Hoe krijg je grip op je multi-cloud ecosysteem?

Het applicatielandschap van organisaties wordt steeds meer SaaS. Applicaties en systemen zijn vaak verspreid over meerdere clouds en dat zorgt voor een versplinterde en complexe IT-omgeving. Niet elke organisatie weet nog waar het eigen ecosysteem begint en eindigt en wie waarvoor verantwoordelijk is. Dat maakt het lastig om grip te houden op deze multi-cloud omgeving en onder alle omstandigheden security en compliance te waarborgen. 

De Log4J-kwetsbaarheid, die eind 2021 aan het licht kwam, maakte pijnlijk duidelijk dat de ecosystemen van organisaties nog veel verder reiken en nog veel kwetsbaarder zijn dan gedacht. Dat systeem omvat niet alleen de applicaties, maar ook de vele componenten waar software, middleware en hardware van afhankelijk zijn. Het veilig, compliant en beheersbaar houden van zo’n enorm ecosysteem vraagt niet alleen om technologische grip maar ook om heldere afspraken met IT-partners over missie, doel en verantwoordelijkheden.

Stap over naar missiegericht samenwerken

De rollen van zowel de opdrachtgevende organisatie als de IT-partner veranderen. De inhoud van de relatie verandert. Je gaat van een SLA-gedirigeerde relatie naar een echte samenwerkingsovereenkomst. Je maakt de stap van taakgericht samenwerken naar missiegericht samenwerken: hoe faciliteert de IT-partner de missie van de organisatie? Je kunt daarvoor een Shared Operating Model toepassen om IT-partnerschap aan te laten sluiten op de missie van de organisatie.

Vertrouw op transparantie

In zo’n samenwerkingsmodel zijn zachte factoren als vertrouwen en transparantie belangrijk. Zowel organisatie als IT-dienstverlener moeten zich kwetsbaar durven opstellen, ook als zaken minder goed gaan of onduidelijk zijn. Het mooie van een ecosysteem is dat beide partijen zowel de in- als output leveren en daarmee een gezamenlijke eindverantwoordelijkheid dragen.

Markeer de grenzen van verantwoordelijkheid

In een steeds complexer wordend IT-landschap ontstaat dan de vraag wie verantwoordelijk is voor welke diensten en afspraken. Onduidelijkheid over afspraken kan in potentie een bom onder de samenwerking leggen, tussen opdrachtgever en IT-partner of tussen IT-partners onderling. In een Shared Responsibility Model kun je verantwoordelijkheden en demarcatielijnen (die soms over de grenzen van de eigen dienstverlening van partners lopen) helder maken en vastleggen.

Kies voor datadriven security operations (SecOps)

De Log4j kwetsbaarheid liet goed zien hoe afhankelijk een organisatie is van inzicht en overzicht: niemand realiseerde zich in hoeveel componenten dat stukje Log4j-code zat en hoeveel kwetsbaarheden er waren. Veiligheid begint met weten waar welke software zich bevindt. Dit vraagt om tooling die bijvoorbeeld digital asset management en lifecycle management over verschillende clouds heen ondersteunt.

Zorg voor borging van security & compliance

Hoe waarborg je veiligheid en privacy als data verspreid is in een multi-cloud landschap? Standaardisering is hierin essentieel: het verhoogt de beschikbaarheid in verschillende clouds én het maakt compliance eenvoudiger. Een eigen multi-cloud control center. Een soort landingszone, waaruit je security en management diensten levert, is een sterk hulpmiddel. Hiermee kun je verschillende dienstverleners meer inzicht in de dienstverlening geven.

Bij een online minor class, eerder dit jaar, werd een stevige discussie gevoerd over dit thema. De deelnemers werd gevraagd wat zij het belangrijkste vonden voor het succesvol en veilig managen van een multi-cloud ecosysteem. Meer dan de helft zette missiegericht samenwerken bovenaan, op enige afstand gevolgd door de afbakening van de verantwoordelijkheden met als derde de borging van security & compliance. Wie grip wil krijgen of houden, weet dus waar te beginnen.

Over de auteur: Klaas Heek is Solution Architect bij Solvinity.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.