Computerworld News Service: Brugere af cloud computing er ved at skifte fokus, fra hvad skyen tilbyder, til hvad den mangler.
Det er tydeligt, hvad den tilbyder: såsom evnen til hurtigt at skalere og udrulle, men listen over mangler synes at vokse dag for dag.
Cloud computing mangler standarder for håndtering af data og for sikkerhedspraksis og endda i forhold til spørgsmålet, om en leverandør er forpligtet til at oplyse kunderne, om deres data befinder sig inden for landets grænser eller ej.
Cloud computing-branchen minder om en by, der er i rivende udvikling i det Vilde Vesten. Men den lokale saloon hedder Frustration. Dette ord høres mere og mere i diskussioner om skyen, og konferencen SaaScon 2010 i sidste uge var ingen undtagelse.
Frustrationen over manglen på standarder stiger, i takt med at cloud-baserede tjenester får rodfæste i erhvervslivet. Et eksempel er det store amerikanske rejsebureau Orbitz, der med adskillige forretningsområder tilbyder en voksende række tjenester såsom golfplanlægning og booking af koncerter og krydstogter.
Ligesom mange andre virksomheder, der har orienteret sig mod skyen, er Orbitz både leverandør og bruger af cloud-baseret software-as-a-service. Ed Bellis, der er it-sikkerhedsdirektør hos Orbitz roser i særlig grad SaaS for at støtte virksomhedens vækst og gjort den i stand til at fokusere på sine kernekompetencer.
Men for at tilbyde SaaS-tjenester må Orbitz imødekomme en række kontraktmæssige såkaldte due diligence-krav fra kunderne, der kan "handle om alt muligt" og inkludere ting som sikkerheds-audit og inspektioner af datacenteret, fortæller han.
En mulig løsning kommer i form af en standard til datasikkerhed, der er under udvikling af Cloud Security Alliance, som vil kunne præsentere data i et fællesformat og give kunderne en forståelse af præcist "hvor vi står sikkerhedsmæssigt i dag," forklarer Bellis.
Hvis man kan nå til enighed om en sådan standard "vil det være himmelsk," og det vil "løse en tredjedel af vores interne arbejde med due diligence," siger Bellis.
Han ved dog ikke, hvornår eller om denne standard bliver til noget, da det kræver et enormt arbejde at få en stor mængde brugere og leverandører til at nå til enighed.
De store kræver ubegrænset skadeserstatning
Ved konferencen SaaScon var behovet for brancheaftale tydeligt at spore i både interview og paneldebatter. Selvom ideen bag cloud-baserede tjenester er højere fleksibilitet samt evnen til hurtigt at skalere og udrulle servere, så kan kontrakterne med leverandørerne være alt andet end fleksible, opdagede Keith Waldorf, der er vice president for operatører hos e-recept-tjenesten Doctor Dispense.
Waldorf fortæller om tidligere erfaringer med en tjenesteleverandør, der på et tidspunkt opgraderede sine teknologier, mens hans service-level agreement alligevel låste ham fast som kunde til at benytte den gamle software og hardware, som han i første omgang havde skrevet under på.
De aftaler, som cloud-leverandørerne tilbyder, "er vidt forskellige, og det er virkelig leverandør-præget," fortæller Waldorf. Han er siden gået over til at benytte StrataScale, som giver han dedikeret hardware, der administreres virtuelt.
De store cloud-kunder har pondus til at forhandle vilkår på plads, der giver dem både gennemsigtighed og magt til at håndhæve deres krav. Et eksempel er bestyret i Los Angeles, der i forbindelse med kontraktforhandling om brug af Google Apps indgik en aftale med Google om ubegrænset skadeserstatning, hvis virksomheden nogensinde krænkede sine fortrolighedserklæringer.
Men mange andre brugere har ikke en sådan pondus, og i mange sager vil cloud-leverandørerne ikke engang udlevere de lognings-informationer, der er nødvendige for at kunne bevise et brud på sikkerheden, fortæller Jim Reavis, der er stifter af Cloud Security Alliance.
Jeff Spivey, der er direktør for Security Risk Management, siger, at markedet er nødt til at definere sine behov, for lige nu er det sådan, at "det er leverandørerne, der kører showet."
Det var ikke muligt at finde nogen, der var villig til at give et bud på, hvornår branchen vil nå til enighed om aftaler, der sætter standarder for niveauer af gennemsigtighed om procedurer for håndtering af data og datasikkerhed.
Oversat af Thomas Bøndergaard
