Capaciteitsbeheer clouddiensten

Versie 2.0 van 1 juni 2021 van de BIO Thema-uitwerking Clouddiensten is vervangen door versie 2.1 van 29 oktober 2021.
De wijzigingen betreffen met name de uniformering van objectdefinities en objectnamen in en tussen BIO Thema-uitwerkingen.
Versie 2.1 in PDF-formaat is op de website CIP-overheid/producten gepubliceerd.

Beveiligingsprincipe
ID:	CLD_U.22
Versie:	2.4
Status:	Actueel
Indeling
Beveiligingsaspect:	Uitvoering
Invalshoek:	Onbekend

Objectdefinitie

Capaciteitsbeheer betreft het monitoren van het gebruik van de clouddienst en het voorspellen van verwachte capaciteitseisen om te voldoen aan de vastgestelde prestatiedoelstellingen door de CSP. Ter ondersteuning van de voorspelling is het van belang dat, als onderdeel van het capaciteitsbeheer, het toekomstig verwachte gebruik door de CSC met de CSP wordt afgestemd.

Objecttoelichting

De elastische, schaalbare en on-demand toewijzing van middelen in een clouddienst vergroot over het algemeen de totale capaciteit van de service. De CSC moet zich er echter van bewust zijn dat de ter beschikking gestelde middelen capaciteitsbeperkingen kunnen hebben. Voorbeelden van capaciteitsbeperkingen zijn het aantal processorkernen voor een applicatie, de hoeveelheid beschikbare opslag en de beschikbare netwerkbandbreedte, alsmede de beperkingen in het specifieke abonnement van de CSC of beperkte licentierechten. Als de CSC vereisten heeft die de beperkingen overschrijden, moet de CSC mogelijk de clouddienst of het abonnement wijzigen. Om ervoor te zorgen dat de CSC capaciteitsbeheer voor clouddiensten kan uitvoeren, moet de CSC toegang hebben tot relevante statistieken over het gebruik van middelen, zoals:

statistieken voor bepaalde perioden;
maximale niveaus van het gebruik van de middelen.

Criterium

Het gebruik van middelen behoort te worden gemonitord en aangepast overeenkomstig de huidige en verwachte capaciteitseisen.

Doelstelling

De vereiste capaciteit van de middelen van de clouddienst waarborgen.

Risico

Als het capaciteitsgebruik van de clouddienst onvoldoende wordt gemonitord, voorspeld en afgestemd met de CSP, bestaat het risico dat beschikbare middelen de feitelijke belasting niet aankunnen, waardoor overbelasting optreedt en dit leidt tot onbeschikbaarheid van de clouddienst en verstoring of onjuiste uitvoering van bedrijfsprocessen.

Indeling binnen ISOR

Dit beveiligingsprincipe:

is gericht op het Beveiligingsaspect Uitvoering;
valt binnen de Invalshoek Onbekend.

ℹ️(Klik om uitleg open/dicht te klappen)

De ISOR-wiki bevat normenkaders waarin beveiligings- en privacyprincipes zijn beschreven. Deze themaprincipes zijn conform de SIVA-methodiek ingedeeld in drie aspecten: Beleid, Uitvoering of Control. Daarnaast zijn ze geordend in invalshoeken: Intentie, Functie, Gedrag, Structuur.

Grondslag

De grondslag voor dit principe is ISO 27002:2022 8.6

Onderliggende normen

ID	Conformiteitsindicator	Stelling
CLD_U.22.01	gemonitord	De CSC zorgt ervoor dat de overeengekomen capaciteit die door de clouddienst wordt geleverd, voldoet aan de eisen van de CSC, ook bij capaciteitstekorten of uitval van personeel en IT-middelen.
CLD_U.22.02	gemonitord	De CSC moet het gebruik van clouddiensten monitoren en hun capaciteitsbehoeften voorspellen om de prestaties van de clouddiensten in de loop van de tijd te garanderen.
CLD_U.22.03	gemonitord	Afhankelijk van het type clouddienst kan de CSC systeembronnen inzetten die aan hem zijn toegewezen. Daarbij kan de CSP het beheer/gebruik controleren en monitoren om overbelasting van de systeembronnen te voorkomen en een goede performance te bereiken.
CLD_U.22.04	aangepast	De CSP moet de totale capaciteit van de middelen monitoren om informatiebeveiligingsincidenten veroorzaakt door tekorten aan middelen te voorkomen. De CSP identificeert daartoe gebruikstrends, zodat de CSP aan toekomstige capaciteitsvereisten kan voldoen.