Tekst Sebas Eikholt
Foto Wim van Beek
Geschatte leestijd:
6 minuten
In de rubriek ‘In de wolken’ werd in 2024 in elke editie van de Connect aandacht geschonken aan het onderwerp 'cloud’. Cloud staat hoog op de agenda van SSC-ICT en blijft ook in 2025 een van de speerpunten. Het verhaal van de cloud wordt in deze reeks telkens vanuit een nieuw perspectief belicht. Met het hoofd in de wolken, dromend van alle mogelijkheden, maar tegelijkertijd met de voeten stevig op de grond.
In de 1eeditie werd uitgelegd wat een cloud is, wat de mogelijkheden zijn en wat de cloud betekent voor de afnemers. In de 2e editie ging Marco Knorren (strategisch adviseur CTO) dieper in op de rol van de rijksbrede kaders. Vervolgens spraken Helmer de Vries (afdelingsmanager Enterprise Architectuur) en Geert Vuijk (Technisch architect Rijkswerkomgeving) in de 3e editie over cloudarchitectuur. In dit 4e en laatste artikel van de reeks komen Brahim Souabi (product owner) en Jaap de Goeij (lead architect) aan het woord. Zij leggen uit wat de clouddienstverlening concreet betekent voor klanten.
Bedrijven als Amazon, Google en Microsoft hebben de afgelopen jaren fors geïnvesteerd in het ontwikkelen van public clouddiensten. Naast het bieden van infrastructuur, opslag en onderhoud leveren ze de hoogste kwaliteit op het gebied van compliance, data-analyse, security en privacy. In het verlengde van deze ontwikkeling richtte SSC-ICT in 2022 het Cloud Center of Excellence (CCoE) op, met als doel om de cloudspecialist en -adviseur te zijn voor 5 departementen in het verzorgingsgebied.
Het CCoE heeft de afgelopen 2 jaar een cloudplatform in Microsoft Azure gebouwd, bestaande uit landing zones. In deze landing zones kunnen klanten van SSC-ICT hun eigen clouddiensten ontwikkelen om zo de eigen organisatie nog beter in te richten en sneller te moderniseren. Het gaat niet alleen om bestaande applicaties die klanten willen migreren, maar ook om nieuwe innovatieve oplossingen die ze zelf willen ontwikkelen. Zoals in eerdere edities al werd genoemd als metafoor: SSC-ICT biedt een groot winkelcentrum (managed Azure-platform). De klant huurt één of meerdere winkels (landing zones) en richt die zelf in. Brahim Souabi (product owner) en Jaap de Goeij (lead architect) zijn vanuit het CCoE betrokken bij het managed Azure-platform.
Waarom kiest een klant voor de cloud?
Brahim: ‘Met cloud is meer mogelijk. Vergelijk het met legoblokjes om een huis te bouwen. De klant heeft de keuze uit duizenden legoblokjes in allerlei soorten en maten. Je kunt bestaande bouwplannen in Azure gebruiken of zelf blokjes combineren om je huis te bouwen, zonder dat je je bezig hoeft te houden met extra servers of kabels. Het CCoE speelt een doorslaggevende rol als het gaat om de rijkscontext. We bieden een vertrouwde rijksomgeving in de cloud, waarbij klanten zelf met applicaties en data aan de slag gaan. Wij vinden dat ons managed Azure-platform onze klanten optimaal ondersteunt en ontzorgt; we voldoen aan de hoogste eisen op het gebied van security en compliance. De klant hoeft niet na te denken over die belangrijke onderlaag. Elke klant kan meteen starten en weten dat bij ons de basis in orde is.’
Waarom is dat zo belangrijk?
Brahim: ‘Je kunt tegenwoordig heel gemakkelijk je creditcard trekken en een willekeurige clouddienst afnemen. Dit geldt voor SaaS (Software as a Service) maar ook zeker voor PaaS (Platform as a Service) en IaaS (Infrastructure as a Service). Maar heb je nagedacht over veiligheid? Een klant kan zonder ons dergelijke clouddiensten direct afnemen bij Microsoft, maar is dan wel verplicht om te voldoen aan het rijksbrede cloudbeleid dat in 2022 is opgesteld. Daar gaat heel veel tijd in zitten, laat staan de kosten die ermee gemoeid zijn. Als wij het over cloud hebben dan gaat het om PaaS (Platform as a Service) en IaaS (Infrastructure as a Service). Ons platform staat al, en is heel zorgvuldig opgebouwd. Je hebt dus een overheidspartij die meekijkt en die het juiste beleid voert.’
Jaap beaamt dit: ‘Er zijn kaders en richtlijnen, bijvoorbeeld dat er een slot op de winkel zit. Maar voor de rest bemoeien we ons niet met de applicaties. We geven klanten alle ruimte om zelf een clouddienst te ontwikkelen binnen ons platform. Dit betekent niet dat klanten alles zelf mogen doen. Onze klanten kunnen alsnog een leverancier benaderen en aangeven dat ze een clouddienst willen afnemen, maar dan wel op ons managed Azure-platform. Het voordeel is dat er door ons al veel is voorbereid voor de klant. De klant is zelf ook verantwoordelijk om BIO-compliance aan te tonen, en dus: aan te tonen dat er wordt voldaan aan het basisnormenkader van de Rijksoverheid.’

Is de klant verantwoordelijk voor de eigen cloudapplicatie?
Brahim: ‘Als klanten een applicatie willen hosten in onze managed Azure-omgeving dan blijven ze eindverantwoordelijk. SSC-ICT kijkt niet mee in de applicatie. Sterker nog, dat mogen we ook niet. We kunnen ze wel adviseren op het gebied van bijvoorbeeld security, LCM (lifecycle management) en informatiehuishouding, maar ze blijven zelf verantwoordelijk. Dit betekent dat ze een eigen team nodig hebben voor de ontwikkeling en monitoring. Bijvoorbeeld om te voorkomen dat er data lekt. Wij zorgen dat alles eromheen, dus buiten de applicatie, voldoet aan alle veiligheidsnormen die zijn afgesproken in het rijksbrede cloudbeleid.’
Jaap vult aan: ‘We maken gebruik van een gedeelde verantwoordelijkheid tussen 3 partijen, namelijk Microsoft, het CCoE en de klant. Elke partij is verantwoordelijk voor de compliance van het eigen gedeelte. Dus dat is Microsoft als leverancier van de cloud, CCoE als aanbieder van het platform en de klant als verantwoordelijke voor de applicatie en de bijbehorende data. Deze gedeelde verantwoordelijkheid dient goed onderling afgestemd te worden, en moet ervoor zorgen dat iedereen controle houdt over de eigen deelomgeving.’
Dus jullie zien niet wat er in de ‘winkel’ gebeurt?
Jaap: ‘We zien niet wat je in jouw winkel doet, maar we zien het wel als de deur op een kier staat of als er een barst in de ruit zit. Dat komt terug in de compliance rapportages. Deze zijn direct inzichtelijk voor zowel de klant als SSC-ICT. Dus op elk moment weten we allemaal of je compliant bent en of je voldoet aan de hoogste beveiligingsnormen. We ontwikkelen zelf ook nieuwe diensten. Dat doen we in een ontwikkelomgeving, waarbij we bijvoorbeeld een configuratiewijziging of verbetering doorvoeren. Pas op het moment dat uit testen blijkt dat alles echt voldoet, zetten we het pas over naar productie. Die ontwikkelmethode kunnen de ontwikkelteams van klanten ook adopteren en wij kunnen ze daarbij helpen en begeleiden.’
Blijft het platform in beweging?
Jaap: ‘Een cloudplatform dien je wel te onderhouden. Vergelijk het met de fundering van je huis. Hoewel de basis staat, kan deze gaan rotten. Je moet het onderhouden en blijven innoveren. We proberen altijd bij de ontwikkelteams te inventariseren welke wensen ze hebben en wat ze nodig hebben aan nieuwe functionaliteiten. Ons standaardantwoord is ‘Ja het kan, mits…’. Deze ‘mits’ is vooral gericht op security. Dit is een continu aandachtspunt in alle processen die we uitvoeren. We overleggen met onze security-adviseurs, architecten en de CISO-office om te bepalen wat de bewegingsruimte is en of de wens van de klant voldoet aan de kaders en het beleid.’
Welke wens heeft de klant?
Brahim: ‘We merken dat klanten nieuwsgierig zijn naar AI in de cloud. Ze zoeken het antwoord op vragen als ‘Wat biedt AI als je grote verwerkingen hebt van bergen met data?’ of ‘Welke winst pak ik qua tijd en schaalbaarheid?’ Een van de voordelen is dat ze binnen ons platform op een laagdrempelige manier kennismaken met alle mogelijkheden. We hebben een beveiligde, gesloten testomgeving (sandbox), waar klanten eerst een applicatie kunnen testen met een gelimiteerd budget. Zo weten ze of de applicatie aansluit bij de functionele wens, behoefte of businessvraag. De keuze om daar iets mee te doen is uiteindelijk aan de klant zelf, maar wij pakken wel onze rol als adviseur.’
Bij wie kan een klant aankloppen?
Jaap: ‘De klant komt typisch via de SSC-ICT-relatiemanager bij ons terecht. Vervolgens plannen we een intake. We nemen ze kort mee in ons aanbod. Om in de eerdergenoemde metafoor te praten: wij bieden een winkel in het winkelcentrum, maar wij gaan niet in de winkel aan de slag. Dat doen klanten zelf. Voor ons is het dus heel belangrijk om te weten wat ze graag in de cloud willen doen en hoe volwassen hun team is die dit gaat opzetten. We maken als CCoE vervolgens de afweging of het Azure-platform geschikt is. Mogelijk is een on-premise dienst vanuit ons ODC een meer geschikte oplossing.’