Dat stelt de Burton Group in een kritisch rapport over cloud-pionier Amazon. Het gaat om de Elastic Compute Cloud (EC2), een service waarmee het toegang verschaft tot virtuele servercapaciteit en EC2, en aanverwante platforms als Amazons Simple Storage Services (S3). Deze diensten hebben veel voordelen, maar er blijven ook veel vragen onbeantwoord rond de infrastructuur van de Amazon cloud, aldus de Burton Group.

Amazon lijkt het goed te doen met de beveiliging, zowel fysiek als op het netwerk zelf. Desondanks geeft de Burton Group het bedrijf een slechte beoordeling op het gebied van beveiliging en beschikbaarheid vanwege een gebrek aan transparantie.

Geen externe audit

“Amazon hanteert een strikt beleid waarbij men weigert te spreken over specifieke details rond hun datacentra. Naar de mening van de Burton Group is die positie onacceptabel omdat het organisaties geen gelegenheid geeft zelf de risico’s in te schatten van applicaties die ze in EC2 willen onderbrengen,” aldus het rapport Amazon EC2: Is it ready for the enterprise? van de hand van analist Drue Reeves.

Volgens Amazon voldoen hun datacentra aan de Tier 4 specificaties (pdf) op het gebied van de stroomvoorziening, de netwerkvoorzieningen en de koeling.

“Maar geen enkel bedrijf buiten Amazon zelf heeft Amazons datacenters mogen inspecteren of auditten om die claim te verifiëren,” schrijft Reeves. “Wegens gebrek aan beschikbare informatie en gecontroleerde inspecties van Amazons datacentra kan de Burton Group de claims van Amazon niet onderschrijven.”

Volgens de Burton Group hebben klanten bij Amazon geen enkele manier om na te gaan of “het fysieke redundantie-niveau en de databeveiliging” wel op peil zijn bij fysieke componenten zoals servers, opslagapparatuur en de netwerk- en energie-infrastructuur. De Burton Group maakt Amazon ook verwijten over de mate van replicatie in hun Simple Storage Service en de constatering dat de verschillende datacenter regio’s niet in staat zouden zijn in noodgevallen direct voor elkaar in te vallen (fail-over).

Misvattingen

Woordvoerder Kay Kinton van Amazon reageert op het rapport van de Burton Group door te wijzen op ‘een aantal misvattingen’. Zo staat bijvoorbeeld in het rapport dat Amazon niet beschikt over SAS 70 beveiligingscertificaten, terwijl Amazon die volgens Kinton wel degelijk heeft.

“Wat betrouwbaarheid betreft: we horen vaak van onze klanten dat Amazon Web Services (AWS) betere prestaties levert dan wat ze zelf hebben weten te bereiken,” voegt ze toe. “Bovendien geeft AWS gebruikers veel controle over en inzicht in de gebruiksomgeving. Gebruikers kunnen zelf kiezen waar ze hun data plaatsen, ze kunnen hun toepassingen en backups in verschillende zones draaien, en mocht een van de services onderbroken worden, dan hebben ze toegang tot een ‘service gezondheidsdashboard’ waar ze regelmatige updates aantreffen over de status van hun services. We hebben ook functies voor monitoring, Auto Scaling en Elastic Load Balancing voor een nog groter herstellend vermogen bij het bouwen van applicaties. Een van de belangrijkste redenen waarom klanten onze services gebruiken is de betrouwbaarheid die we ze kunnen leveren.”

Cloud via VPN

Kinton merkt ook op dat Amazon onlangs nog de Amazon Virtual Private Cloud (VPC) heeft gelanceerd, waarin de bestaande infrastructuur van een gebruiker wordt aangesloten op een geïsoleerde cloud via een VPN verbinding. “Amazon VPC stelt ondernemingen in staat hun bestaande management mogelijkheden, zoals beveiligingsservices, firewalls en inbraakdetectiesystemen, uit te breiden naar hun Amazon Web Services.”

Amazon scoort bij de Burton Group wel hoog op schaalbaarheid, terwijl de prestaties acceptabel worden genoemd. Het sterke punt van EC2 is de mogelijkheid om eenvoudig virtuele machines in te zetten, bijvoorbeeld voor load-balancing. Toepassingen die veel rekenkracht vragen maar met kleine datasets werken, en die gebouwd zijn voor simultane berekeningen, doen het goed via deze service, stellen de analisten.

Vendor lock-in

Daar staat tegenover dat de management tools van Amazon volgens de Burton Group niet goed integreren met de management tools die ondernemingen vandaag de dag gebruiken. EC2 is vaak een goede oplossing als organisaties grote uitgaven voor zich uit willen schuiven, maar de Burton Group zegt dat de service vooralsnog niet geschikt is voor applicaties waarin gevoelige informatie is opgenomen, waarin identiteitsmanagement een rol speelt, waar een hoge mate van beschikbaarheid vereist is of waarin veel I/O transacties plaatsvinden.

Naar de mening van de Burton Group is EC2 op dit moment “heel geschikt voor statusloze, parallelle, kortstondige, opgeschaalde applicaties. Maar blinde vlekken in de beveiliging en de beschikbaarheid van EC2, slechte integratie met management tools op enterprise niveau, de dreiging van vendor lock-in en de belasting van input/output (I/O) maken EC2 minder geschikt voor applicaties waarin grote aantallen transacties worden verwerkt en waarin zeer gevoelige gegevens zijn opgeslagen, toepassingen met een lage RPO (Recovery Point Objective; de acceptabele mate van dataverlies), en toepassingen die system fail-over vereisen om de applicatiestatus te bewaren.”

Bron: Computerworld.nl