FAST TRACK TO THE CLOUD

ANDRES STEIJAERT

Users

Vendors

SURF

working towards a connected

collaboration infrastructure

CLOUD SERVICES

consume produce

2 BILLION PEOPLE ONLINE30% OF WORLD POPULATION

IT USED TO BE SCARCENOW AVAILABLE IN ABUNDANCE

multi-devicemulti-service

Users are choosers

Consumerization & commoditization

End user push

We have been doing this for years

Cloud ?

Traditional supply chain ; cd-rom distribution, on-premise hosting

New supply chain ; cloud distribution model

software as a service

Infrastructure as a service

PRODUCE

CONSUME

+ fast delivery, rapid updates, Elastic, pay-per-use- Data outside of your own

organization, trust and control

CLOUD

Power and size of the cloud

A credit card is all you need to use the Amazon facilities

For users not ' shadow IT ' but real IT !Home organizations responsible: have legal obligation

to protect data (Personally Identifiable Information)

What happens to your data?

Privacy?

Microsoft Office on your tablet

‘streaming’ from the cloud

CLOUD ON

cloud principles

Research and higher education organizations in the Netherlands will move to the cloud together, via SURF.

1

cloud principles

Provide IT services as much as possible via the public cloud.

When the required services are not available, or when they cannot be used due to legal considerations, community cloud services (specifically tailored to the needs of higher education) will be implemented.

Cloud first strategy

www.surf.nl/cloud

cloud principles

Users should be able decide which devices and applications they use. Let them choose between multiple cloud vendors and cloud services

(multi-vendor approach).

vendor management & cloud brokering

Negotiate & procure togetherEqual conditions for all SURF members (1 million users) 1 distribution channel

service specifications price

security & privacyLegislation (national, EU, USA

'international clouds')data portabilityinteroperability

Provide added value by means of a collaboration infrastructure,

which interconnects cloud services and users

cloud principles

Institute X

Institute Y

Institute Z

Institute W

Institute V

Institute U

Cloudservice B

Cloudservice C

Internalservice A

Internalservice B

Cloudservice A

Internalservice C

User databases and user control at institutes Federated authentication and identity management to access cloud services (single sign-on).

Unified group management and authorization A single point of control where users can manage their teams. These group-related privileges (roles) are automatically used and updated in all connected cloud services.

Open, data exchange Use components (widgets) to build your own team workspace. Social networking between online services.

Institute / organization

US cloudservice provider

NLcloud

service provider

NL legislation& Dutch

Data Protection Authority

SafeHarbor

Principles

US law enforcement

agencies(patriot act)

NL law enforcement

agencies

EU legislation

Personally identifiable information (PII) in the cloudAccess to cloud data by governments

Agreements between vendor and customer on cloud services

http://bit.ly/UnnU5D

CBP zienswijze in de media

CBP: De Europese Commissie heeft eerder bepaald dat de 'Safe Harbor' beginselen een passend beschermingsniveau bieden voor het omgaan met persoonsgegevens.

Het is belangrijk dat je als afnemer van clouddiensten met de betreffende aanbieders afspreekt hoe je kunt controleren dat zij die Safe Harbor-beginselen aanhouden en ten uitvoer brengen. De CBP-zienswijze beschrijft dat je als afnemer daarvoor zélf verantwoordelijk bent.

Amerikaanse cloud leveranciersen Safe Harbor principes

Een organisatie die cloud diensten afneemt, dient erop toe te zien dat persoonsgegevens van haar gebruikers, conform de wet worden verwerkt / bewerkt door de leveranciers van die cloud diensten. 

Het standaard contract van een leverancier geeft hiervoor vaak onvoldoende garanties.

Afspraken leverancier - afnemer

Expliciet vastleggen

Inzicht en controle door afnemende organisatie in de wijze waarop leverancier gegevens beveiligt. Vaststellen dat beveiliging adequaat is (bijvoorbeeld inzage audit rapport door derde partij).

Vastleggen hoe afnemende organisatie door leverancier op de hoogte wordt gesteld van datalekken.

Internationale doorgifte van gegevens- Voor wat betreft de doorgifte naar de Verenigde Staten inzicht in de toepassing van de Safe Harbor principes. - Voor wat betreft doorgifte buiten de Verenigde Staten een beperking tot de als veilig aangemerkte landen in de Europese Economische Ruimte (EER) en landen op de zogenoemde 'witte lijst' van de EU.

Afspraken leverancier - afnemer

http://bitly.com/SZmGzf

Rapport IViR in de media

Overheden hebben toegang tot gegevens in de cloud.

De Verenigde Staten via wetsvoorstellen en -wijzigingen die sinds 2011zijn doorgevoerd. De Patriot Act is daarvan het bekendste onderdeel, maar dus niet de enige component.

De meeste landen kennen wetten die inlichtingen- en opsporingsdiensten bevoegdheden geven om gegevens op te vragen bij private partijen.

Toegang tot cloud data door overheden

Overheidinstanties kloppen aan bij de partij die de data beheert. Indien dat buiten hun eigen landsgrens is via een verzoek aan de veiligheidsdienst in het betreffende land. Dat kun je niet tegenhouden indien de overheid een relatie legt met staatsveiligheid of strafvordering.

Vanaf een bepaald dreigingsniveau kunnen de Verenigde Staten de provider verbieden aan jou te melden dat de overheidsinstantie in jouw data kijkt. Dat heet een ‘gag order’ (http://en.wikipedia.org/wiki/Gag_order). Ook Nederlandse autoriteiten mogen in sommige gevallen bij jouw data zonder je te informeren.

Toegang tot cloud data door overheden

Voor de Verenigde Staten geldt dat ze direct aankloppen bij iedereen die onder de Amerikaanse jurisdictie valt. Die jurisdictie is ruim.

Iedere organisatie die structureel zaken doet in de VS, kan via de Amerikaanse wet- en regelgeving direct worden benaderd. Dus ook Nederlandse bedrijven die structureel in de VS actief zijn, kunnen door Amerikaanse veiligheidsdiensten gesommeerd worden om data af te geven, ook als die gegevens op servers binnen Nederland staan.

Toegang tot cloud data door overheden

Een belangrijke constatering is dat deze overheidsinstanties ook toegang kunnen krijgen tot data die zich niet in de cloud bevinden maar op een eigen server of computer staan.

De cloud zorgt wel voor een nieuwe situatie.Een organisatie die alle IT systemen binnen de eigen muren houdt (on premise), heeft de mogelijkheid om beleid en  protocollen in te voeren voor het omgaan met politie- en veiligheidsdiensten. Die mogelijkheid vervalt op het moment dat een derde partij kan worden aangesproken. Hoe ga je als organisatie om met het feit dat je op bepaalde punten autonomie kwijtraakt?

Toegang tot cloud data door overheden

Gegevensclassificatie voor de cloud

SURF is van mening dat per soort gegevens bekeken moet worden wat de risico’s zijn. Op basis van een dergelijke classificatie kan worden vastgesteld waar public clouddiensten van marktpartijen ingezet kunnen worden. Om optimale rechtsbescherming te garanderen in geval van gegevens met een te hoog risico, kan het nodig zijn om bepaalde afgeschermde community clouddiensten speciaal voor het hoger onderwijs in te richten.

Vervolgstappen

http://bit.ly/PHYZXL

Now also available for Researchvia SURF

Now also free for staff(in basic version)

Implement together at higher education & research; vendor and SURF- Google: 13 organizations, 240.000 users- Microsoft Office 365: 10 organizations

UNIVERSITY OF WASHINGTON

Multi vendor strategyGoogle and Microsoft

Integrate via standards (SAML, Grouper)

‘A tale of two clouds’Terry Gray

http://bit.ly/aYfbwb

UNIVERSITY OF WASHINGTON CLOUD STRATEGYSHAPED BY FOUR KEY IDEAS

Our community is already using and benefiting from a wide variety of cloud-based services, and it would be counterproductive to oppose their use despite the institutional concerns that come with the cloud.

The university's risk profile would improve over the status quo by establishing one or more preferred collaboration platforms, backed by contract terms that address institutional risks.

We should use the cloud opportunity to encourage collaboration across all sectors of our community (faculty, staff, and students) rather than, say, just using cloud services to get out of the student e-mail business.

We should partner with both Microsoft and Google in order to provide the best options to our very diverse population.

“The Life Science Grid portal contains a number of bioinformatics applications which you can use. No knowledge about Grid is necessary. You don't even need a Grid certificate. What we do ask from you is to register as a user with a valid email address.”

Using the SURFconext Liferay adapter that Proteon developed. Every organization that is part of SURFnet can use Liferay to authenticate users

Studieresultaten en rooster via Gadgets in iGoogle

Stopcontact 1 : HZ REST APIs

Google%Docs% MicrosoO%mail%&%calendar%

Cisco%messaging%and%webconferencing% SAP%Streamwork%

WordPress

Amazon

MicrosoftAzureSARA

Vancis

Greenqloud

Atos

IBM

Infrastructure as a Service

Data portability Dashboard, manage use, metering and billing

Choose the best option for your specific needs

andres@surfnet.nl

@steijaert

ANDRES STEIJAERT

www.surf.nl/cloudwww.surfconext.nl

+ 31 30 2 305 305

Everyone interested in

more informationW