Post on 09-Jul-2015
FAST TRACK TO THE CLOUD
ANDRES STEIJAERT
Users
Vendors
SURF
working towards a connected
collaboration infrastructure
CLOUD SERVICES
consume produce
2 BILLION PEOPLE ONLINE30% OF WORLD POPULATION
IT USED TO BE SCARCENOW AVAILABLE IN ABUNDANCE
multi-devicemulti-service
Users are choosers
Consumerization & commoditization
End user push
We have been doing this for years
Cloud ?
Traditional supply chain ; cd-rom distribution, on-premise hosting
New supply chain ; cloud distribution model
software as a service
Infrastructure as a service
PRODUCE
CONSUME
+ fast delivery, rapid updates, Elastic, pay-per-use- Data outside of your own
organization, trust and control
CLOUD
Power and size of the cloud
A credit card is all you need to use the Amazon facilities
For users not ' shadow IT ' but real IT !Home organizations responsible: have legal obligation
to protect data (Personally Identifiable Information)
What happens to your data?
Privacy?
Microsoft Office on your tablet
‘streaming’ from the cloud
CLOUD ON
cloud principles
Research and higher education organizations in the Netherlands will move to the cloud together, via SURF.
1
cloud principles
Provide IT services as much as possible via the public cloud.
When the required services are not available, or when they cannot be used due to legal considerations, community cloud services (specifically tailored to the needs of higher education) will be implemented.
Cloud first strategy
cloud principles
Users should be able decide which devices and applications they use. Let them choose between multiple cloud vendors and cloud services
(multi-vendor approach).
vendor management & cloud brokering
Negotiate & procure togetherEqual conditions for all SURF members (1 million users) 1 distribution channel
service specifications price
security & privacyLegislation (national, EU, USA
'international clouds')data portabilityinteroperability
Provide added value by means of a collaboration infrastructure,
which interconnects cloud services and users
cloud principles
Institute X
Institute Y
Institute Z
Institute W
Institute V
Institute U
Cloudservice B
Cloudservice C
Internalservice A
Internalservice B
Cloudservice A
Internalservice C
User databases and user control at institutes Federated authentication and identity management to access cloud services (single sign-on).
Unified group management and authorization A single point of control where users can manage their teams. These group-related privileges (roles) are automatically used and updated in all connected cloud services.
Open, data exchange Use components (widgets) to build your own team workspace. Social networking between online services.
Institute / organization
US cloudservice provider
NLcloud
service provider
NL legislation& Dutch
Data Protection Authority
SafeHarbor
Principles
US law enforcement
agencies(patriot act)
NL law enforcement
agencies
EU legislation
Personally identifiable information (PII) in the cloudAccess to cloud data by governments
Agreements between vendor and customer on cloud services
CBP zienswijze in de media
CBP: De Europese Commissie heeft eerder bepaald dat de 'Safe Harbor' beginselen een passend beschermingsniveau bieden voor het omgaan met persoonsgegevens.
Het is belangrijk dat je als afnemer van clouddiensten met de betreffende aanbieders afspreekt hoe je kunt controleren dat zij die Safe Harbor-beginselen aanhouden en ten uitvoer brengen. De CBP-zienswijze beschrijft dat je als afnemer daarvoor zélf verantwoordelijk bent.
Amerikaanse cloud leveranciersen Safe Harbor principes
Een organisatie die cloud diensten afneemt, dient erop toe te zien dat persoonsgegevens van haar gebruikers, conform de wet worden verwerkt / bewerkt door de leveranciers van die cloud diensten.
Het standaard contract van een leverancier geeft hiervoor vaak onvoldoende garanties.
Afspraken leverancier - afnemer
Expliciet vastleggen
Inzicht en controle door afnemende organisatie in de wijze waarop leverancier gegevens beveiligt. Vaststellen dat beveiliging adequaat is (bijvoorbeeld inzage audit rapport door derde partij).
Vastleggen hoe afnemende organisatie door leverancier op de hoogte wordt gesteld van datalekken.
Internationale doorgifte van gegevens- Voor wat betreft de doorgifte naar de Verenigde Staten inzicht in de toepassing van de Safe Harbor principes. - Voor wat betreft doorgifte buiten de Verenigde Staten een beperking tot de als veilig aangemerkte landen in de Europese Economische Ruimte (EER) en landen op de zogenoemde 'witte lijst' van de EU.
Afspraken leverancier - afnemer
Rapport IViR in de media
Overheden hebben toegang tot gegevens in de cloud.
De Verenigde Staten via wetsvoorstellen en -wijzigingen die sinds 2011zijn doorgevoerd. De Patriot Act is daarvan het bekendste onderdeel, maar dus niet de enige component.
De meeste landen kennen wetten die inlichtingen- en opsporingsdiensten bevoegdheden geven om gegevens op te vragen bij private partijen.
Toegang tot cloud data door overheden
Overheidinstanties kloppen aan bij de partij die de data beheert. Indien dat buiten hun eigen landsgrens is via een verzoek aan de veiligheidsdienst in het betreffende land. Dat kun je niet tegenhouden indien de overheid een relatie legt met staatsveiligheid of strafvordering.
Vanaf een bepaald dreigingsniveau kunnen de Verenigde Staten de provider verbieden aan jou te melden dat de overheidsinstantie in jouw data kijkt. Dat heet een ‘gag order’ (http://en.wikipedia.org/wiki/Gag_order). Ook Nederlandse autoriteiten mogen in sommige gevallen bij jouw data zonder je te informeren.
Toegang tot cloud data door overheden
Voor de Verenigde Staten geldt dat ze direct aankloppen bij iedereen die onder de Amerikaanse jurisdictie valt. Die jurisdictie is ruim.
Iedere organisatie die structureel zaken doet in de VS, kan via de Amerikaanse wet- en regelgeving direct worden benaderd. Dus ook Nederlandse bedrijven die structureel in de VS actief zijn, kunnen door Amerikaanse veiligheidsdiensten gesommeerd worden om data af te geven, ook als die gegevens op servers binnen Nederland staan.
Toegang tot cloud data door overheden
Een belangrijke constatering is dat deze overheidsinstanties ook toegang kunnen krijgen tot data die zich niet in de cloud bevinden maar op een eigen server of computer staan.
De cloud zorgt wel voor een nieuwe situatie.Een organisatie die alle IT systemen binnen de eigen muren houdt (on premise), heeft de mogelijkheid om beleid en protocollen in te voeren voor het omgaan met politie- en veiligheidsdiensten. Die mogelijkheid vervalt op het moment dat een derde partij kan worden aangesproken. Hoe ga je als organisatie om met het feit dat je op bepaalde punten autonomie kwijtraakt?
Toegang tot cloud data door overheden
Gegevensclassificatie voor de cloud
SURF is van mening dat per soort gegevens bekeken moet worden wat de risico’s zijn. Op basis van een dergelijke classificatie kan worden vastgesteld waar public clouddiensten van marktpartijen ingezet kunnen worden. Om optimale rechtsbescherming te garanderen in geval van gegevens met een te hoog risico, kan het nodig zijn om bepaalde afgeschermde community clouddiensten speciaal voor het hoger onderwijs in te richten.
Vervolgstappen
Now also available for Researchvia SURF
Now also free for staff(in basic version)
Implement together at higher education & research; vendor and SURF- Google: 13 organizations, 240.000 users- Microsoft Office 365: 10 organizations
UNIVERSITY OF WASHINGTON
Multi vendor strategyGoogle and Microsoft
Integrate via standards (SAML, Grouper)
‘A tale of two clouds’Terry Gray
http://bit.ly/aYfbwb
UNIVERSITY OF WASHINGTON CLOUD STRATEGYSHAPED BY FOUR KEY IDEAS
Our community is already using and benefiting from a wide variety of cloud-based services, and it would be counterproductive to oppose their use despite the institutional concerns that come with the cloud.
The university's risk profile would improve over the status quo by establishing one or more preferred collaboration platforms, backed by contract terms that address institutional risks.
We should use the cloud opportunity to encourage collaboration across all sectors of our community (faculty, staff, and students) rather than, say, just using cloud services to get out of the student e-mail business.
We should partner with both Microsoft and Google in order to provide the best options to our very diverse population.
“The Life Science Grid portal contains a number of bioinformatics applications which you can use. No knowledge about Grid is necessary. You don't even need a Grid certificate. What we do ask from you is to register as a user with a valid email address.”
Using the SURFconext Liferay adapter that Proteon developed. Every organization that is part of SURFnet can use Liferay to authenticate users
Studieresultaten en rooster via Gadgets in iGoogle
Stopcontact 1 : HZ REST APIs
Google%Docs% MicrosoO%mail%&%calendar%
Cisco%messaging%and%webconferencing% SAP%Streamwork%
WordPress
Amazon
MicrosoftAzureSARA
Vancis
Greenqloud
Atos
IBM
Infrastructure as a Service
Data portability Dashboard, manage use, metering and billing
Choose the best option for your specific needs
andres@surfnet.nl
@steijaert
ANDRES STEIJAERT
www.surf.nl/cloudwww.surfconext.nl
+ 31 30 2 305 305
Everyone interested in
more informationW