Læser Gartner danske arbejdsprogrammer?

I et – som sædvanligt – oplyst og læsevenligt indlæg på Gartners blogsite, skriver Andrea Di Maio om et land, han har hørt om, der er i færd med at undersøge, om det giver mening at lave en ‘government cloud’ for egen og andre landes offentlige forvaltninger. Det er præcist det, Videnskabsministeriet skriver i kapitel 3 om cloud computing i dets digitale arbejdsprogram, der udkom i går!

Uanset om dette er en tilfældighed eller Andreas indlæg faktisk tager afsæt i den danske idé, er hans pointe i bloggen vigtig at holde sig for øje: det er ikke sikkert, en ‘government cloud’ er den billigste løsning for den enkelte styrelse eller statslige institution, sammenlignet med at købe ydelser på det ‘åbne’ cloud marked. Javel, der er spørgsmål om sikkerhed, dataopbevaring jf. Datatilsynets seneste afgørelse fra i fredags, integration med eksisterende systemer og mange andre overvejelser, der kan ende med at koste penge.

Men en government cloud vil ofte være ‘klip-en-tå-skær-en-hæl’ i forsøget på at finde en ‘one-size-fits-all’ til de offentlige kunder; selv den amerikanske forbundsregerings cloud vil være mindre end Amazons, og vil derfor alt andet lige have højere driftsomkostninger. Og for at reducere disse driftsomkostninger, kan der ikke nødvendigvis udbydes den samme fleksibilitet, som en stor privat leverandør vil kunne.

Ser vi på software-as-a-service kan der f.eks. være begrænsninger i muligheden for at integrere med eksisterende systemer, begrænset valgfrihed i autentificeringsmetoder eller forsinket softwareopdatering i forhold til markedet i øvrigt. Er der tale om infrastructure- eller platform-as-a-service er det klart, at når en kunde på det ‘åbne’ marked har hele spektret til rådighed, er det svært som udbyder af en government cloud at matche valgmulighederne.

Derfor kan det alligevel være en rigtigt god idé at oprette en community cloud for staten – i ét eller flere lande i fællesskab. Der kan a priori være taget hånd om krav til dataopbevaring (bl.a. hvilke lande, de opbevares i, hvor længe, backups og logs gemmes osv.) og det kan være sikret, at brugerautentificering lever op til nationale retningslinier. Der kan sågar være direkte kundeindflydelse på den tekniske og forretningsmæssige udvikling af skyen – blot skal de offentlige institutioner ikke nødvendigvis vælge denne vej, fordi de kan spare penge.

Google Apps? Nej, det må I ikke – i hvert fald ikke uden digital signatur…

Datatilsynet har i fredags udsendt sin første afgørelse om cloud computing: Udtalelse i forbindelse med anmeldelse af “Google Apps – online kontorpakke med kalender og dokumenthåndtering”. Dette har virkelig været ventet – både for at se, hvordan lovgivningen på området ville blive fortolket, men også for at få nogle rammer, andre offentlige kunder kan handle cloud computing indenfor. Satte Datatilsynets afgørelse så rammer op? Blev der skabt mere klarhed? Desværre nej.

Odense Kommune ville bruge Google Apps, herunder kalender og dokumenthåndtering, til at lave elevplaner til kommunens skoler.  Var det så det, Datatilsynet sagde ‘nej’ til? Nej, det var det ikke…

Begrundelsen for Datatilsynets afslag er sammenfattet i én sætning: “Datatilsynet lægger således til grund, at der indgår følsomme personoplysninger omfattet af persondatalovens §§ 7 og 8, at oplysningerne tilgås og behandles via internet, samt at der ikke anvendes digital signatur eller lignende.” Med andre ord: I logger ikke på via f.eks. digital signatur, så derfor må I ikke bruge Google Apps. Men hvis de nu gjorde, måtte de så?

Det er dér, afgørelsen for alvor bliver skuffende, for Datatilsynet stopper sin vurdering dér – lige før dørtærsklen… Efter eget udsagn: “Herudover rejser brugen af Google Apps en række yderligere spørgsmål. Da anmeldelsen imidlertid afvises allerede på grund af problemstillingen med digital signatur ved følsomme oplysninger, har tilsynet ikke fundet anledning til at komme ind på de øvrige problemstillinger, som opstår ved en dansk myndigheds eventuelle brug af Google Apps.”

Så: Danmarkshistoriens første afgørelse om cloud computing for offentlige institutioner handler ikke om cloud computing, men om indlogning. Noget, der ville være et problem uanset driftsformen (sharet services, outsourcet eller driftsfællesskaber).

Nå, men Google Apps kan godt håndtere digital signatur, så egentlig burde næste skridt være til at tage for Odense Kommune i dialogen med Datatilsynet, hvilket tilsynet da øjensynligt også efterspørger. Men det orker kommunen ikke, og det er rigtigt ærgerligt. Imens vi venter på næste modige offentlige institution, kan vi så more os med at læse debatten til indlægget i Version2 om Datatilsynets afgørelse; om ikke andet viser den, at der er mange tilgange til og nuancer i nye teknologier og forretningsmodeller.

Videnskabsministeriet vil gøre det lettere at udnytte fordelene ved IKT med cloud computing

Overskriften er et citat – endda fra ministeriet selv. Det er hentet fra Digitale veje til vækst – Videnskabsministeriets digitale arbejdsprogram, der udkom i dag. Programmet er ambitiøst på mange områder. Overordnet er programmet inddelt i tre: bredbånd, indholdet og den digitale økonomi, samt tilgængelighed og it-færdigheder. Under indhold og digital økonomi finder man disse indsatser:

  • De digitale kanaler skal være førstevalget
  • Cloud computing
  • Videomøder
  • Styrket IKT-forskning og anvendelse heraf i erhvervslivet
  • Nye forretningsmuligheder
  • Sikkerhed og gennemsigtighed
  • Universiteterne som digitale spydspidser

Cloud computing besynges ‘naturligvis’ som et gode, meget for det private erhvervsliv, men også for det offentlige. Men der er også øje for udfordringerne, som bl.a. handler om sikkerhed og håndtering af personfølsomme oplysninger. Se herom i øvrigt næste indlæg om Datatilsynets afgørelse om Google Apps.

Meget kort (og rapporten ER kortfattet) vil Videnskabsministeriet gøre følgende:

  • Udarbejde metoder til bedre sikkerhed og privacy samt publicere vejledninger og retningslinjer til myndigheder og private virksomheder
  • Fungere som testlaboratorium og formidle erfaringer herfra videre til den offentlige sektor. Der indledes bl.a. et samarbejde med universiteterne om udbredelse af anvendelsen af en fælles cloud på universitets- og forskningsområdet
  • Undersøge mulighederne for et fælles nordisk samarbejde om cloud computing for offentlige myndigheder

Alt sammen meget prisværdige initiativer. Men det er naturligvis ikke den udmærkede indsats, Videnskabsministeriet kan lægge for dagen, som dog vil være på det generelle og principielle plan først og fremmest, der bringer cloud computing op på niveauet for almen anvendelighed og selvfølgelighed. Det er derimod mængder af praktisk erfaring, ikke mindst fra leverandørerne, men naturligvis også fra store og små, private og offentlige kunder.

Odense Kommune har forsøgt. Måske ikke på den mest oplagte måde, men dem, der kaster sig længst frem, får enten den største opmærksomhed for deres successer, eller de største tæsk for at være for kreative. Og Odense Kommunes initiativ er meget prisværdigt. Det er Datatilsynets svar imidlertid ikke…

Cloud computing-sikkerhed i følge Cloud Slam 2010

De 17 indlysende eller overvejende sikkerhedsrelaterede indlæg (og et enkelt eller to med et bredere styringsperspektiv) fordelte sig på nedenstående bidragydere. De enkelte indlæg bliver uddybet hen ad vejen, efterhånden som jeg får set dem!

McAfee. Security From, In And For The Cloud. Hovedtruslerne defineres her som ‘kapring’ af serviceaccounts eller trafik i skyen, svagheder i forbindelse med ‘delt teknologi’, datatab eller datalækager, ondsindede interne medarbejdere hos leverandøren, ondsindet brug af services (spam, cyberangreb), ukendte risikoprofiler og usikre API’er. Løsningen er bl.a. McAfees Software (ups!) Security-as-a-Service management console (del af McAfee Total Protection Service), men samtidig siger de, at f.eks. årlige fornyelser af certifikater ikke er nok; der skal daglige tredjeparts sikkerhedsvalideringer til, sammen med opdaterede definitioner af de ‘nyeste’ sårbarheder, hurtig udbedring, automatiseret efterlevelse af krav og simpel implementering og vedligehold. Bemærk i øvrigt, at McAfee tager aktivt del i arbejdet i Cloud Security Alliance.

Ping Identity. Who’s in Your Cloud? Firmaet fokuserer på sikkerheden i forbindelse med internetidentitet. Her præsenteres en af hovedbekymringerne som en stigende kompleksitet sammenlignet med tidligere teknologier. Naturligvis er kompleksiteten størst, hvis vi taler software-as-a-service, og ikke bare sammenligner med at flytte infrastrukturen fra en driftsleverandør til skyen. Deres budskab er i øvrigt, at overholdelse af regulativer, retningslinjer og standarder bliver fremtidens ‘religion’, men at det for mange leverandører er noget ‘tilkøbt’, frem for noget, der opnås ved hårdt arbejde og omtanke (altså mere noget, man skal, end noget, man bare gør). Men frem for alt må risikoen, der følger af utallige passwords, elimineres… Enhver cloud applikation skal opfattes som en ‘black box’ og behandles som sådan sikkerhedsmæssigt, og sikkerhedslogs i cloud management værktøjerne bliver det nye hovedmålepunkt i konkurrencen. Og måske mest interessant hævder de, at sikkerhedsmodellen skal ændres fra pull til push, når det kommer til cloud applikationer – tænk lidt over den…

Læs mere »

Red Hat Summit og JBoss World 22.-25. juni 2010 handler også om cloud computing

Den 22. til 25. juni 2010 kan man få stillet sine lyster i Boston, hvis de går i retning af open source – i hvert fald på det professionelle plan. Da afvikler Red Hat sit årlige summit sammen med JBoss World. Et helt spor for sig er cloud computing, hvor både Red Hat- og JBoss-teknologier sættes i perspektiv i forhold til cloud computing, f.eks. under overskrifter som:

  • How to Build Your Own Cloud with Red Hat
  • Real World Cloud Infrastructure with Red Hat Enterprise Virtualization and Red Hat Network Satellite
  • The Cloud According to JBoss
  • Red Hat Enterprise Linux: The Cloud Operating System

Hvis du hellere vil høre Red Hat selv fortælle om arrangementet, kan du se dette ‘båndede’ webinar her. Spoler man godt fremad er der en særlig præsentation af cloud-temaet – den starter efter 39 minutter og 9 sekunder.

Det spændende bliver så, hvor mange af præsentationerne, der efterfølgende vil være tilgængelige off-line. Vi vender tilbage med mere information, når vi har det.

Cloud computing og open source

Ja OK, de fleste kan nok se for sig, at man kan leje en server hos f.eks. Amazon og så installere et eller andet open source operativsystem på den – f.eks. Fedora, Ubuntu eller Debian, der allerede findes i rigt mål som skabeloner. Eller man kan naturligvis – når man først har fået sin infrastruktur op at køre – installere og drive et hvilken somhelst open source-produkt, der også kan installeres internt. Men er der nogen særlig cloud-vinkel på noget af det her open source?

Grundlæggende er idéen som med al anden open source software, at vi i fællesskab kan få bedre produkter ud af det ved at lade koden være åben (det behøver ikke betyde, at produktet er gratis, men det ved I naturligvis godt). Tit opstår løsninger, der bærer en sådan idealisme med sig, i universitetsverdenen, og det er da også tilfældet med f.eks. Eucalyptus, som var blandt oplægsholderne på Cloud Slam 2010.

Læs mere »

Cloud Slam 2010 handlede mest om … sikkerhed – UPDATE: nej, den gjorde ej!

Som tidligere omtalt, fandt Cloud Slam 2010 sted i slutningen af marts måned i år. Blandt de 34 keynotes og 84 sessions handlede 1/3 om it-sikkerhed direkte – og resten har vel stort set alle berørt det undervejs under den ene eller anden form. Men også konkrete implementeringer og produkter, der kan øge sikkerheden/lette styringen/understøtte etableringen i clouden blev præsenteret.

Indlægsholderne talte kendte cloudleverandører som IBM (topscorer med 5 keynotes og 3 sessions), Oracle (med en enkelt session) og HP, mens Google, Amazon og Microsoft glimrede ved deres fravær. Andre kendte producenter af cloud-teknologier på konferencen var bl.a. BMC, CA, McAfee og Hitachi, mens måske lidt overraskende ‘notabiliteter’ var firmaer som RedHat, Intel og SAP.

Læs mere »

Cloud økosystemer – merværdi til din cloudservice?

Infrastructure-as-a-service og platform-as-a-service minder om traditionel hosting og software-as-a-service minder om ASP, application service providing, som vi har kendt det i snart 10 år. Hvor er det rigtigt nye i cloud computing? Hvor er den merværdi, clouden kan give kunderne? Måske findes den i cloud økosystemerne.

Omkring de store cloud-leverandører som Amazon og Google er der over det seneste års tid vokset en underskov af leverandører, der via cloud-leverandørernes platforme tilbyder ekstra services til kunderne. Idéen er beskrevet i en halvgammel artikel fra SearchCIO. Pointen her er, at når kunden anvender en serviceydelse fra en cloud-leverandør, kan der tilkøbes ydelser, der leveres af tredjepartsleverandører, som kan integreres med eller bruges sammen med de serviceydelser, der var det primære formål med at vælge cloud-leverandøren. Lad os se på nogle eksempler.

Læs mere »

It-chefens nye rolle … eller hvad?

It-chefens fornemmeste rolle fremover bliver at være kommunikator: kommunikere med og være synlig overfor forretningen, kommunikere med og styre leverandørporteføljen – og ikke mindst: kommunikere med og sætte retningen for it-afdelingens medarbejdere, som måske er på vej til at få nye typer opgaver. Nå ja, det er vel de færreste, der kan svinge sig op til at mene, at dette er noget radikalt nyt.

Det er da heller ikke det centrale budskab fra praktikerne på det MIT-symposium om cloud computing, der fandt sted midt i maj måned i år – snarere, at der bliver endnu større behov for de kommunikative egenskaber hos it-cheferne og de øvrige ledende medarbejdere på it-området, når organisationen skifter til mere cloud computing.

Læs mere »

Derfor vil Microsofts Azure-platform vokse langsommere end f.eks. Amazons AWS

Svaret er ligetil: Azure er en platform – ren og skær platform. Hvis man ikke regner de ’små’ cloud service-områder med som database-as-a-service og integration-as-a-service, som kan bruges hver for sig, er Azure en udviklings- og afviklingsplatform, der kræver, at der er nogen, der skriver noget kode.

Microsoft TechEd 2010 er naturligvis også tæt belagt med cloud – således f.eks. den indledende key note, som man kan se refereret her. Bob Muglia, chef for Server og Tools Business hos Microsoft opfordrer i flg. Computerworld til, at virksomhederne sætter gang i udviklingen til Azure, så der kan høstes erfaringer (underforstået naturligvis også hos Microsoft, så Azure-suiten kan blive forbedret og optimeret). Og det er ikke mindst i forhold til Microsofts cloud-platform den helt rigtige tilgang.

Som vi tidligere har skrevet om, er Azure både en tilpasset Windows-server, en tilpasset SQL-databaseserver og en tilpasset .NET-platform. Det betyder, at det ikke uden videre er muligt at portere eksisterende kode til Azure – ikke mindst på grund af kravene til sikkerhedsmodellen. Men som altid tager Microsoft den med ro – de skal nok opnå global dominans på dette område også… Eller skal de?

Læs mere »

Dansette