Når du ser drømmende op i it-skyerne for at plukke de økonomiske gevinster, er det samtidig vigtigt at have næsen solidt plantet i kontrakten. En grundig gennemgang af cloud-aftalen kan nemlig forhindre de værste katastrofer i at splitte din virksomhed i atomer og i værste tilfælde ruinere den.
Det mener sikkerhedsekspert Carsten Jørgensen fra Devoteam Consulting, som både via sit arbejde og fritidsprojektet cloudsecurity.dk har arbejdet en del med cloud-sikkerhed.
Han fremhæver, at selv om skalerbarheden i skyen er en af de cloud computings helt store styrker, så kræver det også sine begrænsninger.
Det skyldes, at en cloud-hostet webløsning baseret på server-forbruget er meget økonomisk sårbar over for et DDOS-angreb (distributed denial of service), hvis man ikke har sat en øvre grænse for, hvor meget web-løsningen skal skalere til.
"Jeg plejer at kalde det et denial of business case-angreb. For hvis nogen ser sig sure på en virksomhed, kan de generere en masse søge-arbejde på web-serverne eller sende en masse trafik, så de bruger ekstremt meget processorkraft, hukommelse og storage, så man som mindre eller nystartet virksomhed reelt risikerer at går fallit," forklarer Carsten Jørgensen.
Han pointerer, at man kan undgå den slags angreb ved at sikre et maksimalt forbrug hos sin cloud-leverandør eller bede om at blive adviseret og derefter selv manuelt tillade mere trafik på serverne.
"Så er spørgsmålet jo bare, hvornår adviseringen kommer. Er det med det samme, eller sker det først, når regningen kommer? Det skal man også have afklaret med sin leverandør," lyder rådet fra cloud-eksperten.
Baby-skyer er farlige
Et andet problem er de såkaldte baby-clouds, der typisk opstår, når forskellige afdelinger i en virksomhed shopper software-as-a-service (SaaS) hos flere cloud-udbydere uden en overordnet strategi.
Små-indkøbene skaber nemlig uoverskuelige brugsmønstre, hvor løsningerne kan være svære at integrere på tværs af virksomhedens afdelinger.
Derudover kan de ukoordinerede små-indkøb vise sig at få katastrofale følger, hvis eksempelvis en medarbejder forlader virksomheden til fordel for en konkurrent, fordi brugernavn og passwords til diverse clouds ofte følger den enkelte medarbejder frem for at være registreret og ændret centralt, når der sker udskiftninger i medarbejderstaben.
"Hurtigt vil man kunne opnå den situation, vi havde for nogle år siden inden for domæneregistreringen, hvor man er afhængig af registreringen, men ingen styrer betalingen til domænet," siger Carsten Jørgensen.
"Hvis en tidligere medarbejder har taget brugernavn og passwords med, kan han jo fortsat ligge og rode med virksomhedens data, selv om han nu er blevet ansat hos en konkurrent," fortsætter han.
I flere amerikanske virksomheder er man ifølge Carsten Jørgensen derfor begyndt via kreditkort-forbruget at undersøge, hvor mange cloud-indkøb de enkelte afdelinger foretager.
Virtualisering kan skabe problemer
"Hvis man kan få afdelingslederen til at holde styr på sin afdelings cloud-forbug, så er det vejen frem. Men det sker næppe, hvis man ikke har procedurer for, hvordan man skal holde styr på indkøbene og de medfølgende passwords. Ofte er det jo flere clouds, som den tidligere medarbejders brugernavn og password giver adgang til," forklarer Carsten Jørgensen.
Del og hersk i skyerne
Et fjerde skæbnesvangert punkt i cloud-udrulningen er ifølge Carsten Jørgensen, at man lægger alle sine cloud-data i samme kurv.
Det betyder nemlig, at når cloud-udbyderens systemer går ned, så kan man blive fuldstændig handlingslammet.
Carsten Jørgensen forslag til løsningen på det problem er, at spejle data eller lægge kopier af ukritiske og ikke-personfølsomme data og systemer på forskellige cloud-servere, så ens infrastruktur hurtigt kan genskabes, når/hvis den enkelte cloud-leverandør kollapser.
Kig på priserne - en gang til
En femte udfordring er priserne, som naturligvis kan variere hos de forskellige cloud-leverandører kan naturligvis variere. Men det kan prissammensætningen også.
"Kontrakterne i cloud-computing er ikke kun baseret på forbrug. Især inden for SaaS er der en tendens til at leverandørerne sælger bindingsperioder/abonnement-løsninger oveni det reelle storage-forbrug," siger Carsten Jørgensen.
Priserne på infrastructure-as-a-service (IaaS) og platform-as-a-service (PaaS) er derimod oftere beregnet på det reelle forbrug.
"Cloud er ikke bare cloud - og det skal man holde et meget skarpt øje med, hvor meget man skal betale, når man underskriver sin kontrakt," lyder rådet.
Virtualiseringen skal passe
Et femte problem ved cloud computing er, at det kan være svært at trække sine data ud fra én leverandør og fyre dem ind hos en anden - eller få data mellem to leverandører til at spille sammen.
Det skyldes ifølge Carsten Jørgensen ofte, at cloud-løsninger er baseret på virtuelle servere, der bag kulisserne kan benytte forskellige leverandør-specifikke indstillinger.
"Man kan ofte flytte og dele data mellem forskellige skyer. Men man skal være opmærksom på, at jo flere funktionaliteter man benytter sig af i en cloud, jo mere låser man sig til den leverandør," siger han.
"Man kan eksempelvis godt konvertere et image fra en VMware-baseret sky til Microsofts Hyper-V-hypervisor, men hvis man benytter en masse VMware-specifikke indstillinger i skyen, så kan skiftet til en Microsoft-baseret sky - eller omvendt - godt blive en lang og bekostelig proces," forklarer Carsten Jørgensen.
Læs mere om praktiske erfaringer med cloud computing i fredagens trykte udgave af Computerworld Guide.
