data perspectieven cloud

Verschillende perspectieven om te kijken naar de transitie richting de cloud

Onlangs belegde CIO samen met Juniper Networks een bijeenkomst in de oude verkeerstoren in Schiphol-Oost. Samen met zeven genodigden bespraken ze, heel toepasselijk in deze omgeving, de gang naar de cloud. Daarover verschillen de meningen nogal, zo bleek.

We voeren de discussie aan de hand van drie stellingen. De eerste heeft te maken met puur de connectiviteit van een netwerk, de tweede met de security en de derde met de automatisering. Op deze manier beginnen we met de basis, de connectiviteit, waarna we kijken hoe dit beveiligd moet worden en tot slot hoe connectiviteit en security kunnen worden geautomatiseerd.

Stelling 1: Een netwerk is een netwerk, ongeacht het deployment model

Deze eerste stelling bespreken we met Naomi Du Burck, manager front office IT Operations bij de ANWB in Den Haag en met Peter Verdiesen, als hoofd ICT werkzaam bij Countus accountants en adviseurs uit Zwolle. We treffen hierbij meteen twee mensen uit bedrijfstakken waar men bij het horen van public cloud vooral uitdagingen ziet. Het maakt voor beide organisaties dus nog wel degelijk uit hoe het netwerk eruitziet.

De AVG is voor beide gesprekspartners zonder twijfel de meest voor de hand liggende rode vlag als het gaat om de cloud. Zowel de ANWB als Countus hebben te maken met veel data van leden/cliënten. 'Dat maakt cloud in het algemeen tamelijk ingewikkeld', zijn beiden het eens. Ze mogen hun data niet zomaar in de cloud zetten. De ANWB heeft daarnaast veel legacy. 'Dan valt de optie voor public in de huidige situatie eigenlijk af', aldus Du Burck.

Het netwerk en de infrastructuur als geheel is voor zowel de ANWB als Countus ondergeschikt aan hoe men om mag gaan met de data van gebruikers. Dit geldt ook voor de telemetrie en analytics die je uit het netwerk kunt halen als je de zaken continu monitort. Verdiesen: 'We willen hier wel graag bedrijfsbreed mee aan de slag, maar mogen dit niet zonder extra AVG-maatregelen die het veel complexer maken'. Hij ziet namelijk wel degelijk dat hier zeer waardevolle inzichten uit gehaald kunnen worden.

Het is overigens niet zo dat analytics per definitie niet mag: 'Een op een mag het wel, tussen een enkele klant en Countus, maar opschalen mag niet zonder toestemming van alle betrokkenen', aldus Verdiesen. Tot de wetgeving aangepast wordt, zitten ze hieraan vast, is zijn conclusie.

Ook al durft Du Burck te stellen dat 'de ANWB nooit volledig public gaat', wordt er natuurlijk wel degelijk naar een hybride vorm gekeken. Denk hierbij aan het verzorgen van de werkplekken voor werknemers. Office 365, maar ook het op afstand gebruik kunnen maken van de omgeving van de ANWB is iets waar men mee bezig is. Men moet immers wel mee in de ontwikkelingen rondom een moderne werkplek.

Tot slot geeft Du Burck aan dat er bij de overgang naar een public cloud nog veel meer zaken onderzocht, afgesproken en gewijzigd moeten worden voordat dit gerealiseerd kan worden. Denk bijvoorbeeld maar aan wijzigingen in governance, beheer, beleid, budgetten en ga zo maar door.

Stelling 2: Private betekent meer controle op het gebied van privacy en compliancy

De tweede stelling bespreken we met Erik van der Saag, sectormanager ICT bij de Tabijn scholengroep en met Duncan Megens, evenals Du Burck werkzaam bij de ANWB, maar dan als manager backend - IT operations. We hebben hier twee radicaal van elkaar verschillende organisaties aan tafel. Bij Tabijn zit men volgens Van der Saag al voor 80% in de cloud, terwijl dat bij de ANWB nog geen 10% is.

We raken al snel verzeild in een welhaast filosofische discussie over wat we verstaan onder controle. Megens: 'Wat bedoel je met controle? Dat kan ik namelijk op meerdere manieren interpreteren. Gaat het dan om de theoretische controle die je hebt over je netwerk, of over hoe goed je het daadwerkelijk onder controle hebt? Dat is namelijk nogal een verschil, ook voor de business als geheel'.

Als voorbeeld pakken we Office 365. Bij Tabijn is men bezig om de overstap te maken en ook bij de ANWB zijn de voorbereidingen voor de overgang in gang gezet. 'Je geeft wel degelijk controle op als je naar Office 365 gaat', volgens Van der Saag, iets waar Megens het roerend mee eens is. Toch heb je er gezien het cloud-karakter van de dienst juist wel weer controle over als je kijkt naar patching en dergelijke, afhankelijk van hoe je het inricht.

Onder de streep heeft het volgens beide heren weinig zin om het over controle te hebben als je het niet hebt over hoe iets ingericht is. Van der Saag geeft als voorbeeld het exporteren van gegevens van leerlingen naar de cloud. Dat doet Tabijn zeker, maar er zijn hier wel voorwaarden waaraan men zich moet houden: 'Gegevens van leerlingen mogen niet zomaar meer geëxporteerd worden. Daar moet weer een laag tussen die ervoor zorgt dat de data ook veilig zijn'. Uiteindelijk heeft Tabijn hier in de cloud net zoveel controle op het gebied van privacy en compliancy als het on-premise zou hebben.

De conclusie van deze discussie is dan ook dat de stelling niet per definitie waar is. Als je het netwerk en de infrastructuur goed inricht, maakt het niet uit waar je data staan en waar je applicaties draaien. Dit is uiteindelijk ook een kwestie van vertrouwen. Vaak is er nog altijd het gevoel dat data minder veilig zijn buiten de muren van je eigen omgeving, maar dat hoeft niet per sé zo te zijn. Dit zal ongetwijfeld ook te maken hebben met een generatiekloof, dus op termijn zal het gevoelsargument minder vaak gemaakt worden.

Stelling 3: Ontzorgen doe je in de cloud

Voor de derde en laatste stelling schuiven we aan bij Daniel Treep, architect bij KPN en bij Martijn Jonker van Andarr Technology. KPN zal weinig introductie behoeven, Andarr is een bedrijf dat naar eigen zeggen 'niet voor watjes' is en biedt ICT-consultancy en detacheringsdiensten aan organisaties.

We zijn het er aan tafel vrij snel over eens dat ontzorgen wellicht niet de best gekozen term is. Als je vanuit private een transitie gaat maken, dan hebben de meeste klanten juist het gevoel dat er juist complexiteit toegevoegd wordt, zeker als het gaat om het netwerk. Je moet ineens allerlei verschillende platformen in een netwerkarchitectuur zien te gieten. Je kunt dan moeilijk zeggen dat je ontzorgd bent, eerder het tegenovergestelde. Je zou dit overigens ook kunnen zien als een transitiefase, waar je even doorheen moet. Dat menen we in ieder geval te proeven uit de opmerking van Jonker dat 'het aanbieden van alles in de cloud de ultieme droom is qua volwassenheid'.

Volgens Treep maakt het nogal iets uit wat je afneemt in de cloud. Bij SaaS neem je simpelweg een totale dienst af, die jou als het goed is ontzorgt. Daar wil Jonker overigens wel meteen een kanttekening bij plaatsen, want er is maar weinig vastgelegd over hoe services aangeboden moeten worden in de cloud. 'Als het goed is, wordt een dienst zo ingericht dat je er bijvoorbeeld niet zonder wachtwoord bij kan, maar er is geen enkele verplichting om dat ook te doen'. De zorgen kunnen dus niet volledig het raam uit bij het afnemen van een SaaS, volgens Jonker.

In tegenstelling tot SaaS, heb je volgens Treep bij PaaS en IaaS nagenoeg dezelfde zorgen als bij andere deployment-modellen. Daar is Jonker het mee eens: 'een programmeur kan ermee doen wat hij wil en een enorm datalake creëren waar je geen overzicht meer over hebt'.

Volgens Treep is het onder de streep eenvoudig als het gaat om het uit handen nemen van zaken in de cloud. 'Hoeveel controle krijg je over het platform? Daar draait het uiteindelijk om'. Heb je veel controle, dan kun je er ook voor zorgen dat je het zodanig inricht dat je er weinig zorgen over hebt. Automation speelt hierin een duidelijke rol: 'Automation is de basis van welke cloud-benadering dan ook'.

Automation en ontzorging hebben als zodanig het nodige met elkaar te maken, dus in die zin zou je kunnen zeggen dat de stelling conceptueel hout snijdt, ook al maken beide heren de nodige kanttekeningen.

Interpreteer je ontzorging zo dat al je zorgen voorbij zijn als IT manager, dan kom je toch van een koude kermis thuis, denken beide heren. 'Je ruilt je huidige zorgen in voor andere zorgen in de cloud', is de duidelijke conclusie.

Conclusie: Verschillende tempo's en einddoelen

Discussies zoals we die hierboven hebben beschreven, tussen managers van uiteenlopende organisaties, leveren altijd een mooie dwarsdoorsnede van de markt op. Als het gaat om de gang naar de cloud, is het duidelijk dat niet iedere organisatie even snel gaat, maar ook dat niet iedere organisatie hetzelfde einddoel heeft of zou moeten hebben.

Ben je een organisatie waarbinnen men vanuit de infrastructuur en dus ook het netwerk denkt bij het denken over veranderingen, dan ben je veel eerder geneigd om positief te zijn over de stellingen. Je denkt dan kort door de bocht dat het middels het juist inregelen van de verschillende interfaces prima mogelijk moet zijn om een groot logisch netwerk te maken, waarbinnen je controle hebt en alles kunt automatiseren.

Ben je als organisatie vooral druk met persoonlijke data en zijn je applicaties veel belangrijker dan je infrastructuur en je netwerk, dan zal je minder positief zijn. Dat is ook niet meer dan logisch, omdat het dan geen technische exercitie is. De AVG gaat bijvoorbeeld niet of nauwelijks over technologie.

Ook bij dit type organisatie kan wel degelijk de gang naar de cloud ondernomen worden, maar daarvoor moeten er dan veel meer extra maatregelen genomen worden. Bij een scholengemeenschap zoals Tabijn is dat bijvoorbeeld iets overzichtelijker dan het bij de ANWB is, om maar een dwarsstraat te noemen.

Wel is het wat ons betreft zo dat je je af kunt vragen of iedere organisatie de 'ultieme droom van volwassenheid' waar Martijn Jonker van Andarr het over had moet willen nastreven. In sommige gevallen zal dit een droom blijven of altijd als een nachtmerrie worden gezien. Laten we verder hopen dat de prestaties tijdens het vliegen in de flight simulator voor sommigen geen voorbode zijn van hoe de transitie naar de cloud zal uitpakken.

Auteur: Sander Almekinders

Bron: CIO