-

Har du hørt om nettskyen før? Kanskje i det minste du har hørt om Cloud Computing? Det er få innenfor IT-industrien som ikke har hørt om nettskyen til nå, det er liten tvil at nettskyen blir hypet, men det betyr selvsagt ikke slik at nettskyen i seg selv er en hype, selv om enkelte liker å lovprise litt for mye.

Petter Gottschalk er en av dem som varsler om å være litt nøktern til nettskyen, noe han har rett i. Vi er en bransje som er glad i alt nytt, ofte også med dramatiske konsekvenser, positive og negative. Tjenesteorientert-arkitektur (SOA) er en annen viktig utvikling som skjedde i vår bransje, en utvikling som har har brakt mye glede og motgang. Tjenesteorientert-arkitektur er komplisert, mye mer komplisert enn hva mange ble fortalt og overbevist om. Det er smart og strategisk å bygge løsninger basert på SOA, men det koster penger. Integrasjoner og interopabilitet med kunder og samarbeidspartnere er noe av det mest kompliserte vi gjør idag.

Fra et teknologisk ståpunkt er det veldig lett å komme igang med tjenesteorientert-arkitektur, vi har plattformer som gjør det mulig å lage tjenester fort og enkelt. Det vi undervurderte var kompleksiteten som oppstår når man begynner med integrasjoner og gjenbruk av tjenester. For mange undervurderte også behovet for planlegging av vedlikehold, versjonering, sanering og så mye annet som man må ha kontroll på når man bygger en infrastruktur på SOA. SOA har vist seg å være for komplisert og for dyrt for mange, gevinstene har ikke alltid vært der for å veie opp for investeringer som er gjort.

Hvorfor har man ikke klart å hente gevinstene fra SOA-satsninger?

Det er mye en organisasjon må gjøre for å omstille sine prosesser og systemer for å oppnå en velfungerende infrastruktur for SOA. Disse investeringer har hver enkelt vært nødt til å gjennomføre, hver for seg. Det sier seg selv at det fort blir kostbart, spesielt med tanke på at mange SOA-løsninger gjerne kun er for interne IT-systemer og integrasjoner med begrenset antall samarbeidspartnere. Desto større en organisasjon er, desto større verdi vil man kunne få ut av sine SOA-investeringer.

Nettskyen handler på flere måter om outsourcing av SOA…

Tjenesteorientering i nettskyen

Norge er et lite land tatt i betraktning hele verden, vi har et veldig begrenset marked av lokale kunder innenfor våre egne grenser. Dette er noe som alltid må være med i en vurdering om hvordan og når man skal ta i bruk både SOA og nettskyen. Dette er også noe av det som gjør nettskyen spesielt spennende for det norske markedet.

Fremfor at hver enkelt skal etablere sin egen tjenesteorienterte arkitektur, kan vi ved hjelp av nettskyen leie de delene av en infrastruktur og arkitektur vi har behov for. Det som er styrke i nettskyen er ikke bare muligheten til å skalere, men bredden av muligheter som finnes.

Konseptene i nettskyen

Begrepet nettskyen beskrives gjerne med tre underliggende konsepter: Software as-a Service, Platform as-a Service og Infrastructure as-a Service.

SaaS er programvare i nettskyen

- Det øverste nivået av nettskyen handler om å leie programvare, ferdige løsninger som ofte leveres rett i nettleseren. Kundebehandlingsløsninger (CRM), planleggingsverktøy, analyseverktøy og så utrolig mye annet finnes som man raskt og enkelt kan leie etter behov.

PaaS er kjøremiljø nettskyen

- Videre derfra har vi ulike plattformer hvor man kan bygge skreddersømsløsning og integrasjoner etter egne behov. Kan kjøre egne programmer og systemer i nettskyen, og samtidig utnytte godt av de infrastrukturtjenestene som eksisterer der ute for å dekke behov som autentifisering av brukere, sikker og kryptert kommunikasjon, tjenester-hubber (Internet Service Bus), globale caching løsninger, m.m..

IaaS er infrastruktur i nettskyen

- I nettskyen kan man leie de maskinressursene man har behov for, dette kan være database servere, brannmurer, webservere, m.m..

Dette er de mest etablerte prinsippene for nettskyen, men det er også flere andre prinsipper og beskrivelser og dette vil sannsynligvis utvikles i tiden fremover.

Spar på investeringer, kom fortere igang

Ett av de mest brukte budskapene om nettskyen er nemlig det jeg akkurat har forklart: Man slipper dyre investeringer i maskinvare, programvare og tjeneste for å komme igang. Man kan leie det man trenger, av maskinvare og programvare.

Styrken til nettskyen ligger nemlig i det at vi alle går sammen om å investere på infrastrukturen, for deretter å dele på ressursene. Har du noen gang hørt noen selge deg SOA og fortalt at dette er raskt og enkelt å komme igang med? Ble du fortalt at SOA var billig?

Teknologiene vi utviklet under SOA-hypen har vært instrumental for realisering a nettskyen slik den fremstilles idag. Nå har verden blitt moden og vi har fått en infrastruktur vi alle kan nyte godt av. På samme måte som vi alle i dag nyter godt av felles infrastruktur i den moderne samfunnet, som vann og strøm, kan vi nå nyte godt av datakraft og tjenester i nettskyen.

Fagruppe for Cloud Computing

I høst har Den Norske Dataforeningen startet en ny faggruppe for Cloud Computing, hvor Peter Flem fra Capgemini er leder og jeg er en av nestlederene. Ett av våre mål er å hjelpe norske bedrifter til å se mulighetene og verdiene av nettskyen, samt redusere noe av tåken som har oppstått med hypen. Vi arrangerer fagmøter gjevnlig og ønsker å invitere alle som ønsker å lære mer om nettskyen.

Neste møte er 20. oktober, hvor jeg skal fortelle om integrasjoner i nettskyen.

Steria og nettskyen

Hos Steria har vi gjennomført flere SOA-prosjekter med suksess og vi er allerede godt igang med satsning på nettskyen, både med infrastruktur og utvikling. SOA-investeringer hos våre kunder har gjort dem mer forberedt for nettskyen og forenkler fremtidige integrasjoner i nettskyen.

Dette er definitivt en navnestandard som mange synes å mene noe om. La oss derfor krympe dette inn til å omhandle navnestandard for servere.  Satt på spissen finnes det i hovedsak to strategier. Dette er den enkle og kompliserte strategien.

Den enkle strategien går ut på å navngi serverne sine med et løpenummer for eksempel server001, server002 osv. En annen variant i kategorien enkel, kan være å velge ut et tema fra noe man har kjært. Eksempelvis karakterer i Andeby, for deretter å kalle serverne sine for Donald, Pluto og lignende. Denne varianten bør velges med varsomhet i miljø som eksponerer tjenestenavn direkte mot forretning og kunder som ikke nødvendigvis er like begeistret for temaet.

Strategien som undertegnede definerer som komplisert, baserer seg på en modell som søker å gi tilleggsinformasjon ut i fra serverens navn. Dette kan fungere godt. Et eksempel kan være navnet oslapp001 som indikerer at dette er applikasjonsserver 001 plassert i Oslo.

Det kompliserte elementet i denne strategien er ikke å forklare lokasjon og funksjon, men snarere å finne en balanse i hva som skal forklares. Det er her mange går i fellen. Ofte som et resultat av at det finnes en eller flere ildsjeler som med de beste intensjoner ønsker å forklare mest mulig.

Det er også en risiko for at en komplisert navnestandard mister sin hensikt. Dette kan skje når det ikke tas høyde for miljøendringer. Et eksempel på dette kan være at to datasenter slås sammen og man har benyttet variabler for disse i servernavn.

Det finnes ingen fasit eller mal for en god eller dårlig standard. En ting som passer bra for i en organisasjon kan fort bli en fadese i en annen virksomhet. På generelt grunnlag holder undertegnede en knapp på den enkle varianten med server001. Dette fordi den virker i alle miljø og vil aldri bli utdatert. Øvrig informasjon om selve tjenesten kan lagres separat i en et dokument, katalogtjeneste eller lignende. Noen vil også argumentere for at denne strategien er best i forhold til sikkerhet. Dette fordi man eksponerer ingen opplysninger om serveren ut i fra navn.

Hva er Cloud Computing?

Cloud er ikke det nye begrepet for Internett. Selv om Internett er et nødvendig fundament for cloud. Cloud er mer enn Internett. Cloud er der hvor man kan benytte seg av teknologi når man trenger det og for den tiden en ønsker. Cloud kan være både software og infrastruktur.

Tenk deg følgende eksempel: Et firma kjøper opp en tomt og bygger en stor blokk med mange leiligheter på denne tomten. Deretter leier de ut leilighetene. Du får lov å flytte inn og ut når du vil. Og du betaler bare for den tiden du bor i leiligheten. Enkelt sagt fungerer cloud omtrent på samme måte. En cloud leverandør leier ut servere, lagring og andre tjenester du finner på et datasenter.  Du betaler etter bruk. I tillegg får du lov å skalere opp umiddelbart ved behov og kanskje enda viktigere er muligheten for å skalere ned når du ikke trenger så mye ressurser lenger.

Cloud Computing er ikke noe nytt fra teknologisk synspunkt. Men fra et forretningsmessig ståsted introduserer det en helt ny måte å tenke på. Den viktigste grunnen for å velge cloud istedenfor å bygge ut sin egen IT infrastruktur er ikke teknologi, men økonomien i dette.  ”Betal for hva du bruker” modellen i Cloud Computing er i mange tilfeller billigere enn ”Betal for alt på forhånd” modellen.  

Her er noen kriterier som kjennetegner en typisk cloud tjeneste:

• Tjenesten er tilgjengelig via en webleser eller web tjeneste API
• Man betaler etter bruk
• Skalerbar
• Mulighet for selvbetjening

Hva med sikkerhet?

Et av områdene som kritikerne av cloud ofte nevner er sikkerhet. Det å plassere data inn i cloud uten å ha kontroll på servere/disker som det blir lagret data kan for mange virke skummelt. Realiteten er at cloud kan lages like sikkert og til og med sikrere enn ens eget tradisjonelle datasenter.

Før man benytter seg av cloud, er det viktig at:

• Man sjekker gjeldende lover, regler og standarder
• Man setter seg inn hvilke sikkerhetssystemer forskjellige cloud leverandører kan tilby.

Til slutt…

En spredning av cloud krever at lover og regler fornyes og tilpasses mulighetene Cloud Computing åpner for. Jeg tror virksomheter litt etter litt flytter tjenester til cloud. IT miljøer vil bli hybride. Det vil si at virksomheter bygger seg en ”intern” cloud som man eier selv, mens man flytter enkelte tjenester til en ”ekstern” cloud. Og dette er bare begynnelsen…

Hvis man stiller de samme menneskene spørsmålet om hvordan antivirus oppdateres i virksomheten, kommer det uten unntak helt andre svar. Det er helt andre lover og regler som gjelder for antivirus. Dess oftere antivirus definisjonsfilene oppdateres, jo bedre er det. Det kan i hvert fall tyde slik på svarene man får. Det er ikke uvanlig at antivirusdefinisjonsfiler oppdateres opptil flere ganger per døgn i virksomheten. Dette er for så vidt helt greit, men det er ikke dette punktet som skiller oppdatering av antivirus fra andre typer oppdateringer. En ny antivirusdefinisjon, testes sjelden eller aldri i virksomheter før den slippes i produksjon. Det synes som et utstrakt mål at oppdateringer av antivirus skal ut så raskt som overhode mulig.

Hvorfor er dette et problem?

De aller fleste leverandører av antivirusprogramvare har ved en feiltagelse sluppet oppdateringer som har ført til at legale filer feilaktig identifiseres som virus. Noen ganger går dette bra, fordi virksomhetene ikke rekker å oppdatere sine egne kjernesystemer før den ondartede definisjonsfilen trekkes tilbake fra leverandør. Andre ganger får dette katastrofale følger ved at for eksempel kritiske tjenester og operativsystem stopper i det oppdateringen blir gjeldende i et miljø.

Virksomheter er i dag så redd for et virusutbrudd at antivirustjenestenes definisjonsfiler oppdateres for ofte og ukritisk. I praksis spiller mange russisk rullett med sitt produksjonsmiljø fordi man unnlater å teste definisjoner i forkant av en oppdatering. Ved hjelp av simple rutiner som allerede finnes i forbindelse med oppdateringer av annen programvare, kan risikoen for at antivirus blir virus elimineres.

Som en oppsummering på konferansen presenterer Kuppinger Cole de fem viktigste trendene innenfor IAm, GRC og Cloud computing. Nytt av året er at årets konferanse er slått sammen med Cloud Computing som virkelig er en het potet i Europa nå om dagen. Alle innlegg fram til nå har kommet inn på temaet, og det er stor spenning relatert til dette temaet som er upløyd mark. De viktigste trendene slik de blir formidlet er bl.a. en økende grad av justering mellom virksomhet og IT og evolusjonen mot et hybrid IT miljø bestående av et godt administrert miljø med en blanding av både interne og eksterne IT tjenester. Her er de heteste trendene , oversatt etter beste evne i tilfeller av manglende norske uttrykk, oppsummert fra konferansebrosjyren:

Identity and Access Management (IAM)

1. Mer fleksibilitet i arkitektur
   IAM-arkitektur er i endring. Den klassiske monolittiske tilnærmingen med provisioning som kjerne er kun en av flere arkitekturer som vurderes av integratører og kunder. Økende fleksibilitet i arkitekturer, samt integrasjon mot IT tjenester og virksomhetsportaler med sstøte for flere forsyningsverktøy blir mer og mer en realitet. Det hjelper også kunder med å implementere IAM raskere, biligere og mer spisset enn tidligere.
2. Tilgangsstyring og forsyning blir mer integrert
   Tilgangsstyring, også kalt IAM-GRC, er blitt en standard i flere arkitekturer og implementeringer, og er plassert på toppen av brukerforsyningen. Det er en økende grad av integrerte tilnærminger, samt en utvidelse av foryningsverktøy i form av tilgangsstyringsverktøy med mer støtte for integrasjon mot flere forsyningsverktøy i tillegg til adaptere for direkte tilkobling til mål- og fagsystemer. KuppingerCole forventer at denne trenden vil fortsette, og da med flere opsjoner for kundene og at tettere integrasjon mellom ulike teknologier vil bli mer standard.
3. Allsidige autentiseringsmekanismer blir mer modent
   Allsidige autentiseringsmekanismer, da i betydningen muligheter for å fleksibelt bruke ulike autentiseringsmekanismer basert på vanlig mellomvare blir mer modent og implementeres av flere leverandører. Dette muliggjør gjenbruk av sterk autentiseringsteknologi, samt mulighet for å velge den mest hensiktsemssige teknologien for ulike grupper av brukere (f.eks. interne og eksterne brukere) og brukstilfeller. Kostnaden med sterkere autentisering vil bli redusert.
4. Føderasjon finnes der ute
   Føderasjon, et tema som er gjenstand for mye diskusjon, er blitt en realitet. Tilsutningsraten er økende og vil fortsette å øke. I stedet for at man diskuterer potensialet blir nå føderasjon implementert i prosjekter med virkelige tilfeller.
5. Økende tilslutning av IAM i mellomstore bedrifter.
   IAM har fram til nå kun vært interessant for store selskaper og organisasjoner, og spesielt organisasjoner med compliance krav, men blir nå i økende grad relevant for mellomstore organisasjoner som middel mot å beskytte seg mot data- og informasjonslekkasjer og etterlevelse av krav angående personvern. Leverandører med standardimplementeringer og lettvekter produkter vil helt klart tjene på dette.

GRC – Governance, Risk Management, Compliance

1. Fra punktløsninger til GRC arkitektur
   Det er i dag for mange GRC initiativ i organisasjonene. Det spås at dette vil endre seg mot at flere virksomheter tenker mer på en helhetlig GRC arkitektur før man investerer i egne punktløsninger. Dette vil hjelpe virksomhetene til å optimalisere de investeringene som gjøres.
2. Tilgangsstyring som et startpunkt
   Tilgangsstyring er en av de mest økende områdene innenfor IT. Det betraktes som et logisk startpunkt for GRC initativ. Selv om det kun dekker en liten del av It-kontroller, er disse viktige, nemlig de som omhandler tilganger, informasjonslekkasjer, lovverkt angående personvern, og opphavsrett og/eller åndsverk. Det forventes at flere selskaper vil fokusere på tilgangsstyring når de skal investere i IT-GRC.
3. Lukke sløyfen for tilgangsstyring
   Et aspekt ved utviklingen er at det i økende grad blir mer integrasjon med automatiseringsteknologi for avstemming, som lukker sløyfen for endringer i målsystemer for attestering og sertifiseringer som har hatt fokus fram til nå. Disse tilnærmingene av lukking av sløyfene som støtter ikke bare reaktive men også prevantive kontroller blir mer og mer standard i markedet for tilgangsstyring (Access Governance).
4. Virksomhets-GRC åpner opp for IT-GRC
   I dag er mange av de såkalte virksomhets-GRC verktøy (bedre definert som virksomhetsorientert GRC ) hovedsaklig fokusert på forretningssidens syn på risiko, f.eks. drifts og noen ganger strategisk risiko. Men, forretning er basert på IT-systemer. Derfor er ITrisiko og driftsrisiko tett relatert, og de automatiserte kontrollene for driftsrisiko er basert på på informasjon i IT-systemene. Av den grunn må desse to verdenene konvergere, som helt klart er en stor trend i dag. Kuppinger Cole forventer at muligheten for å støtte integrasjon mellom virksomhetsstyring og IT-styring vil bli en nøkkedifferensiator mellom leverandører.
   
5. Risikokonsepter blir innført
   Risiko er i økende grad forstått som et nøkkelkonsept for IT-ledelse. Risikokonsepter blir i økende grad støttet av verktøy og implementert i organisasjonen. Men, det er typisk i dag et syn på organisatorisk og strategisk risiko som er splittet fra synet på IT-risiko. Analyseselskapet forventer at dette sakte men sikkert vil endres.

Cloud computing

1. Fra taktikk til strategi
   Cloud computing flytter seg nå fra taktikk til strategi – fra opportunistisk bruk av eksterne tjenester mot en strategisk tilnærming for anskaffelse av tjenester som dekker både interne og eksterne tjenester på en konsistent måte. Utviklingen er obligatorisk for muligheten til en fleksible anskaffelse av tjenester samt for å minimere risiko ved å ta i bruk standardiserte tilnærminger for valg av tjenestetilbyder(e).
2. Hybride IT-miljøer blir standard
   Virksomhetenes miljøer for cloud computing vil i økende grad være hhybride, med en blanding av eksterne og interne tjenestetilbydere. For de aller fleste organisasjoner vil dette bli en langsiktig realitet, og det er faktisk en realitet i dag når vi ser på eksterne tjenestetilbydere som blir benyttet på mange områder som bl.a. webkonferanse, webhotell, samt SaaS applikasjoner.
3. Fokus på tjenester og ikke på at de er eksterne
   Med utviklingen fra en taktisk tilnærmingen mot standardisering vil tjenester bli kjernen i cloud computing – alle typer av tjenester og ikke bare eksterne tjenester. Evnen til å vellykket administrere IT er veldig avhengig av en konsistent tilnærming for anskaffelse og administrasjon av tjenester, uavhengig av hvor de kjøres. Dette vil i større grad bli forstått med resulterende endring av fokus fra få store og populære tilbydere av cloud computing mot endring av IT-strategi og ledelse.
4. Det blir mer fokus på sikkerhet enn tidligere
   På nåværende tidspunkt blir sikkerhet sett på som et tema innenfor og for skyen, i hvert fall delvis. Kuppinger Cole forventer en økende grad av kunnskap om virkelige sikkerhets- og styringsspørsmål, som helt klart er forskjellig fra dagens tåkete sikkerhetsbekymringer. Utviklingen vil gi organisasjoner bedre muligheter til å håndtere cloud risiko og bygge gyldige sikkerhetsstrategier for bruk av eksterne tjenester i skyen.
5. Mange nyetableringer, sammenslåinger og oppkjøp av selskaper
   På lik linje som i andre nye markeder innenfor IT er det mange nyetableringer i markedet for cloud computing, og flere vil komme. Gitt at det er mange nye trusler er det nok av plass for oppstarter. På den andre siden vil det bli flere oppkjøp av større leverandører som vil utvide og styrke sitt eget cloud computing tilbud.

Verden ser altså ut til å ble mer hybrid enn hva vi ser er vanlig i dag. Interne og eksterne brukere, interne og eksterne applikasjoner og tjenester må administreres og styres. GRC skal dekke dette. IAM må virke med alt sammen. Bevegelse mot en tilnærminger som må støtte denne hybride IT-verden, samtidig med sterk justering mot forretningsnærhet, blir kjernepunkter ITsjefen må forholde seg til. Dette er også i samsvar med hva spesialistene og leverandørene mener og tror også. Min egen vurdering og oppfatning av denne overfloden av informasjon og inntrykk er at Norge på mange områder ligger langt bak mange av landene her i Europa. Men jeg tror også at på mange av disse områdene kommer vi etter etterhvert som kundemarkedet modnes. We are all individuals… really? Det viser seg at vi ikke er så veldig spesielle med spesielle behov likevel hjemme på berget. Vi er derimot på mange områder hengende etter og har mer taktisk enn strategisk fokus.