Neutralitatea internetului

Publicat pe de

Am fost ieri la o întâlnire a Internet Society România pe tema ”ce fel de internet ne dorim?”. Foarte interesant. De obicei, în astfel de discuții despre neutralitatea internetului, e vorba dacă să se permită sau nu furnizorilor de (acces la) internet să diferențieze diferitele tipuri de trafic transmis prin rețelele lor. Sunt două tabere în astfel de discuții. Prima care dorește reguli non-discriminatorii, adică să interzică furnizorilor de internet să aibe înțelegeri cu furnizorii de conținut/aplicații/servicii pentru a oferi acces avansat sau prioritizat pentru clienții lor. A doua este tabăra care susține că eventuale reguli stricte non-discriminatorii vor dăuna consumatorilor fiindcă vor descuraja furnizorii de servicii să dezvolte aplicații inovative, mari consumatoare de bandă, care necesită conexiuni fiabile, imposibil de garantat fără servicii de livrare prioritizată.

Bineînțeles, există și o a treia cale, de mijloc, în care credem și noi la Microsoft, și anume cea în care armonizăm interesele tuturor: ale consumatorilor, ale furnizorilor de servicii și ale furnizorilor de internet. Sunt trei componente la baza acestei idei:

  1. Adoptarea unor principii de bază în internet:
    • dreptul de acces la conținut/aplicații/servicii legale la alegerea consumatorului,
    • dreptul de a atașa/conecta dispozitive legale în rețea și
    • dreptul de a primi informații rezonabile despre practicile furnizorilor.
  2. Adoptarea unor standarde în rândul furnizorilor de internet pentru a interzice diferențierea anticompetitivă sau care dăunează consumatorilor și pentru a opri orice conduită care violează principiile de bază de la primul punct.
  3. Implementarea unui mecanism eficient pentru identificarea și oprirea oricărei diferențieri ilegale.

Revenind la întâlnirea de ieri, au fost câteva intervenții notabile pe care aș vrea să le comentez.

Domnul Gheorghe Șerban de la ANISP a amintit câteva proiecte de legi, care nu sunt foarte inspirate, ca să mă exprim politicos. Mda, unul din ele este cel al pornografiei, dar asta mai puțin contează, important este că aceste proiecte de legi vor să reglementeze niște nișe, încercând să monetizeze pe de o parte și să pedepsească pe cealaltă parte, dar folosindu-se de furnizorii de internet pe post de unelte. Sunt de acord cu domnul Șerban, nu este treaba furnizorilor de internet să facă asta. Monetizarea, din punctul de vedere al statului, se face prin taxe și impozite, pedepsirea contravenienților se face prin justiție, iar sesizările se fac la poliție. Nu are nici un rost să impunem responsabilități inutile în cârca furnizorilor de internet. Putem, cel mult, să le cerem să colaboreze cu autoritățile (garda financiară, justiție, poliție) când acestea dau de cineva care nu se conformează legilor, în vederea identificării lor. Ei da, autoritățile ar face bine să învețe să opereze cu firme care fac business pe internet, indiferent că e vorba de business-uri respectabile sau nu (vezi porn, pariuri etc).

Eduard Tric de la Internet Society România a aruncat la un moment dat un buzdugan legat de autorii care, în contextul internetului, trebuie să se gândească serios la echilibrul dintre bani și faimă. Altfel spus, cât din opera lor să fie dat pe bani și cât să fie gratis, la liber. Buzduganul a fost aruncat către parlamentarul european Amelia Andersdotter, reprezentanta Partidului Piraților. Am tresărit un pic. Ce treabă are legiuitorul cu modul în care aleg autorii să facă business? Din fericire, Amelia a răspuns politic, fără să ridice buzduganul. Da, este important ca autorii să învețe să se folosească de internet, dar decizia de a da ceva pe bani și a da altceva la liber este exclusiv a autorilor. Consumatorii pot cel mult să aleagă să plătească un anumit conținut pe bani sau să consume alt conținut liber, dar nu ei decid dacă un conținut este liber sau nu. Autorii sunt singurii care pot decide asta.

Mulțumesc Elena Zvarici pentru invitație și vă doresc succes maxim. Este nevoie de astfel de discuții în România.

Încrederea în cloud

Publicat pe de

increderea in cloudAm contribuit și eu la suplimentul de cloud publicat de MarketWatch. Cu Windows Azure, bineînțeles, și încrederea în cloud, evident. Partea de încredere vine la fix, sincron cu câteva anunțuri de conformitate legate de Office 365 și cu lansarea unui site dedicat http://trust.office365.com.

Anunțurile de conformitate sunt la pagina Office 365 Becomes First and Only Major Cloud Productivity Service to Comply With Leading EU and U.S. Standards for Data Protection and Security. Am lăsat titlul original pentru cei care nu vor să citească detaliile.

Iată și textul meu din suplimentul MarketWatch:

Încrederea în cloud

De-a lungul istoriei, se cunosc nenumărate tehnologii disruptive, care au suferit ani buni de reticență din partea potențialilor utilizatori. Sistemul planetar al lui Kopernikus a avut nevoie de sute de ani până la adoptarea de către scepticii heliocentrismului. Deținătorii primelor aparate foto au avut mari probleme cu persoanele care credeau că li se va afecta sufletul prin expunerea la fotografiere. Iar dilemele din perioada apariției telefoanelor includeau chiar temerea de infecție prin convorbire la distanță. Oarecum similar, cloud computing-ul are și el dilemele sale din partea potențialilor utilizatori, iar acestea sunt legate de trei concepte: securitatea, confidențialitatea datelor și fiabilitatea serviciilor.

Utilizarea cloud computing este o transformare inevitabilă, dată în principal de flexibilitatea crescută, de ușurința administrării și scăderea costului operării sistemelor IT (tehnologia informației). Eficiența economică este atât de mare încât această transformare este, cum spuneam, inevitabilă. Boom-ul cloud-ului din ultimii ani și ritmul intrinsec mult mai rapid de evoluție al IT-ului, întăresc sondajele și predicțiile analiștilor, care estimează accelerarea adopției în următorii ani. Conform IT Governance Institute (http://www.itgi.org/), 3 din 5 departamente IT din firme medii și mari implementează deja proiecte de cloud și al 4-lea are deja în plan.

Însă cloud-ul impune tratarea amenințărilor și a riscurilor într-un mod diferit. Până acum organizațiile aveau control complet asupra datelor fiindcă acestea erau administrate în ograda lor. Acum, în lumea cloud-ului, organizațiile sunt parte dintr-un sistem de parteneriate cu furnizorii de servicii în cloud, iar acest lucru necesită un limbaj comun în ceea ce privește încrederea și capabilitățile de securitate. Microsoft are două abordări pentru a demonstra capabilitățile sale de securitate în cloud.

Prima este conformitatea sistemului nostru de management al securității informației cu standardul ISO/IEC 27001:2005 pentru operarea zi de zi a centrelor de date și o colecție de alte standarde specifice diverselor industrii și regiuni: SAS 70 Type I and II, Sarbanes-Oxley, Payment Card Industry Data Security Standard, Federal Information Security Management Act etc.

A doua abordare privește transparența totală. Ne supunem regulat auditărilor independente, împărtășim rezultatele acestor evaluări cu clienții noștri dar și cu restul industriei, pentru a ridica nivelul discuțiilor pe tema securității în cloud. Clienții noștri sunt bineveniți și ei în centrele noastre de date, iar până atunci le recomandăm să studieze documentele publicate pe siteul http://www.globalfoundationservices.com/ și să nu ezite să ne contacteze pentru întrebări.

Un alt aspect este subliniat în ultimul nostru Security Intelligence Report (http://www.microsoft.com/security/sir/) și anume că peste 99% din atacurile curente din internet se bazează pe vulnerabilități cunoscute. Acest lucru arată importanța actualizării software-urilor de pe orice calculator, dispozitiv sau server. Nu trebuie uitat că în IT de obicei sunt aplicații cu două capete: un capăt la utilizator și un alt capăt pe serverele organizației sau în cloud. Dualitatea asta ne arată că nivelul de securitate al unui sistem IT este dat de capătul cel mai puțin sigur. Așa că actualizarea sistemelor utilizatorilor este la fel de importantă. Dar să revenim la cloud.

Datele

Din punct de vedere practic, orice organizație care dorește să utilizeze cloud-ul, trebuie să vadă întâi dacă datele pe care le pune în cloud sunt senzitive sau nu. Dacă sunt date publice, nu e nici o problemă, însă dacă datele sunt senzitive, atunci va trebui să le securizeze conform cu nivelul de senzitivitate. Fiecare va trebui să decidă pentru sine, care este acest nivel. De exemplu, platforma de cloud Windows Azure expune facilitățile de criptare cu care dezvoltatorii sunt deja obișnuiți în .NET. Nu uitați, controlul datelor este la client. Furnizorul de cloud are doar grijă să nu piardă aceste date, să ofere izolarea lor și implicit să nu autorizeze accesul la ele decât așa cum decide clientul.

Accesul la date

Un al doilea aspect este cum se dă acces la date. Din nou, dacă datele sunt publice, se poate da acces pentru oricine, dar dacă datele sunt senzitive, vom avea nevoie de un sistem de a identifica utilizatorii. Crearea de sisteme de autentificare independente pentru fiecare aplicație poate duce la haos sau la necesitatea de a investi în sisteme complexe de management al identităților. Recomandarea în cloud este să se folosească identitățile existente deja, de exemplu cele din Active Directory pentru aplicații interne sau Live ID, Facebook ID etc pentru aplicații publice. Office 365 și Windows Azure sunt capabile să accepte astfel de identități existente. Odată rezolvată problema identității utilizatorilor, se poate trece la autorizarea lor pe date.

Dezvoltarea de software

Pentru unii clienți, cloud-ul înseamnă să dezvolte o aplicație în cloud sau să contracteze dezvoltarea unei astfel de aplicații. Se impune respectarea unui proces de dezvoltare care să includă aspecte de securitate și de confidențialitate din faza de proiectare până după instalare, adică în perioada de utilizare. Microsoft a publicat documentația proceselor sale interne de dezvoltare și uneltele de testare, rafinate pe parcursul a 8 ani de experiență (de la lansarea inițiativei Trustworthy Computing în 2002) sub numele de Security Development Lifecycle: http://www.microsoft.com/security/sdl/. Încurajăm orice dezvoltator să studieze și să folosească astfel de practici.

Aspecte operaționale

Pe lângă conformitatea cu standardele de mai sus, Microsoft impune restricții operaționale care privesc multiple niveluri de securitate fizică și electronică, politici transparente de retenție a datelor, procese de distrugere a discurilor defecte pentru a evita recuperarea frauduloasă a datelor, planuri de continuitate a business-ului inclusiv răspuns la dezastre, dar și managementul riscurilor pentru situații ne
prevăzute.

Răspuns la incidente

Clienții noștri se așteaptă ca serviciile noastre din cloud să fie fiabile. Au business-ul lor, și bineînțeles clienții lor, a căror nevoi trebuie să le satisfacă. Și totuși, se pot întâmpla incidente, de la defecțiuni hardware până la dezastre naturale care paralizează o națiune. E bine să înțelegem că astfel de incidente pot apărea. Chiar și așa, este normal ca un furnizor de cloud să aibă resursele globale și cunoștințele să ia măsuri pentru a minimiza impactul incidentului asupra serviciului pe care îl furnizează. Aceasta e rațiunea pentru care Microsoft oferă găzduire de date redundantă geografic pentru aplicațiile critice. Mai mult, în cazul oricărui incident, clienții noștri pot apela la suport oficial implementat în 4 centre operaționale cu funcționare non-stop. Aceste centre implică, dacă este nevoie, echipe specializate ca Microsoft Security Response Center pentru a investiga și a rezolva incidente de securitate.

Concluzie

Suntem conștienți că succesul nostru ca furnizori de cloud va fi dat, în mare măsură, de capacitatea de a ne proteja clienții. Cu timpul, odată ce clienții care adoptă timpuriu vor fi satisfăcuți, problema încrederii va dispărea și veți privi furnizorii de cloud ca orice alt furnizor de electricitate, gaz, apă sau telefonie. Până la urmă, dvs decideți ce responsabilități de securitate vreți să administrați singuri și ce lăsați pe seama furnizorului de cloud. Pentru a lua această decizie, puteți pune câteva întrebări furnizorilor de cloud cu care doriți să colaborați și veți vedea că problema încrederii se va cristaliza pe măsură ce veți primi răspunsurile:

– Ce investiții faceți în tehnologie și procese în domeniul securității, confidențialității și fiabilității?
– Cum vă asigurați că aplicațiile și datele mele sunt protejate de vulnerabilități?
– Conform căror certificări și standarde operați serviciile din cloud?
– Ce planuri de continuitate a businessului aveți și cum le testați?
– Cum monitorizați calitatea serviciilor din cloud și ce faceți în situații neprevăzute?

Conducere defensivă și sportivă cu Norin Păușan și Titi Aur

Publicat pe de

Văzând la Răzvan pe blog, am cumpărat și eu cartea Autocontrol. Am sărit imediat să o citesc dar m-am oprit dezamăgit fiindcă cele 15 pagini de introducere sunt cel puțin anoste. Deși cuprinsul promitea, am lăsat-o deoparte. Până acum câteva săptămâni, când m-am hotărât să o iau în mașină și să o citesc direct de la capitolul 1. Da, se poate citi în trafic în București, mai ales dacă pleci odată cu părinții care își duc odraslele la școală între 07:30 și 08:00, iar apoi pleacă cu toții la muncă. Mi-a luat vreo trei săptămâni.

Revenind la carte, o recomand tuturor. Serios. La început sunt noțiuni simple despre cum să stai în scaun și cum să ții mâna pe volan, dar apoi se intră puternic în aderență și viraje, unde lucrurile devin mai complicate. La un moment dat, autorii aruncă un capitol de conducere la limită, unde îți dai seama cât de puțin știi să conduci și cât de puține se pot face cu o mașină de serie. E bine să citești o astfel de carte ca să te aducă un pic cu picoarele pe pământ.

Se poate comanda de pe http://controlauto.ro/.

Am retras microsoft.com/romania/windowsazure

Publicat pe de

Conținutul era foarte vechi pe paginile în română de la http://www.microsoft.com/romania/windowsazure/. Sper să nu plângă prea multă lume după ele. Am redirectat totul către windowsazure.com. Actualizarea din weekendul trecut de pe azure.com windowsazure.com ne permite să facem traducerea direct acolo, adică să punem ”română (România)” în lista aia de jos din footer:

windowsazure.com languages

Personal nu sunt convins că merită… Totuși am întrebat aici dacă vreți să traducem windowsazure.com, iar rezultatele până acum sunt 49-7 în favoarea celor care nu vor. Ceea ce înseamnă că sunt totuși cca 10% pentru care trebuie să traducem. Vom organiza și un focus group pentru asta, poate totuși obțin rezultatul pe care îl doresc 🙂

Timișoreni, nu uitați de cursul de Windows Azure

Publicat pe de

Vă reamintesc că în 19-20 decembrie vom organiza un curs hands-on de dezvoltare pe Windows Azure. La Cluj și București am avut câte 35 de participanți și o grămadă de doritori care au rămas pe dinafară. Știu că deja vă ascuțiți canturile, dar profitați de ocazia asta de a-l avea pe Mihai Tătăran ca trainer. Sunt puțini în România care se pot lăuda cu atâtea proiecte pe Windows Azure ca el. By the way, Assetwatch de la http://www.windowsazure.com/en-us/home/case-studies/ este unul din ele.

Înscrieri aici.

Față de Cluj și București, timișorenii au noroc cu două chestii:

– beneficiază de un training kit proaspăt: http://www.microsoft.com/download/en/details.aspx?;displaylang=en&id=8396 și
– își pot crea mult mai simplu un cont de trial, folosind validarea prin SMS.

Ce e nou în Windows Azure, deseară, live la learnwindowsazureevent.com

Publicat pe de

Puteți vedea noutățile pe blogul Windows Azure, sau, dacă nu aveți ce face în seara asta, să urmăriți live pe net evenimentul Learn Windows Azure de la ora 19:00. Mai jos este un sumar al noutăților și comentariile mele:

  • Billing mai bun și Spending Limit: Ura! Avem Spending Limit pentru Free Trial și pentru MSDN. Am scris deja despre asta aici. Administrare mai bună a subscripțiilor și vizibilitate în timp real asupra consumului. Alerte pentru abonații MSDN care nu știu încă de gratuitățile pe care le primesc în Windows Azure.
  • Portal îmbunătățit: Imi place că totul este integrat în portalul de marketing azure.com, care la rândul lui arată mult mai aerisit și mai logic. Portalul de management pentru Windows Azure a rămas același, dar s-a schimbat portalul de managemnt pentru SQL Azure. Util, mai ales pentru cei care preferă să nu folosească SQL Server Management Studio.
  • SQL Azure Federation: Ei da, ce ziceți de baze de date care scalează la fel de simplu și elastic ca un Web Role sau Worker Role? Asta promite SQL Azure Federation, care este o implementare a patternului de sharding în SQL Azure. Pe lângă asta, un efect colateral binevenit este simplificarea designului pentru aplicații multitenant. Detalii aici.
  • Windows Azure SDK for Node.js: Node.js este un framework de JavaScript, dar server side. Bun venit pe Windows Azure! SDK publicat pe GitHub.
  • O primă versiune a Hadoop pentru Windows Azure: Pentru scenarii de tip Big Data, am promis la SQLPASS că vom contribui la Apache Hadoop și vom avea o distribuție proprie. Asta e prima versiune. Între timp am renunțat la a mai dezvolta LINQ to HPC (fost Dryad) și vom merge full speed cu Hadoop. Se deschid câteva scenarii interesante ca joburi MapReduce pentru programatorii de JavaScript, sau analiză de date folosind Excel sau PowerPivot.
  • Unelte noi pentru tehnologii OSS: Eclipse și Java primesc o actualizare majoră în SDK-ul pentru Java. De acum suportăm MongoDB, Solr/Lucene și Memcached.
  • Reduceri de prețuri: Banda se ieftinește de la 15 cenți la 12 cenți per GB. Am schimbat modul de billing pentru Service Bus de pe număr de conexiuni pe număr de mesaje. Schimbarea va fi operațională de la 1 aprilie. Până atunci va fi gratis. Am introdus un sistem de discount pentru stocare peste 1TB. Limita de 50GB pe bază de date SQL Azure se ridică la 150GB fără costuri suplimentare.

Update: înregistrările de la Learn Windows Azure vor fi publicate la http://channel9.msdn.com/events/windowsazure/learn. Tot acolo, puteți găsi și câteva interviuri faine, de exemplu cel cu Cihan despre SQL Azure Federation: