Onderzoek: Cloud computing in Nederland Privacy en onvolwassenheid grootste drempels voor verdere groei
Website hosting en e-mail grootste groeimarken
Copyright Webwereld 2010
1
Inhoud: 1. Inleiding .............................................................................................................2 2. Samenvatting:.....................................................................................................2 3. Gebruik cloud......................................................................................................3 4. Aantrekkingskracht cloud .....................................................................................4 5. Wat houdt cloud tegen? .......................................................................................6 6. Welke toepassingen gaan naar de cloud? ..............................................................9 7. Conclusie .......................................................................................................... 10 8. Onderzoeksverantwoording ................................................................................ 10
1. Inleiding Cloud computing is ontegenzeggelijk dé ICT-hype van 2009 en 2010. In het jaarlijkse CIO priorities 20101 onderzoek van Gartner komt cloud uit het niets binnen op de tweede plek. Leveranciers springen met zoveel enthousiasme op de trend, dat onderzoeksbureau Forrester Research sommige partijen beschuldigde van 'cloudwashing'2, een fenomeen waarbij elke dienst die op internet draait werd omgedoopt tot cloud dienst om aan te kunnen haken op de hype. ICT-managers springen nog niet meteen in op de hype, maar wachten tot het stof is neergedaald. Slechts een op de vijf Nederlandse organisaties rolt op dit moment cloud diensten uit op afdelingsniveau of bedrijfsbreed, zo blijkt uit een onderzoek van Webwereld onder 708 managers, IT managers en IT professionals. Voor dit onderzoek verstaan we onder cloud computing: IT diensten die via het internet worden aangeboden, waarbij de diensten zelf gebruik maken van een parallel computersysteem (oftewel: de dienst wordt gehost op meerdere servers). Binnen deze definitie vallen zowel Software as a Service (SaaS) als Infrastructure as a Service (IaaS) en Platform as a Service (PaaS).
2. Samenvatting: Cloud computing staat in Nederland nog in de kinderschoenen: slechts één op de vijf organisaties gebruikt cloud diensten op afdelingsniveau of rolt ze in de hele organisatie uit. Veel organisaties wachten liever af tot cloud zich als professionele bedrijfsdienst heeft bewezen. En omdat er nog weinig ervaring is met cloud, spelen vooroordelen nog een grote rol, wat zich vooral uit in zorgen over de privacy en beveiliging. In praktijk blijken die zorgen niet altijd op feiten te zijn gebaseerd. Organisaties die de sprong in het diepe hebben gewaagd, zijn over het algemeen tevreden over de resultaten en bij tien procent zijn de verwachtingen zelfs overtroffen. Cloud gebruikers roemen vooral de flexibiliteit die cloud biedt om snel te groeien en de mogelijkheid om bedrijfsapplicaties en data vanaf meerdere locaties te benaderen. Het uitblijven van hoge investeringen aan het begin van ICT-projecten wordt als een derde voordeel gezien, maar wordt als minder belangrijk ervaren.
1
Persbericht Gartner, 19 januari 2010; Gartner EXP Worldwide Survey of Nearly 1,600 CIOs Shows IT Budgets in 2010 to be at 2005 Levels; http://www.gartner.com/it/page.jsp?id=1283413 2 Cloudhype werkt averechts, Webwereld 17 november 2010; http://webwereld.nl/nieuws/64312/cloudhypewerkt-averechts.html
2
Vooral infrastructuur wordt nu veel naar de cloud verplaatst, gevolgd door e-mail en applicatie infrastructuur. Ook voor de korte termijn (komende 1-2 jaar) tonen deze twee de meeste potentie. 3. Gebruik cloud & tevredenheid De principes en technieken achter cloud computing spelen al lange tijd een rol binnen de ICT. Begrippen als grid computing, computer clusters, SaaS en virtualisatie vormen de bouwstenen van clouddiensten. Maar een cloud dienst is meer dan een verzameling van deze technologieën. De bekendheid van en ervaring met de cloud-bouwstenen verklaart waarom de bekendheid met het fenomeen cloud computing aanzienlijk hoger is dan het gebruik ervan: 35,1 procent geeft aan zeer bekend te zijn met cloud computing, 55,4 procent is matig bekend. Slechts 9,4 procent geeft aan weinig tot niets van de trend te weten. Die goede bekendheid voorkomt niet dat slechts 11,2 procent van de ondervraagden cloud op dit moment breed uitrolt. Daarnaast rolt 9,6 procent de diensten beperkt uit op afdelingsniveau. De meerderheid gebruikt nog helemaal geen cloud diensten (43,1%) of beperkt zich tot experimenten (32,7%). Bij een kleine groep van 3,4 procent zijn individuele afdelingen begonnen met het gebruiken van cloud diensten, maar dat doen zij zonder ondersteuning van de ICT-afdeling. Ondernemingen met meer dan 500 werknemers blijken iets terughoudender in het gebruik van cloud dan hun kleinere collega's, maar deze verschillen zijn klein. De groep die cloud al op afdelingsniveau of breder uitrolt, is over het algemeen tevreden (86%), terwijl bij 11 procent de verwachtingen zijn overtroffen. Het aantal teleurstellingen is beperkt (3%). Daarbij valt op dat organisaties met maximaal 100 medewerkers het vaakst melden dat hun verwachtingen overtroffen zijn (17%), terwijl grote ondernemingen vaker dan gemiddeld een teleurstelling moeten melden (6%).
3
In welke mate gebruikt u cloud diensten? N=708
9,6%
11,2%
3,4%
43,1% 32,7% Niet We experimenteren De business experimenteert, maar zonder ondersteuning van de IT-afdeling We rollen het beperkt uit (afdelingsniveau) We rollen het breed uit, inclusief bedrijfskritische applicaties
4. Aantrekkingskracht cloud De deelnemers aan het onderzoek werden gevraagd om aan te geven elke drie zaken zij als grootste voordeel van cloud diensten zien. Daarbij werden vooral flexibiliteit (61,3%) en mobiliteit (60,1%) vaak genoemd (zie grafiek). 4.1 Flexibiliteit De flexibiliteit van de cloud houdt in dat afnemers afrekenen naar gebruik, bijvoorbeeld per gebruiker per maand (zoals bij SaaS diensten als Salesforce.com); per server per maand (bij hosting providers); per Gigabyte (bij online storage providers), per applicatie per maand (Google App Engine). Bij een traditionele automatiseringsafdeling maakt de organisatie vooraf een inschatting van de benodigde IT-middelen en investeert vervolgens in de benodigde hardware en software. Dit betekent niet alleen dat de grootste investering plaatsvindt voordat het systeem in gebruik genomen kan worden, maar stelt ook grenzen aan de groei. Het bijplaatsen van extra hulpmiddelen brengt immers opnieuw aanzienlijke investeringen en beheerskosten met zich mee. Organisaties houden daarom een flinke marge aan om groei op te vangen. Volgens schattingen wordt van een gemiddelde server in praktijk maar zo'n 10 tot 30 procent van de capaciteit gebruikt, waarmee op elk moment van de dag wereldwijd zo'n 140 miljard dollar aan servercapaciteit ongebruikt blijft3.
3
IDC special study, Server Virtualization Market Forecast and Analysis, 2005 2010 door Michelle Bailey, Matthew Eastwood, Al Gillen en Dhaval Gupta
4
Wie een cloud dienst afneemt, bespaart zich niet alleen grote investeringen in hardware en software vooraf, maar kan ook snel extra hulpmiddelen inschakelen wanneer de grenzen van de huidige systemen worden bereikt. Op die manier kunnen pieken in het gebruik gemakkelijk worden opgevangen. De mogelijkheid om storage traploos te laten meegroeien is verwant aan dit voordeel, al wordt het minder vaak genoemd (20,1%). 4.2 Mobiliteit Cloud diensten worden doorgaans via het openbare internet aangeboden. Medewerkers kunnen cloud daarom ook eenvoudig vanuit huis, onderweg of bij een klant bereiken. Bij traditionele automatisering zijn vooral oudere applicaties gebonden aan het bedrijfsnetwerk. Het aanbieden van deze diensten via het openbare internet is vaak ingewikkeld omdat het om verouderde systemen gaat waarbij het fysiek lastig is om deze via het internet beschikbaar te stellen. Bij deze verouderde systemen speelt bovendien de beveiliging vaak een grote rol: de software en onderliggende architectuur is nooit ontworpen voor het internettijdperk. Het komt daarom voor dat automatisering de beveiliging van vertrouwelijke gegevens in het systeem niet altijd kan garanderen. 4.3 Kosten De lage investeringskosten worden als derde grote voordeel genoemd (43,2%). Dit argument houdt verband met de investeringen in hard- en software van traditionele datacenters, terwijl het installeren van een cloud dienst in het best geval is beperkt tot het aanmaken van een account en invullen van creditcard informatie. 4.4 Beheer Het wegvallen van beheer en patchen van cloud diensten wordt vaak als een ander groot voordeel genoemd. Hebben systeembeheerders normaliter vaak veel werk aan het beheren van de software en bijvoorbeeld het aanmaken van nieuwe gebruikers en resetten van wachtwoorden, bij een cloud dienst wordt het beheer sterk vereenvoudigd omdat de leverancier de software en hardware onderhoudt. Bovendien is het patchen van beveiligingslekken voor de beheerder helemaal verleden tijd: de aanbieder van de dienst neemt deze taak over. Het wegvallen van patches wordt door 24,0% van de ondervraagden als een voordeel genoemd, terwijl 19,0% een afname van beheerskosten hoog inschat. 4.5 Stabiliteit Cloud diensten gebruiken doorgaans meerdere servers, die vaak ook nog verspreid zijn over meerdere locaties. Het risico van hardware falen, stroom storingen of overstromingen is daardoor fors lager dan bij een rekencentrum binnen het bedrijfspand. De stabiliteit wordt als het vijfde grote voordeel gezien (22,2%). 4.5 Groene ICT Het onderzoek bevestigt tot slot nog het beeld dat Groene ICT vooral een onderwerp is dat bij hoogconjunctuur belangrijk wordt. Slechts 8,4 procent van de ondervraagden beschouwt het lagere stroomverbruik van cloud diensten als een voordeel. Het 'groene' argument van cloud gaat ervan uit dat aanbieders van cloud diensten door hun schaalgrootte in staat zijn om groenere datacentrums te bouwen dan de serverruimte binnen een organisatie. Cloud kan ook een uitkomst zijn als de bestaande serverruimte de limieten
5
van zijn groei heeft bereikt, waardoor een verdere groei van het serverpark een forse investering vereist in een nieuwe serverruimte. Daarbij is het anno 2010 vaak nog maar de vraag of je in staat bent voldoende stroom geleverd te krijgen voor een nieuw datacentrum, al was het maar omdat daarbij tegenwoordig forse milieueisen worden gesteld.
Wat ziet u als grootste voordelen van cloud computing? (3 antwoorden) n=708 70,0%
60,0%
50,0%
40,0%
30,0%
Eindeloze storage
8,4%
Stabieler
19,0%
Kosten
20,1%
Mobiliteit
22,2%
43,2%
Flexibiliteit
24,0%
60,1%
10,0%
61,3%
20,0%
0,0% Geen patches
Minder beheerskosten
Groen
5. Wat houdt cloud tegen? De bezwaren tegen (meer doen met) cloud zijn grofweg in te delen in twee groepen: of er zijn concrete zorgen, of organisaties wachten liever even af. Deelnemers aan het onderzoek is gevraagd om de (maximaal) drie belangrijkste redenen te geven waarom zij niet meer met cloud doen. Deze vraag is niet voorgelegd aan personen die cloud nu al breed uitrollen. Organisaties waar cloud al in productie is genomen zien minder bezwaren dan hun collega's die minder ver zijn. Dat kan komen doordat zij hun eigen keuze nog moeten rechtvaardigen: nu klagen over nadelen van cloud zou kunnen betekenen dat zij aan zichzelf twijfelen. Anderzijds kan dit aangeven dat eventuele vooroordelen tegen cloud verdwijnen wanneer iemand er eenmaal mee aan de slag is. Daarbij zouden de praktijkervaringen de bezwaren ontkrachten. 5.1 Privacy en beveiliging Privacy en beveiliging wordt veelal genoemd als de grootste horde voor cloud diensten. Ook bij dit onderzoek blijkt het de belangrijkste horde te zijn (40,7%). Vooral organisaties met meer dan 250 medewerkers zien dit als een probleem. Een cloud dienst zoals Gmail of Salesforce slaat alle data centraal op, waarbij de vertrouwelijke gegevens soms letterlijk op dezelfde harde schijf staan opgeslagen. Doordat cloud diensten zo veel gegevens bevatten, vormen zij een extra aantrekkelijk doelwit voor datadieven. De beveiligingslat zou bij cloud daarom veel hoger liggen dan voor interne bedrijfssystemen.
6
Dit argument gaat voor beveiligingsonderzoekers overigens niet op. Een systeem dient afdoende te zijn beveiligd, ongeacht de waarde van de data die daar staat opgeslagen. Ten tweede verlies je bij cloud de controle over de beveiliging van gevoelige gegevens. Zo positioneert Google zijn Docs dienst als een alternatief voor Microsoft Office en Microsoft Sharepoint. Maar het vertrouwen in de veilige opslag van bedrijfskritische data door Google heeft meerdere malen een flinke knauw gekregen. In maart 2009 deelde Google Docs ongevraagd documenten met willekeurige contactpersonen van gebruikers4. Later die maand legde een Canadese onderzoeker 3 beveiligingsgaten in de dienst bloot5. Voorstanders van cloud diensten brengen hiertegen in dat alle software gaten bevat, maar dat een cloud dienst daarbij het voordeel heeft van de schaalgrootte. Google heeft enkele tientallen beveiligingsspecialisten in dienst en gaten in Gmail zijn vaak binnen enkele uren gedicht. Een gat in Exchange moet eerst wachten op de maandelijkse patchronde van Microsoft. En dan stellen veel systeembeheerders het installeren van patches vaak uit omdat ze me andere zaken bezig zijn. Als derde bezwaar is er nog de dreiging van inlichtingendiensten. De Amerikaanse National Security Agency kan bijvoorbeeld binnen Amerika zonder juridische toetsing gegevens opeisen. Op die manier kunnen ook vertrouwelijke bedrijfsgegevens in de handen van overheden vallen. Niemand kan verzekeren dat deze gegevens niet worden doorgespeeld naar lokale bedrijven. Van de ondervraagden heeft 61,2 procent dan ook twijfels over het onderbrengen van data in het buitenland als dat ze blootstelt aan buitenlandse wetgeving. Aanbieders spelen hier dan ook op in. Microsoft biedt gebruikers van zijn Azure cloud platform de mogelijkheid om data uitsluitend in Europa te hosten. Van de 10 tot 20 datacenters die Microsoft wereldwijd heeft, staan er twee in Ierland en Amsterdam. De zorgen over privacy pleiten daarom in sterke mate voor een private cloud in tegenstelling tot een publieke cloud. In dat geval beschikt de klant over eigen servers en controleert dan ook zelf wie daar bij komt. Maar liefst 63,8 procent van de ondervraagden is het eens of sterk eens met de stelling dat bedrijfsdata niet op een publieke cloud thuis horen. 5.2 Afwachten 37,2 procent geeft aan het simpelweg te druk te hebben om nu meer met cloud te doen. Daarmee geven zij aan dat ze cloud wel interessant of belangrijk vinden, maar er staan op dit moment projecten op de rol die grotere voordelen opleveren of op een andere manier belangrijker zijn. Daarnaast wacht 24,4% eerst de resultaten van de huidige experimenten af, voor zij beslissen over een verdere uitrol. 16,1 procent heeft op dit moment geen budget beschikbaar. Een relatief grote groep klaagt dat cloud zich nog meer moet bewijzen (31,6%) als een dienst die geschikt voor is bedrijftoepassingen. Anders gezegd: Cloud stond in juli 2009 in de top van de Gartner Hype Cycle6, met de daarbij horende torenhoge verwachtingen. Die verwachtingen moeten eerst nog tot een realistisch niveau worden teruggebracht. 4
Google deelt per ongeluk documenten; Webereld; http://webwereld.nl/nieuws/56168/google-docs-deelt-perongeluk-documenten.html 5 Onderzoeker vindt drie gaten in Google Docs; Webwereld; http://webwereld.nl/nieuws/56625/onderzoekervindt-drie-gaten-in-google-docs.html 6 Gartner's 2009 Hype Cycle Special Report Evaluates Maturity of 1,650 Technologies; Gartner; http://www.gartner.com/it/page.jsp?id=1124212
7
5.3 Standaarden en vendor lock-in Er is een enorme veelheid aanbieders opgestaan als gevolg van de hype rond cloud. Dat voedt zorgen over standaarden: als ik een applicatie afneem bij leverancier x, werkt die dan samen met mijn bestaande infrastructuur? En sluit hij aan op eventuele andere diensten die ik in de toekomst ook nog wil afnemen? De standaarden van veel van de bouwstenen van cloud bevinden zich nog in een zeer pril stadium (bijvoorbeeld: de migratie van draaiende virtuele machines tussen een Microsoft en VMware virtualisatie platformen is op dit moment nog niet mogelijk), laat staan dat er veel standaarden voor cloud zelf bestaan. 21,1% van de ondervraagden ziet het gebrek aan standaarden dan ook al een belemmering. Met het gebrek aan standaarden komt ook het risico op vendor lock-in om de hoek kijken. Onder vendor lockin verstaan we een situatie waarbij applicaties of data onlosmakelijk zijn verbonden met één leverancier. Bij cloud computing valt dan bijvoorbeeld te denken aan klantdata die muurvast zit in een online CRM dienst, of orderboeken die zijn opgesteld in een formaat dat slechts één dienstverlener kan lezen. Daarmee wordt het in de toekomst extreem duur tot onmogelijk om over te stappen naar een alternatieve aanbieder. Hoewel 16,1 procent aangeeft vendor lockin als een risico te zien, is het fenomeen bij cloud niet intrinsiek anders dan bij alternatieve oplossingen. 5.4 Beheer en politiek Beheerders hebben voor datacenters hun vertrouwde tools. Deze werken vaak niet voor cloud diensten. Denk daarbij bijvoorbeeld aan integratie van Google Docs in Microsoft Active Directory. Het ontbreken van dergelijke tools wordt (nog?) niet als een groot probleem gezien: slechts 12,3% geeft aan zich hier zorgen over te maken. Alleen angst dat cloud de baan van IT uitholt of overbodig maakt kan op nog minder bijval rekenen. Dit argument speelt in op het feit dat een organisatie aanzienlijk minder tijd kwijt is met het beheren van cloud oplossingen dan bij traditionele systemen. Wat zijn de belangrijkste zaken die een (verdere) uitrol van cloud diensten tegenhouden? (max 3 antwoorden mogelijk) n=629 45,0% 40,0% 35,0% 30,0% 25,0% 20,0%
2,1%
12,3%
16,1%
17,9%
21,1%
24,4%
31,6%
5,0%
37,2%
10,0%
40,7%
15,0%
0,0% Privacy en beveiliging
Te druk
Onbewezen
Wachten af
Standaarden Geen budget Vendor lock- Beheerstools in
Bang voor eigen baan
8
6. Welke toepassingen gaan naar de cloud? Deelnemers aan het onderzoek is gevraagd op welke termijn hun organisatie klaar is om bepaalde cloud diensten in te voeren. Daarbij hadden zij de keuze uit nu; binnen 6 maanden (project staat op de planning); 6-12 maanden (project is begroot); 1-2 jaar (er is een wens maar nog geen concrete plannen); nooit; of weet niet. De cloud wordt vooral gezien als een platform voor infrastructuur, en minder voor applicaties voor eindgebruikers. Website infrastructuur, zoals databases en webservers, wordt op dit moment het meest in de cloud ondergebracht (29%). Ook storage (20%) en applicatie infrastructuur (17%) (applicatie servers en databases) scoren hoog. E-mail haalt met 28% de tweede plaats, en is daarmee de enige applicatie voor eindgebruikers in de top-4. Beveiliging (10%) en hosted desktop (8%) scoren het laagst. Velen geven aan dat zij hosted desktop nog vooral als toekomstmuziek zien: 19% verwacht pas over 1 tot 2 jaar klaar te zijn om desktop systemen vanuit een cloud te betrekken. Op welke termijn verwacht u dat uw organisatie klaar is om de volgende cloud diensten in te gaan voeren? (n=708) Website infrastructuur Email Storage Applicatie infrastructuur Bedrijfsapplicaties Maatwerk applicaties Beveiliging Hosted desktop 0%
10%
nu
20%
30%
nu-6 mnd
40%
6-12 mnd
50%
60%
1-2 jaar
70%
80%
nooit
90%
100%
weet niet
9
7. Conclusie Cloud zit op de top van de hypecyclus. De verwachtingen zijn daarom enerzijds torenhoog, maar anderzijds is er nog veel ruimte voor vooroordelen. Zorgen over privacy en beveiliging vormen het meest hardnekkige vooroordeel. Vooral cloud diensten die in het buitenland gehost worden kunnen rekenen op een forse dosis scepsis. Aanbieders van diensten dienen dergelijke zorgen serieus te nemen. Voor organisaties lijkt 'gewoon beginnen' het devies. De overgrote meerderheid van de partijen die al met cloud bezig is, toont zich tevreden over de resultaten. Bovendien leven de vooroordelen in deze groep in veel mindere mate.
8. Onderzoeksverantwoording Doelgroep: management en beslissers rondom ICT oplossingen Steekproefkader: contactbestanden IDG Nederland Methode: online vragenlijst, uitnodiging via e-mail en RSS Veldwerkperiode: juli 2010 Netto steekproef = 1526 Netto response 46,4% n = 708 Vragenlijst: 13 vragen
10
