12

Wie op zoek is naar een cloud-infrastructuurdienst-verlener, of IaaS-provider, wil twee dingen weten: wat het kost en wat je voor dat geld krijgt. Over eer-ste kwestie zijn de meeste providers wel redelijk duidelijk, maar de inhoud en de kwaliteit van het

gebodene, daarover blijkt nogal eens onduidelijkheid te bestaan. Formeel heet het dat alles wat van belang is, is vastgelegd in zogeheten SLA’s (service level agreements) die deel uitmaken het leveringscon-tract. Maar voor veel afnemers zijn die SLA’s met hun mix van techni-sche details en juridisch taalgebruik nauwelijks te begrijpen. En al zou je ze begrijpen, hoe beoordeel je dan als niet-specialist of ze adequaat zijn en of alle ter zake doende issues wel zijn afgedekt?Nog moeilijker wellicht dan het doorgronden van SLA’s, is het vergelijken van SLA’s van diverse cloudleveranciers. Ze verschillen van structuur en voor de vastlegging van het niveau van hun dienst-verlening en hun aansprakelijkheid, hanteren ze op allerlei plaatsen eigen definities en metrieken (SLO’s, service level objectives of prestatiedoelen). ‘Het is alsof de Cloud Service Providers erop uit zijn de van toepassing zijnde documentatie minder inzichtelijk te houden dan hun klanten zich zouden wensen’, schrijft CloudQuadrants in het rapport The Ma-turity Level of your IaaS Service Agreement. Voor dat rapport werden SLA’s van elf IaaS-aanbieders, plus de door diverse kleinere IaaS-aan-bieders in Nederland gehanteerde DHPA-SLA, tegen het licht gehou-den. Centraal stond de vraag hoe compleet (maturity level of the service level objectives) en hoe duidelijk (document maturity level) de geboden contracten zijn. De bevindingen zijn op z’n zachts gezegd opmerkelijk. Als de scores (oorspronkelijk op een 100-puntsschaal) zouden worden vertaald naar klassieke rapportcijfers, dan scoort nog niet de helft een voldoende voor duidelijkheid. Voor compleetheid is er zelfs geen enkele voldoende te vergeven.

Cloud-SLA’s merendeels onder de maat

Toetsing aan EU-richtlijnen levert ontluisterend beeld op:

Cloudproviders zijn schrikbarend vaag over het serviceniveau dat afnemers mogen ver-

wachten. SLA-documenten zijn veelal onduidelijk en, vaker nog, zeer onvolledig. Dat blijkt

uit een evaluatie waarbij de SLA’s van twaalf belangrijke providers werden vergeleken met

de in 2014 door de Europese Commissie opgestelde Cloud SLA Standardisation Guidelines.door: ROLF ZAAL / R.ZAAL@AUTOMATISERINGGIDS.NL beeld: ANTHONY DONNER / ANTHONYDONNER.COM

EU-richtlijnenVoor het beoordelen van de compleetheid van de SLA’s die de cloud service providers (CSP’s) hun klanten voorhouden, legden de onder-zoekers de door de leveranciers afgegeven prestatiedoelen (SLO’s) naast een door de EU geformuleerde Cloud SLA Standardisation Guide-lines. Daarin worden 70 onderscheidbare SLO’s (prestatiedoelen) aan-gegeven, verdeeld over vier facetten van kwaliteit van online dienst-verlening:• performance (o.a. beschikbaarheid, responsetijden, capaciteit,

support, exitvoorwaarden),• security (o.a. redundantie, betrouwbaarheid, encryptie, auditing en

incidentmanagement),• datamanagement (o.a. recoverymogelijkheden en back-updiscipli-

ne) en• Beveiliging van persoonsgebonden gegevens (o.a. verantwoorde-

lijkheid, transparantie, disclosure-verplichtingen)Adequate erkenning van hun verantwoordelijkheden op alle 70 door de EU genoemde prestatiedoelen zou een provider een score van 100 opleveren. De werkelijkheid is anders. Veel cloudproviders lijken nog steeds aanhangers te zijn van de gedachte ‘er is geen betere afspraak dan geen afspraak’. Het toch niet geheel triviale onderwerp privacy-bescherming, bijvoorbeeld, krijgt in geen van de twaalf onderzochte SLA’s noemenswaardig aandacht.Volgens IT-jurist Arthur van der Wees vinden providers meestal dat pri-vacy de verantwoordelijkheid is van de eigenaar van de data of de appli-catie. “Maar in juridische zin is ook de IaaS-provider, ook al slaat hij die data alleen maar op, een ‘verwerker’. Daarmee is ook hij aanspreekbaar op de bescherming van persoonsgebonden gegevens. Vaak worden dergelijke gegevens onversleuteld opgeslagen. Ze zijn voor de provider, of een partij die ze hackt, dus te lezen. Je zou daarom harde afspraken mogen verwachten op dit vlak, zeker nu overheden en veiligheids-

ITMA

NA

GEM

ENT

Cloud_SLA.indd 12 11-02-16 15:37

13»

diensten steeds nadrukkelijker medewerking van CSP’s willen kunnen verlangen.” De veronderstelling dat sommige providers in hun SLA’s wat privacy betreft niets toezeggen om te voorkomen dat ze in conflict komen met nationale veiligheidswetten, zoals de Amerikaanse Freedom Act, gaat Van der Wees echter te ver. “Het heeft te maken met de volwassenheid van de cloud en de cloud-SLA’s. De cloud-SLA is nog in ontwikkeling, en eigenlijk vanuit een verkeerd, onvolwassen vertrekpunt: de al meer dan 20 jaar bestaande SLA’s uit het outsourcingtijdperk. En die waren bepaald niet geschreven om clouddienstenniveaus te regelen.” Van der Wees was, samen met Bart Veldhuis van adviesbureau Weolcan, initia-tiefnemer voor het onderzoek van CloudQuadrants.

Nul garantie op responsetijdOok bepaald mager zijn door de bank genomen de SLO’s op de gebieden datamanagement en security. De gemiddelde scores bedragen hier respectievelijk 13 en 14 (nog steeds op een 100-puntschaal). Bij vijf van de twaalf SLA’s (Softlayer, Amazon, Helion, Netsuite en Google Com-pute) wordt helemaal niets toegezegd aangaande security. Op het as-pect datamanagement is het nog dramatischer. In slechts twee SLA’s (DHPA en het ten tijde van het onderzoek nog IS Enterprise geheten Internedservices) legt de provider zich daadwerkelijk vast op verant-woordelijkheden op dit terrein. De tien overige – waaronder dus grote namen als Amazon, Google, Microsoft en Rackspace – leggen zich op

zaken als back-upfrequentie, back-upbewaartijd, recoverytijd niet vast.Per saldo maken de cloudproviders in hun SLA’s nog het meeste werk van toezeggingen in de sfeer van performance. SLO’s hier hebben be-trekking op deelaspecten zoals beschikbaarheid, responstijden, capaci-teit en ondersteuning. Ondanks dat performance kennelijk nog het meest ‘hun ding’ is, komt de gemiddelde volledigheidsscore in dit do-mein niet boven de 24 punten op een schaal van 100 uit. Als diepte-punt mag wel vermeld worden dat geen van de twaalf onderzochte CSP’s zich vast durft te leggen op responstijden. ‘Dat betekent dat nul garantie wordt geboden op responstijden, wat toch grote gevolgen kan hebben’, constateert het rapport.Het per virtuele machine maximaal beschikbare CPU-vermogen en ge-heugenbeslag wordt door slechts één van de twaalf CSP’s in een harde SLO gespecificeerd. Negen van de twaalf CSP’s laten volkomen in het midden wat de maximaal te verwachten oplossingstijd voor aangemel-de problemen is. Acht vinden zelfs dat alleen al het geven van een reac-tie op het aanmelden van een probleem een dag geduld van de afnemer mag vergen.Behalve dat de SLA’s doorgaans verre van compleet zijn, is vaak ook niet duidelijk wat waar in de contracten te vinden is. Naar contactgege-vens voor het aankaarten van issues bijvoorbeeld, wordt in veel SLA’s tevergeefs gezocht. Vier providers claimen het recht om hun SLA’s eenzijdig en zonder overleg of kennisgeving te wijzigen. Een aantal providers belooft wel ‘service credits’ als ze steken laten vallen, maar lang niet altijd wordt dan ook aangegeven hoe afnemers dergelijke spaarpunten in voorkomende gevallen kunnen opeisen. Vaak ook is er sprake van wildgroei van uitzonderingsbepalingen in moeilijke juridisch jargon.

Volgers versus pioniersInzoomend op specifieke CSP’s die het meer of minder goed doen, zijn de uitkomsten zo mogelijk nog teleurstellender. De partijen die het verhoudingsgewijze minder belabberd doen, zijn niet de grote cloudla-bels van het eerste uur, maar juist de kleinere lokale hostingproviders, die merendeels nog maar een paar jaar geleden de ommezwaai naar het cloudmodel maakten. Het beste scoren de SLA’s van DHPA en Internedservices, maar ook Reasonnet en KPN CloudNL scoren

SERVICEPROVIDERS STEKEN HAND IN EIGEN BOEZEMVoorzitter Sven Visser van de Dutch Hosting Provider Association (DHPA, de club achter de sterkste SLA in het onderzoek van Cloud-quadrants) leest het rapport deels als een kritiek op de ‘grote pu-blieke clouds’. Die zijn ‘relatief jong en gericht op schaal’, zonder ruimte voor maatwerk. Tegelijkertijd onderkent Visser ook dat in de sector als geheel het papierwerk veelal achterloopt op de techno-logische mogelijkheden. Hij ziet de bevindingen uit het onderzoek dan ook als een prikkel om het SLA-framework van DHPA verder te verbeteren en aan te vullen, “zodat we onze leidende postitie kun-nen vasthouden en de voorsprong vergroten”.

Maar misschien is het niet alleen een kwestie van een achterlopen-de aanbodzijde. Mogelijk moeten ook de afnemers nog een beetje volwassener worden. Dat suggereert althans de analyse die direc-teur Jan Willem des Tombe van Internedservices (in het rapport nog als ‘IS Enterprise’ vermeld) maakt. In reactie op de bevindingen van CloudQuadrants legt hij een verband tussen wat klanten bereid zijn te betalen en de SLA’s die providers voor dat geld kunnen bie-den. “Afnemers als groep zijn nog onvoldoende bekend met de strekking en werking van Service Level Agreements en zijn daar-door ook in veel gevallen niet bereid om er financiële waarde aan toe te kennen. In de ideale situatie zou de afnemer zich realiseren dat hij in feite een service level afneemt en niet een technisch plat-form.” Een visie die volgens Des Tombe ook nog lang niet bij alle collega-providers is geland. “De service providers zelf redeneren nog te veel vanuit de techniek en het platform dat ze aanbieden, en verplaatsen zich nog onvoldoende in de behoefte van de klant.”

Microsoft Nederland en Google Nederland waren in verband met noodzakelijk geachte afstemming met hun respectievelijke Ameri-kaanse moederbedrijf niet in staat om tijdig een reactie op de be-vindingen te formuleren. Kijk op onze site voor een mogelijk alsnog ingezonden antwoord.

IT-JURIST ARTHUR VAN DER WEES: “DE CLOUD-SLA IS NOG IN ONTWIKKELING, EN EIGENLIJK VANUIT EEN VERKEERD, ONVOLWASSEN VERTREKPUNT: DE AL MEER DAN 20 JAAR BESTAANDE SLA’S UIT HET OUTSOURCINGTIJDPERK.”

Cloud_SLA.indd 13 11-02-16 15:47

14

»

CloudQuadrant

0 10 20 30 40 50 60 70 80 90 1000

10

20

30

40

50

60

70

80

90

100

Amazon EC2

Azure (Microsoft)

Duidelijkheid

Com

plee

thei

d DHPA

Google ComputeHP Helion Cloud

Internedservices

KPN CloudNL

Netsuite

Rackspace

Reasonnet

Softlayer (IBM)

vCloud Air (VMWare)

aanmerkelijk beter dan Amazon, IBM’s Softlayer, HP’s Helion Cloud of Google Compute. Dat verschil is er zowel voor wat betreft duidelijk-heid als compleetheid.

Gevraagd naar een verklaring voor de gevonden verschillen in duide-lijkheid en compleetheid van de SLA’s wijst onderzoeker Koen van Schijndel, van Weolcan, in de eerste plaats op verschillen in achter-grond en marktpositionering van de betreffende CSP’s. Zo hebben de verhoudingsgewijs duidelijker en vollediger contracten van kleine lokale spelers merendeels ook duidelijk een ander prijskaartje dan de massa-services van de grote IaaS-pioniers. Die laatsten zetten het cloudconcept al jaren geleden neer, als laag geprijsd confectie-alterna-tief voor hostingdiensten. Met een onbepaalde contractduur en hori-zontale schaalbaarheid als enige maatwerkfacetten. Verder geldt bij de cloudservices van het eerste uur voor alle gebruikers het motto gelijke monniken gelijke kappen. Daarmee behaalden ze het schaalvoordeel dat hen in staat stelde om op basis van prijs en flexibiliteit de concur-rentie aan te gaan met de gevestigde outsourcing- en hostingservices.Om zich te onderscheiden van de gevestigde IaaS-kolossen uit de VS leggen de kleine lokale cloudproviders zich toe op datgene waarin ze traditioneel altijd al sterk waren: duidelijke afspraken over allerhande SLO’s, die best eens mogen verschillen voor de ene of de andere klant. En, ja, daarin haal je nooit de schaal van Google of Amazon, dus moe-ten en mogen ze ook wel een ander tarief hanteren. Naast dit verschil in positionering ziet de jurist Van der Wees nog een cultureel aspect: “Amerikanen zijn doorgaans nogal gefocust op juridische issues en voorkomen zorgvuldig dat ze ooit zouden kunnen worden gebasht. Daarom zwaaien ze liever met allerhande certificeringen, zoals ISO27001, ISO9001, SSAE16 SOC en PCI-DSS, dan dat ze zich echt ergens op vastleggen.”

Geen drama van makenDe schrikbarend lage scores in het onderzoek betekenen niet vanzelf-sprekend dat de betreffende cloudproviders ook feitelijk slecht werk leveren. Het enige wat er uit valt af te leiden is dat ze weinig harde ga-ranties geven aangaande de kwaliteit van hun werk. Waarom heeft CloudQuadrant niet de feitelijke prestaties onderzocht? Van Schijndel: “Prestaties hoeven niet altijd per se hoog te zijn, zo lang ze maar voldoen aan de vereisten van de toepassing. Te beoordelen wat goed genoeg is, dat is niet aan ons onderzoekers maar aan de cloudafnemers. Juist daarom vinden we het interessant om na te gaan in hoeverre die afnemers ook goed inzicht wordt geboden in het dienstenniveau dat de provider ze garandeert.”Dat zoveel cloudproviders nog steeds weg weten te komen met ronduit onduidelijke en onvolledige SLA’s heeft volgens Van Schijndel onder meer te maken met de hoge kwaliteit van de diensten die ze leveren. “Zo lang er weinig of geen problemen zijn, zijn de meeste afnemers nauwelijks geïnteresseerd in de vraag in hoeverre die kwaliteit ook wordt gegarandeerd.” Kortom, het is een beetje zoals met een tandarts-verzekering; zo lang je nergens last van hebt, valt het ook niet op dat je niet verzekerd bent. Maar dat het er toch wel degelijk toe doet bleek vorig jaar toen Amazon een majeure outage had. Veel afnemers gingen daardoor uit de lucht, waaronder niet de geringsten, zoals Reddit. Enkele andere klanten van Amazon, waaronder Netflix, ondervonden nauwelijks problemen. Volgens Van Schijndel komt dat doordat ze op basis van grondige bestudering van de Amazons SLA’s hebben begrepen waar de onzekerheden zitten, om deze vervolgens te ondervangen in de inrichting van hun cloud-infrastructuur.Hoe moeten cloud-afnemers nu omgaan met het gegeven dat het ei-genlijk bij alle providers onder de maat is wat betreft de garanties die ze afgeven? Arthur van der Wees: “Ik zou er geen drama van maken. Ga in zee met meerdere partijen waarvan het aanbod het best aansluit bij je – veelal hybride – behoefte, denk na over architectuur, datastromen, risico’s en impact, probeer eigen afspraken te maken op de issues die er voor jou toe doen en blijf aandringen op een betere SLA die wel compliant is aan de guidelines van de EU.”

CloudQuandrants is een samenwerking van het in cloud-IT gespecialiseer-

de adviesbureau Weolcan [oud Engels voor clouds, uit te spreken als

‘wolken’] en juridische adviesbureau Arthur’s Legal. Het is bedoeling het

onderzoek jaarlijks te herhalen.

ITMANAGEM

ENT

KOEN VAN SCHIJNDEL, WEOLCAN:“ZO LANG ER GEEN PROBLEMEN ZIJN, ZIJN DE MEESTE AFNEMERS NAUWELIJKS GEÏNTERESSEERD IN DE VRAAG IN HOEVERRE DE KWALITEIT WORDT GEGARANDEERD.”

Cloud_SLA.indd 14 11-02-16 15:37