Public Cloud
Hoe het werkt
Public cloud infrastructuur is eigendom van en wordt beheerd door een externe provider — AWS, Microsoft Azure, Google Cloud Platform (GCP) of anderen — en wordt gedeeld door meerdere tenants. Je verbruikt resources on demand, betaalt per gebruik, en de provider verzorgt hardware-inkoop, fysieke beveiliging en basisplatformbeheer.
De grote providers opereren wereldwijd regio's. AWS heeft regio's in Ierland (eu-west-1), Frankfurt (eu-central-1) en Mumbai (ap-south-1). Azure opereert in West Europe (Nederland), Germany West Central en Central India. GCP biedt europe-west4 (Nederland) en asia-south1 (Mumbai). Regioselectie is cruciaal voor latency, data residency en pricing — het is geen bijzaak.
Wanneer public cloud de juiste keuze is
- Variabele of onvoorspelbare workloads: auto-scaling elimineert capaciteitsplanningsgiswerk. Je betaalt voor wat je gebruikt, niet voor wat je mogelijk nodig hebt.
- Startups en fast-iteration teams: nul initiële CapEx, directe provisioning. Eerst uitleveren, daarna optimaliseren.
- Stateless of cloud-native applicaties: gecontaineriseerde microservices, serverless functies (AWS Lambda, Azure Functions, Cloud Run) en managed databases (RDS, Cloud SQL) zijn gebouwd voor public cloud primitieven.
- Dev/test-omgevingen: opzetten, tests draaien, afbreken. Gereserveerde capaciteit is hier zinloos.
Waar public cloud tekortschiet
- Data-soevereiniteitsbeperkingen: AVG (GDPR) Artikel 44 beperkt de overdracht van persoonsgegevens buiten de EER, tenzij afdoende waarborgen bestaan. Het gebruik van de EU-regio van een in de VS gevestigde provider is doorgaans acceptabel, maar de Schrems II-implicaties en de ontwikkelingen rondom het EU-VS Data Privacy Framework vereisen juridische beoordeling — niet alleen regioselectie. De Autoriteit Persoonsgegevens houdt hier actief toezicht op. Onder India's DPDPA 2023 kan de centrale overheid overdrachten naar specifieke landen beperken — organisaties moeten deze kennisgevingen actief volgen.
- Stabiele workloads met hoge benutting: een VM die 24/7 op 80%+ benutting draait, is vrijwel altijd goedkoper on-premises of in private cloud. Reserved Instances en Savings Plans (doorgaans 30–60% besparing ten opzichte van on-demand pricing, volgens AWS-documentatie) dichten de kloof maar elimineren deze niet voor werkelijk statische belasting.
- Zwaar gereguleerde omgevingen: sommige financiële toezichthouders (zoals DNB in Nederland of BaFin in Duitsland) en defensie-instanties vereisen fysieke isolatie die logische tenancy-scheiding in de public cloud niet biedt.
Private Cloud
Hoe het werkt
Private cloud wijdt infrastructuur exclusief aan één organisatie. Deze kan on-premises draaien in je eigen datacenter of worden gehost door een derde partij (hosted private cloud). Het bepalende kenmerk is single-tenancy en directe controle over de volledige infrastructuurstack.
Moderne private clouds maken gebruik van dezelfde orchestratietechnologieën als public providers. VMware Cloud Foundation, OpenStack, Nutanix en Azure Stack HCI bieden intern IaaS-achtige consumptiemodellen. Kubernetes-distributies zoals Red Hat OpenShift of Rancher voegen containerorchestratie toe.
Wanneer private cloud zinvol is
- Strenge compliance-regimes: financiële instellingen onder toezicht van DNB of de AFM kunnen te maken hebben met eisen die verifieerbare fysieke isolatie vereisen. Zorginstellingen die patiëntgegevens verwerken onder de AVG geven vaak de voorkeur aan private infrastructuur om de accountability-keten te vereenvoudigen.
- Voorspelbare, compute-intensieve workloads: HPC-workloads, grootschalige batchverwerking of ML-training op dedicated GPU-clusters kunnen kosteneffectiever zijn op eigen hardware wanneer de benutting hoog blijft.
- Afhankelijkheden van legacy-applicaties: mainframe-gerelateerde workloads of applicaties met hardcoded IP-afhankelijkheden, niet-TCP/IP-protocollen of licenties gekoppeld aan fysieke cores zijn vaak niet naar de public cloud te verplaatsen zonder herschrijven.
De werkelijke kosten die mensen onderschatten
Private cloud is niet "gratis omdat we de servers al bezitten." Opsio's Cloud FinOps engagements laten consequent verborgen kosten zien: energieverbruik en koeling van de faciliteit, hardware-verversingsycli (doorgaans 3–5 jaar), personeel voor firmware, patches en fysieke beveiliging, plus de opportuniteitskosten van engineers die ondifferentiërend zwaar werk doen in plaats van productfuncties te bouwen.
De eerlijke rekensom: als je gemiddelde benutting onder de 60% ligt, betaal je waarschijnlijk te veel voor private cloud. Ligt die consistent boven de 75%, dan bespaar je waarschijnlijk ten opzichte van public cloud on-demand pricing — maar dan moet je de agility-kosten van inkoopdoorlooptijden meewegen.
Hybrid Cloud
Hoe het werkt
Hybrid cloud verbindt private infrastructuur (on-premises of gehost) met een of meer public cloud omgevingen via orchestratie, netwerkkoppelingen en vaak gedeelde identiteitslagen. Het cruciale verschil met simpelweg beide gebruiken is integratie: workloads, data en management planes opereren gecoördineerd over omgevingen heen.
Kerntechnologieën zijn onder meer:
| Technologie | Doel | Voorbeelden |
|---|---|---|
| Hybride connectiviteit | Privénetwerkverbindingen tussen on-prem en cloud | AWS Direct Connect, Azure ExpressRoute, GCP Cloud Interconnect |
| Hybride compute | Clouddiensten on-premises draaien | AWS Outposts, Azure Arc, Google Anthos |
| Identity federation | Eén identiteit over omgevingen heen | Azure AD (Entra ID), Okta, AWS IAM Identity Center |
| Containerorchestratie | Workload-portabiliteit | Kubernetes (EKS, AKS, GKE) met consistente manifests |
| Monitoring en observability | Uniform overzicht | Datadog, Dynatrace, Grafana Cloud |
Waarom hybrid dominant is bij enterprise-adoptie
Volgens Flexera's State of the Cloud is hybrid al jarenlang de dominante enterprise-strategie. De redenen zijn praktisch, niet theoretisch:
1. Migratie is geleidelijk: geen enkele enterprise tilt alles in één stap naar de public cloud. Hybrid is de natuurlijke overgangsarchitectuur tijdens elk Cloud Migratie programma.
2. Flexibiliteit in workload-plaatsing: gevoelige data blijft op private infrastructuur, terwijl klantgerichte applicaties schalen in de public cloud. Een Nederlandse e-commerceonderneming kan persoonsgegevens in een Nederlands privaat datacenter houden, terwijl de CDN- en computelaag draait op AWS eu-west-1 (Ierland) of Azure West Europe.
3. Burst-capaciteit: draai baseline compute on-premises en burst naar de public cloud bij pieken — Black Friday-verkeer, kwartaaleindeverwerking, seizoensgebonden vraag.
4. DR en veerkracht: gebruik de public cloud als disaster recovery-target voor on-premises workloads. AWS Elastic Disaster Recovery, Azure Site Recovery en vergelijkbare diensten maken dit operationeel haalbaar.
Operationele uitdagingen van hybrid cloud
Hybrid is niet "het beste van twee werelden" zonder inspanning. Vanuit Opsio's 24/7 NOC-operaties voor hybride omgevingen zijn de terugkerende pijnpunten:
- Netwerkcomplexiteit: latencygevoelige workloads verdeeld over omgevingen creëren debugnachtmerries. Als je database on-prem staat en je applicatie in de public cloud draait, doorkruist elke query de interconnect. Meet dit vóórdat je het zo ontwerpt.
- Inconsistente security posture: firewall-regels on-prem, security groups in AWS, NSGs in Azure — drie verschillende policy-talen die dezelfde intentie beschrijven. Drift is onvermijdelijk zonder Infrastructure as Code (Terraform, Pulumi) en continue policy-validatie (OPA, Checkov).
- Monitoring-fragmentatie: een alert gaat af in CloudWatch, een andere in je on-prem Zabbix-instance, en een derde in Datadog. Zonder een uniforme observability-laag besteedt je SOC-team tijd aan correleren over consoles in plaats van incidenten op te lossen.
Multi-Cloud
Multi-cloud vs. hybrid: een noodzakelijk onderscheid
Deze termen worden vaak door elkaar gebruikt. Dat zou niet moeten. Hybrid betekent het combineren van private en public infrastructuur. Multi-cloud betekent het gebruiken van twee of meer public cloud providers. Een organisatie die AWS en Azure gebruikt, is multi-cloud. Een organisatie die AWS en een on-premises VMware-cluster gebruikt, is hybrid. Een organisatie die beide doet, is hybrid multi-cloud — en het beheren daarvan is het meest operationeel complexe scenario in cloudinfrastructuur.
Bewust vs. per ongeluk multi-cloud
Dit onderscheid is belangrijker dan welk architectuurdiagram dan ook. De meeste multi-cloud omgevingen ontstaan per ongeluk: het productteam koos AWS, het datateam koos GCP voor BigQuery, en het bedrijf nam een organisatie over die alles op Azure draaide. Niemand plande het; het is gewoon zo gelopen.
Bewuste multi-cloud kent specifieke rechtvaardigingen:
- Regulatoire eisen: sommige Europese financiële toezichthouders (waaronder DNB) vereisen mitigatie van concentratierisico — niet afhankelijk zijn van één cloud provider voor kritieke diensten. NIS2 Artikel 21 vereist in bepaalde interpretaties "multi-vendor ICT-strategieën" voor essentiële entiteiten.
- Best-of-breed diensten: GCP BigQuery voor analytics, AWS voor generieke compute, Azure voor Microsoft 365-integratie en Active Directory. Dit is verdedigbaar wanneer de kosten van cross-cloud networking en operationele overhead opwegen tegen het voordeel op serviceniveau.
- Geografische dekking: geen enkele provider heeft overal regio's. Een organisatie die lokale compute nodig heeft in een land waar slechts één provider een regio heeft, is per definitie multi-cloud.
De operationele belasting van multi-cloud
Bij het uitvoeren van Opsio's Managed DevOps over multi-cloud estates zien we de operationele belasting duidelijk:
- IAM-divergentie: AWS IAM, Azure Entra ID en GCP IAM gebruiken verschillende permissiemodellen, verschillende trust chain-mechanismen en verschillende audit log-formaten. Het bouwen van een uniforme access governance-laag vereist aanzienlijke toolinginvestering.
- Gefragmenteerde kostenvisibiliteit: AWS Cost Explorer, Azure Cost Management en GCP Billing Export leveren data in verschillende schema's. Zonder een Cloud FinOps platform (Apptio Cloudability, Vantage of vergelijkbaar) kun je niet beantwoorden "wat kost deze applicatie per maand?" over providers heen.
- Kennisspreiding: elke cloud provider heeft duizenden diensten. Diepe expertise in alle drie is zeldzaam. Teams die zich over providers verspreiden, beheersen er geen meesterlijk.
De eerlijke aanbeveling: streef niet naar multi-cloud als strategie. Kies het alleen wanneer je een specifieke, verdedigbare reden hebt voor elke extra provider, en budgetteer voor de operationele overhead die het creëert.
Community Cloud
Community cloud — gedeelde infrastructuur voor organisaties met gemeenschappelijke eisen — is het minst besproken model maar blijft relevant in specifieke sectoren. Voorbeelden zijn overheids-community clouds (AWS GovCloud, Azure Government), onderzoeksgemeenschappen (GÉANT in Europa, SURF in Nederland) en brancheconsortia die compliant infrastructuur delen.
In de praktijk is community cloud architecturaal vergelijkbaar met een private cloud met gedeelde tenancy onder gescreende organisaties. De relevantie is beperkt maar reëel: als je een Nederlandse gemeente bent die infrastructuur deelt met andere gemeenten via VNG (Vereniging van Nederlandse Gemeenten) of via DigiD-achtige voorzieningen, maak je gebruik van community cloud.
Vergelijking van Cloud Deployment Modellen
| Dimensie | Public Cloud | Private Cloud | Hybrid Cloud | Multi-Cloud |
|---|---|---|---|---|
| Eigendom | Provider-eigendom, gedeeld | Organisatie-eigendom of gehost | Gemengd | Meerdere providers |
| CapEx | Geen (alleen OpEx) | Hoog (hardware, faciliteit) | Gemengd | Geen per provider, hoog totaal |
| Schaalbaarheid | Nagenoeg onbeperkt | Beperkt door capaciteit | Burst naar public | Nagenoeg onbeperkt per provider |
| Controle | Beperkt (provider API's) | Volledig | Verdeeld | Beperkt per provider |
| Compliance-eenvoud | Matig (shared responsibility) | Hoog (je bezit de stack) | Complex (meerdere scopes) | Meest complex |
| Operationele complexiteit | Laag tot matig | Matig tot hoog | Hoog | Hoogst |
| Geschikt voor | Variabele workloads, startups | Gereguleerd, stabiel | Meeste enterprises | Specifieke best-of-breed behoeften |
| Vendor lock-in risico | Hoog (enkele provider) | Laag (je bent eigenaar) | Matig | Laag (by design) |
Hoe kies je het juiste cloud deployment model?
Het kiezen van een deployment model is een beslissing op workload-niveau, niet op organisatieniveau. Verschillende applicaties binnen dezelfde organisatie horen legitiem in verschillende modellen thuis. Dit is het besliskader dat Opsio hanteert:
Stap 1: Classificeer je workloads
Beoordeel per workload:
- Datagevoeligheid: verwerkt de workload persoonsgegevens onder de AVG, financiële data onder toezicht van DNB/AFM, of gezondheidsdata onder nationale gezondheidswetgeving? Onder NIS2 moeten essentiële en belangrijke entiteiten in 18 sectoren risicobeheermaatregelen implementeren die deployment-opties kunnen beperken.
- Prestatieprofiel: latencygevoelig (moet dicht bij gebruikers of andere systemen staan), doorvoer-intensief (vereist hoge bandbreedte), of compute-intensief (vereist specifieke hardware zoals GPU's)?
- Vraagvariabiliteit: stabiel, seizoenspieken, of onvoorspelbare uitschieters?
- Integratieafhankelijkheden: is deze workload afhankelijk van on-premises systemen (databases, mainframes, legacy API's)?
Stap 2: Breng beperkingen in kaart
- Regulatoir: AVG data-residency vereisten, DPDPA 2023 beperkingen op grensoverschrijdende overdracht, sectorspecifieke regels (PSD2 voor betalingsverkeer, MiFID II voor handel). De Autoriteit Persoonsgegevens handhaaft actief en heeft meermaals boetes opgelegd voor onvoldoende technische waarborgen bij cloudgebruik.
- Financieel: beschikbaar CapEx-budget, bestaande hardware met resterende levensduur, committed spend-overeenkomsten met providers.
- Organisatorisch: teamvaardigheden, bestaande tooling, leveranciersrelaties.
Stap 3: Selecteer per workload, aggregeer daarna
Als elke workload een doelmodel heeft, bepaalt het totaalbeeld je organisatiemodel. Als elke workload op public cloud richt, ben je public-cloud-only. Als workloads private en public beslaan, ben je hybrid. Als ze meerdere public providers beslaan, ben je multi-cloud.
Stap 4: Herbeooreel periodiek
Cloud deployment is geen set-and-forget beslissing. Workload-kenmerken veranderen. Prijzen veranderen. Regelgeving verandert. Opsio adviseert minimaal jaarlijks een formele herbeoordeling, afgestemd op contractverlengingscycli en compliance-auditschema's.
Compliance-overwegingen voor de EU en India
Europese Unie en Nederland
AVG (GDPR): Artikel 44 beperkt de overdracht van persoonsgegevens buiten de EER. Keuzes voor deployment modellen moeten ervoor zorgen dat data residency-controles architectureel worden afgedwongen, niet alleen op beleidsniveau. AWS, Azure en GCP bieden allemaal EU-regio data residency-commitments, maar configuraties zoals cross-region replicatie, CDN-caching en support-access tooling kunnen data onbedoeld buiten de beoogde grenzen overdragen. De Autoriteit Persoonsgegevens heeft in haar handhavingsbeleid benadrukt dat technische maatregelen doorslaggevend zijn.
NIS2-richtlijn: van toepassing sinds oktober 2024. In Nederland is de implementatie in nationale wetgeving onder verantwoordelijkheid van het Ministerie van Justitie en Veiligheid. NIS2 vereist dat essentiële en belangrijke entiteiten passende technische en organisatorische maatregelen treffen voor cybersecurity-risicobeheer. Dit omvat supply chain security — je cloud provider maakt deel uit van je toeleveringsketen. Deployment model-beslissingen moeten documenteren hoe elk model voldoet aan de eisen van NIS2 Artikel 21.
Cloud-soevereiniteit: Duitslands BSI C5-attestatie en Frankrijk's SecNumCloud-label stellen aanvullende eisen aan cloud providers. Nederlandse organisaties die in deze markten opereren, kunnen te maken krijgen met providers die specifieke nationale certificeringen moeten hebben, wat deployment model-opties kan beperken.
India
DPDPA 2023: India's Digital Personal Data Protection Act geeft de centrale overheid de bevoegdheid om grensoverschrijdende overdracht van persoonsgegevens te beperken tot aangemelde landen. Organisaties die in India deployen, moeten ervoor zorgen dat primaire dataverwerking plaatsvindt in Indiase regio's (AWS ap-south-1 Mumbai, Azure Central India, GCP asia-south1 Mumbai) met architecturele controles die data-egress naar niet-goedgekeurde jurisdicties voorkomen.
RBI-richtlijnen: financiële dienstverleners in India moeten voldoen aan het RBI-framework voor uitbesteding van IT-diensten, dat specifieke eisen stelt aan datalokalisatie en audittoegangstot cloud provider-infrastructuur.
Wat Opsio ziet: operationele patronen over deployment modellen heen
Door het draaien van 24/7 SOC- en NOC-operaties over klantomgevingen in alle deployment modellen komen consistent dezelfde patronen naar voren:
Hybride omgevingen genereren de meeste incidenten door netwerkgrens-failures. De interconnect tussen on-premises en public cloud (Direct Connect, ExpressRoute) is een single point of failure dat teams onvoldoende monitoren. Wanneer deze degradeert, manifesteren symptomen zich als applicatietraagheid in plaats van netwerkfalen, wat leidt tot misdirected troubleshooting.
Multi-cloud kostentoerekening is de grootste FinOps-uitdaging. Organisaties die workloads over twee of meer providers draaien, worstelen consequent met basisvragen als "wat kost deze applicatie per maand?" zonder dedicated tooling en tagging-discipline.
Private cloud omgevingen driften het snelst af van security baselines. Public cloud providers updaten continu standaardconfiguraties (encryption-at-rest defaults, TLS-minima, public-access blocks). Private cloud infrastructuur behoudt de configuratie die bij deployment was ingesteld, tenzij actief onderhouden.
Public-cloud-only organisaties adopteren het snelst nieuwe mogelijkheden, maar accumuleren ook de meeste ongebruikte resources. Het gemak van provisioning creëert wildgroei. Flexera's State of the Cloud identificeert cloudverspilling consequent als topzorg, en pure public-cloud omgevingen zijn waar Opsio's FinOps-praktijk de meeste optimalisatiekansen vindt.
Veelgestelde Vragen
Wat zijn de 4 cloud deployment modellen?
De vier modellen zoals gedefinieerd door NIST SP 800-145 zijn public cloud (gedeelde infrastructuur beheerd door een provider als AWS, Azure of GCP), private cloud (dedicated infrastructuur voor één organisatie), hybrid cloud (workloads verdeeld over zowel public als private omgevingen met orchestratie daartussen), en community cloud (gedeelde infrastructuur voor organisaties met gemeenschappelijke eisen, zoals overheidsinstanties). Multi-cloud — het gebruik van meerdere public cloud providers — wordt in de praktijk vaak als vijfde model beschouwd.
Welk cloud deployment model wordt het meest gebruikt?
Hybrid cloud is het meest geadopteerde model onder enterprises. Het Flexera State of the Cloud rapport laat consequent zien dat een meerderheid van de enterprises een hybride strategie volgt, waarbij on-premises of private cloud resources worden gecombineerd met een of meer public clouds. Puur public-cloud-only deployments komen vaker voor bij startups en kleinere organisaties zonder legacy-infrastructuur die on-premises integratie vereist.
Wat zijn IaaS, PaaS en SaaS en hoe verhouden ze zich tot deployment modellen?
IaaS (Infrastructure as a Service), PaaS (Platform as a Service) en SaaS (Software as a Service) zijn cloud servicemodellen — ze beschrijven de abstractielaag en wat de provider beheert versus wat jij beheert. Deployment modellen beschrijven waar en hoe infrastructuur wordt gehost. Beide zijn onafhankelijk: je kunt IaaS draaien op een private cloud, PaaS afnemen op een public cloud, of SaaS gebruiken dat via een hybride architectuur wordt geleverd. De keuze voor een deployment model bindt je niet aan een specifiek servicemodel.
Is AWS een public, private of hybrid cloud?
AWS is primair een public cloud provider, maar ondersteunt alle deployment modellen. AWS Outposts brengt door AWS beheerde infrastructuur naar je on-premises datacenter voor private of hybride deployments. AWS GovCloud biedt geïsoleerde regio's voor overheidswerklasten in de VS. AWS Local Zones brengen compute dichter bij eindgebruikers. De meeste organisaties gebruiken AWS als de public cloud component binnen een bredere hybride of multi-cloud strategie.
Is hybrid cloud goedkoper dan private cloud?
De kosten hangen volledig af van het workload-profiel. Hybrid cloud verlaagt doorgaans de kosten voor variabele workloads, omdat je kunt bursten naar de public cloud in plaats van private infrastructuur te over-provisioneren voor piekvraag. Echter, hybrid brengt netwerkkosten (interconnect-kosten, data transfer charges), integratiecomplexiteit en extra toolingoverhead met zich mee. Voor stabiele workloads met consistent hoge benutting kan private cloud kosteneffectiever zijn per compute-eenheid. De degelijke aanpak: modelleer de TCO voor je specifieke workloads over beide modellen vóórdat je beslist.
