Artikel top billede

(Foto: Dan Jensen) (Foto: Dan Jensen)

Den svære kunst at forhandle en hybrid cloud-SLA på plads

ComputerViews: Hvordan gør man lige det, når der ikke findes nogen standard-SLA og (næsten) alt skal forhandles på plads? Få nogle fif med på vejen her.

ComputerViews: Alle CIO'er ved, at det er umuligt at komme uden om cloud og om at tage aktivt stilling til de funktioner, der skal fjernes fra egen server og lægges ud i cloud'en.

Som vi ved, er CIO'ens rolle meget hastigt ved at forandre sig fra at være fokuseret på drift og varetagelse af it-funktioner til at være en slags it-broker, der løbende indkøber, designer og sammensætter det til enhver tid mest optimale (ofte cloud-baserede) it-setup for forretningen, som kan gøre forretningen mest konkurrencedygtig i forhold til konkurrenterne, som jo skal have nogle tæsk.

Derfor skal CIO'en vænne sig til et stående krav om, at han har totalt styr på indkøb af cloud-løsninger.

Alle cloud-leverandørerne har standard-SLA'er - service level agreements - liggende for de fulde cloud-løsninger.

De dækker typisk ting som tilgængelighed, performance, sikkerhed, disaster recovery, svar-tider, compliance og lignende ting.

Service level agreement-aftalerne definerer kontrakternes indhold i praksis, og det er derfor her, at parterne bliver enige om, hvordan kontrakternes mere overordnede formuleringer skal udmøntes i praksis.

Flere af standard-SLA'erne har tidligere fået ret massiv kritik for at være proppet med tomme ord og formulerings-salat, hvilket du kan læse mere om her:  Kritik: Så dårlige er store it-leverandørers cloud-SLA'er.

Ikke særligt anvendelige

De er imidlertid slet ikke særligt anvendelige, når det gælder hybrid-løsninger, som mange CIO'er kigger i retning af.

I hybride cloud-aftaler ligger virksomhedens kritiske applikationer og kritiske data i eget hus i en private cloud-løsning, mens de mindre kritiske data typisk ligger ude hos cloud-leverandøren i en prisbillig - mere også mere ustyret og åben - public cloud-løsning.

Kombinationen giver både høj sikkerhed og mulighed for at skalere meget hurtigt.

Bagsiden er, at en hybrid cloud-løsning netop ikke er en standard-løsning, selv om den trækker på cloud-universets løsninger: De er alle forskellige og specielt tilpasset den enkelte organisations behov og brug.

Det kræver, at CIO'en er i stand til at forhandle en dækkende og klar service level agreement på plads med den enkelte cloud-leverandør.

Lad os tage et kig på de tre hovedområder, skal CIO'en bør bide sig fast i i de SLA'er, der skal dække hybride cloud-løsninger.

Hvem har ansvaret for data?

I hybrid-løsningen ligger data både hos virksomheden og hos cloud-leverandøren, og den udveklses løbende.

Hvem har ansvaret for at sikre forbindelsen, når data forlader den private del af aftalen, så fremmede øjne ikke kan kigge med?

Privacy-sikringen i de forskellige public cloud-løsninger er i udgangspunktet meget ringere end i private cloud-løsningerne. Det betyder, at virksomheden risikerer at miste kontrol over data, når de flyttes over til public cloud-løsningen, hvor leverandøren pludselig overtager ansvaret.

Dette bør adresseres i en SLA, hvor der blandt andet bør formuleres punkter om kontrol-mekanismer, data-opbevaring, ejerskabs-regler samt såkaldt 'right of return' - altså hvornår, hvor hurtigt og under hvilke omstændigheder data skal returneres og fjernes.

Compliance

Virksomheden skal følge de gældende governance-regler uanset om data ligger i en private cloud-løsning eller i en public cloud-løsning.

SLA'en bør definere service-providerens forpligtelser i forhold til de forskellige compliance-regler.

Det gælder ikke mindst det nye datasikkerheds-direktiv, som EU for tiden arbejder på og som du kan læse mere om her:

Audit

Virksomheden bør sikre sig, at SLA'en formulerer regler og betingelser for at få adgang til al nødvendig dokumentation, som virksomheden har brug for at bevise, at den lever op til alle regler og aftaler.

Det bør også fremgå af SLA'en, hvem der betaler for service providerens omkostninger i forbindelse med audits af virksomhedens cloud-aktiver.

Hvor befinder data sig?

Det er overvejende sandsynligt, at virksomhedens data spredes ud over en række datacentre og servere, når den flyttes fra private cloud-løsningen til public cloud-løsningen, da public cloud-løsninger netop kan gøres prisbillige, fordi service provideren kan putte data ind, hvor der nu bedst er plads.

For en lang række især personfølsomme data gælder det, at de skal holdes inden for EU's grænse, hvilket SLA'en klart bør definere.

Ligeledes bør det klart fremgå, at virksomheden skal kunne genskabe og have udleveret alle sine data, når den ønsker det.

I det hele taget bør disaster recovery fylde en del i SLA'en - altså de nøjagtige aftaler for, hvad der skal ske, hvis alt eller en del af den samlede cloud-løsning går ned, så man ikke kan få fat i data?

Som for eksempel:

- Hvor nøjagtigt er data lagret?

- Hvem har adgang til data?

- Hvordan er data sikret? Er den krypteret?

- Hvor langt tid skal der gå fra opdagelsen af en fejl eller nedbrud, til du orienteres?

- Hvor tit bliver der taget backup? Og hvor lang tid skal det tage at genskabe data?

Du kan læse mere om, hvordan man får skrevet sikkerheden ind i sine SLA'er i denne klumme, som sikkerheds-eksperten Shehzad Ahmad fra DK-Cert skrev til Computerworld for et par måneder siden: Sådan får du sikkerheden skrevet ind i kontrakten.

Læs også:

Multisourcingens forbandelse: Her går det galt

Frustration blandt it-chefer: Vi kan ikke gennemskue kontrakten

Disse nye opgaver havner på dit bord med cloud

Kritik: Så dårlige er store it-leverandørers cloud-SLA'er.

Disse fire roller skal den moderne it-chef mestre




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere