Một người quản lí phần mềm viết thư cho tôi: “Thầy chủ trương công nghệ mới có tên là “Tính toán mây” để giảm chi phí bằng việc đi thuê thay cho việc mua sao? Chúng tôi có nên dùng “tính toán mây” không? Xin thầy lời khuyên.”

Trả lời: “Dường như là mọi người đều nói về “Tính toán mây” như nó là điều mới mẻ. Thực ra nó là cái tên mới cho “Phần mềm như dịch vụ” (SaaS) khi bạn chạy phần mềm qua internet và truy nhập nó qua trình duyệt web. Không có gì mới về điều này nhưng thực ra nó là “dùng lại” mô hình “phân thời” trong những năm 60 và đầu những năm 70. Vào thời đó, máy tính cá nhân, nền di động chưa tồn tại, các công ti lớn vận hành trên các máy tính lớn đắt tiền mà các công ti nhỏ không thể đảm đương được cho nên họ phải “thuê thời gian” và trả tiền về việc sử dụng trên máy tính lớn này.

Ngày nay các máy tính đều rẻ hơn, mọi người đều có thể mua chúng nhưng lưu giữ dữ liệu, duy trì máy phục vụ và mạng với cập nhật và bảo trì phần mềm vẫn còn phức tạp và tốn kém cho nên có nhu cầu về ai đó duy trì chúng. Đó là lí do tại sao “Phần mềm như dịch vụ” hay “Tính toán mây” tới và có nhiều nhà cung cấp có thể cung cấp dịch vụ này với chi phí thấp hơn là bản thân bạn mua và quản lí hệ thống CNTT. Tuy nhiên, trước khi xô vào ‘tính toán mây”, bạn cần hỏi: Dịch vụ này an ninh thế nào? Chẳng phải là nguy hiểm mà để email của bạn trên máy phục vụ của Hotmail, thông tin tài chính của bạn ở trên máy phục vụ của Google, đối thoại cá nhân của bạn trên Facebook đó sao? Đấy là những chuyện cá nhân của bạn cho nên bạn bị rủi ro riêng của mình nhưng về các thông tin nhạy cảm khác của công ti bạn hay doanh nghiệp của bạn thì sao?

An ninh CNTT là về tin cậy. Bạn phải tin cậy phần cứng của mình, phần mềm của mình, và nhà cung cấp dịch vụ internet của mình. Họ có thể phá hoại ngầm an ninh của bạn bằng việc làm sập hệ thống của bạn, làm hỏng dữ liệu của bạn, cho phép hacker truy nhập vào hệ thống của bạn. Bạn biết về sâu và vi rút nhắm vào tính mong manh phần mềm nếu bạn không chú ý tới PC của mình. Tuy nhiên, với “tính toán mây ” nó nâng an ninh và tin cậy lên mức độ khác. Câu hỏi của tôi là bạn có tin vào nhà cung cấp dịch vụ “tính toán mây” không?

Với máy tính cá nhân, bạn có thể bảo vệ nó bằng hệ thống an ninh như tường lửa nhưng bạn không thể bảo vệ bằng “tính toán mây” được. Bạn phải dựa trên duy nhất “nhà cung cấp dịch vụ tính toán mây”. Bạn không chỉ phải tin cậy vào an ninh của họ, mà còn cả tính tin cậy của họ, tính sẵn có của họ, và tính liên tục doanh nghiệp của họ. Bạn không muốn dữ liệu mấu chốt của bạn ở trên “mây” tan biến đi (mọi mây đều như vậy) bởi vì nhà cung cấp của bạn hết kinh doanh. Bạn không muốn nhà cung cấp của bạn bị “công ti không biết” khác mua lấy rồi thì dữ liệu của bạn sẽ được đặt ở đâu đó mà bạn không biết (bạn không biết mây đi đâu). Bạn không muốn nhà cung cấp của bạn nâng giá hàng năm và từ chối để bạn lấy dữ liệu của mình nếu bạn không muốn trả phí cho họ. (Điều đó xảy ra nhiều trong thị trường gần đây). Tất cả những điều này có thể xảy ra và tạo ra rủi ro lớn cho người dùng như bạn.

Phải cẩn thận với người bạn tin cậy, phải cẩn thận với điều bạn tin cậy ở họ, và cẩn thận bạn tin cậy bao nhiêu vào họ. Phát triển phần mềm là một điều, dịch vụ tính toán mây là điều khác.

—-English version—-

Cloud computing

A software manager wrote to me: “Are you advocating the new technology called “Cloud Computing” to reduce cost by renting instead of buying? Should we use “Cloud Computing? Please advise.”

Answer: “It seems that everybody is talking about “Cloud Computing” like it is a new thing. Actually it is a new name for “Software as a Service” (SaaS) when you run software over the internet and access it via web browser. There is nothing new about this but actually it is  “Reuse” of the old “Timesharing” model in the 60s and early 70s. At that time, personal computer, mobile platform did not exist, large companies operated expensive mainframe computers that small companies could not afford so they have to “rented time” and pay for usage on these large computers.

Today computers are cheaper, everyone can buy them but the storage of data, maintain servers and networks with software updates and maintenance are still complex and expensive so there is a need for someone to maintain them. That is why the “Software as a Service” or “Cloud Computing” come in and there are many suppliers who can provide this services at lower costs than buying and managing an IT system yourself. However, before rushing into “Cloud Computing”, you need to ask: How secure is this services? Isn’t it dangerous already to have your emails on Hotmail’s servers, your financial information on Google’s, your personal conversations on Facebook? Those are your personal things so you are at your own risk but what’s about other sensitive information of your company or your business?

IT security is about trust. You have to trust your hardware, your software, and your internet service providers. They can undermine your security by crashing your systems, corrupt your data, allow hackers to access your systems. You know about worms and viruses that target software vulnerabilities if you do not pay attention with your PC. However, with “Cloud Computing” it raises security and trust into another level. My question is do you trust a “Cloud computing” service suppliers?

With personal computer, you can protect it with security systems such as firewalls but you cannot with “cloud computing”. You have to rely on your “Cloud Computing services supplier” solely. You not only have to trust their security, but also their reliability, their availability, and their business continuity. You don’t want your critical data to be on “a cloud” that vanishes (As most cloud do) because your supplier goes out of business. You don’t want your supplier be acquired by another “unknown company” from an “unknown country” then your data will be located somewhere that you do not know (You do not know where the cloud goes). You don’t want your supplier to raise prices every year and refuse to let you get your data back if you do not want to pay their fees. (It happens a lot in the market recently). All of these things can happen and create significant risks to user like you.

Be careful who you trust, be careful what you trust them with, and be careful how much you trust them. Software development is one thing, Cloud Computing service is another thing.