De schaduwzijde van cloud based computing

De meeste cloud aanbieders adverteren niet met potentiële problemen met wet- en regelgeving, privacy, veiligheid, beschikbaarheid, performance, ondersteuning en (migratie) kosten. Het kan daarom geen kwaad om ook eens stil te staan bij de nadelen van cloud based computing. Over welke nadelen hebben we het dan en zijn daar ook al goede oplossingen voor?

Wet- en regelgeving, privacy

Afhankelijk van de publieke cloud aanbieder worden de bedrijfsgegevens "ergens" in de wereld worden opgeslagen. Dit hoeft niet altijd een probleem te zijn. Helaas wordt de regelgeving omtrent persoonlijke data steeds uitgebreider. Zo kent de EU een Data Protection Act (DPA) die veiligheidsmaatregelen eist aan het transport en de opslag van persoonlijke data. Een van de eisen is dat er een contract (service level agreement) opgesteld wordt waarin ook bindende afspraken gemaakt worden over de de veiligheid van de data. Tot op heden bieden de meeste publieke cloud aanbieders een dergelijk contract niet aan en melden alleen in de algemene voorwaarden dat men "er alles aan doet" om de data veilig te houden. Helaas is dat niet voldoende om aan de DPA eisen te voldoen. Daarnaast biedt de DPA regeling een uitzonderingsmogelijkheid, doch daarvoor is volledige transparantie nodig wat er met de gegevens gebeurt, en ook die transparantie ontbreekt vaak bij de globale cloud aanbieders zoals Amazon, Google en Microsoft.

Een van de maatregelen is bijvoorbeeld een cloud aanbieder te selecteren die voldoende transparantie biedt, of bijvoorbeeld een cloud oplossing heeft met garanties dat de data altijd binnen de EU grenzen blijft. Een andere maatregel is het ontkoppelen van alle gevoelige informatie en deze niet in de cloud op te slaan. Het is dan nog steeds wel mogelijk om een koppeling te maken door het gebruik van anonieme tokens. Dergelijke koppelingen worden ook gebruikt binnen de creditcard industrie waar de strenge PCI DSS regels deze werkwijze afdwingen. Een voorbeeld van die scheiding is de opslag van het profiel van een klant waarbij een cloud based profiling functie op gewenst is. Een voorbeeld functie is het vinden van andere interesses van de klant op basis van het profiel. In dat geval kan aan alle profieldata een uniek, nietszeggend nummer gekoppeld worden (bijvoorbeeld 2020-101a-102). Dat nummer kan dan gebruikt worden om het cloud based systeem te koppelen aan een eigen intern CRM systeem.Alle profielgegevens gekoppeld aan het anonieme nummer zijn dan nietszeggend en kan niet meer gekoppeld worden aan een individu zodra bijvoorbeeld de data uit het cloud platform door onbevoegden gestolen wordt. Op deze wijze wordt geborgd dat er aan de DPA regels voldaan wordt zonder exact te weten waar in de wereld de data terecht komt.

Veiligheid

De borging van de veiligheid is wel het grootste vraagstuk van de huidige cloud industrie. Het aantal publieke cloud based aanbieders wat de informatieveiligheid borgt door middel van erkende industriestandaards zoals de ISO 27001 norm is helaas op een hand te tellen. Deze norm stelt strenge eisen aan de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie. Daarbij wordt ook al duidelijk dat de leveranciers die deze standaarden wel respecteren vaak ook een hogere prijs rekenen omdat het nemen en onderhouden van deze maatregelen extra tijd en geld kost.

Een extra zorg is dat sommige cloud based aanbieders het mogelijk maken een volledige eigen virtuele server in te richten. In dat geval zal de informatieveiligheid ook een gedeelde zorg zijn, immers het beheer van de virtuele servers zoals het bijhouden van alle patches zal bij de eigenaar van de virtuele machine komen te liggen, en dat ben je dan vaak zelf. De verantwoordelijkheid van het veilig houden van alle infrastructuur zoals de internet verbindingen, firewalls, switches,en loadbalancers ligt dan bij de cloud based aanbieder.

Een eerste oplossing is ook het gebruik van anonieme tokens zodat de data minder gevoelig wordt voor verlies. Helaas voorkomt dit niet dat hackers mogelijk de data nog steeds kunnen onderscheppen en kunnen aanpassen waardoor de integriteit nog steeds niet geborgd kan worden.

Beschikbaarheid

Alle cloud aanbieders maken er geen probleem van om met hoge beschikbaarheidscijfers te adverteren zoals 99,99% (slechts enkele minuten per maand niet beschikbaar). Het echte probleem zit in het afdwingen van deze beloofde beschikbaarheid. Net als de veiligheid melden de cloud based aanbieders er "alles aan te doen" om de beschikbaarheid zo hoog mogelijk te houden. Ook zijn er aanbieders die geld teruggeven voor de tijd het cloud platform niet beschikbaar is.

Helaas blijkt in de praktijk dat storingen soms (veel) langer duren dan de gemelde beschikbaarheid, en dat de compensatie in schril contrast staat met de gederfde omzet (bijvoorbeeld bij een goed lopende webwinkel) . Zodra er ook sprake is van service level agreement (SLA) met een van jouw klanten of afnemers met een boeteclausules is het niet aan te raden om dan maar te hopen dat de cloud aanbieder de genoemde beschikbaarheid ook waarmaakt.

Een eerste oplossing is om niet afhankelijk te zijn van een enkele cloud aanbieder. Dit maakt een cloud based oplossing helaas gelijk wel een stuk duurder. Een andere oplossing is om toch bindende afspraken met de cloud aanbieder te maken waarbij rekening gehouden wordt met omzetderving en verlies van goodwill.

Snelheid

In veel cloud modellen wordt de snelheid geborgd door het aanbieden van een standaard capaciteit per processor die dan vergelijkbaar is met een bekende processor zoals de Intel Xeon op 1.6Ghz. Terwijl dit een prima schaalbaar model levert kent deze werkwijze ook een schaduwzijde. Helaas is het zo dat de stabiliteit van de verwerkingssnelheid niet geborgd kan worden en dat er soms sterkte fluctuaties (20-40%) optreden. Daarnaast beperken de meeste cloud aanbieders de maximale snelheid van de processor. Ook dit hoeft niet een probleem te zijn tenzij jouw applicatie sterk afhankelijk is van de snelheid van een enkele kern. De cloud leveranciers nemen voor het gemak aan dat alle software die het cloud platform verwerkt altijd volledig geoptimaliseerd is om parallel (multi threaded) te werken. In de werkelijkheid is maar soms een klein deel van de programmatuur daarvoor echt geschikt. Veel webapplicaties moeten het nog steeds hebben van de snelheid van een enkele processor en hebben niet de moeite genomen om alle operaties parallel te maken omdat dit de ontwikkelaars voor veel nieuwe synchronisatie problemen stelt.

Ondersteuning

Alle cloud aanbieders bieden altijd wel een contactpunt aan voor ondersteuning. Maar net als de veiligheid, beschikbaarheid en systeemsnelheid zijn hele concrete afspraken over wanneer een probleem opgepakt moet worden vaak niet mogelijk. Het kan dan gebeuren dat een probleem (bijvoorbeeld een vastgelopen webapplicatie door een volle disk) pas na 48 uur opgepakt wordt. Ook hier kan de schade door omzetderving oplopen. Het is dan niet mogelijk is om deze schade te verhalen op de cloud leverancier.

Kosten

Een algemene beeldvorming is dat een cloud based leverancier door de schaalgrootte minder kosten hoeft te maken en daarom ook minder kosten hoeft door te berekenen aan de klant. Ook dit beloofde voordeel hoeft niet altijd uit te komen. Cloud based aanbieders zijn er goed in om met een mooie basis prijs te adverteren. Echter zodra je een professionele omgeving wilt inrichten wordt je geconfronteerd met talloze aanvullende kosten zoals extra interne bandbreedte, extra opslag ruimte, en de vaak vergeten maar nog steeds broodnodige back-up dienst. Het is niet onmogelijk dat een vergelijkende berekening met een eigen ingerichte omgeving aangeeft dat de kosten bij de cloud based leverancier tot 100% stijgen. Uiteraard staat daar wel een stuk flexibiliteit en schaalbaarheid tegenover maar zodra je dat niet direct nodig hebt is de 100% marge wel een bittere pil. Naast de mogelijke verhoogde operationele kosten is het niet onwaarschijnlijk dat er een behoorlijke investering nodig is om de systemen en applicaties aan te passen zodat deze geschikt worden om binnen een cloud based platform te draaien. Als blijkt dat de response tijd van je applicatie veel te hoog wordt en de software aangepast moet worden kan die noodzakelijke investering een zure druif worden.

Tot slot

Cloud based computing heeft zeker een aantal voordelen zoals de flexibiliteit en schaalbaarheid. Ook kan een cloud based aanbieder veel zorgen wegnemen zoals het patch beheer van alle servers en applicaties en het borgen van de back-up. Helaas zijn er nog genoeg andere IT vraagstukken die ook de nodige aandacht vergen waardoor in bepaalde gevallen een cloud based oplossing er minder aantrekkelijk uitziet. Een natuurlijke (financiële, inkoop) reactie is om deze lastige vraagstukken dan maar te laten voor wat ze zijn en af te wachten waar het schip strand en wellicht te kiezen voor een goedkope offerte. Zodra bij een digitale inbraak blijkt dat alle veiligheid regels maar voor het gemak "vergeten" zijn kan de uiteindelijke schadeclaim en het verlies aan goodwill mogelijk hoger uitvallen dan men ooit had verwacht met alle gevolgen van dien voor de bedrijfsvoering en waardering.