Artikel top billede

(Foto: Computerworld)

Denne leverandørs cloud-regler bør du læse grundigt

Kunder af en af de store leverandørers cloud-tjenester bør være ekstra opmærksomme på det med småt i kontrakten.

Læs også:

Cloud-gennemgang: Her er de bedste løsninger

Computerworld News Service: Et officielt dokument med regler og forpligtelser i forhold til kunder af Oracles cloud-tjenester afslører ifølge analytikere, at mange aspekter falder inden for branchestandarderne, mens andre muligvis bør være grund til bekymring hos kunderne.

Det pågældende dokument blev sidst opdateret 1. december og er markeret 'fortroligt' på trods af, at det i hvert fald indtil i fredags var frit tilgængeligt på Oracles website.

I dokumentet fremlægges alle de regler, som Oracle og leverandørens cloud-kunder er underlagt på nær eventuelle særlige vilkår i individuelle kontrakter.

Oracle lancerede i år en bred vifte af cloud-tjenester, heriblandt Fusion Applications og en PaaS (platform as a service), en IaaS (infrastructure as a service) og et socialt netværk.

Derfor skal du passe på

Analytiker Ray Wang, der er direktør for Constellation Research, giver sin vurdering efter at have læst dokumentet.

Wang har for nyligt offentliggjort en rapport, hvori han beskriver en række rettigheder, som han mener, cloud-kunder principielt bør have. På mange måder stemmer Oracles regler overens med disse principper, påpeger han.

Men som potentiel cloud-kunde hos Oracle bør man være særlig opmærksom på visse af reglerne, heriblandt en, der tillader Oracle at lukke for adgangen til konti i tilfælde af uenighed eller krænkelse af aftalevilkår.

"Som kunde bør man søge at få klarhed om, hvilke former for hændelser der kan resultere i midlertidig suspendering af tjenester," fremhæver Wang.

"Til forskel fra lokalt installeret software er dette en potentiel bekymring ved cloud, så processen og udløsende faktorer bør være tydeligt beskrevet."

En anden analytiker forholder sig dog mere kritisk til Oracles cloud-regler.

Mystiske formuleringer

Oracles tilsagn om en tilgængelighed på 99,5 procent "lyder rimelig godt, indtil det går op for en, at det kun er målt i forhold til planlagt oppetid," siger analytiker Frank Scavo, der er direktør for it-konsulentfirmaet Strativa.

Oracle giver sig selv en række undtagelser med hensyn til "ikke-planlagt nedetid," hvoraf nogle ifølge Scavo virker alt for generøse.

En af disse undtagelser er det tilfælde, at "ledelsesmæssige, hjælpe- eller administrative tjenester heriblandt administrationsværktøjer, rapporteringstjenester, hjælpeprogrammer eller andre tjenester, der understøtter behandlingen af kernetransaktioner, ikke er tilgængelige," bemærker Scavo.

"Når nu tilgængeligheden af systemkomponenter er under Oracles kontrol, hvorfor fraskriver Oracle sig så ansvaret for deres tilgængelighed?"

Hvad med sikkerheden?

En anden påfaldende undtagelse handler om sikkerhed. Oracle hævder, at selskabet tager ansvar for cloud-sikkerheden herunder systemhærdning, fremhæver Scavo.

"Men alligevel giver selskabet sig selv en undtagelse fra sin serviceaftale i tilfælde af 'et hacker- eller virusangreb'."

Oracle er fuldt ud i stand til at modstå denial of service-angreb, så derfor burde sådanne angreb ikke være grund til, at Oracle fritages fra at imødekomme sin forpligtelse om tilgængelighed, understreger Scavo.

Scavo kritiserer også Oracles tilsyneladende modvilje til at lade kunder foretage uafhængig overvågning af leverandørens cloud-tjenester.

"De eneste undtagelser er af Oracle Database Cloud Service og Oracle Java Cloud Service eller hvis det udtrykkeligt tillades i ordredokumentet," står der i Oracles fortrolige dokument, der beskriver reglerne.

"Den grund, Oracle giver her, er at sikre, at sådanne overvågningsværktøjer ikke påvirker cloud-tjenesterne negativt," forklarer Scavo.

"Men tilsyneladende udelukkes endda brugen af et automatiseret script med lav påvirkning af systemet, der kører i kundens eget datacenter, og som blot pinger cloud-systemet måske en gang i minuttet for at sikre, at systemet er tilgængeligt, og for at gøre kunden opmærksom på det, hvis det er nede. Denne regel synes for mig at overskride, hvad der er nødvendigt."

Som kunde bør man under kontraktforhandlingen insistere på retten til selv at foretage overvågning af systemet, tilføjer Scavo.

Få dine rettigheder på skrift

Herudover kritiserer Scavo, at Oracle forbeholder sig retten til at foretage "større ændringer" af sin cloud-infrastruktur op til to gange årligt. 

"Hver sådan ændringshændelse anses for at være planlagt vedligeholdelse og kan forårsage, at cloud-tjenesterne er utilgængelige i op til 24 timer," står der i det fortrolige dokument. 

Især dette vilkår er noget kunder med høje krav om tilgængelighed bør være særlig opmærksom på, påpeger Scavo.

Det er ifølge Scavo en god idé, hvis man som kunde får det på skrift, at Oracle skal betale en aftalt bod for ikke at imødekomme sin forpligtelse om tilgængelighed.

Mange af de første brugere af Oracles Fusion Applications har valgt cloud-implementeringen, i det mindste delvist på grund af hvor komplekst, det er at installere løsningen lokalt.

Oracle går forsigtigt frem med hensyn til at sælge Fusion og fortæller de kunder, der allerede kører E-Business Suite, JD Edwards og PeopleSoft, at de kan begynde at bruge den nye software i deres eget tempo.

Men i lyset af det enorme arbejde Oracle har lagt i udviklingen af Fusion Applications, må man antage, at leverandøren håber med tiden at få flyttet størstedelen af kunderne over på den nye software.

Derfor er det også rimeligt at antage, at Oracles cloud-regler vil få endnu større opmærksomhed fremover.

En talskvinde fra Oracle har afvist at kommentere.

Oversat af Thomas Bøndergaard

Læs også:

Cloud-gennemgang: Her er de bedste løsninger




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere