LINKIT
1 of 6
Cloud
Knowledge Base
Het gevaar van te grote afhankelijkheid bij Cloud Outsourcing LINKIT
BUILDING IT TOGETHER
Introductie Nirvanix was één van de eerste grote Cloud leveranciers in Amerika en hostte na 7 jaar bestaan, een Petabyte aan data voor meer dan 1000 klanten. Vanwege een onafwendbaar faillissement kregen de klanten in September
Auteur Tim Doets Organisatie LINKIT Datum 08-01-2016
2013 te horen dat zij binnen 2 weken hun data moesten weghalen. Dit leidde tot grote paniek. Het bevestigde echter ook het gevaar van teveel afhankelijkheid van een Cloud leverancier en de noodzaak voor een gedegen plan. Een scenario om uitbestede functionaliteit en data met zo min mogelijke impact weer terug te kunnen halen (Cloud Exit- Strategie). Dit artikel beschrijft de negatieve aspecten van een te grote afhankelijkheid van de Cloud leverancier en de mogelijke mitigerende maatregelen.
Inhoud
De afhankelijkheid
- Introductie
Voor het outsourcen van Cloudomgevingen worden, door grote investeringen
- De afhankelijkheid
van beide partijen, contracten afgesloten die gemiddeld 5 tot zelfs 10 jaar
- Cloud exit-strategie
duren. Uitbesteding leidt per definitie tot afhankelijkheid, de kennis en de
- Mitigerende maatregelen - Conclusies en aanbevelingen
middelen worden immers niet meer door de eigen organisatie geleverd maar door de leverancier. Door de dynamiek in de markt wijzigen klanteisen voortdurend, hierdoor evolueren Cloud omgevingen gedurende hun exploitatieperiode. Dit resulteert in wijzigingen in de architectuur die meestal onder commerciële druk worden doorgevoerd, hetgeen veelal ten koste gaat van standaardisatie. Het ontbreken van standaarden bemoeilijkt de overdraagbaarheid van de Cloud omgeving en verhoogt derhalve de afhankelijkheid. Een andere zichtbare trend die de afhankelijkheid vergroot is het afdwingen van gebruik van eigen applicaties door de leverancier: ‘als u gebruik wilt maken van onze cognitieve software dan moet u ook onze tooling gebruiken’. De genoemde aspecten leiden ertoe dat de klant vaak vastzit aan de Cloud leverancier. Deze
LINKIT
Cloud
2 of 6
Knowledge Base
zogenaamde ‘Vendor Lock-in’ maakt het de klant bijna onmogelijk om bij een leverancier weg te gaan. Een te grote afhankelijk kan leiden tot aanzienlijke downtijd van de Cloud omgeving wanneer de leverancier niet meer in staat is haar diensten te leveren. Dit probleem (met de downtijd) doet zich ook voor als de klant infra, data of applicaties elders onder wil brengen. Beide kunnen dus een significant risico vormen voor de continuïteit van de onderneming als de leverancier niet meer adequaat kan presteren.
Cloud exit-strategie Een goede Cloud Exit-strategie beschrijft wat er moet gebeuren om het uitbestede met zo min mogelijk impact voor de onderneming weer terug te halen. Uit de resultaten van het Nationale EuroCloud monitor 2015 onderzoek is gebleken dat slechts 40% van de bedrijven in de Cloud überhaupt beschikt over een Cloud Exit- strategie. Een goede Exit-strategie kan uitkomst bieden in onder andere onderstaande situaties: • De klant is structureel ontevreden over de performance of functionaliteit van de Cloudomgeving. • De klant wil om financiële redenen overstappen naar een andere leverancier. • De Cloud leverancier is overgenomen, waardoor de data in een land met andere privacywetgeving wordt opgeslagen. • De leverancier is failliet of stopt haar business en dus niet meer in staat om de Cloud omgeving te leveren. Om de context aan te geven van de noodzaak voor een gedegen Cloud Exitstrategie: door leveranciers wordt in genoemde situaties veelal alleen de termijn gegarandeerd waarop de klantdata beschikbaar wordt gesteld. De te definiëren strategie is altijd maatwerk, afhankelijk van de afgenomen Cloud dienst (IaaS, PaaS of SaaS). De Cloud Exit-strategie zou in ieder geval het onderstaande moeten bevatten: • De ingeschatte migratietijd. De tijd die nodig is om data en functionaliteit terug te halen en elders onder te brengen. Deze downtijd is uit compliance redenen (zichtbaar geaccepteerd risico door
LINKIT
Cloud
3 of 6
Knowledge Base
directie) en uit communicatieoogpunt (interne/externe organisatie) van cruciaal belang. • Op welke manier de (back-up) data wordt gemigreerd (via Internetverbinding, tapes, mobiele disks etc.). • Migratiemethodiek van infra, operating systems of applicaties naar eventuele nieuwe aanbieders. • Hoe er zeker wordt gesteld dat de data bij de oude leverancier niet meer leesbaar en beschikbaar is (permanent wissen van de data). • Wie er bij een Exit betrokken zijn (projectorganisatie, verantwoordelijkheden, namen, telefoonnummers, rechten en plichten). • Welke kosten er gemoeid zijn met een Exit. • De manier en frequentie waarop de Exit-strategie wordt getest (uitwijkoefening). Een Exit-strategie staat niet op zichzelf en heeft vele relaties met overige bedrijfsprocessen. Het zal dus altijd integraal onderdeel moeten uitmaken van het bestaande continuïteit of uitwijkplan van de organisatie.
Mitigerende maatregelen De mate waarin de afhankelijkheid beperkt moet worden hangt af van de duur die de klant accepteert voor het niet beschikbaar zijn van bedrijfsapplicaties en data in relatie tot de kosten die gemaakt moeten worden om deze tijd te verkorten. De ervaring bij het ter ziele gaan van Nirvanix heeft ons bijvoorbeeld geleerd dat bandbreedte en opslagmedia de bottleneck zijn bij het terughalen (transporteren) van data. Het duurt bijvoorbeeld meer dan een jaar om 10 TB aan data over te halen bij een verbindingssnelheid van T1 (1.54Mbps). Wat betreft het beperken van de afhankelijkheid zijn er diverse mitigerende maatregelen mogelijk, allemaal met voor- en nadelen. Hieronder een kort overzicht:
LINKIT
Cloud
4 of 6
Knowledge Base
Cloud dienst
Mitigerende maatregel
Voordeel
Nadeel
IaaS, PaaS, SaaS
Data (archiveren) op LTFS tapes.
Mobiel; data kan relatief goed benaderd worden. Relatief goedkoop.
Vanwege vertrouwelijkheid van data is gecontroleerde opslag en vervoer noodzakelijk.
IaaS, PaaS, SaaS
Gebruik architectuurstandaarden, Open Source software en technieken zoals Open Virtualization Format (OVF), OpenStack, Cloud Foundry.
Gemakkelijker weg te halen en te migreren naar andere Cloud providers. Lagere kosten.
Verminderde functionaliteit besturingssystee m, tooling en applicaties.
IaaS & PaaS
Applicaties tegelijk laten processen bij 2 verschillende Cloud providers.
Minimale of geen downtijd.
Hoge kosten, alleen mogelijk bij Native Cloud applicaties.
IaaS
Kiezen voor een hybride Cloud leverancier.
Eenvoudig te integreren met bestaande ICTomgeving. Bij een geïntegreerde hybride cloudoplossing kunnen eenvoudig applicaties van Private- naar Public Cloud gemigreerd worden.
Alleen voor IaaS diensten van toepassing. Public Cloud slechts voor enkele applicaties geschikt.
PaaS
Applicaties verdelen over 2 verschillende providers.
Verminderde Risico op afhankelijkheid m.b.t. downtijd applicaties. applicaties nog steeds 100% voor 50% van de applicaties. Hogere kosten.
LINKIT
Cloud
5 of 6
Knowledge Base
Cloud dienst SaaS
Mitigerende maatregel Een back-up overeenkomst afsluiten met een equivalente SAAS leverancier.
Voordeel Door datasynchronisatie kan snel worden overgeschakeld naar back-up leverancier.
Nadeel lleen voor generieke applicaties mogelijk.
Bron: www.techtarget.com, www.weolcan.eu
Conclusies en aanbevelingen Een Exit-strategie is primair reactief terwijl de afhankelijkheid en risico’s beter preventief beperkt kunnen worden. Dit kan door vooraf goed na te denken over de kans dat een leverancierswissel zal voorkomen, de maximaal acceptabele downtijd en het type Cloud dienst. Bij de selectie van een Cloud leverancier kan het onderstaande worden aanbevolen: • Zie er op toe dat er zo veel mogelijk gebruik wordt gemaakt van Cloud standaarden en open source technieken. Dit stelt ook vergaande eisen aan de applicaties en tooling. • Bewaak de gekozen architectuur van de Cloudomgeving door Cloud architecten te betrekken bij projectinitiaties en wijzigingen op de Cloud gecontroleerd te toetsen via het reguliere Change Advisory Board. • Inventariseer welke continuïteitsmaatregelen er door de leverancier zelf worden genomen. • Hanteer risicospreiding door in ieder geval de gewenste bedrijfskritische Cloud applicaties bij twee verschillende leveranciers af te nemen. • Dwing af dat er 24/7 een kopie van de data beschikbaar is op LTFS tapes. • Maak heldere afspraken over de Exit-strategie en borg deze in een af te sluiten Service Level Agreement. • Zorg dat de Cloud Exit-strategie integraal onderdeel uitmaakt van de operationele security- en continuïteitsprocessen binnen de organisatie. • Controleer of de leverancier beschikt over branche certificeringen zoals de nieuwe ISO norm 19086 voor Cloud Computing.
LINKIT
Cloud
6 of 6
Knowledge Base
• Check of de leverancier referenties heeft op het faciliteren van Exitstrategieën en Cloud migraties. Geconcludeerd kan worden dat als waarborg voor de bedrijfscontinuïteit een gedegen Cloud Exit-strategie onontbeerlijk is. Er zal altijd een mate van afhankelijkheid van de leverancier ontstaan bij uitbesteding van de Cloudomgeving. Het gevaar van een te grote afhankelijk ligt echter op de loer. Een goede Exit-strategie is geen boei, waarbij de opvarenden maar op hulp moeten hopen, maar een reddingssloep, om veilig mee naar de reddende boot te varen.
LINKIT
BUILDING IT TOGETHER
© Copyright LINKIT 2016 LINKIT Group Produced in the Netherlands January 2016 Other product and service names might be trademarks of LINKIT or other companies. This document is current as of the initial date of publication and may be changed by LINKIT at any time.
