Dit betoog beschrijft de stelling dat bedrijven een 'public cloud only strategie' moeten volgen. Cloud computing is een dienst, waarmee: servers, databases, opslagruimte en applicatiediensten worden afgenomen, zonder veel investeringen vooraf. Dit in tegenstelling tot het aankopen van hardware, afnemen van softwarelicenties en het huren van datacenters.
De aanleiding van dit betoog is de twijfel die er lijkt te zijn om de eigen’it-diensten te vervangen door cloud diensten, of het verplaatsen van de eigen’ it-diensten naar de cloud toe. Zo wordt er bericht over de grote voordelen die cloud computing biedt, maar steeds meer met de nadelen erbij waarom bedrijven juist niet cloud computing gebruiken (Druitt, D. & Bhartiya, W.).
Ook merk in het werkveld dat de weerstand tegen cloud computing steeds sterker wordt, terwijl cloud computing het mogelijk maakt om bedrijven sneller te laten groeien (Serhan, 2015) . Nieuwsberichten over gehackte clouddiensten versterkt het negatieve sentiment, zoals dit jaar van Tesla’, ‘Tesla’s Cloud Hacked, Used to Mine Cryptocurrency’ (Cameron, 2018). De titel had ook kunnen zijn: ‘Tesla did not use passwords on their servers’.
Door middel van dit betoog toon ik op basis van deze structuur aan, dat bedrijven een ‘public cloud only’ strategie moeten volgen. Zo heeft bijvoorbeeld Netflix dankzij de cloud een nieuwe markt gecreëerd en veel startups maken direct gebruik van cloud services, waardoor zij direct een voorsprong hebben op hun concurrenten.
Continuïteit door redundantie
Het eerste argument voor de stelling dat bedrijven een public cloud strategie moeten volgen, is continuïteit van de dienstverlening door redundantie. (Microsoft, 2018)
Elke clouddienst kan op twee geografisch gescheiden locaties aanwezig zijn. Zo is data voor een Nederlandse klant opgeslagen in West-Europa en bij een storing heeft de klant de keuze of dit wordt overgeschakeld naar Noord-Europa. Deze automatische redundantie werkt dus, naast gepland onderhoud, ook bij natuurrampen, rellen en energietekorten. (Microsoft, 2018)
De fysieke afstand tussen deze locaties is meestal meer dan vierhonderd kilometer en voldoet natuurlijk aan alle gestelde wetgeving. (Microsoft, 2018)
Door het dubbel uitvoeren in verschillende geografische regio’s, is er continuïteit door redundantie.
Schaalbaarheid
Het tweede argument voor de stelling is de schaalbaarheid die bij cloud computing hoort (IBM, sd).
Schaalbaarheid, of elasticiteit, is een belangrijk argument voor cloud computing. Het biedt de mogelijkheid om zeer snel capaciteit toe te voegen en weer te verwijderen (Blank M. & Gallagher P., 2011). Met functies zoals Auto Scaling is het niet nodig om hier zelf opdracht voor te geven. Het cloud platform monitort de capaciteit en onderneemt zelfstandig actie. Hierdoor reageren websites op een voorspelbare wijze, ongeacht hoeveel bezoekers er op dat moment zijn (Amazon, sd).
Het op en af schalen van deze capaciteit wordt binnen minuten uitgevoerd in plaats van uren of dagen. (Amazon, sd).
De schaalbaarheid is grotendeels mogelijk, doordat er geen aparte licenties of investering meer nodig zijn. Dit is vervangen door een ‘betalen naar gebruik’-model, waardoor it veelzijdiger en wendbaarder kan worden ingezet. In feite verplaatst de focus van ‘hardware en software aankopen’ naar het betalen op basis van resultaten (The Open Group, 2010).
Doordat er alleen betaald wordt voor gebruik en het mogelijk is om binnen enkele minuten capaciteit te vergroten en te verkleinen, is cloud computing erg schaalbaar.
Platformkeuze
Het derde argument voor de stelling is de keuze uit sourcings-platformen (IBM, sd).
Zo is het mogelijk om de it-infrastructuur in de cloud te plaatsen (IaaS), Informatiesystemen in de cloud te plaatsen (PaaS) en cloud-gebaseerde applicaties te gebruiken (SaaS) (Blank M. & Gallagher P., 2011). Bij applicaties op een eigen server bestaan deze platformen niet, dan draait alles op de eigen infrastructuur. Bij PaaS is het mogelijk om applicatie(module)s te ontwikkelen, zonder afhankelijk te zijn van de eigen infrastructuur. Nog een niveau hoger is het gebruiken van applicaties die via een webinterface beschikbaar worden gemaakt, maar verder geen eigen it-bronnen verbruiken (SaaS) (Watts, 2017).
Elk bedrijf is een verzameling van bedrijfsprocessen. Door gebruik te maken van portfolio technieken, zijn deze processen gegroepeerd en worden ze in een van de domeinen verdeeld. Hierdoor kan er op basis van selectiecriteria worden bepaald welk cloud platform het meest geschikt is (The Open Group, 2010).
Door het aanbod van diverse cloud platformen, ontstaat de mogelijkheid om de meest geschikte oplossing te kiezen.
Concurrentievoordeel
Het vierde argument voor de stelling, is het concurrentievoordeel ten opzichte van de andere bedrijven.
De it-afdeling heeft de mogelijkheid om de focus te verleggen naar het ontwikkelen van apps en andere bedrijfsspecifieke prioriteiten, doordat beheertaken vervallen. Zo worden bijvoorbeeld updates door de cloud provider geïnstalleerd, omdat de cloud provider de onderliggende infrastructuur beheerd (IBM, sd).
Door het gebruik van cloud computing, kunnen organisaties ook veel sneller inzicht krijgen in hun klanten en nieuwe (digitale) producten ontwikkelen. Ook kan er meer informatie van klanten verwerkt worden, bijvoorbeeld door het gebruik van apps en wearables. Cloud computing biedt dan ook hét platform dat nodig is om deze apps te ontwikkelen en zelfs nieuwe diensten te ontwikkelen, zoals de toekomstige zelfrijdende auto (Gillin, 2015).
Een andere wijze om te kijken naar concurrentievoordeel, is door de cloud te zien als een gemeenschap die gebruik maken van hetzelfde platform. Problemen die voorkomen worden binnen de gemeenschap opgelost. Hierdoor hebben alle deelnemers voordeel van de oplossingen. Door gebruik te maken van cloud computing wordt een bedrijf onderdeel van de gemeenschap en er komen constant weer nieuwe oplossingen in het ecosysteem, waar mogelijk gebruik van kan worden gemaakt (The Open Group, 2010).
Doordat de it-afdeling de focus kan leggen op bedrijfsspecifieke prioriteiten, krijgen bedrijven meer inzicht in wie hun klanten zijn en kan de cloud gezien worden als een gemeenschap, waar alle partijen voordeel hebben bij nieuwe oplossingen, behaald het bedrijf een concurrentievoordeel.
Tegen argumenten
Het eerste argument tegen de stelling is de beveiliging van de it-omgeving. Zo kan een account worden gekraakt, waardoor er toegang wordt verkregen tot gevoelige informatie. Ook de wijze waarop cloud providers het mogelijk maken om applicaties op elkaar aan te sluiten kan onveilig zijn. Data kan verloren gaan en cloud platformen verdelen hun it-bronnen over verschillende klanten, wat ook een veiligheidsrisico kan zijn. (Violino, 2018)
Belangrijke security issues zijn niet uniek voor cloud computing. Zo is een gegevenslek niet uniek voor cloud computing. Ook onbetrouwbare beheerders zijn niet uniek voor cloud computing. Dat bedrijven geen goede due diligence uitvoeren bij het verplaatsen van data naar de cloud is op zichzelf niet toe te schrijven aan cloud computing, maar aan de wijze waarop bedrijven met hun data omgaan (Violino, 2018).
De belangrijkste risico’s zijn dan ook toe te schrijven aan het gebrek aan voldoende kennis om veilig gebruik te maken van cloud computing. Zo is de verwachting dat het optimaal gebruik maken van de cloud het aantal security incidenten bij de meeste bedrijven de komende jaren juist met 30-60 procent laat afnemen (Panetta, 2018).
Het vierde argument tegen de stelling is dat cloud computing duurder is dan it-systemen op ‘eigen terrein’. Dit komt doordat veel systemen altijd moeten draaien, waardoor het pay-per-use model veel hoger uitkomt dan de systemen in eigen beheer. De SEC heeft berekend dat ze 40 procent besparen, door de mailservers uit de cloud te halen (Haranas, 2018).
Het argument van de hoge kosten wordt voornamelijk gebruikt door leveranciers van it-hardware. De besparingen door de it-systemen zelf aan te schaffen, is op voorwaarde dat het bedrijf een eigen cloud omgeving opbouwt, waar ook ontwikkel- en beheerkosten bij komen kijken. Hoe hoog de total cost of ownership is, is nog steeds niet bekend, omdat de focus vooral op de techniek ligt (Managoli, 2016).
Een onderliggend probleem van het argument tegen de stelling, is dat bedrijven hun systemen naar de cloud verplaatsen en niet optimaliseren. Door de ‘ouderwetse’ systemen en wijze van werken te behouden op een nieuw platform, kan een bedrijf niet de voordelen van cloud computing bereiken. (Bommadevara, 2018)
De kosten ontstaan dus niet door cloud computing op zich, maar door cloud computing niet optimaal te gebruiken.
Conclusie
Bedrijven moeten mijns inziens een ‘public cloud only strategie volgen. Hoewel veiligheid, vast zitten aan een leverancier, hoge latency en snel oplopende kosten een zorg kunnen zijn, zijn deze niet specifiek voor cloud computing. Ook ontstaan dankzij public cloud providers juist meer mogelijkheden om data te beveiligen, zijn er voldoende providers om niet aan een vast hoeven te zitten, zijn er mogelijkheden om de latency op te lossen en zijn hoge kosten te voorkomen met een goede voorbereiding.
De voorbereidingen treffen om de hele it-omgeving te verplaatsen naar de public cloud, zorgt dat bedrijven een redundante en schaalbare omgeving hebben. De keuze uit verschillende sourcingsplatformen zorgt ervoor dat het meest passende platform gekozen kan worden voor elk bedrijfsproces en uiteindelijk het bedrijf kan komen tot het behalen van een concurrentievoordeel.
Dit betoog is geschreven op persoonlijke titel, bronvermeldingen zijn opvraagbaar.
Een leuk stukje knip & plakwerk waarin vooral de Amerikaanse cloud visie uiteengezet wordt terwijl er met geen woord iets over de werkelijke reden van een toenemende cloud aversie gezegd wordt. Privacy in de public cloud is namelijk een illusie en de opmerking van Microsoft dat ze aan alle wetgeving voldoen gaat alleen om de Amerikaanse wetgeving. Dit verklaard de exodus uit publieke cloud naar hosted private cloud en on-premises cloud sinds 2013. Uiteindelijk bieden beiden alles wat de public cloud ook biedt alleen met een voorspelbaarder kostenmodel.
Opmerking (Magnoli 2016) dat de TCO alleen op de techniek (CapEx) focust en niet op de Opex gaat volledig onderuit bij een hosted private cloud. Ontwikkeling en beheer van zo’n platform is niet duurder dan een public cloud omdat veel voorkomende taken geautomatiseerd zijn. En de onvermijdelijke legacy kan gebroederlijk naast de private cloud draaien in hetzelfde rack, de latency op de koppelvlakken blijft hierdoor laag. Een verspreiding van services over verschillende clouds leidt tot hoge netwerkkosten omdat de bandbreedte van Internet uiteindelijk beperkt is.
Ik vind het wel een mooi uitgebalanceerd artikel.
Ewout, voor wie is privacy het probleem? Ik ben het grotendeels met Groeneweg eens en in ieder geval met de stelling dat public cloud “the way to go” is. Dit staat los van het feit dat ik de G-MAFIA (Google, Microsoft, Amazon, Facebook, IBM, Apple) maatschappelijk gezien onwenselijk vind door hun dominante positie en daarmee ook de dominante positie van de VS.
Voor de meeste bedrijven zijn de voordelen gewoon enorm. Alleen al als voorbeeld een eigen mailserver… je moet dan ook alle security doen en bijhouden, maar ook spam en phishing buiten de deur houden.
Zeker met het laatste is Google *bruut* krachtig en ongeëvenaard. Dit kun je zelf niet.
Daarbij geloof ik dat de generieke kantoorautomatisering het beste af is met oplossingen zoals Google G-Suite of Office 365 en als ik naar mijn klantenbase kijk heeft zo’n 80% 1 van deze twee smaken.
Persoonlijk ben ik groot fan van serverless computing en daar heb je gewoon een (public) cloud provider bij nodig.
Maar goed, hier hebben we het onderhand al ruim tien jaar over….
bruut krachtige ongevenaarde G-MAFIA.
the way to go en voor wie het probleem ?
heel mooi uitgebalanceerde reactie 🙂
Henri,
Generieke kantoorautomatisering is meer dan tekstverwerken en e-mails versturen, applicatieportfolio op de desktop omvat ook business applicaties. Deze applicaties hebben veelal een back-end die zich veel minder makkelijk de cloud in laat schuiven dan je zegt. En analisten zoals Gartner, IDC, Forrester, enzovoort erkennen ondertussen daarom dan ook allemaal dat een hybride cloud het hoogst haalbare is. Een hybride cloud bestaat uit de private en public cloud oplossingen waarin een wettelijke verplichte dataportabiliteit ervoor zorgt dat je een exit strategie hebt.
Zoals ik 10 jaar geleden al in een discussiepanel tijdens de cloud expo stelde ben ik geen principieel tegenstander van de publieke cloud maar verzet ik me wel tegen het idee dat deze wonderen levert. Open Group – waarvan ik dus de certificering heb – stelt dat er op basis van selectiecriteria bepaald kan worden welk platform het meest geschikt is. De publieke cloud voldoet niet aan de GDPR en privacy shield is ongeschikt verklaard door Europese Hof waardoor je per service een verwerkersovereenkomst met de provider op moet stellen als in het proces persoonsgegevens zitten.
Er is wettelijk namelijk wat veranderd en ‘geofencing’ van de data is niet genoeg doordat de Amerikaanse providers nog altijd informatieplichtig zijn door de FISA. Versleuteling van de data in de cloud zou een oplossing kunnen zijn maar dan moet je de sleutels zelf hebben (en houden). Beveiliging van gegevens omvat meer dan een mailserver, 90% van de datalekken komt voort uit verweesde datasets die ergens in de cloud rondslingerden of door gebruikersfouten aangaande de adressering. Zet risico van een boete eens af tegen de voordelen van de cloud op basis van economische business case.
Bedrijfseconomisch zijn de risico’s zwaarwegende KPI’s als het om concurrentievoordeel gaat, het opportunisme van de cloud consultants is als het ‘America First’ van Trump. Het feit dat je na 10 jaar nog altijd niet verder kijkt dan de ‘West-Indische Compagnie’ is jammer want het principe van een publieke cloud kan ook anders ingevuld worden.
“De cloud” hadden we daar vroeger niet al een keer een discussie?
Tamelijk eenzijdig stuk tekst met onduidelijk gedefinieerde “cloud”.
Ewout, zolang we in algemene termen blijven praten is er geen gelijk of ongelijk. Per onderneming kun je onderzoeken of een public cloud en goede keuze is.
Als een back-end applicatie zich niet makkelijk in de cloud laat schuiven is dat een behoorlijke indicator van technische schuld. Dat is sowieso niet wenselijk. Zoals Gijs in ’t Veld onlangs schreef kost het vervangen van zo’n applicatie een CIO of 2 a 3.
Laat ik voorop stellen dat ik er geen belang bij heb of een bedrijf wel of niet de public cloud omarmt, ik ben geen consultant en verkoop geen advies op dit gebied. Wel heb ik behoorlijk wat ervaringen en best veel grote klanten waarbij ik dus wel een beetje mee kan kijken in de keuken. Genoeg om er een relevante mening over te hebben.
Dat de cloud wonderen levert zal ik ook niet beweren. Maar zoals ik schreef zit een groot gedeelte van corporate Nederland ofwel in de Microsoft danwel in Google cloud.
Qua aantallen datalekken is het versturen naar verkeerde ontvanger in 63% van de boosdoener. Iets wat volledig losstaat of je public of private gebruikt. Sowieso is het bij datalekken en GDPR issues zelden een probleem van on-premises versus de cloud. Dus qua compliance en governance is public cloud niet het grote probleem. En Risk is contextueel. Wat voor soort bedrijf ben je? Wat zijn je kroonjuwelen? etc.
Niemand moet van mij naar de cloud en vele kunnen wellicht niet makkelijk, maar dat is niet door de technische beperking, maar door de organisatorische beperkingen. Nu NetApp ook echt heel goed aansluit op de public cloud zijn nog meer technische beperkingen niet meer het probleem.
Iedere organisatie die producten of diensten levert heeft te maken met kosten, omzet en marge. En daar bovenop “vernieuwing” en relevant blijven. Cloud computing is niet hetzelfde doen als on-premises maar dan als dienst.
Alle nieuwe functies van Azure, AWS en GCP zijn veelal dingen die je on-premises niet hebt. Azure en navolging ook AWS ontwikkelen weliswaar veel hybride opties, maar het blijft allemaal maar een compromis.
Enfin. Ieder zijn meug. Ik hou van mogelijkheden, innovatie en snelheid. Ik zou dood gaan in een trage organisatie die door technische schuld en trage processen vast blijft houden bij het oude. Jij noemt het opportunisme, dat zegt meer over de wereld waarin jij je begeeft. Ik ben niet jaloers 🙂
Henri
Ik concludeer uit je laatste reactie dat de public cloud toch niet de enige weg is, jouw data op de computer van een ander kent namelijk wat juridische uitdagingen. Dat zijn geen organisatorische problemen of een technische schuld in achterstallig onderhoud maar complaince issues die vaak vergeten worden.
“Een andere wijze om te kijken naar concurrentievoordeel, is door de cloud te zien als een gemeenschap die gebruik maken van hetzelfde platform. Problemen die voorkomen worden binnen de gemeenschap opgelost. Hierdoor hebben alle deelnemers voordeel van de oplossingen. Door gebruik te maken van cloud computing wordt een bedrijf onderdeel van de gemeenschap en er komen constant weer nieuwe oplossingen in het ecosysteem, waar mogelijk gebruik van kan worden gemaakt” – The Open Group, 2010
Ergens heb ik het idee dat bovenstaande de snelste weg naar het putje is, als oplossingen commodity worden dan gaat het al snel om de marges. De cloud wordt hier gebruikt als middel tot bedrijfspionage doordat concurrentievoordelen zoals efficiëntere processen niet geheim blijven. Ik wees op privacy paragraaf van metadata want ‘G-maffia’ speelt vals doordat ze hierdoor heel goed weten hoe de hazen lopen. Hetzelfde geldt voor allerlei uitvindingen, de Amerikaanse patent trol is een jurist die profiteert van ongelijke spelregels door Amerikaanse wetgeving.
Ik praat niet in algemene termen maar heb het over onderwerpen waar jij niet over nadenkt. Grappig trouwens dat CIO’s van groot zakelijke gebruikers van de cloud stellen dat de publieke cloud niet bestaat, olifanten dansen met olifanten zoals jezelf kunt lezen uit de overeenkomst tussen Nederlandse overheid en Microsoft. Want business processen hebben een contractuele inertie doordat het om afspraken met een lange termijn gaat en veranderlijkheid in de cloud is niet wat de groot zakelijke markt wenst. Stel jij hebt een unieke oplossing gebouwd op een bepaalde functionaliteit in de cloud waardoor jij en je klanten hiervan afhankelijk zijn. En stel dat de cloud provider besluit om met deze functionaliteit te stoppen, ik denk dat het dan snel afgelopen is met Thingks.
In dat kader is open source dan ook nog altijd de beste optie alleen is dat niet erg populair in Nederland, de wereld waarin ik leef is veel innovatiever dan je denkt. Je laatste alinea is de gebruikelijke poging om mij in diskrediet te brengen door te insinueren dat ik ‘vastgeroest’ ben omdat jezelf geen enkel innovatief vermogen hebt doordat je verslaafd bent geraakt aan de marketing van bekende Amerikaanse spelers. Als je kijkt naar de definitie van Open Group die ik gegeven heb in deze reactie en hoe de samenwerking is met Amerikaanse leveranciers dan is er maar één conclusie mogelijk, liever dood dan slaaf. En een andere wijze om te kijken naar concurrentievoordeel in de cloud is dan ook de ontwikkeling van een Europese oplossing waarin de deelnemers profiteren van het ecosysteem zonder verlies aan intellectuele rechten op de lessen die ze daarin geleerd hebben.
Ach, Ewout, we geven beide een prikje naar elkaars wereld. In mijn ogen op een onderbouwde manier.
Juridische moerassen zijn niet anders dan technische schuld en hebben een zelfde remmende werking.
Je stelt dat als we allemaal dezelfde publieke cloud gebruiken is dat een race naar het putje omdat er dan geen onderscheidend vermogen meer is. Dat is onzin. Lever je een dienst of product die bedrijven of consumenten willen hebben voor de prijs die je kan bieden? Dan heb je business. Zo simpel is het. Daarnaast heb je natuurlijk nog diensten en producten die je opgedrongen worden.
Thingks maakt voor een zeer groot gedeelte gebruik van open source. Serverless onderdelen kennen een vendor lock-in, maar deze is goed te mitigeren door er een abstractielaag tussen te zetten. Dat is nadenken over architectuur. Als we afhankelijk van iets zouden worden van één leverancier, dan is dat mijn taak om hier bewust van te zijn.
Jouw argumenten zijn gericht weliswaar op de praktijk (van de grotere organisaties), maar worden beschreven in beperkingen en redenen waarom iets niet kan. Ik richt me meer op de mogelijkheden en kansen. Beide hebben hun voors en tegens.
Maar laten we een keer een concrete case nemen en die van alle kanten bekijken. Hoe doe je het in de cloud? Hoe doe je dit on-premises? Zou het juridisch in de cloud kunnen? Wat zijn de compliancy constraints? Wat zijn de privacy issues? Wat zou kosten en ontwikkelingstechnisch de beste route zijn?
Daarnaast hebben grote organisaties nog een nadeel wat wel eens de “valley of death innovation” wordt genoemd. Dan heb je een succesvol prototype en zelfs pilot gehad, maar lukt het nog niet om dat nieuwe ding onder te brengen als onderdeel van het portfolio.
Als je kijkt hoe de olifanten innoveren durf ik wel te beweren dat dit voornamelijk gedaan wordt door overnames. Een klein bedrijfje maakt iets groot en zodra het bewezen tractie heeft wordt het overgenomen en pakken de investeerders hun exit.
Zolang we allebei happy zijn met wat we doen is dat prima.
Discussies over cloud computing vind ik sowieso al achterhaald en eigenlijk niet meer interessant. To cloud or not to cloud is not the question. Zelfs serverless vind ik niet meer de moeite waard om veel mee bezig te zijn. Het zijn tools. Pick your tool.
Ik heb geen enkele loyaliteit naar de G-MAFIA, maar ik heb wel doelen die gehaald moeten worden en ondanks dat ik er geen voorstander voor ben, heb ik er voor nu voor gekozen om ze te gebruiken. Praktische alle organisaties doen dat, groot en klein. De vraag is dus niet of je ze zou gebruiken maar hoeveel je ervan gebruikt.
Henri,
Opportunisme is handelen zonder rekening te houden met principes, alleen met de omstandigheden. Iemand die zonder principes handelt wordt een opportunist genoemd. Kiezen voor oplossingen omdat doelen gehaald moeten worden ondanks twijfels over de gekozen oplossingen is opportuun. Ik stelde trouwens niet het ‘To Cloud or Not’ ter discussie maar de plaatsing van bepaalde workloads in de publieke cloud omdat het juridische eigendom van gegevens bepaald wordt door het eigenaarschap van de datadragers. Het juridische moeras waarover je het hebt bestaat niet, net als baron van Münchhausen trekken namelijk met name Amerikaanse providers zich daaruit aan hun haren op door opportunistische regels voor zichzelf op te stellen.
“Industry 4.0 operators – lees smart manufacturing – which are at various stages of digital adoption, often do not have appropriate governance structures in place for secure implementation of new technologies and secure maintenance of the existing ones.” – Enisa Cybersecurity Challenges & Recommendations.
Blauwdrukken van een succesvol prototype in de cloud zetten is een garantie voor mislukking, de tools voor marketing zijn namelijk wat anders dan tools voor productie. Bedrijfsspionage in de cloud is een serieus probleem en stellen dat een discussie over de cloud achterhaald is doet ontwikkelingen in fog, edge en cloud computing tekort.