Cloud doet in veel verschillende vormen zijn intrede in het it-landschap van veel organisaties. Soms gebeurt dat via eindgebruikers die hun eigen clouddiensten meenemen naar het werk. Soms is het de business manager die zelf een clouddienst aanschaft. En soms is dat via een gedegen cloudstrategie die de organisatie heeft ontwikkeld. Zo ontstaan er nieuwe hybride it-landschappen binnen organisaties waarbij lokale it-oplossingen gecombineerd worden met (publieke) clouddiensten als Amazon, Google of Salesforce.
Deze hybride omgevingen werpen nieuwe vraagstukken op voor de CIO. Maar gelukkig zijn er ook antwoorden. In dit artikel komen vier slimme antwoorden aan bod op nieuwe vraagstukken die cloud met zich meebrengt.
Beheer van wachtwoorden
Het gebruik van verschillende SaaS/IaaS-diensten leidt in de praktijk al snel tot een wildgroei aan authenticatie-mechanismen en wachtwoorden. Elke clouddienst heeft meestal naast eigen inloggegevens ook vaak een eigen wachtwoordbeleid met als gevolg dat deze vergeten kunnen raken. Wanneer dat gebeurt zijn de diensten niet optimaal te gebruiken, moeten wachtwoorden telkens worden reset of gaan medewerkers kun wachtwoorden opschrijven. Dit is niet gebruikersvriendelijk en brengt ’beveiligingsrisico’s met zich mee.
Cloud single sign on-oplossingen bieden uitkomst. Hiermee wordt het meermaals inloggen en onthouden van wachtwoorden overbodig. Gebruikers hoeven slechts één gebruikersnaam en wachtwoord te onthouden. Een Identity Provider (IDP) authentiseert gebruikers waardoor zij automatisch bij iedere clouddienst inloggen.
Let op: Kies bij voorkeur een cloud single sign on-oplossing die gebaseerd is op Security Assertion Markup Language (SAML)-authenticatie. Dit is de meest belovende standaard voor dergelijke functionaliteit. Omdat veel SaaS diensten momenteel nog werken aan het SAML gereed maken van hun diensten is het verstandig om nu te kiezen voor een platform dat ook post proxy ondersteuning biedt. Dit geeft je de mogelijkheid om nu al 95 procent van de huidige clouddiensten te koppelen. In de toekomst kun je post proxy dan uitfaseren en de overstap maken naar SAML als de SaaS dienst daar klaar voor is. Eindgebruikers merken dan nauwelijks iets van deze overstap. Het is daarnaast belangrijk om te kijken of de oplossing voldoende integratie mogelijkheden heeft met andere clouddiensten met het oog op toekomstige uitbreiding
De voordelen:
- Tevreden en effectieve eindgebruikers.
- Minder veiligheidsrisico’s omdat wachtwoorden niet meer worden opgeschreven.
- Centraal afdwingen/implementeren van wachtwoord policies mogelijkheden door de rol van IDP.
- Efficiency op de it-afdeling omdat wachtwoord resets tot een minimum worden beperkt.
Beheren user accounts
Adoptie van verschillende clouddiensten leidt er toe dat bij elke clouddienst weer opnieuw user accounts aangemaakt moeten worden. Het aanmaken van accounts bij elke clouddienst afzonderlijk is niet ideaal. Het is arbeidsintensief om steeds weer handmatig een account per dienst aan te maken en te onderhouden. Kijk ook naar het werk dat het provisionen van een account bij meerdere diensten kost, wanneer een nieuwe medewerker start. Ook bestaat het risico dat het overzicht verdwijnt op wie toegang heeft tot welke cloudapplicatie. Dit heeft gevolgen voor de beveiliging van de it-omgeving. Stel je zich eens voor dat oud-medewerkers nog steeds gebruik kunnen maken van de corporate crm-oplossing uit de cloud. Naast de juiste beveiliging dreigt de cloudbelofte ‘pay per use’ verloren te gaan als er slapende accounts bij de diverse SaaS-diensten uitstaan.
Het antwoord hierop zijn Cloud Identity Management (IDM) en provisioningoplossingen. Deze realiseren automatische en centrale (de)provisioning van accounts bij de diverse clouddiensten. Ook bieden ze zicht op welke medewerkers waar toegang tot hebben. Deze oplossingen zijn vaak te koppelen aan bestaande Identity-oplossingen of Active Directory structuren. Dit maakt uitlevering van applicaties net zo eenvoudig en efficiënt als klassiek in huis georganiseerde it. Bijvoorbeeld wanneer een medewerker wordt toegevoegd aan de AD-groep Sales. Het account krijgt dan volledig automatisch toegang to de vooraf toegewezen cloudapplicaties. Cloud IDM wordt veelal in één oplossing geleverd met cloud single sign on.
Let op: nog niet alle clouddiensten zijn hiervoor gereed. Belangrijk is om te weten welke clouddiensten api’s hebben ten behoeve van provisioning. Een echte marktstardaard voor cloudprovisioning ontbreekt nog. Het is daarom raadzaam te vragen naar de visie van de provisioning partij ten aanzien van standaardisatie. KPN IT solutions verwacht bijvoorbeeld veel van de System for Cross-domain Identity Management (SCIM)-standaard die momenteel in ontwikkeling is door het Internet Engineering Task Force (IETF) en waar onder meer Google, Ping en Salesforce in participeren
De voordelen:
- Optimale veiligheid en terug naar de echte Pay Per Use belofte (de-provisioning).
- Centraal inzicht in cloudapplicatie accounts.
- Centraal en efficiënt beheer van accounts door middel van automatische provisioning.
Data tussen (cloud)diensten uitwisselbaar houden
Al jarenlang werken organisaties met verschillende applicaties die de bedrijfsprocessen ondersteunen. Tussen deze applicaties zijn in de loop der tijd vaak integraties gerealiseerd met termen als exports/syncs, masterdata en enterprise service bus. Langzaamaan schuiven panelen van het it-landschap op naar cloudalternatieven. Daarbij kan je je afvragen hoe dat zit met de integratie van data en informatie. Hoe zorg je ervoor dat data uitwisselbaar blijft tussen de verschillende bedrijfsapplicaties?
IPaaS – het data integration platform as a service – doet hier zijn intrede. Businessvragen als ‘Kunnen we Salesforce informatie laten synchroniseren met het bestaande SAP-systeem?’ worden hiermee beantwoord. Hoe meer businessapplicaties naar de cloud verschuiven, hoe groter de behoefte aan een dergelijk integratie platform wordt.
Let op: een IPaaS kun je zelf on premise bouwen of betrekken van een clouddienstverlener op abonnementsbasis (pay per use). Beide opties hebben voordelen. Belangrijk is om daarbij rekening te houden met toekomstige integratie en indien mogelijk, gebruik te maken van standaarden. Uiteraard op basis van een goed zicht op de uitwisselingsbehoefte: welke data wil je synchroniseren, welke wil je bewerken en hoe vaak wil je dat doen?
De voordelen:
- Naadloze integratie en uitwisseling van data tussen verschillende business applicaties.
- Data wordt automatisch bijgewerkt waardoor alle applicaties met up to date informatie werken.
- Integratie projecten hebben, door gebruik te maken van moderne IPaaS oplossingen, een veel kortere implementatietijd dan voorheen.
Abonnementsbeheer en leveranciersmanagement?
Meer clouddiensten leidt ook tot meerdere leveranciers die gemanaged moeten te worden. Op deze trend spelen isv’s in door ‘cloudbroker services’ te leveren. Vanuit één centrale marketplace of appstore kan de it-manager hiermee eenvoudig clouddienstabonnementen aangaan, wijzigen en beëindigen. Optimaal inzicht in de lopende abonnementen en gebruik daarvan voorkomt onnodige abonnementen. Een ander groot voordeel bij cloudbrokering is dat de aanschaf van clouddiensten netjes op één integrated factuur wordt opgeleverd.
Enkele cloudbrokers leveren ook nog een company appstore voor de eindgebruikers, waarbij een organisatie kan kiezen om de aanschaf van clouddiensten, gecontroleerd te beleggen bij eindgebruikers zelf. Voor sommige type clouddiensten, als voorbeeld box.net versus dropbox, kan de keuzevrijheid zo direct bij de eindgebruiker worden belegd. Voordeel hiervan is ook dat alleen betaald hoeft te worden als de eindgebruiker de dienst daadwerkelijk activeert.
Let op: Cloudbrokers marketplaces komen in verschillende soorten en maten voor. Er bestaan varianten met 24/7 support, alleen Nederlandse diensten, met of zonder een single point of contact, met inhoudelijke support op applicaties of met alleen functionele support. Belangrijk is om goed te kijken naar de prijsstructuur en alleen te betalen voor toegevoegde waarde. Diensten binnen de marketstore kunnen niet duurder zijn dan afzonderlijke diensten en leveranciersmanagement hoort inbegrepen te zijn zonder extra kosten.
De voordelen:
- Eén gecombineerde factuur ondanks verschillende leveranciers.
- Vereenvoudigd leveranciersmanagement.
- Sommige clouddiensten werken nog met betalingssystemen uit de consumentenwereld (creditcards, paypall). Door deze via een appstore aan te schaffen kan de betaling plaats vinden via reguliere factuurstromen.
- Via een appstore word je geattendeerd op mogelijke andere interessante clouddiensten
- Eindgebruikers krijgen ‘gecontroleerde’ vrijheid om een eigen pakket aan clouddiensten samen te stellen dat voldoet aan de persoonlijke behoefte om het werk zo efficiënt mogelijk te kunnen uitvoeren.
Gecombineerd antwoord
De genoemde oplossingen worden in de praktijk soms ook gecombineerd in één platform of dienst. Bijvoorbeeld middels cloudaggregatie of cloudbrokerplatformen. Ons advies is om bij de selectie van een oplossing in ieder geval te gaan voor een pay per use gebaseerde oplossing. Zorg dan dat deze toekomstvast is door zoveel mogelijk gebruik te maken van (de facto) industriestandaarden. Wanneer de organisatie een cloudstrategie heeft, zijn daarin vaak aanknopingspunten te vinden die een voorkeur aangeven voor een bepaald type platform en leverancier.
Jeroen Jacobs, manager competence center GRIP KPN IT Solutions en Michiel van Dijk, principal technical consultant KPN IT Solutions
Heerlijk artikel! En eindelijk eens open en eerlijk beschreven.
Ik kijk al uit naar jullie vervolgstukken!
Voor het eerst zijn de Computable cloud-guru’s het redelijk met elkaar eens. En heeft Reza Sarshar maar 2 uitroeptekens in zijn commentaar staan 🙂 Dit is bijna uniek te noemen.
Ik ben trouwens wel erg benieuwd naar de mening van Henri Koppen. Dat is de enige die ik nog mis in deze discussie.
Ruud, ik had een zware en lange dag. Uiteraard had ik al eerder willen reageren, maar ben er niet aan toe gekomen. Nu ik thuis ben aangekomen en een quiche heb weggewerkt wil ik het liefst even genieten van een heerlijk zwoele avond zonder cloud 🙂 Hier dus een korte reflectie op artikel en reacties.
Allereerst complimenten voor het artikel. Technisch, maar toch goed leesbaar. Mooi in vorm en inhoud, en absoluut een aanwinst. Het onderwerp is spot-on zeer relevant en een crux als het gaat om de adoptie van cloud computing in de enterprise omgeving.
However. SAML en IPaas zijn nog steeds een draak, een beetje in lijn met OAUTH 2.0 wat ook een draak is. In de inleiding wordt Microsoft niet genoemd als een publieke clouddienst (Windows Azure) terwijl AD FS 2.0, WAAD eigenlijk de meest relevant voorbeelden zijn als het aankomt op SAML en indirect dus IPaas. Ik ken diverse bedrijven die heftig inzetten op Windows Azure Active Directory (WAAD) AD FS 2.0 en mijn god wat verslikken zij zich hierin. Mijn voorlopige conclusie (en ik pas hem graag aan) is dat het nagenoeg nog niet goed werkt, slecht beheersbaar is en dat zelfs specialisten zichzelf zo niet eens durven te noemen.
Fall-back als een primair systeem eruit ligt is meteen “the root of all evil” aangezien dit direct een zwakheid is. Voorbeeld: Bij een dienst kun je deze koppelen aan je Google Account, vaak kun je echter ook een “wachtwoord? aanmaken waardoor je ineens twee keuzes hebt om in te loggen en de laatste het meest gebruiksvriendelijk is. Slecht? Zeker, maar SSO over leveranciers heen betekent niet dat je ineens veilig bent en voordat een cloud broker hier een goede controle over heeft zijn we nog wel wat jaren verder.
Het betekent ook een vendor lock-in en daarnaast heb je gewoon dingen die om zullen vallen en waarvoor je specialisten nodig hebt om jouw oplossingen te beheren. Voordat je het weet lijkt het op traditionele IT en ben je terug bij af.
Mijn punt is dat veel wat hier genoemd wordt ook geldt bij niet (public) cloud computing en bovendien dat het veelal neer komt op mensenwerk. Ik ben voor hoor! Maar ik zou er nu nog niet teveel in investeren (behalve als je de nieuwe standaard zet, als dat lukt ben je een nieuwe reus naast MS, Google, Amazon, et cetera)
Veel van mijn klanten zijn hier nog niet aan toe. Dat betekent dus dat gebruikers accounts hebben bij diverse software pakketten en dat bijvoorbeeld de-provisioning iets is van goede governance en procedures. Net als dat je alle spulletjes in wil nemen als de medewerker uit dienst gaat.
Mooi artikel, helemaal voor, hou het nauwlettend in de gaten, maar hier vol voor gaan is in mijn ogen nog een brug te ver. Vertrouw in dit opzicht nog meer op de procedures dan op de techniek, het wordt nog iets te mooi geschetst.
Henri,
Ik waardeer deze reactie met 5 sterren omdat die meer reflecteert wat we face-to-face besproken hebben tijdens een sessie dan wat je soms schrijft in een opinie of expertverslag. Vooral dat stukje procedures kan ik me helemaal in vinden;-)
Maar ondertussen vraag ik me wel af of het ontbreken van een consistente vorm van IdM niet een remmende factor wordt in acceptatie van public cloud.
Henri,
Ik sluit me aan bij Ewout. Je reactie had zeker 5+ sterren op moeten leveren.
Goed om te zien dat de Cloud-experts het een keer eens met elkaar zijn.
Dit moet gevierd worden op de volgende Computable expertsessie. Al is deze nog niet gepland, begint het er wel weer tijd voor te worden.
Ik ben namelijk erg benieuwd hoe ver de redactie is met de wijzigingen die doorgevoerd zouden worden.
@Michiel van Dijk,
Dank voor je duidelijke uitleg.
Ik ben het met veel aspecten die je benoemd hebt eens. Als ik deze zaken lees dan wordt het voor me als klant zeer duidelijk dat cloud niet alleen technisch maar ook organisatorisch in de hele keten verder ontwikkeld moet worden.
Vind je het niet als ik even wacht met overstap naar cloud? 🙂
@Michiel van Dijk,
Dank voor je duidelijke uitleg.
Ik ben het met veel aspecten die je benoemd hebt eens. Als ik deze zaken lees dan wordt het voor me als klant zeer duidelijk dat cloud niet alleen technisch maar ook organisatorisch in de hele keten verder ontwikkeld moet worden.
Vind je het niet als ik even wacht met overstap naar cloud? 🙂
Ruud,
Het doet me goed dat je mijn tekst zo aandachtig leest en zelfs het aantal uitroeptekens bijhoudt.
Zoals je hebt opgemerkt mijn reactie op een cloud artikel met deze kwaliteit is heel anders dan een marketingverhaal of een eenzijdige kijk van een cloudliefhebber. Sterker nog op dat soort cloudartikelen reageer ik al lang niet meer.
Henri,
Ik geef je voor de inhoud van je reactie maar 3 sterren zoals je het gekregen hebt 🙂 maar je krijgt zeker 5 sterren van me voor de eerlijkheid in je antwoord. Zoals eerder aangegeven je bent in een face to face (cloud)discussie heel anders dan op deze site, lees meer realistisch.
Ik ben het met veel zaken in je reactie eens. Kijken of ik later hierop terug kan komen.
Houd deze stijl vast 🙂
De punten die in het artikel aangekaart worden zijn goed en ook van voldoende diepgang. Maar de aangedragen oplossingsrichtingen blijven puntoplossingen.
Er is niet gekeken naar het grote geheel. Dat wordt op het eind wel even aangetipt. Maar dat blijft hangen op een paar vage, algemene aanbevelingen.
Zo wordt gesteld dat pay-per-use en het gebruik van industrie standaarden noodzakelijk zijn voor een integrale, toekomstvaste oplossing. Maar zonder verder enige toelichting.
Bijvoorbeeld door binnen datzelfde kader uit te leggen wat het belang is van “pay-per-use”. Of door aan te geven welke industrie standaarden hierop van toepassing zijn. En op welke manier die gaan helpen bij het laten samensmelten van de puntoplossingen.
Misschien iets voor een volgend artikel?
Ik hoop van wel – ik kijk er naar uit!
🙂