Want hoewel de publieke cloud diensten zoals Azure, AWS en Google goedkoop zijn bieden ze geen 99,99% beschikbaarheid. Zo hadden gebruikers van Azure recentelijk (weer) geen toegang tot hun data, dit keer omdat Microsoft vergeten was de SSL certificaten te vernieuwen. Hoewel Microsoft compensatie gaf was de rekensom van alle aanwezigen dat dit een doekje voor het bloeden was, het verbergen van een tekortkoming waardoor de 'Cloud watervrees' van organisaties niet onterecht is.
Service Level Agreements
Nu zijn er al eerder discussies geweest over de service afspraken die je kunt maken met leveranciers zoals Google of Microsoft. Uitkomst daarvan was dat je alleen maar de voorwaarden kunt accepteren en leveranciers geen aansprakelijkheid willen dragen voor de schade, direct of indirect als gevolg van verstoringen. Dit zorgt ervoor dat er nog weleens sprake is van 'garantie tot de voordeur' bij het in de cloud brengen van je data. En ook eerder geaccepteerde voorwaarden kunnen zonder kennisgeving vooraf eenzijdig gewijzigd worden door leveranciers. Een simpel gevolg van de commerciële markt zoals de onderzoekers van Stanford Technoloy Law Review ook concluderen.
Maar markten veranderen en omdat klanten betere gegevensbescherming en beveiliging willen, geen eenzijdige wijzigingen van een dienst, betere intellectuele eigendomsrechten en meer rechten bij beëindiging van contracten bewegen Amazon, Microsoft en Google langzaam naar de Private Cloud oplossingen. En hoewel hier nadelen aanzitten, zoals hogere kosten en lagere flexibiliteit, lijkt de weg naar de Public Cloud daardoor opeens toch niet zo vanzelfsprekend meer.
Multi-sourcing
Nu zijn contracten en verwachtingen in de meer traditionele vormen van 'uit huis' plaatsen van IT service ook vaak een punt van frustratie, de spanning tussen afnemer en leverancier die ieder een eigen agenda hebben. Zo wil een afnemer constant efficiëntere diensten maar levert dat de leverancier geen betere marges op. Pragmatische van de Cloud zit dan wel in de snelheid van levering zonder investeringen vooraf (pay-per-use) maar het nadeel blijft toch de grote mate van standaardisatie, zowel in de techniek als de contracten. Accepteren van de standaard voorwaarden of toch liever wat meer maatwerk?
Multi-sourcing combineert echter de voordelen van de Cloud met de zekerheden van een eigen basis waarbij de pieken gehuurd kunnen worden. En zoals Henri nu ook lijkt te begrijpen, het hebben van een plan B voorkomt uiteindelijk de gijzeling van data. Maar uiteindelijk is de service bepalend voor het sourcing model en daarbij gaat het vooral om de eisen van de business. Het in kaart brengen van alle criteria is dus nodig om te bepalen welke sourcing modellen het beste passen, want niet alles is utility maar ook niet alles is kritisch. En ondertussen bewegen Cloud pioniers onder druk van de markt meer naar Private initiatieven terwijl de meer traditionele leveranciers juist weer de andere kant opgaan.
Beveiliging kost geld
Dubbel gestikt houdt namelijk altijd beter maar werkt ook kosten opdrijvend omdat data ook weer toegankelijk moet zijn. Een verzameling tapes is niet genoeg om continuering van de bedrijfsvoering te verzekeren. En het repliceren van data is door de kosten, in tegenstelling tot inbound verkeer voor outbound verkeer erg duur. Je komt dus blijkbaar makkelijker in de Cloud dan eruit, niet in de laatste plaats door de vendor-locks die er ook in de Cloud zijn. Want het gaat natuurlijk niet alleen om de opslag van data maar om het toegankelijk maken van informatie door middel van de services die in de Cloud gebracht worden.
Om de toegang tot informatie te controleren, gedefinieerde regels hiervoor te hanteren en het gebruik te auditeren zal dus meer ingericht moeten worden dan encryptie en Identity Management. En het is ook handig om de toegang tot de Cloud te integreren met andere systemen om zo te voorkomen dat ex-werknemers nog maanden toegang hebben tot Salesforce.com. Grootste deel van de werknemers blijkt er namelijk geen probleem mee te hebben om de informatie van vorige werkgever tot eigen voordeel aan te wenden. Nu is het 'frenemy' probleem, het verlies van intellectueel eigendom door vertrouwde partijen niet exclusief voor de Cloud maar wordt het hierdoor wel makkelijker.
Beheer is meer
Dus is het verstandig om ook te kijken naar log management (SIEM) want elke beveiligingslaag zal ook logs genereren, veel logs, En hoewel dit punt weggewuifd werd is het tijdelijk onbereikbaar zijn van een systeem minder erg dan een gecorrumpeerd systeem. ITSM bestaat dan ook uit meer dan de technische-, facilitaire- en applicatiebeheer disciplines en in een eerdere opinie heb ik al eens wat geschreven over de paradox van beheersbare kosten en beheerbare services. Beheer van de sleutels, de digitale certificaten en tokens kun je ook beter niet aan de gebruikers overlaten, en zoals ook Microsoft leerde is dit weer een discipline apart.
Geen opmerkingen:
Een reactie posten