Com a cabeça nas nuvens…

Há alguns dias participei de mais um evento sobre Cloud Computing. Aliás, no decorrer dos últimos anos participei de incontáveis eventos e reuniões com clientes para debater este assunto. Participei também de vários projetos proof-of-concept. Vi e ouvi muita coisa nestas ocasiões e aproveitei uma caminhada em torno da lagoa Rodrigo de Freitas (moro no Rio) para filosofar um pouco sobre o assunto.

Na minha opinião cloud não é apenas um upgrade tecnológico para os data centers, mas uma mudança de paradigma em como provisionamos e usamos recursos computacionais nos data centers. Hoje provisionamos e utilizamos servidores. Em cloud, o servidor é o data center. Cloud computing implica uma mudança significativa na maneira como vendemos e consumimos produtos e serviços de tecnologia da informação e, apesar de muitos eventos e debates sobre o assunto, ainda paira uma certa descrença sobre seus impactos. Assim, creio que será interessante debater um pouco mais os desafios que as empresas, tanto fornecedoras como consumidoras de tecnologia, terão pela frente.

As decisões de quando adotar cloud (a pergunta “se”, já foi respondida…Cloud será adotado, mais cedo ou mais tarde) demandam uma análise dos benefícios versus os riscos e os efeitos da computação em nuvem na empresa. E a decisão tem relação direta com o grau de maturidade não apenas da tecnologia disponível no mercado, mas da organização e cultura da empresa.

Vamos olhar por exemplo as grandes corporações. Elas são inerentemente complexas e para cloud gerar um valor real deve abranger muito mais que ser uma plataforma para um ambiente isolado, como o de desenvolvimento e testes de aplicações. Este deve ser apenas o primeiro passo e deve estar inserido em uma estratégia maior. O cerne da questão: estratégia de cloud não deve ficar apenas nas mãos de TI, mas deve envolver a organização. Por outro lado start-ups não tem que lidar com sistemas legados e podem entrar direto no ambiente de cloud. Não tem sentido uma empresa começar a operar emulando o modelo atual de sistemas on-premise, instalando hardware e software dentro de casa.

Se olharmos cloud veremos que o atual modelo de entrega de recursos de TI se assemelha ao modo como era a energia elétrica no principio do século passado. As indústrias tinham que construir e manter suas fontes geradoras de energia, que não eram o seu negócio. Hoje a maioria das empresas constróem e mantém seus próprios data centers, mesmo que não sejam seu campo de expertise. O resultado? Muitos data centers são ineficientes. Recomendo a leitura de uma série de artigos publicados em 2008 (mas ainda bem atuais) pelo The Economist em http://www.economist.com/node/12411882. O modelo de computação em nuvem pode, potencialmente, mitigar esta ineficiência, permitindo que recursos como servidores e storage sejam entregues e usados como serviços, assim como energia elétrica. Ora, porque Cloud não pode ser visto como uma utility, como uma concessionária de energia elétrica?
Vamos analisar quais os pontos em comum entre um serviço de utility como energia, água e telefonia, e a computação em nuvem. Quais são as características básicas de um serviço de utilidades, como água, energia e telecomunicações?
Logo no início lembramos da alta dependência do serviço. Não podemos viver sem água ou energia. Basta ver os efeitos de um apagão elétrico na sociedade, os transtornos que causa.
Outra característica é a confiabilidade no serviço. Água, por exemplo; ao abrirmos a torneira nossa expectativa natural é que a água caia. Não se espera que o serviço não esteja disponível.
Usabilidade é outra característica. Uma torneira é muito fácil de usar. Uma tomada só necessita que se conecte o plug do aparelho elétrico. Um celular é algo que uma criança de dois anos sabe usar para fazer uma ligação.
E, outro aspecto relevante é a elasticidade. Pagamos estes serviços pelo que consumimos e sabemos que podemos consumir mais ou menos. Podemos consumir muita energia no verão carioca, com aparelhos de ar condicionado ligados 24 horas por dia, e deixar a casa às escuras quando saimos em férias.
Para o provedor existe uma outra característica relevante que é o nível de utilização. Ele precisa gerenciar os picos e vales pois as demandas dos usuários dos serviços de utility flutuam amplamente no tempo. Se ele mantiver uma infraestrutura configurada para a demanda de pico, vai arcar com um custo elevado. Por outro lado, se a infraestrutura for insuficiente, não irá atender à crescimentos rápidos da demanda.
E quanto aos modelos de negócios? Basicamente as utilities cobram pelo uso (pay-as-you-use), como água e energia, ou por assinatura, como provedores de banda larga, que ofertam serviços ilimitados mediante assinatura mensal.
Mas, como é a TI na maioria das empresas? Bem diferente deste modelo de utilities. Até a questão do pay-as-you-go vai demandar um maior amadurecimento dos processos e cultura. TI é visto muitas vezes como centro de custo e não como gerador de negócios. Não existe billing dos seus serviços entre os departamentos da empresa e muitas vezes nem mesmo existe rateio proporcional à suas demandas.

Cloud computing também afeta as relações entre a área de TI e seus usuários. Vamos recordar um pouco a história recente da computação. TI ganhou importância nas empresas porque a tecnologia demandava expertise para programar e controlar as aplicações. Na época do modelo centralizado, TI dominava 100% das atividades de computação nas empresas. Com a chegada dos PCs, os usuários passaram a ter condições de desenvolver eles mesmos muitas das suas aplicações e o controle abosluto de TI começou a ruir. Muitas aplicações não eram mais escritas pelos técnicos de TI, mas compradas prontas ou escritas pelos usuários em linguagens de alto nível, que abstraiam as tecnicidades. Com o PC, TI passou a ser o coordenador do acervo computacional, mantinha os sistemas corporativos e se responsabilizava pelos processos de segurança, backup etc. Mas não era mais o único desenvolvedor de aplicações.

Este processo está se acelerando com a chegada dos tablets, smartphones e a computação em nuvem. Os usuários podem agora substituir sistemas antes providos pela área de TI por aplicações disponíveis em nuvens publicas. É o processo de desintermediação. TI tem que assumir outro papel: o de coordenar e monitorar o uso de nuvens e até mesmo gerar processos de certificação de que serviços podem ser obtidos de quais provedores de nuvem. De qualquer maneira está claro que a influencia dos usuarios no uso e adoção de computação nas empresas é cada vez maior e TI será obrigado a mudar seu papel de provedor de recursos computacionais para certificador e consultor.

Vamos exemplificar o novo cenário? Hoje, um departamento usuário que demande uma nova aplicação vai requerer de TI a aquisição dos equipamentos, como servidores e banco de dados. O processo de compras e instalação pode levar alguns meses. Mas com cloud ele pode ir direto ao provedor e adquirir na nuvem servidores virtuais e aplicativos SaaS, pagando com seu próprio budget, sem passar pela área de TI. Desta forma ele bypassa os processos e procedimentos de segurança adotados por TI e pode gerar problemas futuros, mas consegue ter resultados de negócio em curtíssimo prazo, o que agrada aos acionistas!

O que TI deve fazer? Entender o cenário e não remar contra, mas assumir o quanto antes seu novo papel neste contexto. E tem muito trabalho pela frente: por exemplo, como agir diante de uma falha em uma nuvem pública? Os usuários não pensam neste assunto, mas estarão dependentes de suas aplicações em uma nuvem que pode sair do ar. O que fazer? Se uma empresa colocar todos seus sistemas em uma nuvem pública, perderá a expertise técnica que detém hoje em sua área de TI, e ficará nas mãos do provedor. Este provedor tem expertise suficiente para responder aos problemas que eventualmente surgirão? Esta é outra questão que TI tem que agir agora: selecionar e certificar provedores de nuvem.

A questão de custos tem que ser analisada com cuidado. De maneira geral olha-se os custos de uma nuvem publica observndo-se os custos de hora de servidor. Mas, os custos de trasmissão de dados? Além disso, à medida que os modelos de serviços de cloud evoluem, novas modalidades de pagamento surgem e o planejamento de capacidade ajuda a identificar qual seria a melhor opção. Não é dificil imaginar no futuro vermos o mercado de provedores de clouds públicas ofertando recursos com preços diferenciados, de acordo com o período do dia ou do mês. Aliás, já vemos alguns primeiros exemplos desta prática, como o modelo spot pricing da Amazon. Neste modelo você faz um leilão para usar recursos ociosos da nuvem da Amazon. Imagine que você queira pagar até 1 dólar por hora de servidor. A Amazon flutua o preço hora de servidor de acordo com a demanda. Vamos supor que o preço de hora de servidor esteja, em determinado momento a 75 centavos de dólar. Neste momento, a Amazon verifica quais usuários querem participar do leilão e quais deles oferecem preços de 75 centavos ou acima. Como voce definiu que pagaria até um dólar, você é um candidato a participar do leilão e eventualmente sua máquina virtual é selecionada e alocada. Ela fica operando até que o preço hora do servidor suba (pelo aumento da demanda) e seu preço de até um dólar fica abaixo do valor. Neste momento o seu servidor virtual é colocado em stand by. Claro que nem todas aplicações podem usufruir desta funcionalidade. Temos, portanto, mais uma atividade que necessita de expertise técnica que a empresa não pode desprezar.

Outros temas que precisam ser bem avaliados quando decidindo adoção da computação em nuvem são as questões que envolvem a segurança, privacidade e aspectos legais. Métodos e processos de segurança mudam a cada vez que o modelo computacional muda. Foi assim quando surgiu o cliente-servidor e muitos dos métodos adotados para ambientes centralizados tornaram-se inúteis. Foi assim quando a Internet passou ser parte integrante dos processos de negócio e os métodos adotados para segurança internos mostraram-se insuficientes e tiveram que ser modificados. Com adoção de cloud computing a história está se repetindo. Temos que repensar muitos dos processos de segurança atualmente adotados.

Um provedor de nuvem publica pode ser alvo de ataques como denial of service (DoS) e este ataque pode ser direcionado a alguns (ou algum) alvos especificos. Ou seja, o ataque não é dirigido ao provedor mas a um dos clientes dentro do provedor. Neste caso, qual é velocidade de reação do provedor diante desta situação?Tem um case conhecido, antigo, de 2009, mas que serve de orientação para casos similares. Vejam em http://blog.bitbucket.org/2009/10/04/on-our-extended-downtime-amazon-and-whats-coming/ . Para questões de segurança em cloud recomendo acessar a Cloud Security Alliance, em https://cloudsecurityalliance.org/ . Recomendo também acessar o site da ENISA (European Network and Information Security Agency) para um relatório muito abrangente sobre segurança em cloud computing, em http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment . Como TI pode se envolver nas questões de segurança em cloud? Por exemplo, analisando os provedores e avaliando se suas práticas de segurança se adequam as políticas de compliance da empresa.

Como vemos, tem muito espaço para TI atuar no mundo da computação em nuvem. Portanto, ao invés de receios, TI deve ver na computação em nuvem grandes oportunidades, deixando de lado atividades que não agregam valor (instalar hardware e sistema operacional) e considerado como centro de custos, para ser visto como facilitador de novas receitas e novos negócios.

Cloud como estratégia de negócios

A adoção de cloud computing começa a se acelerar no mundo inteiro. Mas as primeiras experiências já apontam que uma substituição completa do modelo tradicional pela computação em nuvem não acontecerá no curto prazo. Por outro lado as razões iniciais que incentivam a adoção de cloud, como redução de custos, começa a ser substituída pela agilidade com que o negócio passa a dispor quando usando este modelo para criar novos e inovadores processos e aplicações.

O modelo de computação em nuvem está apenas começando a impactar as empresas e a própria indústria de TI. Mas ainda desperta desconfiança e muitas empresas aguardam cautelosamente que os “early adopters” mostrem o caminho. É normal este cenário. Afinal, muita coisa se disse sobre o modelo distribuído, que usamos atualmente, e nem tudo prometido aconteceu realmente. Aliás, fazer previsões é sempre arriscado. Tem uma frase emblemática do prêmio Nobel de Física, Niels Bohr que disse “Prediction is difficult, especially about the future”. E volta e meia nos deparamos com previsões furadas, como “Quando a exposição de Paris se encerrar, ninguém mais ouvirá falar em luz elétrica.” (Erasmus Wilson, Universidade de Oxford, 1879) e “A televisão não dará certo. As pessoas terão de ficar olhando sua tela, e a família americana média não tem tempo para isso.” (The New York Times, 18 de abril de 1939, na apresentação do protótipo de um aparelho de TV).

Por que estas coisas são ditas? São pessoas ignorantes? Não, são cientistas e profissionais bem preparados. A questão é que partem de pressupostos errados. Lembro aqui uma histórinha interessante. Em 1886, Gottlieb Daimler tinha acabado de desatrelar os cavalos de uma carruagem e instalar um motor atrás dela. Criou o primeiro automóvel (ou carruagem sem cavalos). A empresa dele se juntou à de Karl Benz e no começo da década de 1900, tentaram prever o tamanho do mercado mundial para estes então fumacentos e barulhentos veículos. Depois de uma análise cuidadosa previram que no próximo século haveria em torno de um milhão de carros em uso no mundo inteiro. Mas, esta previsão, audaciosa para a época, se mostrou totalmente equivocada. Em 2000 haviam mais de 600 milhões de carros no mundo! Era uma previsão de longo prazo, sujeito a intempéries, mas mesmo assim erraram por um fator de mil. Por que? A suposição que usaram estava errada. Eles previram que em cem anos a população mundial de motoristas profissionais seria de cerca de um milhão e esta seria a limitação ao crescimento no uso das carruagens sem cavalo. O pressuposto era que todo carro precisava de um motorista profissional, como na época. Não foi o que aconteceu. Qualquer um pode dirigir um carro.

O mesmo acontece quando olhamos cloud computing pela ótica do modelo atual de TI e nos prendemos a visualizar este modelo como uma simples modernização do outsourcing. Mas, a possibilidade de uma empresa criar novos processos e mesmo negócios sem esperar pelo ciclo tradicional de TI, e mesmo sem maiores investimentos em capital, mas apenas em custos operacionais (opex) abre novos e inovadores espaços a serem explorados. Cloud pode ajudar a transformar o próprio negócio. Portanto, o modelo de computação em nuvem não deve ser visto únicamente pela ótica da tecnologia, mas como um meio estratégico de alavancar novos negócios.

Entretanto, a mudança não ocorrerá por um “big bang”, mas de forma gradual. Existem ainda barreiras no caminho e aspectos legais e de compliance ainda criam riscos para o negócio. Muitos dos provedores não tem soluções completas e as experiências práticas bem sucedidas ainda são cases de mídia. Por outro lado, ficar sentado e esperar as coisas acontecerem pode deixar passar ao largo boas oportunidades de vantagens competitivas. Além disso, falando francamente, os data centers de alguns provedores globais de cloud são muito mais avançados e seguros que a maioria dos data centers das empresas. Então, o que fazer?

Na minha opinião as empresas devem olhar cloud pela ótica da estratégia do negócio e começar a experimentar este modelo. Se a organização já tem familiaridade com outsourcing, cloud passa a ser uma extensão natural de sua TI. O modelo híbrido, onde aplicações on-premise convivem com nuvens privadas e nuvens públicas será o caminho natural para muitas empresas. Expandindo os sistemas atuais para operar em nuvem, mantendo ainda os dados mais sensíveis dentro de casa é um bom caminho. Desta maneira ganha-se experiência e aos poucos descola-se do modelo tradicional e cloud passará a fazer parte do DNA de TI da empresa.

A velocidade de adoção da computação em nuvem vai depender da cultura e do setor de indústria de cada companhia. Existem setores mais regulados e empresas mais agressivas em adotar inovações. Não existe uma receita única e pronta que se adapte todas as organizações. Por exemplo, uma empresa pode começar por colocar a maioria dos sistemas não-ERP em nuvem e com isso, ao mesmo tempo que reduz seu custo operacional, pode conseguir de imediato uma maior agilidade para novas demandas de TI por parte dos usuários. Mas, os resultados não virão apenas com adoção tática de cloud. É fruto de uma combinação da reorganização de TI, de pensar de forma mais ágil (agile development) e não se ater a atividades operacionais básicas, padronizando e automatizando seu ambiente operacional (cloud computing).

Bem, algumas sugestões:

a) Entenda a natureza do modelo de computação em nuvem e como explorar este novo modelo com novas aplicações. Não pensar em usar as nuvens apenas para fazer a mesma coisa que se faz hoje.
b) Pense nuvem arquitetônicamente ou seja, não pense em peças tecnológicas isoladas, mas visualize seu futuro ambiente em nuvem, analisando aspectos de segurança, interoperabilidade e agilidade nos processos de TI.
c) Adote cloud computing como seu modelo de design de aplicações para novos e inovadores sistemas. Mas conserve os dados mission-critical dentro de casa, pelo menos por enquanto.
d) Crie um modelo de governança de TI (politicas, procedimentos e padrões) que englobe cloud e não esqueça de colocar análises de risco nas decisões de usar cloud para as aplicações que requerem certificações como SAS70, HIPAA, etc, e niveis de serviço extremamente rígidos.
e) Não espere que o modelo amadureça. Comece a experimentar em workloads especificos e menos críticos. Embora cloud ainda seja imaturo e primitivo comparado com daqui a cinco ou dez anos, já permite fazermos muitas coisas interessantes. Um exemplo? Que tal BI em cloud? É perfeitamente prossivel construir uma plataforma em cloud pública para demandas de business analytics, provavelmente a uma fração do que custaria construir o ambiente dentro de casa.
f) E finalmente, tenha uma atitude “open-minded” em relação a cloud computing.

Criando nuvens públicas: o que é necessário?

Recentemente estive participando do evento Cloud Computing & Security, debatendo o panorama atual e futuro da adoção de Cloud. Após a palestra, gravei entrevista que está disponivel no YouTube (http://www.youtube.com/watch?v=1LJXtakcMR4&feature=youtu.be ) onde em cerca de 10 minutos debati algumas questões como os desafios para o Brasil se tornar um pólo atrativo para data centers de cloud, bem como algumas questões ligadas a soberania de dados. Se tiverem tempo, os convido a assistirem ao video.

Cloud Computing tem o potencial de transformar toda a indústria de TI, tanto do lado dos provedores de serviços e produtos, em como dos usuários destes produtos e serviços. Muda de forma significativa a maneira como vendemos e consumimos TI.

A criação de data centers para oferta de serviços em cloud, para o mercado em geral, chamado de public cloud, tem como característica essencial a escala do empreendimento. Para oferecer recursos computacionais a custo baixo, estes data centers tem que dispor de escala adequada para que processos atutomatizados façam diferença em relação aos modelos atuais de provisionamento e alocação de recursos, semi-automatizados. Outras variáveis impactantes são os custos de energia, capacidade de rede (pela concentração de acessos ao data center por milhares de clientes) e tecnologia que automatize ao máximo a sua operação. Quando falamos em escala adequada estamos falando em dezenas ou mesmo centenas de milhares de servidores.

Um tópico importante é a capacidade da rede para/de acesso ao cloud data center. Este pode ser um gargalo, pois ainda no Brasil cerca de 70% da banda larga é de menos de 1 Mbit por segundo. Além disso, a escassez de oferta diminui a possibilidade de oferecer redundância de redes, altamente necessária para garantir uma alta disponibilidade para os usuáios de uma nuvem pública.

O que isto significa? Que criar um data center para oferecer public cloud não é um negócio para qualquer um. Tem que haver um grande investimento inicial em máquinas e facilities e o retorno não aparece no curto prazo. Como a receita vem de serviços por demanda (pay-as-you-go), a empresa tem que ter fôlego suficiente para sustentar os altos investimentos durante algum tempo, até que o break-even seja alcançado.

Outra questão debatida na entrevista foi a soberania de dados, que, inclusive foi tema de um post anterior aqui no blog: (https://computingonclouds.wordpress.com/2011/07/19/soberania-de-dados-em-cloud-computing/) .

Enfim, o assunto ainda gera muito debate, mas é inevitável que é um caminho sem volta. Entender as possibilidades e as restrições do atual ambiente de cloud computing no Brasil é fundamental para que as empresas, sejam elas usuárias ou provedoras de serviços, definam suas estratégias para os próximos anos.

Cloud Computing e a “TI Invisível”

Um fenômeno muito interessante que ocorre em muitas das médias e grandes empresas é a chamada “IT invisível”, que são as tecnologias e serviços adquiridos pelos usuários das áreas de negócio, com seus próprios budgets, à sombra de TI. Este fenômeno surgiu com o advento do modelo client-server, que permitiu que áreas usuárias comprassem pequenos servidores e aplicativos departamentais, sem que TI soubesse, se acelerou com o advento da Internet e agora vemos potencializado pela computação em nuvem.

Vamos imaginar um cenário hipotético. Um executivo da linha de negócios precisa de um sistema de gestão de frotas. A resposta que ele ouve do CIO provavelmente será: “Não tenho budget para desenvolver este sistema internamente, mas vá ao mercado e selecione um aplicativo que seja adequado e depois volte aqui”. Ele assim o faz. Pesquisa o mercado e seleciona um dentre vários aplicativos. Volta ao CIO, mostra o aplicativo e ouve: “Muito bem, mas o aplicativo roda em Windows e meu ambiente é Linux. Terei que adquirir um servidor, banco de dados e outros softwares que serão necessários para operar o sistema. Além disso, terei que contratar um administrador para este novo ambiente. Tudo isso vai demorar uns 3 meses”. Resultado: ele vai gastar o dobro do planejado e terá que esperar muito tempo, após aportar seu budget para usufruir da funcionalidade oferecida pelo aplicativo na sua empresa.

Outra coisa que ele poderá fazer: buscar aplicativos oferecidos na modalidade SaaS e adquirir um diretamente, bypassando por completo TI. Caso a empresa tenha o CRM da Salesforce ele poderá ir ao AppExchange (http://appexchange.salesforce.com/home) e selecionar um dentre vários aplicativos. Hoje o AppExchange funciona para apenas aplicativos que rodem na nuvem do salesforce, mas nada impede o surgimento de outros mercados, como vemos no setor de aplicativos móveis com Android market, Appstore, etc.

O que o CIO deverá fazer? Lutar contra? Será quase impossível ganhar a guerra, pois o apelo econômico do modelo de computação é extremamente atrativo para ser ignorado e com mais e mais disponibilidade de ofertas em nuvem, os usuários buscarão atender suas próprias demandas passando por cima das barreiras impostas por TI.

A área de TI deve compreender que ela e os usuários tem prioridades diferentes quando adquirindo serviços e produtos de tecnologia. TI se preocupa primeiramente com questões de segurança e compatibilidade do novo aplicativo com o ambiente operacional. Os usuários priorizam a funcionalidade do aplicativo e deixam em segundo plano estas questões “técnico-mundanas”. O atual modelo on-premise cria algumas barreiras, pois mesmo que o usuário adquira um aplicativo de forma independente, muitas vezes TI tem que entrar no circuito para instalar o servidor e seu ambiente operacional. Em nuvem, TI não é necessária. O usuário interage diretamente com o provedor da nuvem e adquire o serviço com cartão de crédito. O acesso a vastos e baratos recursos computacionais como servidores virtuais em nuvens IaaS ou aplicativos SaaS, usando-se um simples cartão de crédito tornam as coisas mais fáceis para o usuário bypassar TI.

À medida que este hábito se espalhar pela organização, teremos uma bomba relógio. Provavelmente muitos destes aplicativos deverão interoperar com outros que estejam em outras nuvens ou mesmo on-premise em servidores gerenciados por TI. Como fazer esta interoperabilidade acontecer? Além disso, até que ponto os usuários se preocuparam com questões como backup ou aspectos legais quanto a privacidade e soberania dos dados?

Portanto, TI não pode e nem deve abdicar da responsabilidade de manter as tecnologias operando de forma segura e sempre disponivel. Mas, na minha opinião o atual modelo de controle de TI, extremamente restritiva, baseado no modelo de aplicativos e recursos computacionais on-premise, terá que ser flexibilizado. Em tempos de midias sociais, smartphones e tablets não dá para esperarmos muitos meses por um aplicativo. A velocidade do negócio exige que TI responda cada vez mais rapido e assim ao invés de lutar contra, TI deverá se colocar como facilitador do processo de adoção da “TI invisível”. Esta já está acontecendo mesmo…

A área de TI deverá liderar o processo de adoção de cloud pelos usuários, propondo critérios e modelos de aquisição de recursos em nuvem, de modo a mitigar riscos para o negócio, aumentar economias de escala e garantir a integração e aderência à regras e legislações do setor. TI deve, na verdade, “legalizar” a “TI invisível” e portanto deverá atuar de forma cada vez mais integrada e aderente às demandas do negócio. Suas prioridades deverão ser as mesmas do negócio.