In de cloud: je zit gewoon met al je applicaties en data op het internet, toch? Dus switchen van cloud-leverancier is net zo makkelijk als switchen van internet provider, van KPN naar UPC, toch? Nee dus. Een van de nadelen van cloud computing is vendor lock-in. Iets minder bekend dan de juridische bezwaren, maar daarom niet minder belangrijk! Aldus het boek Cloud computing van Jeroen Horlings uit 2011. Jeroen is journalist, dus geen high tech gepraat, wel veel informatie voor de relatieve leek, met een aantal echte casussen aan het eind.
In het managementboek Cloud Computing …
… wordt, na uitleg wat IaaS, PaaS en SaaS is, natuurlijk begonnen met de voordelen, want die zijn legio. Kostenbesparing, schaalbaarheid, ondersteuning aan HNW, you name it. Bekend is dat geen grote investeringen nodig zijn, maar dat een bedrijf zich abonneert op een dienst. Als consument zijn we daar al aan gewend, denk aan de Google applicaties, Skype, Dropbox, Twitter, Spotify. De meeste gratis (financieel dan, je betaalt met je profielgegevens, je privacy), maar niet allemaal. Het idee is duidelijk.
Dan de nadelen. Bij outsourcing geef je veel uit handen, ook een groot deel van de controle, en dus ook de controle over beveiliging. Verder ben je puur afhankelijk van het internet, als alles in de cloud zit. De hiervoor genoemde vendor lock in dan: leveranciers willen zich onderscheiden met eigen slimme oplossingen. Dat betekent andere hardware, andere software, andere databases, andere security en andere applicaties, dan de concurrentie. En in zee gaan met een leverancier is heel gemakkelijk, maar leveranciers zijn over het algemeen niet zo behulpzaam als je WEG wilt verhuizen. Het aantal open standaarden neemt toe maar zijn nog niet universeel. Intel heeft het initiatief voor ODCA genomen, een consortium van bedrijven die open standaarden nastreven. Er is dus hoop. Heel iets anders is het probleem van enorm grote databestanden te moeten verhuizen bij verandering van leverancier.
Afhankelijkheid
De afhankelijkheid van de leverancier is dus groot, en er komt nog meer bij: is het bijvoorbeeld mogelijk dat de toegang tot jouw data in de cloud wordt afgesloten als de rekening eens te laat wordt betaald of er een issue is over mogelijke contract breuk? En dit is niet theoretisch, denk aan WikiLeaks: door publicatie van data waarvan WikiLeaks geen eigenaar was, “geen rechten op had”, was er sprake van contractbreuk en besloot Amazon tot afsluiten. Op WikiLeaks komen we nog terug.
Voordelen en nadelen van soorten cloud
De mate van voordeel en nadeel hangt samen met de soort cloud. Er zijn public, private en hybride clouds. Een public cloud is ideaal voor opslag, webapplicaties, rekenkracht, het private deel voor bedrijfskritische en gevoelige data. Ook kan een deel van de data opslag gewoon on-premise blijven. Verder is er de Intercloud: een wolk van wolken. Een enkele cloud heeft geen oneindige fysieke resources; bij “verzadiging” kan beroep worden gedaan op een andere cloud. Ook kennen we nu de Community cloud:een private cloud die wordt gedeeld met andere organisaties. Daarmee kun je veel meer controle uitoefenen en specifieke eisen stellen, zonder de voordelen van schaalbaarheid en kostenbesparing te missen. Voorbeeld hiervan is de overheidscloud. De overheid kan hierbij eisen dat haar data niet buiten de landsgrenzen wordt opgeslagen.
Wet- en regelgeving
Dat brengt ons op een hoofdstuk over Wet en regelgeving, de Patriot Act en jawel WikiLeaks. De Patriot Act maakt het de VS mogelijk o.b.v. een zogenaamde Federal letter, in plaats van een gerechtelijk bevel, providers te dwingen data over te dragen, wat natuurlijk onwenselijk is, maar zelfs ontoelaatbaar voor buitenlandse overheidsinstanties. Interessant is dat de Patriot Act niet alleen nadelig is voor Eurpese bedrijven die gebruik maken van Amerikaanse cloud diensten, maar ook andersom. Een Amerikaans bedijf met een Europeese cloudprovider kan de wet overtreden, omdat de Federale overheid geen toegang heeft tot diens data.
Bij WikiLeaks werd de omvang van de Patriot Act duidelijk: de VS vroeg Twitter om gebruikersgegevens, waaronder: namen, email adressen, privé en zakelijke adressen, connectiegegevens, communicatie met andere gebruikers, gebruikers IP adressen en eventuele credit card informatie. Op basis van een vage verdenking! Dit heeft cloud computing een slecht imago gegeven.
Maar er zijn meer issues rond Wet- en regelgeving: Europese regels bestaan nog niet of nauwelijks, dus een beetje cloud provider moet 27 verschillende wetten gehoorzamen. Centrale opslag kan dus heel lastig zijn: de opslag is legaal in het land waar de data staat, maar niet in het land waar de data vandaan komt. De Europese Data Protection Directive is van 1995, en (nog) niet toegesneden op huidige situatie.
Data volgt gebruikers
Uit efficiency oogpunt zou het optimaal zijn als data de gebruikers volgt, bijvoorbeeld wanneer wetenschappers uit de VS naar een conferentie in Tokyo gaan: de daar opgevraagde data verhuist mee naar een datacenter in Tokyo voor snelle opvraag en snelle wijzigingen. Maar dan moet dat wel mogen!
Authenticatie
Er is ook goed nieuws, bijvoorbeeld in een hoofdstuk over authenticatie in de cloud. Er worden voorbeelden gegeven van hardware-matige authenticatie zoals biometrie, zoals een vingerscan. Of het gebruik van een speciale usb stick zoals Checkpoint Abra. Bij aansluiting op een willekeurige pc ziet de gebruiker de eigen werkomgeving in de vorm van zijn bureaublad, inclusief snelkoppelingen en documenten. Het gebruikt de applicaties, zoals word en excel, van de host pc. Dat is wel erg gemakkelijk!
Controle
In het hoofdstuk SLA’s wordt onder andere aandacht besteed aan certificaten en audits: De gangbare SAS70/ISAE 3402 certificering is gericht op fysieke infrastructuur, waardoor er niets over privacy of business continuity onderwerpen wordt gezegd. Bovendien zijn de resultaten van een ISAE 3402 onderzoek niet toegankelijk voor potentiele gebruikers. De CSA (Cloud Security Alliance) werkt aan een certificatienorm voor cloud-beveiliging. Daarnaast zijn er Trust Service certificaten die beschikbaarheid, integriteit, business continuity, privacy en disaster recovery dekken. Deze worden afgegeven door een accountant.
Het boekje is heel toegankelijk, elk hoofdstuk kan zelfstandig worden gelezen, waardoor het bijna een naslagwerk is. Nadeel daarvan is dat er erg veel herhaling tussen de hoofdstukken zit. Het gebied van cloud computing is ook erg in beweging, waardoor het risico groot is dat wat Horlings in 2011 heeft opgeschreven nu, in 2012, al weer achterhaald is. Als voorbeeld de European Data Protection Directive: in januari 2012 werd er een draft voor een opvolger gepubliceerd.
Cloud computing door Jeroen Horlings ISBN 978 90 125 8242 1