De cloud in al zijn vormen en uitdagingen

"Head in de cloud, feet on the ground!"

Innovaties op het gebied van technologie en applicaties zitten in een continue stroomversnelling. Het is daardoor voor veel overheidsorganisaties omslachtig en duur om nog zelf hardware en software in te kopen en te installeren, beheren en onderhouden. Steeds meer overheidsorganisaties kiezen ervoor om het ICT-beheer uit te besteden aan specialisten. De meest efficiënte manier hiervoor is het afnemen van ICT-toepassingen ‘als een dienst’ via internet, naar wens en behoefte. Dat is het principe van cloud computing. De cloud kent echter veel vormen en uitdagingen, die we hier voor je op een rijtje zetten.

Hybride en multicloud
Echte wolken kennen veel verschijningsvormen, van schapenwolkjes tot donderwolken. Voor de cloud is dat niet anders. In een ‘private cloud’ staan alle hardware, software en services op de eigen locatie (on premise), in een eigen datacenter of een afgezonderde ruimte van een openbaar datacenter van een derde partij. De eigenaar voert zelf het beheer geheel of gedeeltelijk uit en levert applicaties via een VPN- of internetverbinding aan de gebruikers. De verrekening van het gebruik van uw IT Infrastructuur, de software en de services kunt u per gebruiker of per bedrijfsonderdeel verrekenen met een budget of in rekening courant. In een ‘public cloud’ bevindt de ICT-omgeving zich in de openbare serverruimte van een datacenter. De eigenaar van dit datacenter, de ‘cloud provider’ beheert de hardware, software en diensten en bedrijven nemen dit af als een dienst op abonnementenbasis. Organisaties kunnen kiezen voor een specifieke cloudomgeving of voor een combinatie van al deze mogelijkheden. Bijvoorbeeld om de meest bedrijfskritieke gegevens op locatie te houden, dus buiten de cloud, en minder gevoelige en vertrouwelijke gegevens in een private en/of publieke cloud te plaatsen. Dergelijke combinaties noemt men een hybride cloud.

Daarnaast is het mogelijk om gebruik te maken van verschillende cloud providers. Sommige organisaties willen het risico spreiden of een unieke toepassing gebruiken van een specifieke aanbieder. Deze situatie noemt men een multicloud.

Voor zowel een hybride als een multicloud geldt dat het essentieel is dat alle gegevens bij elkaar komen in de bedrijfssystemen van een organisatie en dat de clouds informatie met deze systemen, en met elkaar, kunnen uitwisselen.

Hyperscalers
Een aantal cloud providers biedt online diensten aan vanuit een groot aantal datacenters op verschillende locaties overal ter wereld. Deze ‘grote’ aanbieders worden aangeduid met de term “hyperscaler”. Gezamenlijk hebben de hyperscalers ruim twee derde van de markt voor cloud computing in handen.

Volgens het Amerikaanse marktonderzoeksbureau Synergy Research Group zijn er momenteel 24 bedrijven die voldoen aan de definitie van hyperscaler. Zij beschikken over honderdduizenden servers in hun datacenters. De drie grootste hyperscalers, Microsoft (Azure), Google (Google Cloud) en Amazon (Amazon Web Services, AWS), hebben elk zelfs miljoenen servers.

Alles as a Service
Online diensten bestaan op verschillende niveaus. De belangrijkste hiervan zijn Infrastructure as a Service (IaaS), Platform as a Service (PaaS) en Software as a Service (SaaS).

Infrastructure as a service (IaaS) betekent het gebruik van een virtuele infrastructuur. In dit model zijn de servers en de netwerkapparatuur eigendom van de cloud provider. Klanten installeren hun eigen applicaties in het datacenter van de cloud provider. Zij kunnen de infrastructuur snel omhoog en omlaag schalen op basis van de behoefte. Dat zou bijvoorbeeld kunnen gelden voor de website voor Prinsjesdag. Deze krijgt het hele jaar nauwelijks bezoek, maar op de derde dinsdag van september loopt het storm. Voor deze ene dag kan men de capaciteit opschalen, zodat de website niet vastloopt. De rest van het jaar kan dat op een lager pitje, en dus veel goedkoper, blijven.

Platform as a Service (PaaS) biedt ontwikkelaars van applicaties een complete omgeving voor elke fase van de levenscyclus van een webapplicatie: bij de ontwikkeling, het testen, de implementatie en bij het uitvoeren van updates. Naast de infrastructurele voorzieningen van een IaaS-omgeving, regelt de cloud provider ook nog de benodigde middleware, analysediensten, systemen voor het beheren van databases, het besturingssysteem en meer.

Software as a Service (SaaS) is de meest vergaande, en meest gebruikte, vorm van cloud computing. De cloud provider biedt op basis van de infrastructurele voorzieningen van zijn eigen IaaS-omgeving, of die van een derde partij, software ‘online’ beschikbaar. Suites van kantoorapplicaties zoals Microsoft 365 en Google Workspace zijn hier voorbeelden van.

Communications Platform as a Service (CPaaS) is een uitbreiding op SaaS. Aanvankelijk werd de cloud vooral gebruikt om bestanden op te slaan en gegevens te verwerken. Steeds meer bedrijven maken echter ook gebruik van online diensten voor zogenoemde Unified Communications & Collaboration (UC&C). Dit zijn toepassingen voor het versturen van berichten, gesprekken, aanwezigheidsinformatie, beeldbellen, etc. Een Communications Platform as a Service (CPaaS) is een cloudgebaseerd distributieplatform waarmee organisaties deze communicatiekanalen kunnen integreren met hun bedrijfsprocessen. Voorbeelden van deze oplossingen zijn Zoom, Twilio, Vonage en Slack.

Wederom zijn de grote cloud providers de koplopers op het gebied van CPaaS: Microsoft met Teams en Google met Meet. Dit is vooral te danken aan het feit dat deze UC&C-toepassingen al geïntegreerd zijn met Microsoft 365 en Google Workspace. Klanten hebben ze al tot hun beschikking en kiezen er daardoor gemakkelijk voor. Niet voor niets zoeken ook andere grote cloud providers naar een integratie van hun aanbod met een UC&C-dienst, zoals de overname van Slack door Salesforce.com illustreert.

Tegenwoordig zijn nagenoeg alle ICT-toepassingen verkrijgbaar in de cloud. Denk bijvoorbeeld aan beveiligingsapplicaties (Web Application Firewall as a Service, WAFaaS), complete werkplekken (Desktop as a Service, DaaS), vaste netwerken (Network as a Service, NaaS) en draadloze netwerken (Wifi as a Service, Waas). De lijst lijkt eindeloos en groeit dagelijks.

Voor- en nadelen van de cloud
De cloud brengt veel voordelen met zich mee, vooral qua kosten voor licenties en het beheer en onderhoud van systemen en applicaties. Cloud providers nemen het bezit, de installatie en het onderhoud van de infrastructuur en/of de applicaties voor hun rekening. Het gebruik van de online diensten biedt hun klanten op elk moment en vanaf elke locatie met een internetverbinding toegang tot snelle, flexibele en schaalbare diensten of applicaties die altijd up-to-date zijn. Men betaalt alleen voor het werkelijke gebruik.

De cloud kent echter ook nadelen. Zo wisselen klanten gevoelige en vertrouwelijke (persoons)gegevens uit met de cloud providers. Deze hebben het voor het verlenen van diensten inzicht nodig in de datastromen. Het mag echter niet zo zijn dat cloud providers deze gegevens zien als een goudmijn waarmee ze meer omzet kunnen genereren. Het risico bestaat dat zij gegevens aan derden verstrekken, bijvoorbeeld voor het aanbieden van gepersonaliseerde advertenties. De cloud provider mag de gegevens ook niet gebruiken voor eigen gewin, bijvoorbeeld voor het aanbieden van aanvullende diensten.

Een ander nadeel van cloud computing is dat cloud providers hun online diensten aanbieden vanuit datacenters overal ter wereld. Om hun capaciteit te optimaliseren, verspreiden zij bovendien gegevens van één klant over meerdere datacenters en zelfs meerdere landen. Dat kan om landen gaan waarvan de overheid wil dat hun inlichtingendienst of instellingen voor wetshandhaving analyses kunnen uitvoeren van de gegevens in de cloudomgeving en dus ook inzage hebben in persoonsgegevens.

De cloud is een blijvertje
Overheidsinstellingen willen de innovaties die de cloud biedt graag omarmen om de dienstverlening te bieden die burgers verdienen en verwachten. Om de samenwerking binnen de Rijksdienst en aanverwante organisaties, maar ook binnen de Europese Unie, te bevorderen is het gebruik van clouddiensten onvermijdelijk.

Er zijn echter een aantal cloudspecifieke uitdagingen, vooral doordat er in de Europese Unie vooralsnog geen aanbieders zijn met een eigen cloudinfrastructuur die de hele regio dekt. De Europese Cloud Federatie moet hier een oplossing voor gaan bieden. Voorlopig zijn Europese overheidsinstellingen voor de opslag van gevoelige gegevens echter nog afhankelijk van cloud providers die zich buiten de EU bevinden. Het is dus zaak ervoor te zorgen dat deze cloud providers zich houden aan de regels en standaarden van de EU voor databeveiliging en -transport en het milieu. Zij moeten bovendien de privacywetgeving (GDPR voor de EU, AVG voor Nederland) aantoonbaar naleven.

Voor wat betreft de gegevensuitwisseling tussen de EU en de VS moest het Privacy Shield-verdrag deze waarborgen bieden. Het Europese Hof van Justitie oordeelde echter in juli 2020 dat dit verdrag ongeldig is. Klik hier voor meer informatie.

Afspraken met cloud providers
Het is voor alle online diensten belangrijk om specifieke afspraken te maken met de leveranciers van online diensten, van Apple tot en met Zoom, over welke rol zij precies spelen in het proces van gegevensuitwisseling en -verwerking. Het is vooral van belang om duidelijk af te spreken wat een cloud provider wel, en vooral niet met de persoonsgegevens mag doen. Noodzakelijk voor deze aanpak is het bundelen van krachten binnen de Rijksoverheid en binnen de EU. Samenwerkingsverbanden, zoals het The Hague Forum on Cloud Contracting, stellen overheden in staat om de regie op, controle over en de inkoop van clouddiensten te bundelen.

SLM Microsoft Rijk maakt hiervoor rijksbrede afspraken met cloud providers. In navolging van de resultaten die SLM behaalde met Microsoft gaat het ook de contracten beheren met andere hyperscalers. Daarom dekt de naam ‘SLM Microsoft Rijk’ de lading niet meer en spreken we liever van ‘SLM Hyperscalers’.