Business Lease
Een succesvolle implementatie van een hybride cloudstrategie: een nieuw twin datacenter én een transitie naar de cloud voor Business Lease.
Business Lease Succesvolle hybride cloudstrategie: een nieuw twin datacenter én een transitie naar de cloud
Soms wil een organisatie graag overschakelen naar een cloud-only strategie, maar is het op dat moment nog niet de juiste oplossing voor de situatie. Een hybride cloudstrategie kan dan een goede oplossing zijn.
Voorbeeld van een succesvolle implementatie van zo’n hybride strategie is deze case van Business Lease. Tom Giberius, projectmanager bij CINX, leidde als Manager Infrastructuur a.i. dit succesvolle traject waarbij een hybride IT-landschap is gecreëerd met een twin datacenter, Azure en hosted applicaties met elkaar verbonden door Active Directory, Azure Active Directory en een corporate netwerk.
De situatie
Medio 2017 begon Business Lease aan de vervanging van het ERP-systeem. Dit systeem was gebaseerd op 30 jaar oude technologie en voldeed niet meer aan de eisen van een moderne applicatie.
In eerste instantie koos Business Lease daarbij voor een cloud-only-strategie, waarbij alle applicaties naar de cloud moesten worden gemigreerd. Toen twee jaar later werd besloten om het toenmalige pand – met daarin het datacenter – te verlaten, stond deze keuze voor de cloud-only strategie echter ter discussie.
De projecten voor de vervanging van o.a. het ERP-systeem waren op dat moment nog niet ver genoeg gevorderd om direct aan de cloud-only strategie te voldoen. Daarom is toen gekozen voor een hybride strategie met een nieuw twin datacenter, Azure en een aantal SaaS-applicaties.
De vraag is niet of er een transitie naar de cloud komt, de vraag is alleen wanneer en hoe je dit het beste kunt inzetten.
In opdracht van Jaco Reitsma, toenmalig IT-directeur en opdrachtgever vanuit Business Lease, leverden we vanuit CINX de Manager Infrastructuur a.i. voor de implementatie van deze strategie en hebben we volgens plan het twin datacenter opgeleverd en de transitie van een groot aantal applicaties naar de cloud gerealiseerd.
De resultaten
Office 365 (Microsoft 365)
Exchange on premise is gemigreerd naar Exchange365, de e-mailoplossing Advanced Thread Protection is geïmplementeerd, net als een cloud-based e-mailhandtekeningoplossing. Het Windows File-systeem is geheel vervangen door SharePoint Document Libraties en Microsoft Teams is dankbaar ontvangen door de organisatie.
Laptop/Desktop
Alle thin clients zijn vervangen door desktops en laptops. De software deployment en configuratie hiervan wordt gedaan via Microsoft Intune. De laptops/desktops zijn dan ook niet meer Active Directory joined, maar zijn nu Azure Active Directory joined. Dit is een flexibel systeem, waarbij de geïnstalleerde software, bestaande uit een set van standaardapplicaties en ‘specials’, die op verzoek worden geïnstalleerd door Intune. De ‘end point security’ is tevens volledig geborgd.
Azure
Een ander onderdeel van het project was de volledige herziening van de IAM-procedures (Identity Access Management). Hiertoe is een nieuwe autorisatiematrix ontworpen. Centraal in deze nieuwe authorisatiematrix staat de businessfunctie. Iedere medewerker krijgt een businessfunctie toegewezen en deze functie bepaalt vervolgens de autorisatie in alle applicaties.
Er is gebruik gemaakt van Azure Active Directory (AAD). Tussen Active Directory on premise en AAD is een integratie gemaakt met ADConnect en ADFS. AD on premise bleef leidend als identity provider, maar alle accounts, groepen en lidmaatschappen werden van AD naar AAD gerepliceerd, zodat er één samenhangend systeem ontstond.
AAD was de basis om webapplicaties te integreren, zodat ook in de cloud een SSO-systeem ontstond. Webapplicaties kunnen namelijk niet met AD on premise worden geïntegreerd, omdat ze verschillende protocollen gebruiken.
Daarnaast is in Azure zelf ook een ‘datacenter’ ontworpen. Load kon dus worden geplaatst in het nieuwe Twin Datacenter en in Azure. Hiermee is het Hybride Cloud model geïmplementeerd. Azure, het nieuwe Twin Datacenter en alle locaties zijn verbonden en vormen samen één corporate netwerk.
SaaS-applicaties
Het gekozen architectuur principe is SaaS boven PaaS boven IaaS. Een aantal applicaties zijn direct naar de SaaS-providers verplaatst. De native webapplicaties zijn met Azure Active Directory geïntegreerd voor authenticatie en autorisatie, maar niet alle webapplicaties zijn echter zo ver.
Twin datacenter
Voor het twin datacenter is gekozen voor een active-active stretched twin datacenter. Dit betekent dat de workload over twee datacenters wordt verdeeld. Het geheel is bestand tegen alle vormen van uitval: een heel datacenter kan uitvallen of onderdelen kunnen uitvallen. In alle gevallen wordt de workload automatisch verplaatst. De datacenters zijn gevestigd in Tier-3-datacenters. Hierbij is 100% beschikbaarheid een feit geworden.
Netwerk
Een hybride cloudstrategie vraagt ook om een ander netwerk. Met de ‘oude’ centrale systemen gaat al het netwerkverkeer naar één centrale plaats. Maar met een groot deel van de applicaties in de cloud creëert dat juist bottlenecks in het netwerk. Voor cloudapplicaties is er een ‘local break out’ wenselijk, maar het huidige netwerk was al afgeschreven en niet in support. Uiteindelijk is op alle locaties in vijf landen een nieuw netwerk gebouwd, dat geschikt was voor een hybride architectuur en met een sterk verbeterde netwerk security dankzij Next Generation Firewalls.
Security
Tijdens dit programma heeft security op elk onderdeel een belangrijke rol gepeeld. Het uitgangspunt is ‘Zero Trust’. De security is daarom gedurende dit traject op alle punten sterk verbeterd.
Immutable Back-up
Een goede en betrouwbare back-up speelt een belangrijke rol als verdediging tegen ransomware. Eén van de mogelijkheden voor zo’n back-up is de zogenaamde air-gapped back-up. Dit wordt meestal met tapes gerealiseerd en leidt tot letterlijk duizenden tapes opgeslagen op een externe locatie. In dit traject is een nieuw back-up systeem ontwikkeld met zogenaamde ‘immutable’ storage in AWS. Immutable betekent dat het niet gewijzigd kan worden, ook niet door ransomware. Dit is een unieke oplossing die pas in 2020 mogelijk is geworden.
Tot slot
Het aantal wijzigingen in dit programma is bijzonder geweest, letterlijk alles is veranderd. Leerpunten, spanning en plezier volop voor alle deelnemers in project! Het project is uitgevoerd met het interne team van Business Lease aangevuld met externe specialisten. Het resultaat is een hybride IT-landschap met een twin datacenter, Azure en hosted applicaties met elkaar verbonden door Active Directory en Azure Active Directory en een corporate netwerk.
Meer weten?
Vraagt u zich ook af hoe u uw (gedeeltelijke) transitie naar de cloud het beste vorm kunt geven? We helpen u graag met uw cloudstrategie en dragen zorg voor het ontwerp en implementatie hiervan.
White paper '12 mythes over de cloud'
Regelmatig gaan in de IT verhalen rond, die we aannemen als algemene kennis, maar die in werkelijkheid slechts mythes of geruchten blijken. Met name de Cloud blijft vatbaar voor deze mythes.
Mythes vertragen en maken ons bang, waardoor innovaties achterblijven. Tijd dus om deze verhalen de wereld uit te helpen en de feiten op tafel te leggen!