na (in het bijzonder MQ tijdigheid en volledigheid). De tekortkomingen op MQ kunnen wel deels worden gemitigeerd op applicatieniveau.

W e b S p h e r e P a g i n a 2 Afsluitend kan geconcludeerd worden dat WebSphere voor grote bedrijven met legacy systemen een ondernemingskans vormt met betrekking tot de ontsluiting van applicaties en data op mainframes via browsers voor zowel klanten als medewerkers. De WebSphere infrastructuur kent door haar complexiteit en blootstelling aan het internet de nodige risico s. Deze risico s zijn echter mitigeerbaar, op een enkele inherente tekortkoming na.

W e b S p h e r e P a g i n a 3 1 Inleiding In de online wereld van tegenwoordig zetten ondernemingen steeds vaker webtechnieken in om zowel klanten als medewerkers toegang te geven tot informatie en om transacties uit te kunnen voeren, zoals het plaatsen van bestellingen en het doen van betalingen. Het belang van een continue beschikbaarheid op internet (24x7) en de eisen ten aanzien van de integriteit en vertrouwelijkheid van de gegevens die via webtoepassingen worden verwerkt stellen direct eisen aan de opzet, bestaan en werking van de onderliggende IT infrastructuur. Om (legacy) backend-systemen en databanken via web services te ontsluiten maken met name grote organisaties wereldwijd steeds meer gebruik van IBM WebSphere 1. Zo ziet Shell bijvoorbeeld web services als belangrijke enablers om de uitwisseling van informatie binnen het bedrijf en daarbuiten naar een hoger niveau te tillen en is mede daarom een partnership aangegaan met IBM 2. Een ander voorbeeld is autoverhuurder AVIS die in 2004 met IBM in zee is gegaan om met behulp van WebSphere producten het delen van gegevens tussen nieuwe webapplicaties en het bestaande systeem voor reserveringen, verhuur en informatiemanagement mogelijk te maken 3. Ook ABN AMRO maakt gebruik van WebSphere producten om verschillende bedrijfsprocessen te ondersteunen. Eén van de belangrijkste WebSphere implementaties is die voor internetbankieren (zie hoofdstuk 4.1). 1.1 Onderzoeksvraag Het toenemende gebruik van IBM WebSphere betekent dat ook de IT audit gemeenschap de nodige kennis en ervaring ten aanzien van deze producten zal moeten hebben. Wij hopen daar middels deze scriptie een bijdrage aan te kunnen leveren. Als uitgangspunt voor onze scriptie is de volgende onderzoeksvraag geformuleerd: IBM WebSphere: Ondernemingskans of IT risico? Om hierop een antwoord te kunnen geven is de onderzoeksvraag opgedeeld in een aantal deelvragen. De eerste vraag heeft betrekking op de achtergrond van WebSphere en de belangrijkste vraag: Wat is WebSphere en hoe heeft het zich ontwikkeld? Als een IT auditor betrokken raakt bij strategische besluitvorming ten aanzien van IT infrastructuur en daarbij te maken krijgt met WebSphere dan is het hebben van basiskennis van de voor- en nadelen van de inzet WebSphere van toegevoegde waarde. Om de IT auditor hierbij van dienst te zijn is er in deze scriptie gekeken welke afwegingen bedrijven hebben gemaakt om WebSphere in te voeren en welke specifieke componenten daarbij gekozen zijn. De tweede deelvraag luidt derhalve: Wat maakt WebSphere interessant vanuit een business perspectief?. Naast de vraag wat WebSphere is en de reden waarom ondernemingen voor het gebruik daarvan kiezen is het zinvol om een concreet beeld te krijgen van mogelijke toepassingen van verschillende WebSphere componenten. De derde deelvraag die geformuleerd is luidt daarom: Hoe zetten ondernemingen WebSphere in de praktijk in?. 1 In 2005 was IBM marktleider op het gebied van applicatie servers met een marktaandeel van 37% (http://websphere.sys-con.com/read/113157.htm) 2 http://www-306.ibm.com/software/ebusiness/jstart/casestudies/shell.shtml 3 http://whitepapers.silicon.com/0,39024759,60098435p,00.htm?

W e b S p h e r e P a g i n a 4 En tot slot, als de IT auditor een opdracht aanvaardt waarbij ook WebSphere componenten binnen de scope vallen dan is het van belang te weten welke mogelijke risico s er te onderkennen zijn. De vierde en laatste deelvraag die daarom geformuleerd is, is: Welke IT audit aspecten, risico s en mitigerende maatregelen zijn er te onderkennen ten aanzien van WebSphere?. 1.2 Onderzoeksaanpak Voor ons onderzoek hebben wij de volgende aanpak gehanteerd: Literatuuronderzoek Om de achtergronden van WebSphere in kaart te brengen is voornamelijk gebruik gemaakt van bronnen op het internet. Hiervoor is in het bijzonder de website van IBM geraadpleegd, maar daarnaast is ook gestreefd naar het vinden van meer onafhankelijke bronnen (bijvoorbeeld onderzoeksresultaten van Gartner). Interviews Er zijn uitgebreide gesprekken gevoerd met WebSphere subject matter experts, zowel van IBM als van in de scriptie (zie hoofdstuk 4) genoemde bedrijven die gebruik maken van WebSphere. Analyse Om inzichtelijk te maken hoe de WebSphere suite is opgebouwd is een schematisch overzicht opgesteld om de verschillende WebSphere componenten te positioneren en hun onderlinge relaties in kaart te brengen. Het oorspronkelijke plan om een risk-based selectie van WebSphere componenten uit te voeren voor nadere analyse is niet uitgevoerd omdat het aantal componenten dat tot de Websphere suite gerekend wordt te groot is. Het bestuderen en vergelijken van alle componenten zou dermate veel tijd hebben gevergd dat er voor analyse geen tijd meer zou zijn. Daarom is gekozen voor het uitwerken van IT audit aspecten van WebSphere componenten die zich in de operationele productie omgeving bevinden (WAS, NDM en MQ). Conclusie Met behulp van de resultaten uit het literatuuronderzoek, de interviews en de analyses zijn de antwoorden op de onderzoeksvragen geformuleerd. 1.3 Opbouw van de scriptie In de volgende hoofdstukken komt per hoofdstuk één van de vier deelvragen aan de orde. In hoofdstuk twee wordt uitgelegd wat WebSphere is, uit welke componenten het bestaat en wat hun onderlinge relatie is en welke componenten een rol spelen binnen de operationele productie omgeving. Deze laatste groep is als basis gebruikt voor hoofdstuk vijf. Hoofdstuk drie gaat in op de vraag wat de toegevoegde waarde van WebSphere is, waarbij de aandacht niet alleen uitgaat naar WebSphere functionaliteit, maar ook naar de IBM dienstverlening. In hoofdstuk vier komen enkele toepassingen van WebSphere in de praktijk aan de orde, waarbij ook gekeken wordt naar de beweegredenen om te kiezen voor bepaalde componenten. Hoofdstuk vijf is gewijd aan de vraag welke IT audit aspecten, risico s en mitigerende maatregelen er te onderkennen zijn ten aanzien van WebSphere componenten binnen de operationele productieomgeving. In hoofdstuk zes ten slotte zijn de conclusies ten aanzien van de deelvragen en de centrale onderzoeksvraag geformuleerd.

W e b S p h e r e P a g i n a 5 2 Wat is WebSphere en hoe heeft het zich ontwikkeld? Dit hoofdstuk is gewijd aan de vraag wat WebSphere nu eigenlijk is. In het eerste deel van dit hoofdstuk volgt een aantal definities. Het tweede gedeelte gaat in op de ontstaansgeschiedenis van WebSphere. Het derde deel van dit hoofdstuk ten slotte behandelt de voornaamste WebSphere producten en hun onderlinge relaties. 2.1 Definitie Aangezien WebSphere door IBM ontwikkeld is lag het voor de hand om eerst te bekijken welke definitie IBM voor WebSphere hanteert. Op de website van IBM is WebSphere als volgt omschreven: WebSphere is het integratie software platform van IBM. Het omvat de gehele middleware infrastructuur zoals servers, services en tools die benodigd zijn voor het schrijven, laten draaien en monitoren van 24x7 industrial-strength, on demand web applicaties en cross-platform en crossproduct toepassingen. WebSphere levert betrouwbare, flexibele en robuuste integratie software. (IBM) Op de website van IBM wordt verder nog gesteld dat WebSphere Application Server de basis van de WebSphere suite vormt. Alle andere WebSphere producten zijn daaraan gekoppeld. Over IT onderwerpen zoals besturingssystemen, netwerken en programmeertalen is een grote diversiteit aan boeken voorhanden. Tijdens ons onderzoek is gebleken dat er echter weinig, vrij toegankelijke, algemene literatuur over WebSphere beschikbaar is. Dit komt vermoedelijk doordat producten zoals WebSphere voornamelijk door (grote) organisaties worden ingezet. Wel zijn er handleidingen en IBM redbooks te vinden, die specifieke WebSphere onderwerpen behandelen. Een bron die WebSphere in zijn algemeenheid beschrijft is het boek What is WebSphere? van Cameron McKenzie (McKenzie, 2005). De definitie van WebSphere in dit boek is: WebSphere is een marketing term, een handelsmerk van IBM en een IBM productrange. (McKenzie, 2005) Een ruime bron voor definities van WebSphere is het internet. Wikipedia hanteert de volgende definitie: WebSphere is een merknaam voor een serie van IBM softwareproducten voornamelijk gericht op web-technologie en het ontsluiten van databanken en back-end systemen. WebSphere heeft de term middleware algemeen bekend gemaakt en is ontworpen om toepassingen voor elektronisch zaken doen te maken, te draaien en te integreren. (WebSphere - Wikipedia, 2007)

W e b S p h e r e P a g i n a 6 Een vierde definitie ten slotte wordt gegeven op SearchDomino.com, een website gericht op IT professionals die zich bezighouden met Lotus Notes en Domino (eveneens IBM producten): WebSphere is zowel een merk als een technologie. Het WebSphere merk omvat een hele reeks (host) van technologieën die bij elkaar komen om business oplossingen te creëren. Vanuit een technisch oogpunt wordt met de term WebSphere meestal gedoeld op het WebSphere Application Server kortweg WAS product. (SearchDomino) Hoewel deze definities onderling niet exact hetzelfde zijn, komt een aantal gezamenlijke kenmerken naar voren. De verschillende definities samenvattend is WebSphere: - Een merknaam van IBM; - Niet één product maar een serie van middleware producten; - Voornamelijk gericht op webtechnologie en het ontsluiten van back-end systemen; - (Vanuit technisch oogpunt) voornamelijk de WebSphere Application Server (WAS). Middleware is systeemsoftware die er voor zorgt dat applicaties met verschillende platformen kunnen samenwerken en dezelfde manier van gegevenstoegang kunnen gebruiken, onafhankelijk van waar deze gegevens zich bevinden. Middleware is de laag tussen (vandaar middle ) de applicatiesoftware en de communicatie- en besturingssoftware. Middleware is populair geworden vanaf de jaren tachtig omdat het een oplossing bood voor het koppelen van nieuwe applicaties met oudere legacy systemen, draaiend op mainframes. Dergelijke legacy systemen zijn een voorbeeld van de zogeheten back-end systemen. Back-end systemen (ook bekend als de data-tier) zijn de systemen die de data bevatten die voor gebruikers via bijvoorbeeld een web browser (de front-end of client-tier) kunnen worden ontsloten en die transacties verwerken. WebSphere producten vormen (mede) de middleware die zorgt voor ontsluiting van deze backend systemen naar andere platformen en fungeert als basis voor hedendaagse webtechnologie. 2.2 Ontstaansgeschiedenis van WebSphere In de jaren negentig van de vorige eeuw was de functionaliteit van websites nog vrij beperkt. Webservers deden eigenlijk weinig meer dan het doorsturen van statische documenten naar web browsers, zodat gebruikers de informatie op deze pagina s tot zich konden nemen. In 1997 kwam Sun Microsystems met de eerste specificaties voor Java Servlets 4 die een belangrijke factor waren voor de ontwikkeling van het internet. Van een systeem dat op aanvraag statische gegevens leverde veranderde dit in een situatie waarbij via webapplicaties interactief gegevens uitgewisseld en transacties uitgevoerd kunnen worden. In 1998 kwam IBM als één van de eersten op de markt met webservers die Java Servlets ondersteunden, nadat ze het product Servlet Express (een servlet engine plug-in die gewone webservers verandert in Java-enabled webservers) hadden ingebouwd in hun WebSphere Application Server. Java is in de afgelopen jaren verder doorontwikkeld. Aan het begin van deze eeuw werd duidelijk dat de standaard Java ontwikkelomgeving niet meer voldeed om moderne, gedistribueerde enterprise toepassingen te ontwikkelen. Tegelijkertijd was de ontwikkelomgeving ook niet handzaam voor het ontwikkelen van kleine applicaties voor bijvoorbeeld mobiele telefoons en PDA s. Er zijn toen 3 verschillende Java smaken ontstaan: 4 Java is een programmeertaal. Een Java Servlet is een bepaald type application programming interface, kortweg API. Kort gezegd zorgt een API ervoor dat applicaties onderling kunnen communiceren.

W e b S p h e r e P a g i n a 7 - Java 2 Standard Edition (J2SE) voor de standaard Java ontwikkelomgeving; - Java 2 Micro Edition (J2ME) voor het ontwikkelen van kleine applicaties voor handhelds ; - Java 2 Enterprise Edition (J2EE), bedoeld voor het ontwikkelen van grote, robuuste enterprise applicaties. Centraal binnen de WebSphere productrange staat, zoals eerder in dit hoofdstuk gemeld, de WebSphere Application Server (WAS). WAS is J2EE gecertificeerd, wat wil zeggen dat ondernemingen die WAS willen inzetten er op kunnen vertrouwen dat WAS de functionaliteiten van J2EE ondersteunt en daarmee applicaties die in J2EE ontwikkeld zijn. Een vrij recente ontwikkeling in de IT wereld is het fenomeen Service Oriented Architecture (SOA). Dit is niet zozeer een techniek, maar een softwarearchitectuurmodel dat er op gericht is bedrijfsprocessen en IT middelen aan elkaar te linken. Om op de ontwikkeling van SOA in te spelen heeft IBM een aantal specifieke WebSphere componenten ontwikkeld, waaronder de WebSphere Process Server (gebaseerd op WAS) en de WebSphere Enterprise Servicebus. Voor enterprise webontwikkeling is er slechts een beperkt aantal aanbieders op de markt. Naast IBM WebSphere zijn de voornaamste andere producten WebLogic van Oracle (voorheen van BEA Systems) en.net van Microsoft. IBM heeft in de loop van de tijd de volgende WebSphere edities ontwikkeld: - Application Server; Voor gebruik in een single server omgeving, beperkte J2EE 1.4 configuratie - Application Server Community Edition; lightweight application server gebaseerd op open source Apache Geronimo - Application Server Express; Voor gebruik in een single server omgeving, volledige J2EE 1.4 configuratie - Application Server for z/os; Voor gebruik op IBM mainframe - Application Server Network Deployment. Voor bedrijfskritische applicaties die near-continuous beschikbaarheid vergen, volledige J2EE 1.4 configuratie Het vervolg van de scriptie is gericht op de Application Server Network Deployment editie die op UNIX draait. 2.3 WebSphere componenten IBM heeft onder de verzamelnaam WebSphere niet één product maar een serie van middleware producten beschikbaar gesteld. Binnen de WebSphere suite zijn de producten onderverdeeld in groepen. Elk van deze groepen ondersteunt bepaalde bedrijfsprocessen. Deze groepen zijn weergegeven in Figuur 1. Op deze manier heeft IBM onderscheid gemaakt tussen de business mogelijkheden (processen) en de technische invulling. Als een onderneming keuzes maakt op het niveau van business mogelijkheden kan de IT organisatie de daarbij behorende technische invulling bepalen. De keuzes die de IT organisatie op het gebied van de technische invulling moet maken is niet expliciet meegenomen in deze scriptie. Tijdens het lezen van de beschrijvingen zal duidelijk worden dat een bepaalde keuze ten aanzien van de business mogelijkheden niet inhoudt dat het noodzakelijk is om binnen elke onderneming de volledige suite van producten te implementeren. Daarnaast is het zo dat een gekozen oplossing niet uitsluitend uit WebSphere of andere IBM componenten hoeft te bestaan. Het is ook mogelijk WebSphere componenten aan ander producten te koppelen. In dit hoofdstuk is daar niet specifiek op ingegaan en zijn enkel

W e b S p h e r e P a g i n a 8 IBM WebSphere componenten genoemd. In bijlage 9.1 is een totaal overzicht van alle beschikbare WebSphere componenten opgenomen. In de volgende paragrafen van dit hoofdstuk worden de verschillende groepen binnen de suite toegelicht en wordt ingegaan op de diverse componenten die zich binnen de groepen bevinden. Aanvullend is aangegeven welke componenten zich binnen de operationele omgeving bevinden die verder in de scriptie aan bod komen bij de uitwerking van de IT audit aspecten (zie hoofdstuk 5). People Integration Process Integration Information Integration - Websphere Portal - Websphere Everyplace en Voice - Websphere Business Modeler - Websphere Business Monitor Websphere Product Center Websphere Enterprise Service Bus - Websphere Message Broker - Websphere ESB - WebSphere MQ Application Integration Operationele omgeving Application infrastructure Websphere Application Server (WAS) Network Deployment Manager (NDM) Accelerators Figuur 1: Overzicht WebSphere mogelijkheden en afkadering van de Operationele omgeving (IBM) 2.3.1 People Integration Het People Integration deel van de WebSphere suite fungeert als een standaard IBM presentatielaag van de onderliggende mogelijkheden. Dit geldt in het bijzonder voor WebSphere implementaties voor een specifieke oplossing. Internet pagina s voor ondernemingen moeten zelfstandig door de onderneming op een webserver ontwikkeld worden. Voor de interne logica kan dan de WAS ingezet worden (zie paragraaf 2.3.5). De ontsluiting van informatie en bedrijfsprocessen kan plaats vinden via diverse kanalen. Met het ontsluiten van bedrijfsprocessen wordt het toegankelijk maken van de bedrijfsprocessen voor klanten, leveranciers en interne medewerkers bedoeld. De begrippen Business-to-Consumer (B2C), en Business-to-Business (B2B) hebben betrekking op de vorm van communicatie die extern plaatsvindt met de onderneming. Dit gaat om communicatie met klanten (consumer) of andere ondernemingen (business). Deze communicatie kan plaats vinden via het internet, telefonisch of direct. Voor Business-to-Employee (B2E) communicatie valt ook de ontsluiting van legacy bedrijfsprocessen binnen People Integration. Het gaat er dan om bedrijfsinformatie toegankelijk te maken voor medewerkers. Welke specifieke WebSphere componenten maken dit mogelijk?

W e b S p h e r e P a g i n a 9 WebSphere Portal (B2E) Met de WebSphere Portal kunnen ondernemingen diverse applicaties, nieuws en andere informatiebronnen via één interface aan hun medewerkers aanbieden. Het begrip portal is hier gebruikt om aan te geven dat de medewerkers via één ingang alle ondernemingsbronnen kunnen raadplegen. De input voor de portal wordt gerealiseerd door het gebruik van API s. Binnen de portal kan het personeel door het gebruik van single sign-on, na één keer inloggen alle informatie en applicaties waarvoor zij geautoriseerd zijn benaderen. Dit kan overigens via diverse kanalen waaronder het internet, gsm of pda. WebSphere Everyplace en Voice (B2C, B2B) Daarnaast is er nog een aantal componenten om bedrijfsprocessen te ontsluiten via de mobiele telefoon. Voorbeelden hiervan zijn WebSphere Everyplace (Wireless on WebSphere) en WebSphere Voice. Met behulp van Everyplace kunnen klanten of leveranciers transacties via de mobiele telefoon uitvoeren. De Voice component zorgt voor een callcenter opzet waarbij er interactief met een informatie systeem gesproken kan worden voor bijvoorbeeld het opvragen van saldi of het uitvoeren van zoekopdrachten. 2.3.2 Process Integration De Process Integration componenten zijn gericht op applicatieontwikkeling. Ze zijn bedoeld om business processen te beschrijven in een model en daar vervolgens de proceslogica en componenten aan te koppelen. In Figuur 2 is een model opgenomen dat beschrijft hoe de ontwikkeling van bedrijfsprocessen binnen WebSphere in verschillende lagen is opgedeeld. Figuur 2: Ontwikkellagen In de business logic laag zijn de bedrijfsprocessen op abstract niveau beschreven. Hierin worden de processen door middel van blokken uitgebeeld, waarbij er binnen elk blok een processpecifieke taak wordt uitgebeeld. Het werken op een dergelijke abstract niveau maakt ontwerpen in een grafische user interface mogelijk. Dit stelt procesanalisten, zonder specifieke technische kennis, in staat procesbeschrijvingen op te zetten die in de volgende stappen van het ontwikkelproces als basis gebruikt worden. De daadwerkelijke uitwerking van de afzonderlijke procestaken door programmeurs vindt plaats in de volgende ontwikkelfases. In Figuur 2 is een mogelijke verbinding tussen de procesbeschrijving in de Business logic laag, de werkelijke service componenten (webservice, informatiebronnen) in de Service components laag en uiteindelijk de technische implementatie binnen de IT infrastructuur (programmatuur, databases) in de Implementation laag inzichtelijk gemaakt.

W e b S p h e r e P a g i n a 10 Op deze manier kunnen bedrijfsprocessen regelmatig gebruikte componenten zoals het opvragen van klantinformatie hergebruiken door verbindingen tussen de ontwikkellagen uit Figuur 2 aan te brengen. Tevens kan de ontwikkeling van nieuwe geautomatiseerde bedrijfsprocessen door dit model versneld worden. Business analisten en programmeurs kunnen onafhankelijk van elkaar werken, maar ook onderling overleg verbeterd hierdoor. Elk van de specialismen krijgen door de samenhang van dit ontwikkelmodel eenzelfde beeld van de te ontwikkelen processen, waardoor elk specialisme de samenhang ziet met zijn specifieke kennis en het uiteindelijke einddoel. De business analist geeft door zijn uitwerking in procesblokken de ontwikkelaars inzicht in de componenten die benodigd zijn. Daarbij kunnen de ontwikkelaars richting de business analist duidelijk maken in welke fase van ontwikkeling zij zich bevinden en welke componenten hergebruikt kunnen worden om de doorlooptijd te verkorten. Binnen een bedrijfsproces kunnen eisen zijn gesteld aan de tijdigheid van een proces (hoelang mag een stap, of het totale proces duren), maar ook aan gebruik van een proces (hoeveel transacties lopen er langs). De WebSphere Business Modeler component ondersteunt deze mogelijkheid. In Figuur 3 is een algemeen voorbeeldmodel te zien van een klantenbestelling. KPI s Figuur 3: Websphere Business Modeler In het model zijn geautomatiseerde handelingen opgenomen, maar ook handmatige zoals het uitvoeren van een credit card betaling. Nadat het bedrijfsproces is beschreven kunnen software architecten en ontwikkelaars deze als basis gebruiken om in de volgende stappen de onderliggende services te ontwerpen en bouwen. In dit voorbeeld van een bedrijfsproces zijn ook KPI s 5 opgenomen. Het gaat hier om de verwachte hoeveelheid van het type betaling (40% cash, etc). Door het gebruik van dashboards waarin de, voor het proces gedefinieerde KPI s, grafisch zijn weergegeven, krijgt het management inzicht in de effectiviteit van de bedrijfsprocessen en kan op basis daarvan bijsturen. Hiervoor heeft IBM de WebSphere Business Monitor ontwikkeld. 2.3.3 Information Integration Information Integration is op zichzelf weer een verzameling van diverse WebSphere componenten, maar daar is in dit verband niet dieper op ingegaan. Wel zijn deze componenten opgenomen in bijlage 9.2. Met behulp van Information Integration kunnen ondernemingen verschillende vormen van informatie binnen één systeem aan elkaar koppelen. Voor een 5 Key Performance Indicators (ook wel Kritieke Prestatie Indicatoren), afgekort KPI's, zijn variabelen om prestaties van ondernemingen te analyseren.

W e b S p h e r e P a g i n a 11 integraal overzicht van beschikbare producten binnen de onderneming kan WebSphere Product Center ingezet worden. Hierbinnen is productinformatie gekoppeld aan leveranciersinformatie en afzetlocaties. Information Integration is bedoeld voor het koppelen van informatie uit diverse bronbestanden onafhankelijk van de locatie. Hiermee is de informatie uit (legacy) database management systemen (DBMS) te ontsluiten. 2.3.4 Application Integration Een van de uitgangspunten van ondernemingen om WebSphere in te zetten is de ontsluiting van legacy informatie. Het koppelen van oude en nieuwe systemen is mogelijk als beide systemen dezelfde taal spreken. Om de oude systemen hiervoor geschikt te maken zijn echter veel wijzigingen in de oude infrastructuur nodig. Met behulp van Application Integration is het mogelijk een tussenlaag in te richten die de communicatie tussen oude en nieuwe systemen verzorgt. Deze tussenlaag kan echter ook gebruikt worden om diverse platformen en zelfs ondernemingen onderling te verbinden. De communicatie vindt plaats door het uitwisselen van berichten. Een Enterprise Service Bus (ESB) is een generieke communicatiearchitectuur waarmee de communicatie tussen de afnemers van diensten ( service ) en aanbieders hiervan, vereenvoudigd wordt. In Figuur 4 is schematisch weergegeven wat de positie en rol van een ESB is. De ESB verzorgt de uitwisseling van berichten tussen twee componenten. Figuur 4: Opzet Enterprise Service Bus De service interface vanuit de ESB met de componenten kan voor beide aangesloten services verschillen qua vorm en opzet. Een voordeel van het gebruik van ESB is de standaardisatie van berichtenuitwisseling en de mogelijkheid de berichtenstroom te monitoren naar gebruik. IBM heeft verschillende uitvoeringen van de ESB ontwikkeld, waaronder de WebSphere Message Broker en de Websphere Enterprise Service Bus. WebSphere Message Broker De WebSphere Message Broker is een IBM implementatie van een ESB en zorgt voor een integratie van applicaties en services. WebSphere Message Broker kan informatie routeren tussen services, conversie uitvoeren tussen transport/netwerk protocollen en berichten formaten. De message broker vormt zo een essentieel onderdeel van een SOA. MQ is al beschikbaar sinds 1992 onder de naam MQSeries, maar sinds 2002 ondergebracht in de WebSphere suite. MQ is een onderdeel van de eerder genoemde WebSphere Message Broker en levert transport mogelijkheden van berichtenverkeer tussen verschillende platformen en netwerk protocollen. WebSphere Enterprise Service Bus WebSphere ESB is ontwikkeld voor gebruik binnen de WebSphere Application Server (WAS, zie paragraaf 2.3.5) en verzorgt de communicatie tussen meerdere WAS.

W e b S p h e r e P a g i n a 12 2.3.5 Application and transaction infrastructure Een aantal van de belangrijkste WebSphere componenten bevindt zich binnen het Application Infrastructure gedeelte van de WebSphere suite. Deze componenten bieden functionaliteit om ontwikkelde applicaties en legacy informatiesystemen beschikbaar te stellen binnen de Java runtime omgeving. Het vormt de basis voor de integratie van eerder beschreven componenten. In Figuur 5 is een overzicht weergegeven van de WebSphere Application Server (WAS) en de daarbij behorende onderdelen. WebSphere Application Server NDM Figuur 5: WebSphere Application Server (WAS) overzicht De WAS omgeving is een run-time omgeving waarbinnen java applicaties draaien (servlets, JSPs, Enterprise JavaBeans etc). Binnen een WAS kunnen zich meerdere van dergelijke omgevingen, ook wel Java Virtual Machine s (JVM) genoemd, bevinden. Het voordeel van een dergelijke virtuele omgeving is dat deze zorgt voor afscherming van andere processen die draaien binnen de WAS. Hierdoor worden afzonderlijke processen niet beïnvloed door effecten of fouten binnen andere processen. Voor het beheer van WAS is de Network Deployment Manager (NDM) bestemd. De NDM controleert alle application servers binnen een cel. Een cel is een logische eenheid van applicatie servers die zich op 1 of meerdere fysieke machines kunnen bevinden. Voor het beheer van de application servers is een web interface beschikbaar die draait op NDM. Met behulp van de NDM kunnen applicaties worden geïnstalleerd en kunnen configuratie parameters van de WAS in de Configuration Repository worden gezet. Er kan gebruik worden gemaakt van een Webserver welke zich binnen de WAS omgeving bevindt, maar doorgaans wordt hiervoor een aparte server opgezet in een afgeschermd deel van het netwerk dat het internet scheidt van het interne netwerk. 2.3.6 Accelerators WebSphere biedt ondernemingen de mogelijkheid een specifieke inrichting voor bedrijfsprocessen op te zetten. IBM biedt zelf enkele standaard inrichtingen aan, Accelerators genoemd. Door het gebruik van voorgedefinieerde inrichtingen kunnen inrichtingsactiviteiten versneld worden. Hieronder vallen ook adapters die de communicatie met diverse

W e b S p h e r e P a g i n a 13 standaardpakketten zoals SAP, PeopleSoft of Oracle afhandelen. Maar ook ondersteuning voor standaard interfaces naar email protocollen (SMTP, POP3) en bestandsoverdracht (ftp) wordt hiertoe gerekend. De accelerators worden echter steeds meer integraal in de WebSphere componenten opgenomen, maar nog wel als zodanig apart vermeld. 2.4 Uitwerking audit aspecten componenten Vanwege de veelheid van componenten beperken wij ons in de scriptie tot een drietal componenten, dat bij een groot gedeelte van ondernemingen met een WebSphere implementatie aanwezig zal zijn. Het betreft hier de WAS, NDM en MQ. Deze componenten bevinden zich in het centrum van de operationele productieomgeving en worden in hoofdstuk vijf verder uitgewerkt.

W e b S p h e r e P a g i n a 14 3 Wat maakt Websphere interessant vanuit een businessperspectief? In het vorige hoofdstuk is behandeld wat onder de term WebSphere wordt verstaan. Dit hoofdstuk gaat in op de beweegredenen van organisaties om WebSphere componenten aan te schaffen en in te zetten als middleware om zodoende back-end systemen te kunnen ontsluiten. Waarom kiezen organisaties nu juist voor IBM WebSphere en niet voor een andere leverancier? Met andere woorden: wat maakt WebSphere interessant vanuit een business perspectief? 3.1 Concurrenten Elk kwartaal publiceert Gartner, een Amerikaanse organisatie die zich bezighoudt met onderzoek en advisering in de IT-industrie, een overzicht van leveranciers van application servers. In dit Magic Quadrant deelt Gartner de leveranciers en hun producten in vier groepen in: de niche players, de challengers, de leaders en de visionaries (zie Figuur 6). Figuur 6: Magic Quadrant for Enterprise Application Servers, 2Q06 (Bron: Gartner, augustus 2006) Dit overzicht ( leaders kwadrant) onderstreept duidelijk de leidende posities van IBM en Oracle (inclusief BEA). Tijdens het onderzoek zijn gesprekken gevoerd met WebSphere subject matter experts (SME) van ABN AMRO, Shell en van IBM zelf. Tijdens deze gesprekken is aan de orde gekomen dat er in feite slechts twee grote spelers waren op het moment (eind jaren negentig) dat deze drie bedrijven een keuze moesten maken ten aanzien van web applicatie servers, namelijk WebLogic en WebSphere. Beide servers zijn J2EE gecertificeerd, dus in staat in om in Java ontwikkelde applicaties te draaien. Voor Microsoft was op dat moment slechts een bijrol weggelegd. De WebSphere SME s gaven aan dat WebLogic aanvankelijk een voorsprong had op WebSphere wat betreft functionaliteit, maar dat IBM die achterstand snel heeft ingehaald. Ter illustratie van de overeenkomsten ten aanzien van functionaliteit is in bijlage 9.3 is een overzicht opgenomen waarin WebSphere Application Server versie 6.0 is vergeleken met WebLogic Server 9 (de meest recente versies van beide servers).

W e b S p h e r e P a g i n a 15 3.2 Beweegredenen inzet WebSphere Uit het onderzoek bij ABN AMRO en Shell is verder gebleken dat met name de aansluiting op de installed base (de reeds aanwezige IBM infrastructuur) en de jarenlange relatie met IBM zeer belangrijke overwegingen zijn geweest om uiteindelijk voor Websphere te kiezen. De relatie met IBM leidt enerzijds tot toegang tot usergroups en development labs om gebruikerswensen en problemen geadresseerd te krijgen. Anderzijds leidt het tot IBM commitment om gebreken en tekortkomingen op afzienbare termijn 6 op te lossen. De in samenspraak met de klant tot stand gekomen roadmap van WebSphere ontwikkeling geeft de klant de zekerheid dat er naar hem geluisterd wordt en dat er aan een oplossing gewerkt wordt. In de roadmap is de richting beschreven waarin het product zich zal ontwikkelen, welke problemen worden opgelost en welke nieuwe features worden geïntroduceerd. Dat die oplossing er ook daadwerkelijk komt heeft alles te maken met de bedrijfsomvang van IBM. De omvang van een onderneming als IBM geeft een garantie voor enerzijds continuïteit en anderzijds voor de beschikbaarheid van de middelen voor productontwikkeling en verbetering. De relatie garandeert ook ondersteuning van IBM tijdens de installatie van het product en het aanbrengen van bedrijfsspecifieke aanpassingen. Door de grote klantenkring beschikt IBM over veel ervaring bij andere klanten. Daardoor is er een grote kans dat problemen met het product zelf of in de samenwerking met andere producten al eens eerder is opgetreden en dat er een oplossing of workaround voorhanden is. De klantenwensen richten zich naast nieuwe functionaliteit ook op portabiliteit, compatibiliteit en schaalbaarheid. ABN AMRO en Shell hebben aangegeven grote waarde te hechten aan platform onafhankelijkheid (portabiliteit) van de applicaties. Daarvoor is het vereist dat applicatie ontwikkeling en de daarvoor gebruikte toolsets gebaseerd zijn op open standaarden. IBM s WebSphere Application Server heeft met betrekking tot dit aspect een slechte start gehad vanwege het gebruik van proprietary software, maar vanaf versie 3.5 is dit sterk verbeterd en vanaf versie 5.0 is Websphere zelfs geheel op open standaarden gebaseerd. De eerder genoemde compatibiliteit met de aanwezige infrastructuur richt zich niet alleen op de ondersteunde platformen (Unix en mainframe), maar ook op de elkaar opvolgende software versies. Daarnaast is applicatie compatibiliteit gewenst, zodat applicaties geen ingrijpende wijzigingen hoeven te ondergaan wanneer ondernemingen een nieuwe versie van Websphere invoeren. Deze gebruikerswens is ingevuld vanaf WebSphere versie 6.0. Tot slot is de schaalbaarheid genoemd als belangrijke factor ten aanzien van de keuze voor WebSphere. Deze schaalbaarheid wordt bereikt door een combinatie van workload management, clustering en cloning. Door middel van clustering is het mogelijk meerdere machines zich als één geheel te laten gedragen. Per machine/server kunnen één of meerdere application servers worden geconfigureerd die elk in een Java Virtual Machine (JVM) 7 draaien. De JVM biedt volledige isolatie (crash protection) per application server. Met behulp van cloning is het mogelijk meerdere kopieën van een application server te maken. Een load balancer kan vervolgens de werklast over deze kopieën verdelen. De performance karakteristieken worden uiteindelijk beperkt door de beschikbare systeemresources (CPU tijd en geheugen), maar kunnen binnen die grenzen worden geoptimaliseerd. Hierboven werd Microsoft al even kort genoemd. Eind jaren negentig, toen de in het onderzoek betrokken ondernemingen hun keuzes ten aanzien van applicatieservers hebben gemaakt, kon Microsoft niet concurreren met de WebSphere en WebLogic producten. Inmiddels heeft 6 IBM hanteert een systeem van severity codes, voor elke code geldt een maximale doorlooptijd. 7 Een Java Virtual Machine is een platform onafhankelijke omgeving voor het uitvoeren van Java programma s.