Hoe kies ik een cloudserviceprovider?

Zodra u het besluit hebt genomen om op cloudcomputing over te stappen, is de volgende stap het selecteren van een cloudserviceprovider. Het is van vitaal belang dat u de betrouwbaarheid en de technische mogelijkheden van een serviceprovider beoordeelt voordat u hem de toepassingen en gegevens van uw organisatie toevertrouwt. Een aantal punten die u daarbij in overweging moet nemen:

Gezondheid van het bedrijf en procedures

  • Financiële gezondheid. De provider moet kunnen laten zien dat hij stabiel en financieel gezond is en over voldoende financiële middelen beschikt om op de lange termijn goed te kunnen blijven functioneren.
  • Organisatie, governance, planning en risicobeheer. De provider moet beschikken over een formele managementstructuur, een in de praktijk bewezen beleid voor risicobeheer en een formele procedure voor het beoordelen van externe serviceproviders en leveranciers.
  • Vertrouwen. U moet een goed gevoel hebben over het bedrijf en de onderliggende principes. Controleer de reputatie van de provider en kijk met welke partners ze samenwerken. Onderzoek wat hun ervaring is met de cloud. Lees wat anderen over de provider te zeggen hebben en praat met klanten in soortgelijke omstandigheden als u.
  • Kennis van uw bedrijf en van techniek. De provider moet kennis hebben van uw bedrijf en uw toekomstplannen, en moet in staat zijn technische expertise te bieden die daarbij aansluit.
  • Nalevingscontroles. De provider moet via een controle door een externe partij kunnen laten zien dat aan al uw eisen wordt voldaan.

Ondersteuning bij beheer

  • Serviceovereenkomsten (SLA's). Providers moeten u een basisserviceniveau kunnen beloven waar u zich goed bij voelt.
  • Rapporteren van prestaties. De provider moet in staat zijn om u van prestatierapporten te voorzien.
  • Broncontrole en configuratiebeheer. De provider moet over voldoende controlemechanismen kunnen beschikken voor het volgen en bewaken van services die ze aan hun klanten leveren, en het volgen en bewaken van eventuele wijzigingen die er op hun systemen zijn doorgevoerd.
  • Facturering en administratie. Dit moet geautomatiseerd zijn, zodat u kunt zien welke bronnen u gebruikt en wat daarvoor de kosten zijn, zodat u niet met onverwachte facturen te maken krijgt. Er moet ook ondersteuning zijn voor als u vragen hebt over zaken die met facturering te maken hebben.

Technische mogelijkheden en procedures

  • Eenvoudig te implementeren, beheren en upgraden. Controleer of de provider over mechanismen beschikt die het voor u eenvoudig maken om uw software en toepassingen te implementeren, beheren en upgraden.
  • Standaardinterfaces. De provider moet gebruikmaken van standaard-API's en -gegevenstransformaties zodat uw organisatie snel verbindingen met de cloud tot stand kan brengen.
  • Gebeurtenissenbeheer. De provider moet beschikken over een formeel systeem voor het beheren van gebeurtenissen. Dit systeem moet zijn geïntegreerd met het systeem dat de provider gebruikt voor bewaking/beheer.
  • Wijzigingsbeheer. De provider moet gedocumenteerde formele procedures volgen voor het aanvragen, vastleggen, goedkeuren, testen en accepteren van wijzigingen.
  • Hybride functies. Zelfs als u eerst niet van plan was een hybride cloud te gebruiken, moet u toch controleren of de provider ondersteuning kan bieden voor dit model. Het heeft namelijk voordelen waarvan u later wellicht gebruik wilt gaan maken.

Beveiligingsmethoden

  • Beveiligingsinfrastructuur. Er moet een uitgebreide beveiligingsinfrastructuur aanwezig zijn voor cloudservices van elk niveau en type.
  • Beveiligingsbeleid. De provider moet beschikken over een uitgebreid beveiligingsbeleid en uitgebreide beveiligingsprocedures waarmee de toegang tot systemen van zowel leveranciers als klanten kan worden beheerd.
  • Identiteitsbeheer. Wijzigingen aan een toepassingsservice of hardwarecomponent moeten alleen mogelijk zijn op basis van een persoonlijke rol of een groepsrol, daarbij moet iedereen die wijzigingen aanbrengt aan een toepassing of gegevens een verplichte authenticatieprocedure doorlopen.
  • Back-ups en bewaren van gegevens. Er moeten operationele beleidsregels en procedures aanwezig zijn die waken over de integriteit van klantgegevens.
  • Fysieke beveiliging. Er moeten controles voor fysieke beveiliging aanwezig zijn, ook waar het toegang tot hardware op co-locaties betreft. Ook moeten in de werkomgeving van datacenters beveiligingsmaatregelen aanwezig zijn die apparatuur en gegevens beschermen tegen verstorende gebeurtenissen . Er moet redundante netwerk- en stroomcapaciteit zijn, evenals een gedocumenteerd plan voor herstel na rampen en een plan voor het waarborgen van de bedrijfscontinuïteit .

Zie Vertrouwenscentrum van Microsoft Azure - Beveiliging voor meer informatie