De SLA met je cloud provider

Mocht je ooit een beroep willen gaan doen op de garanties uit het Service Level Agreement (SLA) met je huidige of nieuwe cloud provider, bijvoorbeeld omdat de prestaties toch wat tegenvallen of er veel downtime is op ongewenste momenten, dan doe je er goed aan om ook even de kleine lettertjes te lezen. De beloofde garanties zouden wel eens wat tegen kunnen vallen.

Dit blijkt uit recent en onafhankelijk onderzoek in opdracht van de Stichting Cloud Architect Alliance, het kennisforum voor cloud architecten. Bij dit onderzoek zijn de Service Level Agreements van de twaalf in Nederland veel gebruikte internationale en nationale Cloud Service Providers (CSP) gemeten op grond van 70 objectieve meetpunten, samengesteld door zowel cloud technische-, strategische als juridische experts.

Het onderzoek is uitgevoerd door het in cloud computing, en cloud SLA’s gespecialiseerde advocatenkantoor Arthur’s Legal in Amsterdam, samen met Bart Veldhuis, cloud expert bij Weolcan. De gebruikte meetpunten zijn tot stand gekomen met de input van de SLA standaardisatiewerkgroep van de Europese Commissie om tot een zo objectief mogelijke en actuele meetmethode te komen. Er is onder andere gekeken naar de uptime garantie, back-up, performance en de exit-procedure, maar ook naar andere relevante cloud onderwerpen zoals cybersecurity, data management, en (persoonlijke) gegevensbescherming. Stuk voor stuk thema's die niet van ondergeschikt belang zijn wanneer het op cloud services aankomt.

Bezorgde cloud architecten

Diverse cloud architecten hebben hun zorgen geuit: ze zijn en-masse organisaties aan het cloudificeren en stuiten daarbij op het gebrek aan transparantie vanuit de CSP’s over hun dienstverlening. Organisaties kiezen ervoor om steeds belangrijkere delen van hun applicatielandschap naar de cloud te brengen, maar zijn onzeker over de door de CSP afgegeven garanties. De SLA’s zouden hierin duidelijkheid moeten verschaffen, maar hier blijkt dat de markt nog zeer vloeibaar is en weinig transparant. De architecten stuiten op dermate veel uitsluitingen in het SLA (vaak in de kleine lettertjes) dat de juridische houdbaarheid van de verstrekte garanties in twijfel worden getrokken.

Europese Commissie: een fast track richting ISO

Ook de Europese Commissie (EC), de Amerikaanse en Aziatische overheid is dit opgevallen. Ze maken het dan ook hun top prioriteit en proberen de markt te vormen met standaarden, certificeringen en ISO normen.

‘We need a global common understanding’ aldus Eurocommissaris Oettinger (opvolger Neelie Kroes)

Je zou het niet wellicht niet verwachten, maar de Europese Unie en de Europese Commissie hebben ook wereldwijd veel inbreng en invloed op de wereldwijde digitale agenda. Dat komt niet alleen doordat de EU opgeteld de grootste economie ter wereld is, of omdat er meer dan 20 miljoen bedrijven en 520 miljoen inwoners actief zijn. Eurocommissaris Neelie Kroes en haar opvolger Oettinger hebben hierbij belangrijk werk verzet. Zo is de EC zeer actief bij ISO, en heeft zij mogelijkheden om voorstellen via een fast track binnen enkelen maanden voor te leggen.

Zo'n fast track is onder andere gebruikt voor de nieuwe ISO/IEC 19086-1 over cloud computing en vormt de basis voor de komende normering over service levels. Hierbij is gebruik gemaakt van de genoemde EC Cloud SLA Standardisation Guidelines. Deze bevat vier hoofdcategorieën met bijbehorende Service Level Objectives (SLO's) of onderwerpen, te weten:

1. Performance, zoals beschikbaarheid, response tijden, capaciteit, support en beëindiging protocollen;
2. Beveiliging, zoals cryptografie, redundantie, betrouwbaarheid, authenticatie en autorisatie, monitoring, verificatie, audits, incident management, rapportage en kwetsbaarheidsmanagement en governance;
3. Data Management, zoals dataclassificatie, data life cycle, backups, herstel en portabiliteit, en;
4. Personal Data Protection, zoals code of conduct, data locatie, gebruik, minimalisatie, doelbeschrijving, dataretentie als ook transparantie, accountability, rapportage, en natuurlijk de mate van data controle door het persoon zelf.

SLA Taxonomie

Zo valt direct op dat in het rapport de top vijf gedomineerd wordt door vier Nederlandse providers. Verder valt op dat de verschillen tussen de getoetste providers enorm zijn. Zo scoort alleen de top 4 aanbieders meer dan de helft van het totaal te behalen aantal punten en scoren de nummers 11 en 12 net een derde van het totaal.

It's all about the 99,95% right?

Tijdens het onderzoek is er bewust verder gekeken naar andere meetpunten dan alleen maar de uptime. Bijvoorbeeld de response garanties, de capacity indicatoren, de bestendigheid tegen aanvallen op het crypto mechanisme van de provider, de backup & restores, disaster recovery en misschien wel als allerbelangrijkste: de exit procedure. Desalniettemin stond ‘Het getal’ in de meeste SLA’s centraal. Because it's all about the 99,95%, right?

Garantie tot aan de deur

Wat betekent ‘het getal’ nu eigenlijk? De geadverteerde beschikbaarheid van 99,95% lijkt hoog, want dit resulteert slechts in een kleine 22 minuten per maand onbeschikbaar.

Maar als men de kleine lettertjes leest, (de sectie ‘carve outs’) dan wordt er dermate veel uitgesloten dat van enige garantie per saldo geen sprake is. De uitsluitingen strekken zelfs zover dat de klant zelf verregaande maatregelen moet nemen om deze beschikbaarheid daadwerkelijk te realiseren.

Neem bijvoorbeeld de grote (hyperscale) providers Amazon Web Services, Microsoft Azure en Google Compute. Zij werken allemaal met zogenaamde ‘availability zones’, oftewel een afgeschermd gebied (soms binnen één datacenter) waarbinnen de beschikbaarheid aangeboden wordt. De gegarandeerde uptime beperkt zich tot deze beschikbaarheidszones op zo’n manier dat er alleen sprake is van ‘onbeschikbaarheid’ als alle virtuele machines (‘instances’) van de klant in dezelfde zone onbeschikbaar zijn én deze ook niet opnieuw via de API opgestart kunnen worden. Hierom zal bij het ontwerp van de cloud omgeving ervoor gekozen moeten worden om virtuele machines te clusteren over minimaal twee beschikbaarheidszones (binnen dezelfde regio). Een provider als Azure heeft dit ook expliciet gemaakt in het SLA: zonder clustering geen garantie.

Opmerkelijk is dat de grote internationale providers zich hiermee direct onderscheiden van de getoetste Nederlandse aanbieders. Alle getoetste Nederlandse providers, behalve KPN, werken op basis van individuele VM's en niet met availability zones. Ze hebben hun infrastructuur ingericht om een hele hoge beschikbaarheid per individuele VM te leveren. Bij de hyperscale providers komt beschikbaarheid uit de enorme omvang van hun infrastructuur en dien je hier in je cloud architectuur dus rekening mee te houden. Een 1-op-1 vergelijking maken van een NL provider en een hyperscale provider is hiermee dus niet mogelijk; een virtuele machine bij een provider die de beschikbaarheid per individuele virtuele machine garandeert kost meer dan een virtuele machine waarbij de provider uitsluitend de beschikbaarheid van de zone garandeert.

“It’s all about the availability zone versus individual VM!”

Voor de meeste grote CSP’s geldt dat ondanks het volledig uitsluiten van beschikbaarheidsgaranties dit niet betekent dat de CSP’s de beschikbaarheid uiteindelijk wel degelijk bieden. We weten immers allen uit ervaring dat de grote CSP’s uitmuntende resultaten laten zien als we naar de geschiedenis kijken van de uptime. Het wordt tijd dat CSP’s dat hogere prestatieniveau ook durven te gaan vastleggen in hun SLA (zonder onnodige of onredelijke carve-outs), èn dat de cloudklant daarnaar gaat vragen. Dat komt de kwaliteit van de clouddiensten en de klantentevredenheid over cloud alleen maar ten goede.

Over het onderzoek

Stichting Cloud Architect Alliance is een leading forum voor ervaren cloud architecten bedoeld voor kennisdeling. Ervaringen worden uitgewisseld tijdens de exclusieve evenementen waarbij de deelname alleen mogelijk is na persoonlijke uitnodiging. Inmiddels worden de events bijgewoond door meer dan 80 experts. Daarmee is de CAA uniek: er is geen ander platform in Nederland waar zoveel expert rond het thema cloud architectuur bijeenkomen. Binnenkort verschijnt een free management summary van het complete rapport via www.cloudarchitectalliance.com.

Auteurs: Bart Veldhuis, Andrea van Sleen en Arthur van der Wees