JanWiersma.com

The Green Grid verruimt scope

Begin maart 2011 vond het Green Grid Technical Forum plaats in Santa Clara (California, USA). Tijdens dit evenement werd door de kersverse Executive Director Mark Monroe een nieuwe richting voor The Green Grid (TGG) aangekondigd.

De afgelopen jaren is TGG zeer succes vol geweest in creëren van aandacht voor energie efficiëntie. Dit gebeurde o.a. met de door hun ontwikkelde Power Usage Effectiveness (PUE). Dit meetinstrument voor de energie efficiëntie van je datacenter omgeving is inmiddels internationaal geaccepteerd en de meeste kaders voor het vaststellen en gebruik van PUE zijn bepaald.

Mark Monroe kreeg begin 2011 de leiding over The Green Grid. Hij heeft jaren lange ervaring op datacenter gebied en was de laatste jaren actief op het gebied van algemene duurzaamheid voor bijvoorbeeld SUN. Hij is ook geen onbekende voor TGG omdat hij 1 van de mede oprichters is. Zijn brede kennis op het duurzaamheids vlak past perfect bij de nieuwe richting die TGG nu neemt.

Op het EMEA Tech Forum (begin 2011) werd al eerder bekend gemaakt, dat men 2 nieuwe efficiëntie eenheden wilde introduceren:

…; Carbon Usage Effectiveness (CUE) en de Water Usage Effectiveness (WUE), zoals ook aangekondigd in recent persbericht:

The new metrics, called Carbon Usage Effectiveness (CUE) and the upcoming Water Usage Effectiveness (WUE), are joining The Green Grid’s widely-used Power Usage Effectiveness (PUE) metric. All are designed to help IT, facilities, and sustainability organizations across the globe optimize their data centers.

Hier mee werd al duidelijk dat de focus voor TGG verschuift van enkel energie efficiëntie naar de duurzaamheid van het gehele datacenter, waar water verbruik ook een belangrijk deel van uit maakt.

Mark Monroe legt de scope wijziging uit:

[youtube=http://www.youtube.com/watch?v=uwQOON42C_w&w=448&h=252&hd=1]

TGG Data Center Maturity Model Mat-model-TGG

Een goed voorbeeld van deze brede aanpak is het Data Center Maturity Model dat tijdens het Technical Forum officieel gepubliceerd werd. Waar voorheen door TGG vooral gekeken werd naar energie efficiëntie op het facilitaire datacenter niveau, word in dit model gekeken naar alle componenten uit de IT keten.

Het model bekijkt facility (met o.a. power, cooling en management) en IT (met compute, storage en network). De volwassenheid op dit vlak kan in kaart gebracht worden op een schaal van 0 (onvolwassen) tot 5 (leading edge). Zodra er bepaald is waar de organisatie staat op deze schaal, kan er een route uitgezet worden naar het volgende niveau. Op deze manier kan het management voor elk vlak een doel uitzetten voor de komende 2 a 3 jaar. Het model geeft daarbij de mogelijkheid om per vlak een score toe te passen. Zo kan een organisatie dus op datacenter cooling een 3 scoren en op IT storage een 2.

Mat-model-TGG2

The model’s Level 0 means a data center’s maturity is minimal and shows no progress. Level 5 – the highest mark – designates the data center as ‘visionary’.
“The initial levels chart the progress of a typical data center that has taken no efficiency improvement measures to one exemplifying the state of an average data center to one that employs current best practices,” reads the organization’s paper on the model.

Het laagste niveau (Level 0) beslaat een omgeving waar in weinig tot geen aandacht is voor energie efficiëntie. Bij Level 1 en 2 past men de industrie best practices uit. Dit zijn de basis best practices die in geruime maten beschikbaar zijn in de markt op dit moment. Level 5 word bestempeld als visionair. Vanaf Level 3 treffen we technologieën aan die leading edge zijn en volop in ontwikkeling. De gedachte hierbij is dat de markt en technologie over ongeveer 5 jaar de onderdelen uit Level 5 als gemeengoed zou moeten zien. Op deze manier probeert TGG zowel de markt als eind gebruikers te stimuleren gezamenlijk te werken aan nieuwe energie efficiënte oplossingen.

De verwachting is dat state-of-the-art data centers zich zullen ontwikkelen van een Level 2 naar Level 5 rond 2016 (groene lijn) . Een generiek datacenter zal zich ontwikkelen naar Level 3 (gele lijn) en slechter presterende datacentra zullen achter blijven en zich ontwikkelen naar Level 2 (rode lijn). 

Mat-model-TGG3

Het Data Center Maturity Model is uiteraard een levend document waar van op dit moment versie 1 is uitgegeven. Naar mate de technologie en mogelijkheden zich door ontwikkelen, zal ook het model bijgewerkt worden.

Zoals ook destijds bij de PUE ontwikkeling, is het model niet bedoeld als marketing instrument of als vergelijking tussen bedrijven onderling (benchmark). Het model is bedoelt als interne toetsing en handvat voor de interne door ontwikkeling van energie efficiëntie.

Uitgebreide uitleg over het model door Harkeeret Singh (chair of The Green Grid’s EMEA technical committee):

[youtube=http://www.youtube.com/watch?v=1Q8zNjEitS8&w=448&h=252&hd=1]

 

Het model is hier te vinden. De bijbehorende whitepaper hier.

Datacenter Pulse Summit

Voorafgaand aan het Green Grid Technical Forum organiseerde Datacenter Pulse (DCP) een dag voor hun leden. Dit in het kader van de alliantie tussen Datacenter Pulse en The Green Grid. Tijdens deze bijeenkomst, waar alleen datacenter eigenaren en eindgebruikers welkom waren, werd gekeken naar
de richting die The Green Grid aan het nemen is en werd hier feedback op gegeven. Ook werd er gekeken wat de top 10 zaken zijn die datacenter eigenaren ‘s nachts uit hun slaap houd. De behandelde onderwerpen waren:

  • DCP Stack Revision & TGG Maturity Model
  • Green Grid Input
    • Data Center Design Guide, WUE/CUE Metrics
    • The Collision Course of Site Selection and Sustainability
  • Modularity, Density, & High-Temp (Combined)
    • Gages – Modular DC RFP Process, Modularity readout interest, & Chill Off work
  • Operational Challenges: What keeps you up at night?

DCP Stack

De DCP stack is al weer 2 jaar oud en werd onderworpen aan een kritische blik. De huidige versie (2) is bedoelt als referentie model om gespreken binnen organisaties makkelijker te maken en onderlinge relaties en afhankelijkheden te kunnen laten zien. De rechterzijde van het model, dat handelt over duurzaamheid in relatie tot datacenter input (zoals stroom en water) en output, was o.a. de aanleiding voor TGG om te werken aan het Data Center Maturity Model. Deze 2 modellen komen hier mooi samen.

dcp-tgg11

(klik voor groter plaatje)

In het model is ook mooi aan te geven welke ‘convergence’ (versmelting) er op dit moment gaande is in de datacenter en IT industrie. Zo zien we cloud computing, datacenter containers en IT appliances, die allemaal hun druk uitoefenen op de totale IT keten.

Ook werd nogmaals duidelijk dat bij het doorvoeren van duurzaamheids oplossingen, vooral naar de hele keten gekeken moet worden omdat punt oplossingen elkaar negatief kunnen beïnvloeden. Hier over schreef ik ook al eerder.

DCP Top 10

De Top 10 zaken die datacenter eigenaren ‘s nachts uit hun slaap houden werd ook bijgewerkt. Deze werd voor het eerst gepubliceerd in 2009.

dcpt10-09dcpt10-10 dcpt10-11

Voor 2011 zijn de Top 10 aandachtspunten:

  1. Industry Alignment
  2. Standardized Stack Framework
  3. Data Center Certification
  4. Move from Availability to Resiliency (new)
  5. More products enabling modularity
  6. Simple, top-level efficiency metric
  7. Wire-line Power Network
  8. Liquid Cooled IT Equipment Options (new)
  9. Expanded IT Equipment Power Options
  10. Infrastructure Intelligence (Convergence) (new)

Datacenter Pulse zal zich uiteraard in 2011 weer inzetten om deze onderwerpen onder het voetlicht te krijgen bij de juiste organisaties en leveranciers en op deze manier het leven van de datacenter eigenaar weer iets makkelijker te maken.

De volledige presentatie van DCP, met alle behandelde onderwerpen, is terug te vinden op TGG website.

Belastingdienst en cloud… leuker en makkelijker?

bd-cloud

Soms is het fijn om te zien hoe andere overheids collega’s de potenties van cloud computing inzien en deze tot hun eigen voordeel aanwenden. Bij deze de credits voor mijn Belastingdienst collega’s:

Tijdens een recente NEN bijeenkomst rond de standaardisatie van cloud computing gaf de Belastingdienst een presentatie over hun werk rond integratie tussen de Belastingdienst en SAAS providers, onder de titel (Samen)werken in ‘de cloud’ (PDF).

De Belastingdienst ziet dat het gebruik van cloud computing een massale vlucht aan het nemen is. Als dit de bedrijfsadministratie betreft dan zien we een aantal gemeenschappelijke belangen voor maximale integratie ontstaan:

  • De gebruiker dient ten alle tijden audittrail’s te kunnen produceren rond bijvoorbeeld zijn financiële boekhouding.
  • Ook de informatie verwerker (de SAAS aanbieder) kent zulke regels, aangevuld met deze functionele wens vanuit de eindgebruiker.

Voor de Belastingdienst heeft deze opkomst van SAAS als voordeel dat er veel word gestandaardiseerd. Hierbij kunnen gemakkelijker afspraken worden gemaakt voor gestandaardiseerde toegang tot de data.

Afspraken tussen Belastingdienst en de SAAS leverancier kan ook zorgen voor het minder makkelijk ‘onderwater’ manipuleren van de data in de boekhouding, waar mee fraude tegen gegaan kan worden.

Het idee is om integratie met bepaalde SAAS cloud providers te zoeken waarbij gebruik gemaakt gaat worden van een keurmerk en een open community.

Dit alles levert dan de volgende voordelen op:

Ondernemer/ZZP-er:
–zekerheid: keurmerk is gezamenlijk met stakeholders ontwikkeld
–Hoge kwaliteit tegen lage kosten
–efficiëncy: voorkomen dubbele werkzaamheden
–hulp bij kiezen voor betrouwbare systemen
Intermediair:
–Zekerheid
–Goede kwaliteit van administratie
–Efficiënte inrichting administratieve keten
SAAS aanbieder:
–zekerheid
–erkenning van de kwaliteit
–meer klanten
BD:
–goede kwaliteit van administratie en aangiften
–efficiënte inrichting van het toezicht
–mogelijkheden voor systeemtoezicht (geautomatiseerd)
–SAAS-aanbieder werkt onder het keurmerk voor al zijn klanten

Ook banken en andere overheids organisatie kunnen mee liften op dit keurmerk en het (technologisch) concept.

Met de invoering hier van, kunnen bedrijven dus gemakkelijker hun bedrijfsadministratie naar ‘de cloud’ verhuizen. Weer een cloud barrière van het lijstje afgestreept… 😀

Datacenter temperatuur & ARBO

Naar aanleiding van mijn blogs over temperatuur verhoging (recent en in het verleden) en presentaties die ik daar over gegeven heb, kreeg ik vragen over de nieuwe omgevings condities en of je daar in wel mag werken.

hp-hot-tubDe vraag: als de inlet temperatuur van servers naar 27C of hoger gaat (in de koude gang), dan word de achter kant (warme gang) wel heel erg warm (40+). Daar kan ik dan niet fatsoenlijk meer werken zonder een zwembroek.

Toen ik in 2007 verantwoordelijk werd voor o.a. het beheer van een datacenter, heb ik door een ARBO dienst een onderzoek laten uitvoeren naar de werkomstandigheden in een datacenter. Voor de temperatuurs condities was het volgende grof weg het antwoord:

Met de invoering van het arbobesluit in 1997 werd de zogenoemde PMV-index gelanceerd. Deze index is de uitkomst van een uiterst ingewikkelde berekening die allerlei zaken meeneemt: temperatuur, luchtvochtigheid, luchtsnelheid, kleding en te verrichten werkzaamheden.
De stelling is vervolgens dat het binnenklimaat behaaglijk is als de PMV-index tussen de 0,5 en -0,5 ligt of als minder dan 10% van de werkzame personen klachten over het klimaat meer zal hebben. Een overschrijding van deze normen gedurende 10% van de werktijd wordt overigens acceptabel gevonden. Het probleem is dat deze officiële norm heel ingewikkeld in elkaar zit: het vraagt een hoop meet- en rekenwerk.

Als je naar de onderliggende onderzoeken en documenten kijkt, zien we dat boven de 26C spraken is van extra belasting. Die grens word vooral bepaald door de lichamelijke inspanning van het werk. Zo is bij licht kantoor werk 30C de grens en bij zware lichamelijke inspanning 25C. Ook maakt het uit of er een voelbare luchtstroom is. Deze zorgt namelijk voor verlaging van de gevoelstemperatuur. Boven de grens moet de werkgever inspanningen doen om de belasting te verlagen. Dit kan zijn door korter werken, zo kort mogelijk aaneengesloten werken, pauzeren in koele ruimtes, aangepaste kleding, extra ventilatie, veel (sportdrank) drinken.

Als we naar de datacenter omgeving kijken zien we dat deze temperatuur grens al snel gereikt word, ook in een traditionele omgeving. Neem een omgeving met server inlet temperatuur van 21C en blade servers met een delta T van 15C (verschil tussen voor en achter kant), dan komen we op 36C in de warme gang.

Bij temperaturen hoger dan 26C in het datacenter, dienen we dus rekening te houden met speciale eisen voor de arbeidsomstandigheden. Bij hogere temperaturen dan in de traditionele omgevingen zal dit leiden tot aanvullende maatregelen maar niet een (wettelijke) onwerkbare situatie.   

Let wel: bij werken in het datacenter word je bloot gesteld aan tal van omgevings factoren. Denk hier bij aan lawaai van server ventilatoren en koeling, het ontbreken van daglicht, aanwezigheid van zware stroom voorzieningen (400v) en aanwezigheid van zware machines (kg). Temperatuur is slechts 1 onderdeel. Welke maatregelen precies gewenst zijn moet per geval worden bekeken door deskundigen, bijvoorbeeld door een arbeidshygienist van de arbo-dienst.

Meer:

Datacenter Management Tools overzicht

Data center infrastructure management (DCIM) tools hebben de afgelopen 2 – 3 jaar een grote vlucht genomen. De focus van deze tools is de integratie tussen IT systemen en de fysieke datacenter omgeving. Hierbij richt men zich grof weg op de twee volgende gebieden: Asset Management en Realtime-monitoring.

real-time-monitoring-diagramBij Asset Management gaat het om het registreren en bijhouden van de componenten die in het datacenter beschikbaar zijn. Denk aan de racks, bekabeling, koeling, energie voorziening, etc.. Hierbij gaat het om de complete levenscyclus van de apparatuur: van aankoop tot afvoer. Over het algemeen worden bij Asset Management de algemene regels en methodes van ITIL gevolgd. Hier zijn hele boeken over geschreven. Tussen al deze componenten kan men de relaties vast leggen. Energie ketens kunnen van hoofdverdeler tot op de server vast gelegd worden en netwerk bekabeling van systeem tot systeem. Door al deze gegevens te combineren kan men ook capaciteitsmanagement in regelen; hoeveel heb ik, hoeveel verbruik ik, hoeveel heb ik nog nodig en wanneer loop ik tegen de grenzen aan? Dit voor rack ruimte (hoogte eenheden of U), beschikbare koeling en/of energie (Watt), aantal beschikbare glas/koper poorten en beschikbare elektra outlets.

Daar waar men dit soort DCIM systemen vaak begin als een statische database, is er de laatste tijd een beweging naar de integratie van real-time gegevens van temperatuur sensors en bijvoorbeeld de hoofdverdeler zelf. Hiermee word het inzicht in het gedrag van de omgeving verbeterd. Daarnaast worden de capaciteits gegevens realistischer om dat het gat tussen theorie en praktijk word gedicht.

Aan de Asset Management kant worden real-time gegevens opgeleverd door barcode of RFID systemen die continue weten waar bepaalde componenten zich in het datacenter bevinden.

IDC heeft in november 2010 een aardig rapport uitgebracht over de DCIM markt. Deze geeft een overzicht over de leveranciers en tools op deze markt. Rapport hier.

Datacenter temperatuur–revisited

In 2009 schreef ik een uitgebreid stuk over datacenter temperatuur. De afgelopen jaren heb ik dit onderwerp ook diverse keren behandeld op congressen. Gezien de ontwikkelingen op dit gebied de laatste maanden; tijd voor een update.

Algemeen kunnen we stellen dat computer apparatuur best wel wat kan hebben. Kijk eens naar de PC die ergens onder je bureau al jaren trouw staat te draaien. Als we die open maken zitten ze meestal vol met stof. Ook is de lucht circulatie meestal niet al te best, zo weg gestopt tussen allemaal spullen. Als we naar game consoles kijken zien we dat hardware helemaal veel kan hebben. De uiterst krachtige PlayStation 3 of XBOX 360 zijn uitgevoerd met een kleine ventilator en weg gestopt in een kastje onder de TV. Zo gaf ook James Hamilton (Amazon) aan in 2010:

[youtube=http://www.youtube.com/watch?v=kHW-ayt_Urk&w=448&h=252&hd=1]

(Bedoelde stuk vanaf 20min:15sec, de rest van de video is ook erg de moeite waard overigens…)

De hoofd reden om koeling toe te passen in het datacenter zijn de eisen van de IT hardware leverancier. Deze eisen zijn terug te vinden in de garantie voorwaarde. Zodra je buiten de aangegeven bandbreedte opereert, vervalt je garantie. De vraag is hoe groot de veiligheids marge is die door de advocaten van de hardware leverancier is ingebouwd. Mensen, zoals Christian Belady, die in de ontwikkeling van hardware hebben gewerkt merkten al eerder op:

As a former server designer, I know that server vendors “sandbag” their hardware. Sandbagging refers to the practice of knowing you can do more but holding back to hedge your risks; in reality, I believe that manufacturers can take greater risks in their operating environments and still achieve the same reliability levels.

Verandering aan de horizon.TC99_Books_Staggered_Large_2

ASHRAE is altijd aardig richting gevend geweest als het aankomt op datacenter temperatuur. Vooral hun Technical Committee (TC) 9.9 (Mission Critical Facilities, Technology Spaces and Electronic Equipment), is een bonte verzameling aan datacenter specialisten, eind gebruikers en hardware leveranciers die bepalend zijn voor een aantal ‘standaarden’ binnen de datacenter industrie.

TC9.9 heeft een bonte verzameling aan boeken gepubliceerd, waar onder “Thermal Guidelines for Data Processing Environments”. In dit boek word ook de bandbreedte voor datacenter temperatuur behandeld, en de inhoud word door alle grote IT leveranciers onderschreven. In de eerste editie van dit boek was de grens op 25C voor de inlet-temperatuur gesteld. In 2008 kwam er een update waarbij de grens op 27C gesteld werd.

Versie 3 komt over een aantal dagen (begin maart 2011) beschikbaar en hier in zal de bandbreedte weer opgerekt worden. Wederom ondersteund door alle grote IT leveranciers. Zoals het persbericht vermeld, word naast de hogere temperatuur er ook rekening gehouden met (oudere) legacy systemen die dit niet ondersteunen.

The third edition will be equally groundbreaking in that it will enable compressorless cooling (all cooling through economizers) in many applications.  Accomplishing this has been a challenge since major tradeoffs (equipment size, equipment cost and operating cost) surface above a certain temperature threshold.  This challenge is complicated because the threshold is not the same for all the manufacturers.

“Different locations, applications and business philosophies make it ineffective to force all equipment to be capable of the same high temperature tolerance (in some cases higher thresholds would negatively impact the return on investment),” Beaty said. “To address this, the third edition creates multiple server classes and therefore provides freedom of choice.  This is particularly important since the thermal guidelines are used throughout the world.”

Deze update door TC9.9 is ook duidelijk een antwoord op de groeiende trend bij grotere datacenter eigenaren om zelf de temperatuur grenzen op te zoeken. Yahoo nam deze stap al in hun

‘Yahoo Computing Coop’ waarbij men volledig passief koelt en hogere temperaturen gebruikt. eBay nam samen met DatacenterPulse dit nog een stap verder door een datacenter in Phoenix te bouwen, met een gemiddelde van 38C in de zomer, en deze volledig van vrije koeling te voorzien. Ook hierbij werden hogere temperaturen voor de IT systemen gebruikt.

Buiten de grenzen.

Veel van de innovatieve ideeën komen door het denken buiten de bestaande oplossingen en vooral jezelf af te vragen waarom dingen zijn zoals ze zijn. Als we zien dat hogere temperaturen en bijvoorbeeld stof maar een marginaal effect heeft op de beschikbaarheid van het systeem en we zien dat er grote winsten te halen zijn door anders (of niet) te koelen zou je een radicale stap kunnen nemen: je systemen buiten de garantie grens laten draaien.

Zodra je buiten de grens komt (nu meestal 35C), vervalt je garantie. Dit betekend dat je niet meer bij de leverancier kunt aankloppen als je systeem stuk is. Als je echter zelf een paar extra systemen op de plank legt ter vervanging van je defecte systeem, is je probleem ook snel opgelost. Daarnaast kun je met de leverancier onderhandelen over een inkoop korting voor deze systemen aangezien je de garantie niet nodig hebt. Zoals eerder gezegd kent de garantie voorwaarde een hele grote veiligheids marge en blijken systemen een stuk robuuster.

Dit idee is een kwestie van kosten en risico berekening.

Integratie en meten

Extreme temperatuur of niet, het goed meten en vastleggen van de (inlet) temperaturen in het datacenter is een must. Dit geeft je inzicht in de effecten van het verhogen van de temperatuur en het totale warmte beeld dat dit oplevert voor je datacenter.

Ondanks het feit dat bijvoorbeeld server systemen tegenwoordig een garantie grens kennen van 35C, heb ik diverse discussies met engineers van grote IT leveranciers gehad over het feit dat het ‘te warm’ zou zijn in een datacenter dat afgeregeld was rond de 25C. Het goed meten en vastleggen van temperatuur kan je dus ook redden in dit soort garantie discussies.

Voor de ontwerpen van Yahoo en eBay zien we dat men maximaal steunt op de integratie tussen IT systemen en het fysieke datacenter. Door deze keten goed op elkaar af te stemmen kan de echte winst gehaald worden. Denk hierbij aan de discussie: als de temperatuur omhoog gaat –> gaat de server fan harder draaien, waar door de energie afname om hoog gaat (zi
e vorige blog
). De oplossing hier voor word dus niet alleen gezocht in fan-less server ontwerpen maar vooral in de integratie tussen de keten delen.

Warm is best wel eng…

Van ASHRAE mogen we al enige tijd hoger dan 21C. Ook de leveranciers voorwaarde staan ons niet in de weg om hoger te gaan. Daarnaast zijn er diverse onderzoeken die zelfs laten zien dat het nog veel extremer kan met 35C+. De realiteit is dat maar weinig datacentra echt naar hogere temperaturen gaan; de meeste blijven hangen rond de 20 – 22C.

Ik kan me voorstellen dat bedrijven zich niets aan trekken van een ‘groen imago’ of ‘maatschappelijk verantwoord zijn’. Door hun ICT-ers en facilitair personeel echter niet te stimuleren om te kijken naar datacenter temperatuur en het verhogen daar van laten deze bedrijven financiële besparingen liggen. En dat is toch iets was aantrekkelijk moet zijn voor elke organisatie in deze tijd van economische crisis…

Meer:

Controle en Vertrouwen; sleutels voor cloud

Als we naar cloud computing kijken komen er al snel een flink aantal voordelen, maar ook barrières voorbij:

  • Beveiliging;
  • Volwassenheid;
  • Governance;
    • Data integriteit
    • Monitoring
    • Audit
    • Identiteit en toegang
    • Financiële controls
  • Compliance;
    • PCI
    • SAS70
    • Etc..

Al deze barrières draaien in basis om ‘vertrouwen’ en ‘controle’. Soms is dit vertrouwen en controle vanuit de overheid die via wetgeving iets of iemand wil beschermen (wet) en soms door de overheid aangewezen instanties zoals de Nederlandse Bank, die de banken sector dient te controleren. Hierbij hebben we het dan vaak over compliance regels.

De meeste barrières voor cloud adoptie worden echter opgeworpen door leveranciers die hun markt aangevallen zien en… je eigen ICT afdeling;

De ICT-er en vertrouwen

De vertrouwen en controle issue tussen de IT organisatie en de eindgebruiker is al langer interessant. Neem bijvoorbeeld de desktop; Al enige jaren vertrouwt de IT organisatie zijn eindgebruiker niet en timmert daarom op alle mogelijke manier de desktop dicht. Zo voorkomen we dat die ‘domme’ eindgebruiker iets stuk maakt en het is nog veiliger ook. Deze manier van handelen gaat echter voorbij aan het feit dat de eindgebruiker misschien helemaal niet geholpen is in zijn dagelijks werk, met die ontzettend dicht getimmerde desktop.

1781.stripBij mijn IT security collega’s gaat dit alles vaak nog een stapje verder. Ik krijg af en toe het gevoel dat zij die eind gebruiker vooral lastig vinden. Soms lijkt de IT afdeling en zeker de security collega’s hier mee aan de macht te zijn in de organisatie. Er is dan een behoorlijke scheef groei ontstaan in het idee dat ICT de business zou moeten ondersteunen. In die situatie is security een dooddoener  geworden voor nieuwe ontwikkeling en innovatie. Deze macht gaat volledig voorbij aan het feit dat de business de eigenaar is van de informatie en deze zelf zou moeten kunnen beslissen wat er mee gebeurd. De IT afdeling en security mensen hebben daar in slechts een advies functie, en dienen de risico’s in kaart te brengen met suggesties voor maatregelen.

Ondertussen veranderd de eindgebruiker vanuit generatie en bijbehorende cultuur. De generatie die nu de werkvloer betreed en die nu naar de top van organisaties door stromen gaan anders met technologie om dan de babyboomers die tot nu toe aan de macht zijn.

dilbert-ipadsmallDaarnaast hebben we ook een technologische evolutie door gemaakt die het gebruik van ICT heeft vergemakkelijkt. Zo kan opa van 86 ook makkelijk met de iPad werken.

Het is goed voor te stellen dat de ICT-er en zijn afdeling dit alles met lede ogen aanzien; mondige gebruikers die binnen komen met hun eigen iPad en zelf IT resources regelen zoals Google Apps, of overstappen naar SalesForce als hun interne CRM niet bevalt. Dit alles tast de controle aan die de ICT-ers jaren lang hebben gehad.

De truc voor leveranciers en ICT-ers om cloud buiten de deur te houden is het creëren van Fear, Uncertainty and Doubt (FUD) rond het gebruik van cloud computing. Elke aanleiding word gebruikt om desinformatie te verspreiden en het hoofdstuk beveiliging leent zich goed voor het verspreiden van angst. Zo waren sommige er als de kippen bij om een koppeling te leggen tussen de Wikileaks (cabels) en gebruik van cloud computing. Dit terwijl het lekken van deze stukken gebeurde vanuit een intern US Army netwerk via een CD.

De cloud is ook bedreigend voor ICT-ers, omdat sommige denken dat hun werk wel eens zou kunnen verdwijnen als bedrijven al hun ICT naar een public cloud provider zouden verplaatsen.

Ook de private (in huis) cloud levert dit soort zorgen op. De zware mate van automatisering van ICT processen die hierbij gebruikt wordt geeft ICT-ers het gevoel dat ze er geen controle meer over hebben. Het niet langer handmatig uitvoeren van acties op een systeem en moeten vertrouwen op de acties van het systeem zelf beangstigd blijkbaar. Daarnaast zien sommige daar mee ook werk, en mogelijk banen, verdwijnen.

Ook de veranderende verhouding tussen ontwikkeling en beheer (DevOps) levert spanning op. Het afbreken van de silo’s binnen de IT-afdeling is een veranderingsproces dat tot de nodige verzet zal leiden.

Samenvattend kunnen we stellen dat de mentaliteit van de IT-afdeling en het wantrouwen van de technologie, een belemmering vormen voor de adoptie van (public) cloud computing.

Veiliger?

Over de vraag of cloud computing veiliger is kun je tientallen blogs vinden die deze vraag positief en negatief beantwoorden. De juiste vraag is echter ‘veiliger als wat?’.  Christian Reilly en Chris Hoff merkte recent op:

As Chris Hoff has inferred many times via his Rational Survivability blog and specifically in his excellent presentation entitled “Cloudifornication”, the question of “is the cloud more secure?” can only be answered by the question “more secure than what?“. In a parallel universe, the question “is it better or worse than my current environment?” can only be answered with “how bad is your current environment?”. Quid Pro Quo.

Een aantal van de public cloud providers is in het bezit van een ISO 27001, SAS 70 Type II en PCI DSS (zoals Amazon). Dit dan vaak boven op kwaliteits certificaten als een ISO 9001. Zouden de traditionele ICT omgevingen en afdelingen vandaag de dag deze audits ook zonder kleerscheuren overleven? De vraag is dus: ‘hoe goed of slecht is het op dit moment gesteld met je eigen ICT omgeving?’ Pas als hier een eerlijk antwoord op volgt, kun je een vergelijking trekken met de mogelijkheden in de cloud voor je eigen ICT en de gevaren.

Los van alle technologische mogelijkheden en de berg certificaten blijft het vooral een kwestie van psychologische barrières zoals recent onderzoek door IDC en VMware op merkte:

The topic (security) has both technology and organization/compliance facets, as technical factors define the security and safety level of data stored in the cloud; at the same time, even in those cases where the third-party datacenter is certified and proofed, and all compliances are cleared, there is still a clear psychological barrier in knowing that data and applications reside physically “somewhere else.”

Beter beschikbaar?

In de lijn van de veiliger discussie ligt ook de ‘beter beschikbaar’ discussie voor cloud computing. Hier vinden we ook de nodige FUD. Recent kondigde Google aan dat ze al het ‘gepland onderhoud’ uit hun SLA schrapte omdat ze deze onderhouds periodes niet meer nodig hebben. Hier mee komt ‘zero-downtime’ akelig dichtbij en dat doet natuurlijk de nodige stof op waaien.

De daar op volgende discussie kwamen al snel op betrouwbaarheid en vertrouwen, waar mee we weer een psychologisch element te pakken hebben.

Het vertrouwen in cloud computing is iets wat gemakkelijk te schenden is. Het traditionele datacenter leeft redelijk ‘onder de radar’ als het gaat om uitval. Meestal raakt uitval daar slechts enkele applicaties of een deel van de business. Deze uitval kan wel degelijk een grote impact hebben op de productiviteit van een organisatie maar het zal nooit de mate van negatieve publiciteit krijgen die cloud providers ontvangen. Een aardige analogie in de blog van Christian Reilly maakt duidelijk waarom:

The number of US highway deaths in a typical six month period – around 21,000 – roughly equals all commercial jet fatalities worldwide since the dawn of jet aviation over four decades ago. In fact, fewer people have died in commercial airplane accidents in America over the past 60 years than are killed in US automobile accidents in any typical three-month time period. (Source : Boeing Corporation)

 

It’s very infrequent to hear of a road crash (the traditional data center) make national news, but in the event of a commercial jet crash (the cloud) then it’s guaranteed to make headlines. Perhaps this is simply due to the number of people affected on board the airliner at a single time during the incident ?

Hiermee is het vertrouwen van mensen in een cloud computing provider gemakkelijker beschadigd. Het is dus belangrijk om objectieve gegevens te hebben over de beschikbaarheid van een cloud provider en de bijbehorende SLA’s.

Een goede onafhankelijke bron hier voor is bijvoorbeeld CloudHarmony.

Kom op met die controle!

ICT en de business dienen gezamenlijk op te trekken als het gaat om de adoptie van cloud computing. Dit is nodig vanuit financiële en compliance overwegingen. De ICT-er dient hierbij de organisatie te helpen om het maximale uit het cloud potentieel te halen en een gezonde balans te bewaken tussen interne en externe diensten. Het geven van een carte blanche voor het gebruik van cloud computing kan leiden tot hogere kosten en distributie van data buiten de eigen organisatie, die vanuit veiligheid en compliance ongewenst is.

Om deze balans tussen interne ICT en public cloud te bewaken en bewaren, komen er steeds meer cloud management platformen op de markt zoals enStratus en ServiceMesh. Deze platformen leveren governance voor hybrid cloud computing en slaan hier mee een brug tussen intern en externe resources.

Het gaat hierbij om mogelijkheden van centrale inkoop en administratie van cloud computing services, ongeacht de leverancier. Binnen het ‘portaal’ wat hierbij komt kijken, kan men het gebruik van public en private cloud computing services coördineren, evalueren, autoriseren en beheren. Ook zaken als single sign-on en het vastleggen en monitoren van handelingen is onderdeel van deze cloud management platformen.

CSA-Assertion-GraphicZoals Chris Hoff in zijn meeste recente presentatie aan gaf is de sleutel integratie. Zodra cloud leveranciers API’s ondersteunen zoals die door de Cloud Security Alliance (CSA) word ontwikkeld, maakt dit het makkelijker om audits uit te voeren op de omgeving van deze leveranciers.

The goal of CloudAudit is to provide a common interface and namespace that allows cloud computing providers to automate the Audit, Assertion, Assessment, and Assurance (A6) of their infrastructure (IaaS), platform (PaaS), and application (SaaS) environments and allow authorized consumers of their services to do likewise via an open, extensible and secure interface and methodology.

In de komende tijd zullen we de focus van ‘het is niet veilig en betrouwbaar’ zien verschuiven naar dit soort governance vraagstukken en de technologische en organisatorische oplossingen hier voor.

Hierbij is de cultuur in de organisatie en de mentaliteit van de IT-afdeling zeer belangrijk. ICT-ers moeten weer begrijpen dat hun missie is de organisatie optimaal te ondersteunen met ICT en dat cloud computing daar een onderdeel van is. Of ze nu willen of niet. Leidinggevende (zoals CIO/CTO) dienen zich bewust te zijn van deze weerstand en deze actief te adresseren.

Security professionals dienen vooral te redeneren vanuit risico en op basis hier van de organisatie te adviseren over de mogelijkheden om de risico’s af te dekken of te accepteren. Ze gaan hier mee van ‘nee’ naar ‘ja, maar…’.

Als we gezamenlijk dit spelletje niet spelen, zal de business en IT-afdeling steeds verder uit elkaar groeien.

Meer:

Mijn cloud is beter dan die van jou

De laatste tijd zien we steeds meer vergelijkingen tussen diverse cloud providers op duiken. Deze zijn vaak in de vorm van:

  • Mijn cloud is sneller dan die van jou
  • Mijn cloud is goedkoper dan die van jou
  • Of als variatie: ik heb Cloud A met B ‘onafhankelijk’ vergeleken en A is sneller/goedkoper dan B.

De eerste 2 vormen zijn vaak het resultaat van een ijverige marketing afdeling van een cloud provider. De laatste is schijnbaar ‘onafhankelijk’ maar vaak gesponsord door de (marketing afdeling van de) winnaar van de vergelijking.

Het is niet vreemd dat dit soort onderzoeken nu steeds meer opduiken; de markt word steeds volwassener en voller. Cloud providers moeten zich proberen te onderscheiden in deze steeds vollere markt.

Oplossingen die ver zijn gestandaardiseerd en derhalve vaak commodity zijn laten zich uitstekend vergelijken op performance en/of prijs. Denk aan server hardware; een commodity die zijn goed laat vergelijken op performance per $$ of performance per Watt. Ook commodity software zoals een tekstverwerker laat zich goed vergelijken op basis van prijs. De extra features die bepaalde server hardware of een tekstverwerker levert, zijn marginaal en vaak niet erg onderscheidend meer. Cloud oplossingen zijn echter verre van gestandaardiseerd en laten zijn dus slecht onderling vergelijken.

Referentie architectuur

Het leveren van een IT dienst zoals rekenkracht (als bij IAAS) of een programmeer omgeving (als bij PAAS), blijft een complexe bezigheid. Zeker als we kijken naar additionele zaken die nodig zijn om alles te laten werken. Zo is de rekenkracht niets zonder de toegang tot die rekenkracht. Hierbij komen dan zaken zoals DNS en CDN kijken. De programmeer omgeving is niets zonder een framework voor toegang en toegangscontrole (Identitymanagement / access).

De kracht van veel cloud leveringen is het feit dat al deze complexe zaken worden afgehandeld door de cloud leverancier en daar mee de wereld makkelijker bruikbaar gemaakt word voor de afnemer. Zodra we echter naar benchmarks voor snelheid gaan kijken, is het echter wel degelijk van belang hoe deze levering is opgebouwd en hoe of deze op een juiste manier gebruikt word.

De cloud leveranciers leveren hun IT omgeving volgens een bepaalde ontwerp gedachte en visie. Deze is vastgelegd in de referentie architectuur. In deze architectuur staan de kaders en principes die van toepassing zijn op de geboden omgeving. Als men zich niet aan deze kaders houd, dan werkt de omgeving niet of is de performance slecht. Bij het afnemen van een cloud omgeving bij bijvoorbeeld Amazon dient men zich dus wel te houden aan de referentie architectuur.

Dit is extra duidelijk bij de Platform As A Service (PAAS) leveringen. Al eerder gaf ik aan dat een applicatie niet zo maar verplaatst kan worden naar een cloud omgeving. Deze dient vaak aangepast te worden om bijvoorbeeld schaalbaarheid mogelijk te maken. Zodra we een applicatie op een Microsoft Azure omgeving plaatsen of ontwikkelen, dan houden we ons aan de referentie architectuur voor Azure en zorgen we er voor dat deze hier voor geoptimaliseerd word. Dat is niet anders dan op dit moment in een traditionele IT omgeving ook gedaan word. Dit alles maakt het creëren en draaien van benchmarks wel erg lastig. Een test applicatie op Azure kan bagger traag werken op een Google AppEngine omdat deze zich niet aan de spelregels (architectuur) van Google houd en er zeker niet voor geoptimaliseerd is. Dit alles is ook van toepassing op de vergelijkingen die ik rond IAAS leveringen voorbij zie komen op dit moment waarbij CloudHarmony op dit moment de beste poging tot vergelijking van cloud providers doet.

Daarnaast moet men benchmark publicaties met een flinke korrel zout nemen, zoals ik aangaf in ‘Waar benchmarks zijn… wordt vals gespeeld…

Performance of feature ?

Naast de referentie architectuur, is het belangrijk om te kijken naar de geboden producten en diensten van de cloud leverancier. Hierbij zien we namelijk grote verschillen ontstaan tussen de aanbiedingen op dit moment. De feature set bij Amazon is op dit moment groter dan bij diverse andere aanbieders. Daarnaast bereid Amazon deze set in zeer hoog tempo uit.

Recent schreef Derrick Harris (Gigaom):

It’s arguable that a virtual machine is a virtual machine in the sense that they all provide standard image types and are capable of hosting standard applications, but different classes of users have different requirements for what’s underlying or surrounding their machines. It’s very easy to see why some developers would prefer the breadth of capabilities afforded them by choosing AWS

De beschikbare benchmarks moeten dus duidelijk niet leidend zijn in de keuze voor een cloud provider. Veel belangrijker is het om te kijken of de referentie architectuur en onderliggende producten en diensten passen bij jou wensen. Het geheel van deze diensten beïnvloed namelijk ook nog eens de TCO voor het gebruik er van. In de diverse vergelijkingen rond kosten word dit vaak vergeten als men enkel de pay-per-use bekijkt.

Als je je committeert aan de kaders van de cloud leverancier, de omgeving gebruikt waar voor hij bedoeld is en je je ontwikkeling optimaliseert voor het gebruik van deze cloud omgeving kun je een zeer gelukkig ‘cloud leven’ leiden zoals bijvoorbeeld Netflix.

En als je dan toch een vergelijking/benchmark bekijkt: kijk dan goed of het appels-met-appels is en geen appels-met-peren.

Meer vergelijking: