Je hebt als bedrijf een cloudomgeving in gebruik via een managed service provider (MSP). Hoe weet je dan dat je MSP ook genoeg kennis heeft van de cloud? Heeft de MSP in het geval van problemen ook genoeg kennis om het op te lossen? Kan de MSP de SLA wel garanderen? Is je cloudpartner überhaupt gecertificeerd voor AWS, Azure of Google?
De meeste bedrijven kiezen vandaag voor een multicloudstrategie. Dat betekent dat ze niet langer hun workloads enkel on-premises draaien, maar ook in één of meerdere clouds. De migratie naar de cloud doen sommige bedrijven zelf, maar veel bedrijven gebruiken hiervoor een MSP die clouddiensten levert inclusief services. Daarmee ontzorgen ze de klant. Veel bedrijven vergeten bij het kiezen van een MSP ook te toetsen of de MSP wel genoeg cloud kennis heeft, gecertificeerd is en past bij hun IT-strategie.
In principe kan iedereen zich een managed service provider noemen. Dit wordt nergens gecontroleerd en er hangen geen eisen aan. De studerende zoon van de bakker kan in theorie je MSP zijn. Nou zal het zo’n vaart niet lopen, maar er zijn honderden, zo niet duizenden, kleinere IT-bedrijven in Nederland. Die kunnen niet allemaal dezelfde kwaliteit bieden. Het kan dus zeker geen kwaad om je huidige MSP eens tegen het licht te houden. Of als je de keuze nog moet maken, eens wat kritische vragen te stellen.
Hoe werkt cloudcertificering?
Wij spraken met Mirco Wienen, CTO Consulting bij Sentia, over cloudcertificeringen. Bij Sentia weten ze er alles van, want ze zijn er gedurende het hele jaar mee bezig om ervoor te zorgen dat ze het jaar daarop wederom gecertificeerd zijn. Het behalen van cloudcertificeringen is dus zeker niet iets wat je eventjes kan regelen, daar komt het een en ander bij kijken.
Individuele cloudcertificering
Om te beginnen is het goed om twee zaken goed te scheiden. Aan de ene kant heb je cloudcertificeringen die je als persoon kan halen. Hiervoor kan bijvoorbeeld een cloudarchitect of securityspecialist een examen afleggen dat door de cloudproviders wordt aangeboden. Als de persoon slaagt voor dit examen heeft hij of zij bewezen over voldoende kennis te beschikken van een bepaalde technologie of cloudservice. Hiervoor ontvangt deze persoon op naam een certificering die één of meerdere jaren geldig is. Na het verlopen van de certificering zal het examen opnieuw gedaan moeten worden, tegen de op dat moment huidige standaard. Cloudontwikkelingen staan niet stil, dus ook de examens niet.
De cloud MSP certificering
Aan de andere kant zijn er de cloud MSP-programma’s die AWS, Azure en Google in het leven hebben geroepen. Om als bedrijf hieraan deel te nemen, moet je aan flink wat eisen voldoen. We vroegen aan Wienen hoe dit in zijn werk gaat. Wienen vertelt dat Sentia op dit moment gecertificeerd is voor twee MSP-programma’s: Amazon Web Services (AWS) en Microsoft Azure.
Zo legt Wienen uit dat om als bedrijf gecertificeerd te worden voor zo’n cloud MSP-programma je eerst een heel traject moet doorlopen binnen je eigen bedrijf. Je moet namelijk alle opdrachten en projecten goed documenteren. Hiermee verzamel je ook bewijs om aan te tonen dat je over bepaalde competenties beschikt. Uiteindelijk komt er een onafhankelijke organisatie langs om een audit te doen, waarbij het bedrijf al het bewijs moet tonen, demonstreren en toelichting moet geven op verschillende uitgevoerde projecten om uiteindelijk voldoende punten te halen om in aanmerking te komen voor het cloud MSP-programma.
Wienen legt uit dat de cloudproviders elk jaar een hele lijst maken met competenties waaraan je kan voldoen, elke competentie levert een bepaalde hoeveelheid punten op. Als je voldoende punten hebt, kom je in aanmerking voor het cloud MSP-programma. Daarnaast zijn er ook nog knock-out criteria. Als je daar niet aan kan voldoen, kom je überhaupt niet in aanmerking.
Wat zijn knock-out criteria?
- Aantal mensen in dienst met individuele cloudcertificeringen;
- Solution selling, dat wat er verkocht wordt, ook daadwerkelijk geleverd wordt;
- Op security gebied zijn er meerdere knock-out criteria;
- Het hebben van openbare klantreferenties;
- Goede en duidelijke cloud compatible standaardcontracten met de klant;
- Het bieden van cloud SLA’s;
Dit zijn slechts enkele voor de hand liggende knock-out criteria. Er zijn wat verschillen per cloud en de lijst met knock-out criteria wordt ook elk jaar bijgewerkt. Door deze knock-out criteria ligt er al een kleine drempel, waarmee voor de eindklant een aantal zekerheden zijn ingebakken.
Het puntensysteem
Daarbovenop komt dan nog het puntensysteem. Wienen legt uit dat er honderden competenties zijn, die allemaal punten waard zijn. Een aantal competenties moeten sowieso worden behaald, maar er zijn ook competenties die beter passen bij de ene MSP dan bij de andere. Uiteindelijk valt er binnen de cloud ook nog genoeg te specialiseren.
Wat wel belangrijk is, is dat voor elk project dat je als bedrijf doet alles wordt gedocumenteerd, er vooraf een duidelijk plan is, er wordt gewerkt met templates, dat er standaarden worden aangehouden, dat de security best practices goed zijn doorlopen en dat de klant een goed beeld heeft van de kosten. Deze lijst is overigens langer, stelt Wienen.
Wienen stelt dat het project zelf geen on-demand constructie moet zijn, maar er vooraf een gedegen plan van aanpak wordt gemaakt. “Hierbij is de complete omgeving door een architect uitgedacht op basis van de wensen en eisen van de klant, gecombineerd met onze expertise. Uiteindelijk moeten we als cloud MSP exact uit kunnen leggen waarom we een omgeving op een bepaalde manier hebben ingericht, waarom we gebruik maken van bepaalde services, hoe we tot het security beleid zijn gekomen en of daar een aanvaardbaar prijskaartje aan hangt voor de klant. Kostenbeheersing vormt een belangrijk onderdeel van de doelstellingen en dus het project.”
De audit van de cloud MSP
Tijdens de audit komt er een onafhankelijk bedrijf langs om alle documentatie en projecten te bekijken. “Ook dan voeren wij intensief gesprekken om ons werk toe te lichten. De auditeur toetst vervolgens alles wat we aanleveren en bepaalt of we voldoen aan de knock-out criteria en hoeveel punten we gehaald hebben. Dat eindresultaat communiceert de auditeur vervolgens met de cloudprovider.“
We vroegen ons af of alle klantgegevens dan ook automatisch bij de cloudproviders belanden. Dat is zeker niet het geval, verzekert Wienen. Bij de meeste projecten zijn de klantnaam, de applicaties en data helemaal niet belangrijk. Het gaat dan bijvoorbeeld over hoe de cloudinfrastructuur is opgebouwd, wat voor soort infrastructuur er is gemigreerd, welke procedures er zijn gevolgd en welke security best practices zijn geïmplementeerd. En of het proces is gevolgd.
Daarnaast zijn er openbare referenties, waarbij de klant toestemming heeft gegeven dat zijn naam gebruikt mag worden door Sentia. Soms wordt er toestemming gevraagd om voor de certificering bepaalde elementen te mogen tonen aan de auditeur. Wienen stelt dat het daarbij goed is om te vermelden dat de auditeur op locatie langskomt bij de “potentiële” cloud MSP, daar alle bewijzen krijgt gepresenteerd, maar uiteindelijk niets mee naar huis neemt of mag kopiëren. De auditeur is er puur ter controle en het opmaken van het scoringsrapport. Er is dus een scheiding tussen de klant, de MSP en de cloudprovider.
Kan iedereen cloud MSP-partner worden?
Grote vraag is natuurlijk of elk bedrijf zo’n audit kan halen. Wienen zegt dat het voor kleine bedrijven niet te doen is. Je moet een bepaalde capaciteit hebben om goed mee te kunnen doen aan zo’n cloud MSP-programma. Hij legt uit dat Sentia nu zo’n 60 mensen in dienst heeft die diverse persoonlijke certificeringen hebben voor AWS. Er zijn om en nabij 50 mensen gecertificeerd voor Azure in dienst.
Het opleiden en certificeren van al deze mensen is niet voor elk bedrijf haalbaar. Een AWS Foundation of Azure Fundamentels certificering is nog redelijk makkelijk te halen, maar de stap erna, de professionals, is echter al een stuk pittiger. Daar is gewoon training voor nodig. Bij Sentia gebeurt dat deels onder werktijd, maar ook in de eigen tijd van de werknemer. De cursussen worden wel allemaal betaald door Sentia, want het bedrijf is erbij gebaat dat het personeel zijn certificeringen haalt. Anders komt ook het cloud MSP-programma onder druk te staan. Alles bij elkaar hangt er gewoon een prijskaartje aan. Sentia investeert flink in het vergroten van het aantal cloud gecertificeerde engineers.
Jaarplanning om audit te halen
We vroegen ons ook af of elk project geschikt is voor de audit. Als je veel dezelfde projecten hebt, is het misschien niet divers genoeg? Wienen zegt hierover dat ze vanuit compliance iemand hebben die zich hier een dag in de week mee bezighoudt. “Er wordt een heel plan gemaakt welke certificeringen we in het jaar willen halen, zodat we aan het einde van de rit ruimvoldoende punten hebben en aan de eisen voldoen. Daarnaast telt alles mee van de afgelopen 12-18 maanden, dus er is een overlap waar je soms van kan profiteren.”
Casus op papier
Ook is in sommige specifieke gevallen het niet verplicht om de casus rond een klant op te bouwen. De certificering kan ook worden gehaald door het project volledig op papier uit te voeren en voldoende mensen in dienst te hebben die bijvoorbeeld zijn gecertificeerd voor een cloudtechnologie. AWS heeft bijvoorbeeld Direct Connect en Azure Express Route. Dat zijn privéverbindingen direct naar het clouddatacenter. “Dat is eenvoudig om op papier uit te werken. We hebben ook ruimvoldoende mensen in dienst die hier kennis van hebben, dus die punten kunnen we op papier zonder klant binnenhalen. Het vereist wel wat werk uiteraard.”
Wat vindt Wienen zelf van het programma?
Wienen geeft aan dat het goed is dat de grote cloudproviders zo’n programma hebben opgezet en dat er duidelijke en soms forse eisen zijn voordat je zo’n MSP certificering krijgt. Het zorgt er namelijk voor dat klanten die bekend zijn met de cloud MSP-programma’s en certificeringen ook een stukje zekerheid krijgen als ze voor zo’n partner kiezen. “Als je bent gecertificeerd kan een klant ervan uitgaan dat je alle afspraken kan nakomen, voldoende kennis hebt en dat er zelfs goed op de kosten wordt gelet. “
Daar staat volgens Wienen tegenover, dat de programma’s helaas nog niet zo bekend zijn. De echt grote enterprise-organisaties kennen ze wel, maar in het midden- en groot-zakelijk hebben veel bedrijven geen kennis van de cloud MSP-programma’s. Daardoor kiezen ze soms voor een niet gecertificeerde partner en hebben ze een minder plezante ervaring. Dat is dan heel vervelend en geeft MSP’s in het algemeen een slechte naam. Wienen zou dan ook graag wat meer aandacht willen zien voor de cloudcertificeringen en de MSP-programma’s, zodat bedrijven zich er bewuster van worden.
Uiteindelijk zegt Wienen dat het een grote investering is vanuit een bedrijf om deel te nemen aan dergelijke programma’s en je wel het gevoel wil hebben dat je het op een of andere manier terugverdient. Dat is nu nog niet altijd zo. Er is dus nog werk aan de winkel voor de cloudproviders om hun programma’s bekender te maken of beter af te stemmen.
Tot slot vroegen we Wienen nog naar Google, dat ook zo’n programma heeft. Wienen zegt dat Sentia hier al wel voorzichtig naar gekeken heeft. Het bedrijf heeft een aantal mensen gespecialiseerd in en gecertificeerd voor Google Cloud. De vraag vanuit klanten voor Google Cloud is op dit moment nog niet voldoende om deel te nemen aan het programma. Wel durft hij te stellen dat als die vraag toeneemt en het aantal specialisten groeit, ze zeker zullen instappen.