Hoe kies ik een cloudserviceprovider?
Zodra je het besluit hebt genomen om op cloud-computing over te stappen, is de volgende stap het selecteren van een cloudserviceprovider. Het is van vitaal belang dat je de betrouwbaarheid en de technische mogelijkheden van een serviceprovider beoordeelt voordat je hem de toepassingen en gegevens van je organisatie toevertrouwt. Een aantal punten die je daarbij in overweging moet nemen:
Gezondheid van het bedrijf en procedures
- Financiële gezondheid. De provider moet kunnen laten zien dat hij stabiel en financieel gezond is en over voldoende financiële middelen beschikt om op de lange termijn goed te kunnen blijven functioneren.
- Organisatie, beheer, planning en risicobeheer. De provider moet beschikken over een formele managementstructuur, een in de praktijk bewezen beleid voor risicobeheer en een formele procedure voor het beoordelen van externe serviceproviders en leveranciers.
- Vertrouwen. Je moet een goed gevoel hebben over het bedrijf en de onderliggende principes. Controleer de reputatie van de provider en kijk met welke partners ze samenwerken. Onderzoek wat hun ervaring is met de cloud. Lees wat anderen over de provider te zeggen hebben en praat met klanten in soortgelijke omstandigheden.
- Zakelijke en technische kennis. De provider moet kennis hebben van je bedrijf en je toekomstplannen, en moet in staat zijn technische expertise te bieden die daarbij aansluit.
- Nalevingsaudit. De provider moet via een controle door een externe partij kunnen laten zien dat aan al je eisen wordt voldaan.
Ondersteuning bij beheer
- Service Level Agreement (SLA). Providers moeten je een basisserviceniveau kunnen beloven waar je je goed bij voelt.
- Prestatierapporten. De provider moet in staat zijn om je van prestatierapporten te voorzien.
- Resources controleren en configuratiebeheer. De provider moet over voldoende controlemechanismen kunnen beschikken voor het volgen en bewaken van services die ze aan hun klanten leveren, en het volgen en bewaken van eventuele wijzigingen die er op hun systemen zijn doorgevoerd.
- Facturering en boekhouding. Dit moet geautomatiseerd zijn, zodat je kunt zien welke bronnen je gebruikt en wat daarvoor de kosten zijn, zodat je niet met onverwachte facturen te maken krijgt. Er moet ook ondersteuning zijn voor als je vragen hebt over zaken die met facturering te maken hebben.
Technische mogelijkheden en procedures
- Eenvoud van implementatie, beheer en bijwerken. Controleer of de provider over mechanismen beschikt die het voor je eenvoudig maken om je software en toepassingen te implementeren, beheren en upgraden.
- Standaardinterfaces. De provider moet gebruikmaken van standaard-API's en -gegevenstransformaties zodat je organisatie snel verbindingen met de cloud tot stand kan brengen.
- Gebeurtenisbeheer. De provider moet beschikken over een formeel systeem voor het beheren van gebeurtenissen. Dit systeem moet zijn geïntegreerd met het systeem dat de provider gebruikt voor bewaking/beheer.
- Wijzigingsbeheer. De provider moet gedocumenteerde formele procedures volgen voor het aanvragen, vastleggen, goedkeuren, testen en accepteren van wijzigingen.
- Hybride mogelijkheden. Zelfs als je eerst niet van plan was een hybride cloud te gebruiken, moet je toch controleren of de provider ondersteuning kan bieden voor dit model. Het heeft namelijk voordelen waarvan je later wellicht gebruik wilt gaan maken.
Beveiligingsmethoden
- Beveiligingsinfrastructuur. Er moet een uitgebreide beveiligingsinfrastructuur aanwezig zijn voor cloudservices van elk niveau en type.
- Beveiligingsbeleid. De provider moet beschikken over een uitgebreid beveiligingsbeleid en uitgebreide beveiligingsprocedures waarmee de toegang tot systemen van zowel leveranciers als klanten kan worden beheerd.
- Identiteitsbeheer. Wijzigingen aan een toepassingsservice of hardwarecomponent moeten alleen mogelijk zijn op basis van een persoonlijke rol of een groepsrol, daarbij moet iedereen die wijzigingen aanbrengt aan een toepassing of gegevens een verplichte authenticatieprocedure doorlopen.
- Gegevensback-up en -retentie. Er moeten operationele beleidsregels en procedures aanwezig zijn die waken over de integriteit van klantgegevens.
- Fysieke beveiliging. Er moeten controles voor fysieke beveiliging aanwezig zijn, ook waar het toegang tot hardware op co-locaties betreft. Ook moeten in de werkomgeving van datacenters beveiligingsmaatregelen aanwezig zijn die apparatuur en gegevens beschermen tegen verstorende gebeurtenissen. Er moet redundante netwerk- en stroomcapaciteit zijn, evenals een gedocumenteerd plan voor herstel na rampen en een plan voor het waarborgen van de bedrijfscontinuïteit.
Zie Vertrouwenscentrum van Microsoft Azure: Beveiliging voor meer informatie