9min Security

Zó bouw je een goede cloudomgeving, zegt HashiCorp

Geleidelijke uitrol van cloud moet leiden tot minder kopzorgen

Zó bouw je een goede cloudomgeving, zegt HashiCorp

Volgens HashiCorp is een industriestandaard noodzakelijk voor het opzetten en beheren van cloudomgevingen. Het bedrijf besloot niet te wachten tot iemand anders daarmee kwam en presenteerde voorafgaand aan de HashiDays in Londen The Infrastructure Cloud. Een holistische benadering voor de bouw, uitrol en uiteindelijk de ontmanteling van cloudomgevingen. Belangrijke take-away: niet alles in één keer willen, maar wát je doet, meteen goed doen.

De verdere integratie van het HashiCorp-productaanbod, waarover we eerder schreven, komt niet uit de lucht vallen. Het bedrijf heeft zichzelf ten doel gesteld een nieuwe industriestandaard neer te zetten op het gebied van cloud-management en alles wat daarbij hoort, van provisioning, deployment, security, management en destructie.

Een sleutelrol is daarin weggelegd voor een dedicated platform-team dat toeziet op het gebruik van goedgekeurde resources voor iedereen die de omgeving gebruikt. Dat staat los van de eindgebruikers van de cloudinfrastructuur, zoals development teams die de omgeving gebruiken voor de bouw van hun applicaties.

Het platform team zorgt voor de provisioning en het beheer, en voorziet daarnaast in best practices voor collega’s in de app dev-hoek. HashiCorp noemt die ‘golden patterns’. Volgens het bedrijf voorkomt deze aanpak onnodige kosten, vermindert het veiligheidsrisico’s en zorgt het er bovendien voor dat elk bedrijf op eigen tempo zijn cloudbeleid kan laten rijpen.

Alle producten in het portfolio van een bedrijf, inclusief alle onderdelen, plug-ins en apps die daarbij horen, moeten passen in dit model dat voorziet in de volwassenwording van de infrastructuur van deze bedrijven bij hun gang naar de cloud.

Daarvoor onderscheidt HashiCorp telkens drie stappen: adoptie (de initiële gang naar de cloud), standaardisatie en tenslotte schaalvergroting. Uiteraard voorziet het bedrijf voor al die stappen in een bijpassend product, maar, stelt het bedrijf, er is geen reden waarom andere partijen dit model niet zouden kunnen gebruiken.

Weggegooid geld

Volgens HashiCorp is het voor veel bedrijven lastig om het meeste rendement te halen uit hun gang naar de cloud, vanwege de moeilijkheid de vergrote ‘infrastructurele voetafdruk’ te managen. Het is eenvoudigweg moeilijker om overzicht en controle te houden, wat de productiviteit vertraagt en veiligheidsrisico’s met zich meebrengt. Om die stelling te onderbouwen, wijst HashiCorp naar enkele recente onderzoeken.

Uit onderzoek van onderzoeksfirma Gartner blijkt bijvoorbeeld dat 35 procent van de aan cloud toegewijde bedrijfsmiddelen in 2023 weggegooid geld was. Dat kan allerlei redenen hebben, zoals ongebruikte testomgevingen, dure oplossingen die stof verzamelen omdat niemand ze gebruikt, inefficiënte workflows, ongebruikte of achterhaalde resources en vertragende processen.

Daarnaast becijferde HashiCorps beoogde nieuwe eigenaar IBM in zijn meest recente Cost of a Data Breach-rapport dat een lek in een cloudomgeving een bedrijf gemiddeld zo’n 4,5 miljoen dollar kost. Het gaat dan over kosten die te maken hebben met het detecteren en oplossen van het lek, het op de hoogte brengen van alle getroffen partijen, puinruimen na afloop en pogingen om schade te minimaliseren, evenals mogelijke boetes. Dit betreft overigens zowel moedwillige diefstal als het per ongeluk lekken van gevoelige informatie.

Een ander rapport, namelijk de Cloud Business Survey 2023 van PwC, geeft aan dat amper 10 procent van de ondervraagde bedrijven van mening is dat ze zoveel vruchten plukken van hun gang naar de cloud als ze zouden willen. De veronderstelde voordelen van een ‘cloudgang’ blijken dan tegen te vallen, met inefficiënte werkprocessen, ad-hoc oplossingen en te weinig aandacht voor standaardisering, een stap waar men soms eenvoudigweg niet aan toekomt.

Succesvolle cloud-overstap niet vanzelfsprekend

Met andere woorden: een succesvolle overstap naar een cloudomgeving, in welke vorm dan ook, is niet vanzelfsprekend. HashiCorp haalde bovenstaande cijfers aan omdat het duidelijk wil maken dat hun concept van een volwassenwordingsproces voor cloudomgevingen niet alleen een interessante gedachteoefening is, maar noodzaak. Dat het meteen een betekenisgevend kader biedt voor hun vernieuwde, geïntegreerde productreeks, is alleen maar winst.

In de adoptiefase kunnen bedrijven in elk geval nog wegkomen met experimenterende teams die hun tanden zetten in de clouduitdaging van hun bedrijf. Er is nog een ad-hoc benadering mogelijk en tactische oplossingen om alles te laten werken (in tegenstelling tot strategische). Daar kan het echter niet bij blijven, aldus Meghan Liese, Vice President Product Marketing. “Soms ontbreekt een volgende stap in zijn geheel, en blijft het enigszins pionieren.”

Wanneer een stappenplan inclusief checks and balances ontbreekt voor die volgende fase, kan het gebeuren dat ontwikkelteams dingen gaan doen waar andere organisatieonderdelen geen weet van hebben, of andersom. Denk aan het gebruik van een AI zonder dat het management er vanaf weet (een compliance-nachtmerrie), of het draaien van 11 miljoen resources in de omgeving, waarvan er een heleboel afgeschreven zijn.

Standaardisatie essentieel

Daarom is volgens Liese de volgende stap essentieel voor een bedrijf dat serieus nadenkt over zijn cloudstrategie: standaardisatie. Dat houdt in dat er een centraal geleide benadering komt, waarbij het verantwoordelijke Platform Team de vinger aan de pols houdt, inclusief policies over het gebruik van de cloud en de middelen. Dat team beheert, onderhoudt en stemt af met hun interne belanghebbenden, app dev-teams en externe diensten.

De volgende fase betreft het opschalen, waar de cloudinfrastructuur echt volwassen wordt. Hier komt self-service provisioning om de hoek kijken, evenals geautomatiseerde remediatie.

In de waardeketen van cloud management ziet HashiCorp een duidelijke rol voor zichzelf weggelegd op het gebied van infrastructuur (provisioning, implementatie en beheer) aan de ene kant en security (beschermen, inspecteren en verbinden) aan de andere kant. De twee pijlers staan aan de basis van het zogeheten Maturity Model, waarin in elke fase en voor elke pijler telkens een niveau van verfijning plaatsvindt en de daarbij horende waardevermeerdering van de infrastructuur.

Infrastructure-as-code

Let wel: het is dus niet zo dat een bedrijf in de adoptiefase maar wat aanrommelt. Het heeft z’n zaken wel degelijk op orde, bijvoorbeeld door vanaf dag één te voorzien in infrastructure-as-code om iedereen te voorzien van een consistente en herhaalbare codebasis. Daarmee beschikt iedereen over dezelfde best practices en hoeft niemand het wiel opnieuw uit te vinden.

Tegelijk gebeurt de bouw van de omgeving op een manier en op een schaal die past bij zo’n opstartfase. De tijd is eenvoudigweg nog niet rijp voor allerlei geavanceerde functionaliteiten. In de adoptiefase gaat het aanvankelijk nog over zaken als versiecontrole, rolgebaseerde toegang en versleuteld netwerkbeheer.

Schermafbeelding-2024-06-06-223721
Het Maturity Model dat de rol van Terraform toont bij het automatiseren van cloudinfrastructuren (klik om te vergroten)

Cloud volwassen laten worden

In de volgende fase van standaardisatie maakt policy-as-code zijn intrede, waardoor gebruikers niet telkens hoeven na te denken over het beleid dat gemoeid is met de infrastructuur. Dit zit eenvoudigweg ingebakken in de code. Ook is dit de fase om disaster recovery en geautomatiseerde audits in te voeren. Dit om de continuïteit te waarborgen, evenals geïntegreerde en geautomatiseerde toegang op basis van privileges (onder andere). Hier wordt de cloud dus volwassen.

De volgende fase, die van het opschalen, betreft onder meer een hoge mate van self-service voor de onderdelen of teams die afhankelijk zijn van de cloudomgeving en de diensten die eraan hangen. Denk aan no-code provisioning en een gestandaardiseerd proces voor app delivery. Lifecycle-management is in deze fase verregaand geautomatiseerd en encryption as a service doet hier zijn intrede. Met andere woorden: waar in de voorgaande fases zo hard aan gebouwd is, moet hier zijn vruchten gaan afwerpen doordat het met relatief minder inspanning uitgebreid kan worden.

Elk van de producten in het HashiCorp Cloud Platform (HCP) is door het model heen geweven. Wel kun je zeggen dat wat betreft de pijler infrastructuur een prominente rol is weggelegd voor met name Terraform, Packer, Waypoint en Nomad. Wanneer het over de security gaat, in welke fase dan ook, dan dienen Vault, Boundary en Consul zich aan. Vagrant, dat het opzetten van VM’s vereenvoudigt, staat enigszins los van dit hele verhaal. Het komt in elk geval niet voor in het door HashiCorp aangeprezen model.

Credentialing op orde is stap één

Hoe begin je nu aan zo’n maturity model? In de eerste plaats goed over de provisioning en het management van de omgeving nadenken, evenals identiteits- en toegangsmanagement. “Je credentialing op orde om in elk geval dié attack vector weg te nemen, is eigenlijk het makkelijkste probleem om op te lossen”, aldus Senior Developer Advocate Kerim Satirli. Laat security nu ook voor partners topprioriteit zijn, vooral in Europa overigens.

Niet dat ze in landen als de VS geen oog zouden hebben voor security, maar daar leggen ze meer de nadruk op efficiency. Dat is althans de indruk van het development advocacy-team dat Satirli leidt, zeg maar de bedrijfsambassadeurs richting ontwikkelaars. “Ze houden daar meer van coden om het coden”, zegt hij. In Europa is er, zeker vanwege richtlijnen als NIS2 en wetgeving rond privacy, meer te doen om security. HashiCorp hamert om deze reden op provisioning van de cloudinfrastructuur via infrastructure-as-code. Niet toevallig is dit waar Terraform in uitblinkt.

Nu is de grootste hype rond cloudinfrastructuren wel voorbij, maar volgens Satirli heeft hij in de tijd van de cloud-hype gezien dat een bedrijf zo’n twee, drie keer een move naar de cloud heeft overwogen, het om wat voor reden dan ook niet van de grond kreeg en er vervolgens maar de brui aan gaf. En daarmee dus een heleboel mogelijkheden liet liggen. “Deze aanpak zien we dus niet als puur van ons, we denken dat alle bedrijven hier iets aan hebben.”

Alléén open-source niet genoeg voor enterprise-cloud

Als bedrijven cloud goed willen doen (Do Cloud Right, zoals het motto luidt op de HashiDays-conferentie die afgelopen week in Londen plaatsvond) dan kunnen ze niet afhankelijk zijn van alléén open-source oplossingen, meent vice president Product Marketing Meghan Liese overigens. Hoewel ze uiteraard de meerwaarde ziet van open-source, ziet ze tegelijk dat voor enterprise klanten de enorme reikwijdte van alle beschikbare opties een afschrikwekkende werking kan hebben.

“Veel bedrijven zijn gewoon op zoek naar een oplossing die op termijn kan schalen, niet naar zoveel mogelijk keuze.” HashiCorp voorziet daarom in een reeks validated designs die volgens het bedrijf klanten op weg helpt, zeker in de adoptiefase.

HashiCorp heeft een whitepaper geschreven over The Infrastructure Cloud dat hier is te downloaden.