Artikel top billede

(Foto: Dan Jensen) (Foto: Dan Jensen)

Den svære kunst at forhandle en hybrid cloud-SLA på plads

ComputerViews: Hvordan gør man lige det, når der ikke findes nogen standard-SLA og (næsten) alt skal forhandles på plads? Få nogle fif med på vejen her.

ComputerViews: Alle CIO'er ved, at det er umuligt at komme uden om cloud og om at tage aktivt stilling til de funktioner, der skal fjernes fra egen server og lægges ud i cloud'en.

Som vi ved, er CIO'ens rolle meget hastigt ved at forandre sig fra at være fokuseret på drift og varetagelse af it-funktioner til at være en slags it-broker, der løbende indkøber, designer og sammensætter det til enhver tid mest optimale (ofte cloud-baserede) it-setup for forretningen, som kan gøre forretningen mest konkurrencedygtig i forhold til konkurrenterne, som jo skal have nogle tæsk.

Derfor skal CIO'en vænne sig til et stående krav om, at han har totalt styr på indkøb af cloud-løsninger.

Alle cloud-leverandørerne har standard-SLA'er - service level agreements - liggende for de fulde cloud-løsninger.

De dækker typisk ting som tilgængelighed, performance, sikkerhed, disaster recovery, svar-tider, compliance og lignende ting.

Service level agreement-aftalerne definerer kontrakternes indhold i praksis, og det er derfor her, at parterne bliver enige om, hvordan kontrakternes mere overordnede formuleringer skal udmøntes i praksis.

Flere af standard-SLA'erne har tidligere fået ret massiv kritik for at være proppet med tomme ord og formulerings-salat, hvilket du kan læse mere om her:  Kritik: Så dårlige er store it-leverandørers cloud-SLA'er.

Ikke særligt anvendelige

De er imidlertid slet ikke særligt anvendelige, når det gælder hybrid-løsninger, som mange CIO'er kigger i retning af.

I hybride cloud-aftaler ligger virksomhedens kritiske applikationer og kritiske data i eget hus i en private cloud-løsning, mens de mindre kritiske data typisk ligger ude hos cloud-leverandøren i en prisbillig - mere også mere ustyret og åben - public cloud-løsning.

Kombinationen giver både høj sikkerhed og mulighed for at skalere meget hurtigt.

Bagsiden er, at en hybrid cloud-løsning netop ikke er en standard-løsning, selv om den trækker på cloud-universets løsninger: De er alle forskellige og specielt tilpasset den enkelte organisations behov og brug.

Det kræver, at CIO'en er i stand til at forhandle en dækkende og klar service level agreement på plads med den enkelte cloud-leverandør.

Lad os tage et kig på de tre hovedområder, skal CIO'en bør bide sig fast i i de SLA'er, der skal dække hybride cloud-løsninger.

Hvem har ansvaret for data?

I hybrid-løsningen ligger data både hos virksomheden og hos cloud-leverandøren, og den udveklses løbende.

Hvem har ansvaret for at sikre forbindelsen, når data forlader den private del af aftalen, så fremmede øjne ikke kan kigge med?

Privacy-sikringen i de forskellige public cloud-løsninger er i udgangspunktet meget ringere end i private cloud-løsningerne. Det betyder, at virksomheden risikerer at miste kontrol over data, når de flyttes over til public cloud-løsningen, hvor leverandøren pludselig overtager ansvaret.

Dette bør adresseres i en SLA, hvor der blandt andet bør formuleres punkter om kontrol-mekanismer, data-opbevaring, ejerskabs-regler samt såkaldt 'right of return' - altså hvornår, hvor hurtigt og under hvilke omstændigheder data skal returneres og fjernes.

Compliance

Virksomheden skal følge de gældende governance-regler uanset om data ligger i en private cloud-løsning eller i en public cloud-løsning.

SLA'en bør definere service-providerens forpligtelser i forhold til de forskellige compliance-regler.

Det gælder ikke mindst det nye datasikkerheds-direktiv, som EU for tiden arbejder på og som du kan læse mere om her:

Audit

Virksomheden bør sikre sig, at SLA'en formulerer regler og betingelser for at få adgang til al nødvendig dokumentation, som virksomheden har brug for at bevise, at den lever op til alle regler og aftaler.

Det bør også fremgå af SLA'en, hvem der betaler for service providerens omkostninger i forbindelse med audits af virksomhedens cloud-aktiver.

Hvor befinder data sig?

Det er overvejende sandsynligt, at virksomhedens data spredes ud over en række datacentre og servere, når den flyttes fra private cloud-løsningen til public cloud-løsningen, da public cloud-løsninger netop kan gøres prisbillige, fordi service provideren kan putte data ind, hvor der nu bedst er plads.

For en lang række især personfølsomme data gælder det, at de skal holdes inden for EU's grænse, hvilket SLA'en klart bør definere.

Ligeledes bør det klart fremgå, at virksomheden skal kunne genskabe og have udleveret alle sine data, når den ønsker det.

I det hele taget bør disaster recovery fylde en del i SLA'en - altså de nøjagtige aftaler for, hvad der skal ske, hvis alt eller en del af den samlede cloud-løsning går ned, så man ikke kan få fat i data?

Som for eksempel:

- Hvor nøjagtigt er data lagret?

- Hvem har adgang til data?

- Hvordan er data sikret? Er den krypteret?

- Hvor langt tid skal der gå fra opdagelsen af en fejl eller nedbrud, til du orienteres?

- Hvor tit bliver der taget backup? Og hvor lang tid skal det tage at genskabe data?

Du kan læse mere om, hvordan man får skrevet sikkerheden ind i sine SLA'er i denne klumme, som sikkerheds-eksperten Shehzad Ahmad fra DK-Cert skrev til Computerworld for et par måneder siden: Sådan får du sikkerheden skrevet ind i kontrakten.

Læs også:

Multisourcingens forbandelse: Her går det galt

Frustration blandt it-chefer: Vi kan ikke gennemskue kontrakten

Disse nye opgaver havner på dit bord med cloud

Kritik: Så dårlige er store it-leverandørers cloud-SLA'er.

Disse fire roller skal den moderne it-chef mestre




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
SAP Excellence Day 2025

Hvordan du orkestrerer og opdeler SAP-projekter for at opnå gevinster hurtigere? Hvordan påvirker AI fremtiden for SAP i almindelighed og måske også din virksomhed? Dette er blot nogle af de svar du får ved at deltage på denne spændende konference.

03. april 2025 | Læs mere


Cyber Briefing: Backup, availability og disaster recovery

I en tid hvor truslerne mod it-driften kun vokser, er det afgørende at kende forskellen på backup, availability og disaster recovery. Deltag og få konkret viden og praksisnære eksempler på, hvordan I kan styrke jeres beredskab.

07. april 2025 | Læs mere


Cyberthreat Day, København: Trusler, angreb og forsvar i praksis

Stå rustet mod cybertrusler. Få et detaljeret overblik over de nyeste sårbarheder, angrebsmønstre og metoder, som cyberkriminelle anvender. Lyt til beretninger fra sikkerhedseksperter på den digitale frontlinje, og få indsigt i både succesfulde angreb og de, der blev afværget

08. april 2025 | Læs mere