De cloud flexibiliseert IT. Maar behalve dat de cloud een aantal klassieke problemen wegneemt, introduceert hij ook nieuwe. En sommige oude problemen komen weer terug.
Een belangrijke drijfveer voor IT-afnemers om zich in de cloud te begeven, is de wens om te worden afgeschermd van de complexiteit van het beheer van eigen IT-voorzieningen. Maar de logische keerzijde van de afscherming is een verminderde controle over de ‘gecloudsourcete’ informatievoorzieningen. Waar staan mijn bestanden nu uiteindelijk fysiek op een server? Wie garandeert de beschikbaarheid en hoe hard kan zo’n garantie eigenlijk zijn? Ik wil geen schadevergoeding, ik wil continuïteit!
Wat de transparantie er niet groter op maakt, is de gewoonte van cloudproviders (CSP’s ) om zelf te doen wat ze tegenover hun klanten bepleiten: capaciteit flexibel inkopen. Zodoende kan een softwareservice (SaaS) gebaseerd zijn op een platformservice (PaaS), die op zijn beurt weer wordt gehost bij een online infrastructuurservice (IaaS), die op zijn beurt weer gebruikmaakt van restcapaciteit bij concullega’s die … enzovoort, enzovoort. Zo’n ketenschakeling van clouddiensten is voor afnemers moeilijk te doorgronden, wat vragen oproept aangaande beveiliging, leveringszekerheid en aansprakelijkheid.
Faillissement
Het meest prangend is wellicht het ‘where-is-my-data?’-probleem: door de virtualisatie en consolidatie bij de provider raken bestanden verspreid over meerdere servers, in meerdere datacentra, die zich niet noodzakelijkerwijze in één en hetzelfde land bevinden. Mogelijk huurde de provider zelf ook servercapaciteit in bij een concullega. In geval van faillissement of anderszins in het ongerede raken van de cloudprovider, heeft de afnemer van de clouddienst geen flauwe notie waar hij moet aankloppen om zijn bestanden alsnog veilig te stellen. In geval van PaaS of SaaS gaat het behalve om de databestanden natuurlijk ook nog om de toepassingsprogramma’s die nodig zijn om deze bestanden te benutten en de IT-ondersteuning van het bedrijfsproces te garanderen.
Afspraken
Oplossingen voor het ‘where-is-my-data?’-probleem worden als regel gezocht in goede afspraken met de provider. Eigenlijk mag je van een serieuze CSP verwachten dat hij onmiddellijk ‘een goed verhaal’ heeft als een prospect naar de ‘continuïteitsplanning’ informeert. Dat zal op z’n minst in moeten gaan op back-up, uitwijk en escrow. Escrow behelst deponering van (actuele) bestanden bij een onafhankelijke derde partij die ze vrijgeeft als de dienstverlener in gebreke mocht blijken. Het trucje is oorspronkelijk bedacht voor het veiligstellen van toegang tot applicatieprogrammatuur, maar in de context van cloudcomputing is er nu ook data-escrow.
SaaS-escrow
Als de CSP in kwestie geen overtuigende continuïteitsplanning kan bieden, is er nog de mogelijkheid om de hulp in te roepen van een partij die zich bezighoudt met ‘SaaS-escrow’, in de vorm van een risicoverzekering die onder meer borgt dat de hostingdienstverleners van de faillerende CSP betaald krijgt voor het tijdelijk gaande houden of gestructureerd overdragen van de managed services. Deze constructie, die onder meer in de markt wordt gezet door bedrijven als Escrow4All en SoftCrow, wordt door sceptici overigens als schijnzekerheid getypeerd, omdat in geval van faillissement – contract of geen contract – niets gebeurt zonder de toestemming van curator.
De praktijk tot dusverre is echter dat curatoren maar al graag meewerken om – in het belang van de schuldeisers – ook via de klanten zo veel mogelijk bedrijfswaarde in stand te houden. Begin dit jaar bijvoorbeeld ging het in Hillegom gevestigde CSP Infotechnology failliet. Het bedrijf hield, in opdracht van onder meer huisartsen, zorginstellingen en scholen, zo’n 1,5 à 2 miljoen elektronische patiëntendossiers op SaaS-basis in de lucht. Curator Mark Aukema zag in dat de onder de schuldeisers te verdelen restwaarde geheel en al af zou hangen van de continuïteit van de dienstverlening. Hij nam de tijd om met diverse in overname geïnteresseerde partijen te onderhandelen. Hij kon daarbij gebruikmaken van de min of meer cloudeigen omstandigheid dat de hostingprovider achter de faillerende CSP zelf een van de belangrijkste schuldeisers was, en dus alle reden had om met goed met de curator samen te werken. In het geval van Infotechnology was dat Kender-Thijssen, dat ondanks zijn constructieve opstelling achter het net viste in de overnamestrijd. Die werd gewonnen door RAM Mobile Data.
Bedankt voor de klandizie
Dat het bij cloudfaillissementen vaak wel goed afloopt met de klantbelangen is natuurlijk niet meer dan een vuistregel. Escrow blijft verstandig. Al was het alleen al omdat het niet alleen betalingsproblemen zijn die de continuïteit van de service kunnen bedreigen. In februari 2009 troffen gebruikers van PaaS Coghead op www.coghead.com niet het hun vertrouwde inlogscherm van de applicatieontwikkel- en uitvoeringsomgeving aan. Wat er wel stond, was een vriendelijk bedankje voor de klandizie tot dan toe, uitmondend in de mededeling dat men de service had beëindigd. Het bedrijf was de dag tevoren (!) overgenomen door SAP, dat de technologie voor eigen doelen wenste in te zetten; in de PaaS-adepten die het met Coghead deden, zag SAP kennelijk eerder potentiële concurrenten dan klanten.
Naast het gevaar van faillissement of overname van de CSP zal een afnemer van clouddiensten ook rekening moeten houden met het risico dat de CSP (of een van diens ‘toeleveranciers’ in het cloudecosysteem) in de uitvoering van de services steken laat vallen. Bijvoorbeeld met betrekking tot databeveiliging of filemanagement van de gesharede dataopslagvoorzieningen. Er zit een zekere rationaliteit in de aanname dat men met professionele partijen te maken heeft en dat dat risico door middel van mirroring en back-upprocedures is afgedekt. Maar ook hier geldt uiteraard dat vertrouwen goed is, maar controle18
beter. Er zijn diverse partijen in de markt die op dit vlak audits uitvoeren en/of certificeringen verzorgen.
Lappendeken
Behalve het continuïteitsprobleem kent het ‘where-is-my-data?’-probleem ook nog een corporate-governancekant: de cloud is grenzeloos, maar de regels aangaande privacy en vertrouwelijkheid van bedrijfsinformatie zijn dat allerminst. De wereld is een lappendeken van verschillende, onderling vaak onverenigbare regels rond de omgang met persoonsgebonden gegevens. Met andere woorden: een afnemer van clouddiensten kan de wet overtreden in een land waarvan hij niet eens weet dat hij er (via de cloud) gegevens opslaat. Ook kan het gebeuren dat hij zonder het zelf te weten regels overtreedt door informatie te ‘exporteren’. In sommige landen kan de overheid CSP’s op grond van ‘het landsbelang’ dwingen tot overdracht van data van klanten (bijvoorbeeld de Amerikaanse PATRIOT Act.)
Versleutelde opslag kan in dergelijke gevallen een zekere praktische veiligheid bieden, maar juridisch gezien zijn ook versleutelde persoonsgebonden data – ook al kan niemand er nog chocola van maken – nog steeds persoonsgebonden data. De enige juridisch harde oplossing is waarschijnlijk het zoeken naar een CSP die bereid is afspraken te maken over de partijen en landen waar de gegevens wel of niet op schijf mogen neerslaan.
Zeker met de uit de housing/hosting/managed-serviceshoek afkomstige CSP’s valt over afspraken op dit punt te praten, zo leert de ervaring. Zij zijn meer gewend in maatwerk te denken dan de CSP’s pur sang. Hetzelfde geldt voor de beveiliging en de beschikbaarheidsgaranties. Ook hier mag van providers worden verwacht dat ze SLA’s (afspraken over het niveau van de dienstverlening) kunnen bieden, maar de partijen die sterk multitenant denken, zullen daarbij mogelijk wat onwenniger acteren dan de hostingbedrijven die hun dienst pragmatisch tot cloudservice hebben gepimpt.
SLA@SOI
Om de definities van SLA’s enigszins te standaardiseren en toe te spitsen op de cloudwereld wordt in het kader van het door EU-gesubsidieerde project SLA@SOI gewerkt aan een framework dat CSP’s en hun klanten inzake SLA’s op één lijn kan houden. Ook hier geldt uiteraard dat afspraken eigenlijk alleen zin hebben als er controle plaatsvindt. Wat procedures betreft is dat goed mogelijk door middel van auditing, wat prestaties betreft ligt het als regels lastiger. In de praktijk zijn het vaak de providers zelf die de meetinstrumenten bedienen (en instellen), wat terecht associaties oproept met de slager die z’n eigen vlees keurt.
Ontwijking
Een universele oplossing voor cloudproblemen is natuurlijk ontwijking. Dat kan de vorm aannemen van selectief gebruik, dus slechts voor secundaire processen en data die niet gevoelig zijn. Sommige universiteiten en hogescholen kozen die route, waarbij studenten en docenten in principe in een kantoorsuite van een SaaS-provider werken en de directie en examencommissies gebruikmaken van een beveiligde klassieke (‘on premises’) omgeving. Maar voor de meeste organisaties geldt eigenlijk dat vrijwel alles gevoelig kan zijn en dat selectief cloudgebruik slechts incidenteel een optie is, bijvoorbeeld voor testen.
Een andere vorm van ontwijking van de risico’s van de publieke cloud is het inrichten van een eigen enterprisecloud, waarin men zo te zeggen baas in eigen cloud is. Maar dat is wel een oplossing die eigenlijk alleen openstaat voor IT-afnemers met voldoende schaal.
Bijkomend voordeel voor dergelijke ‘grote jongens’ is dat de bestaande en meestal nog niet afgeschreven infrastructuur kan worden ingepast als fysieke grondslag voor hun private-
enterprisecloud. Voor zover de schaal van het eigengebruik nog niet toereikend is om de reguliere pieken en dalen in het verbruik uit te vlakken, kunnen beheerders van enterpriseclouds
onbenutte reservecapaciteit tijdelijk beschikbaar stellen aan buitenstaanders. Sinds een paar maanden is daarvoor – naar voorbeeld van wat in de energiesector dagelijkse praktijk is – een online beurs voor online servercapaciteit actief (Greencloudsonline.com ). Jammer is wel dat partijen die omwille van de controle voor een enterprisecloud kiezen, op zo’n infrastructuurbeurs eigenlijk alleen maar als aanbieder kunnen acteren. Want zodra je daar inkoopt, haal je de (problemen van) de publieke cloud in huis.
Een wellicht wat veiligere of in ieder geval transparantere manier om
‘publieke’ volume-elasticiteit in een
private cloud in te brengen, is poolen met een vertrouwde kring van bevriende datacenters. Software, interfaces en best practices om dat mogelijk
te maken zijn in ontwikkeling in het
EU-gesubsidieerde Contrail-project.
Op dit moment werken daarin elf
organisaties samen, waaronder de
Vrije Universiteit, Genias, Tiscali en
HP.
Maar voor de meeste bedrijven is een enterprisecloud geen realistische optie: ze missen de schaal en/of zijn juist op zoek naar iets wat ze snel en zonder al te hoge aanloopkosten kunnen optuigen. En dan kom je al snel uit bij de ‘echte’ cloud, die ipso facto publiek en riskant is.
Rolf Zaal