In het eerste kwartaal van 2023 is ons gevraagd om het CAK, samen met Oracle, te ondersteunen bij het project om de applicatie naar de cloud te brengen. Samen met Oracle en de infrastructuur specialisten is er gekeken naar een passende architectuur binnen de Oracle Cloud rekening houdend met een aantal wensen maar ook belangrijke vereisten van dit zelfstandig bestuursorgaan. Omdat het CAK een overheidsinstantie is, dienen zij te voldoen aan de beveiligingseisen die zijn vastgesteld door de CISO van de Rijksoverheid. Daarnaast is OHI niet alleen een bedrijfskritische, maar ook maatschappelijk kritische applicatie. Het was daarom onze verantwoordelijkheid om een betrouwbare migratie te realiseren met minimale impact.
Een van de harde eisen van het CAK was een Single Pane of Glass voor hun firewall, dit is een beheerconsole die gegevens uit meerdere bronnen op één scherm weergeeft. Ondanks deze ingewikkelde eis hebben we toch dezelfde functionaliteiten weten te behouden door onze software aan te passen waardoor het nog steeds kan voldoen aan de servicestandaard van MCX. Een van de eisen van de Rijksoverheid is het gebruik van eigen encryptie sleutels. Oracle biedt ook hiervoor een oplossing en wij beschikken over de benodigde expertise om deze voorwaarde effectief te implementeren binnen het applicatie landschap. Op deze manier voldoet de applicatie aan de eisen zonder verlies van functionaliteit of beveiliging.
De migratie van het volledige OHI-landschap heeft plaatsgevonden in twee fasen. Fase één is afgerond in april 2024 en omvatte de opbouw van de OCI-infrastructuur en de migratie van uitsluitend de OHI applicatie, inclusief de bijbehorende databases. Ook is de applicatie voorzien van de laatste versie updates zodat het voldoet aan de ondersteuningseisen van Oracle. Het OHI-landschap is volgens OTAP principe (Ontwikkel, Test, Acceptatie en Productie) met in elke straat meerdere omgevingen voor verschillende doeleinden. Op elke laag is zonering toegepast zodat er zowel op technisch als op functioneel niveau een duidelijke scheiding is tussen de verschillende OTAP-straten. We hebben de juiste tools ontwikkeld die in overeenstemming zijn met deze zonering en het CAK kan voorzien van de benodigde ondersteuning zonder concessies te doen op beveiliging, betrouwbaarheid of schaalbaarheid.
Vlak na het opleveren van fase één is een start gemaakt met fase twee. Deze fase bestond uit de migratie van OSB, het ontwerpen en implementeren van een opslaglocatie voor berichtenverkeer en het correct aanpassen van de verbinding met externe partijen die berichten aanleveren aan het CAK. Bij het ontwerpen en implementeren van de opslaglocatie voor berichtenverkeer hebben wij een oplossing ontwikkeld waarmee alle processen, gebruikers en applicaties de juiste rechten krijgen op de juiste mappen en bestanden. De zonering van de straten is ook hier van toepassing. Samen met de infrastructuur specialisten van het CAK is deze server ingericht en aangeboden aan de applicatie. Om te waarborgen dat de OHI- en OSB-applicaties elkaar technisch niet hinderen, zijn er voor beiden losse virtuele machines ingericht.
Het hele landschap is volledig en op alle niveaus voorzien van encryptie, conform de eisen die aan het begin van het project door het securityteam van het CAK zijn bepaald maar ook conform de beveiligingsrichtlijnen zoals vastgesteld door de Rijksoverheid.
Het CAK heeft virtuele machines in de Oracle Cloud beschikbaar gesteld waarop onze tooling en geautomatiseerde processen kunnen draaien. Dit stelt ons in staat het technisch beheer van applicaties en databases uniform uit te voeren, zodat gebruikers bij het CAK kunnen beschikken over snelle, betrouwbare en veilige applicaties. Dankzij een grondige voorbereiding, het bedenken van innovatieve oplossingen en een intensieve samenwerking in een multidisciplinair team, is de migratie van het OHI- landschap een groot succes te noemen. In dit unieke project bleek de combinatie van de eisen en toepassingen zelfs voor Oracle een unieke uitdaging. Deze prestatie onderstreept de expertise en motivatie van alle betrokken partijen.
Voor vragen, feedback of meer informatie neem contact op met Mark Kempers, Infrastructuur specialist bij MCX via mkempers@mcx.nl of linkedin.com/in/markkempers.
