Migreren naar de public cloud is voor veel organisaties aantrekkelijk. Toch zijn er ook nadelen. De beheersbaarheid en de netwerkmogelijkheden zijn in de cloud net wat anders dan in een traditionele netwerkomgeving. Nivo-consultant Edwin Dijkstra en zijn collega Raynel Sastropawiro van Wifinity stonden voor de uitdaging om bij een gemeente een verbinding te realiseren met de Azure-cloud met hoge security-eisen, zonder dat het te complex of te duur werd.
Deze gemeente wilde een beveiligde verbinding tussen de client-apparaten van medewerkers en de Microsoft Azure-cloudomgeving. Het ging onder meer om een verbinding met het Reisdocumenten Aanvraag- en Archiefstation (RAAS). Dit bevat gegevens voor zaken als het aanvragen van een paspoort of identiteitskaart. Kortom, heel vertrouwelijke gegevens. De gemeente maakte gebruik van VPN-verbindingen die via het datacenter van een derde partij liepen. De wens was om een rechtstreekse verbinding met de Azure-omgeving te realiseren, zodat de derde partij niet meer nodig was.
Ideale omgeving
Edwin en Raynel wilden eerst duidelijk krijgen wat precies de wensen en de eisen van de gemeente waren. Edwin: ‘De gemeente had behoefte aan een redundante verbinding voor een zo groot mogelijke betrouwbaarheid en beschikbaarheid van het netwerk. Dat kun je heel ver doorvoeren, maar daar hangt een prijskaartje aan.’
Testen in eigen omgeving
Na deze scoping-fase besloten Edwin en Raynel een Proof of Concept (PoC) te ontwikkelen. ‘De gemeente wilde het project realiseren met bestaande hardware op de werkplek. Om te bekijken hoe dat werkte, hebben we identieke hardware van onszelf gekoppeld aan de Azure-omgeving van de gemeente.’ Na deze eerste PoC bleek dat de gewenste functionaliteit niet te realiseren was met de deze hardware. Daarom werd in een tweede PoC hardware gebruikt die wel zou moeten voldoen, in verbinding met een eigen Azure-omgeving van Nivo. ‘Die omgeving konden we als een soort speeltuin gebruiken. Zo hoefden we niet steeds de klant lastig te vallen om allerlei functionaliteiten te testen.’
Tot slot werd nog een derde PoC gedraaid vanaf deze hardware naar de Azure-omgeving van de gemeente. ‘Daarmee kwamen we weer wat dichter bij de werkelijkheid. Inmiddels is de koppeling operationeel.’ Raynel vult aan: ‘We moesten op het laatst nog wel wat finetuning doen, zoals policy’s instellen om de beveiliging te verbeteren. Ook het beheer ligt nog bij ons.’
Beperkingen van de cloud
Het leuke aan dit project is volgens Edwin dat het alle drie de domeinen van Nivo omvat: networking, cybersecurity en cloud-implementaties. Dat bracht ook de nodige uitdagingen met zich mee: ‘Binnen een cloudomgeving kun je niet alles even goed configureren als in een traditioneel netwerk. Als je bijvoorbeeld bepaalde verkeersstromen wilt afdwingen, moet je dat binnen de on premise-omgeving doen omdat dat niet via Azure kan. Denk aan een situatie waarin je verschillende connecties hebt, dan wil je misschien een bepaalde verbinding een hogere prioriteit geven, bijvoorbeeld de snelste of de meest betrouwbare. Dat moet je via netwerkprotocollen afdwingen.’
Een andere uitdaging is dat het vaak lastig is om de security in de cloud tot in detail te beoordelen. ‘Hoe veilig is het nu echt? In hoeverre zijn de verschillende tenants goed van elkaar gescheiden? Daarom hebben we security-zaken zoals firewalls zo veel mogelijk lokaal geconfigureerd.’
Het ontwikkelen van opeenvolgende PoC's om zo steeds dichter bij het resultaat te komen, is goed bevallen. ‘De doorlooptijd was langer, maar je vermindert zo wel het risico op problemen. Dit is niet een project dat je even uit een boekje doet. Ervaring in de praktijk is essentieel.’