Ude af øje, ude af sind? Når det gælder software, som man lægger ud i et cloud-miljø, er det, i modsætning til hvad mange tror, ikke tilfældet. Faktisk har du som virksomhed en stor del af ansvaret for at drifte og vedligeholde forskellige dele af jeres infrastruktur og de applikationer, der bygges ovenpå, selvom softwaren er lagt i skyen.
Enorme muligheder - stor risiko for frustration
Lad os begynde med det søde: Stadig flere virksomheder flytter software i skyen, og antallet af vellykkede projekter som følge heraf vokser. Selvom cloud-vejen ikke altid er det rette valg for alle, er mulighederne for de virksomheder, der vælger denne løsning, enorme. Og public cloud-miljøet er modnet voldsomt over de senere år, hvor giganter som Amazon Web Service, Microsoft Azure og Google Cloud Platform hele tiden er med til at løfte barren for, hvad man kan få ud af en public cloud-løsning. Derudover er der kommet flere nye udbydere til, som dækker mere specialiserede områder. Her kan i flæng nævnes virksomheder som Salesforce, Oracle eller Alibaba Cloud. Hver med kompetencer indenfor deres niche.
Og så det sure: Hvis man tror, at man ved at flytte sin software i skyen outsourcer ikke bare sin software, men også de service- og driftsopgaver, der hører til, tager man fejl. Og det er en fejltagelse, der kan koste masser af frustrationer - også af den økonomiske slags.
Princippet om Shared Responsibility
The Shared Responsibility Model
Det er ikke bare noget, vi oplever i Netic. Gartner kalder det “aha-oplevelsen”, når det går op for virksomheder, at en public cloud-løsning indebærer det, cloud-udbydere kalder The Shared Responsibility Model. Den model går ikke overraskende på, at ansvaret netop er delt mellem virksomheden og cloud-leverandøren, og når det forhold kommer som en overraskelse, skyldes det typisk, at virksomheder opfatter det som en outsourcing-proces, mens det i realiteten er lige omvendt - nemlig en insourcing-proces.
Lad os lige træde et halvt skridt tilbage og dvæle ved nogle af de fordele, der er ved en public cloud-løsning. Den giver dig hurtig udrulning af dit software, skalering efter behov og masser af muligheder for at skræddersy dit setup. Sammen med IaC (Infrastructure as Code) og IaaS (Infrastructure as a Service) har du en løsning med masser af handlerum.
Men det er en fejl at antage, at du med en IaaS-løsning outsourcer driften af dine applikationer. Snarere tværtimod. Især hvad gælder de dele af softwaren, der typisk ligger i infrastrukturlaget: Applikationens netværk, firewall-regler, operativsystemet, softwaren på serverne, kryptering, identitetsstyring, adgangsrettigheder og meget mere.
Disse ting håndterer din public cloud-udbyder ikke, og det er typisk heller ikke noget, dine udviklere tager sig af. Groft sagt stiller de en række værktøjer til rådighed, men hvad du bruger dem til, er dit eget ansvar. Ligeledes tager de intet ansvar for det, der er blevet bygget.
Det er nemlig en driftsopgave. Det er derfor dit ansvar at sikre, at du har et team, der kan håndtere den opgave. Og hvis du enten har et lille team, der ikke er i stand til at håndtere opgaven, eller måske slet intet driftsteam, må du etablere et. Og så blev outsourcing-projektet lige pludselig til noget andet.
Din hånd på den digitale kogeplade
Men hvad indebærer det delte ansvar for de involverede parter - dig på den ene side og public cloud-udbyderen på den anden? Amazon har formuleret det sådan her: Udbyderen er ansvarlig for “the security of the cloud”, mens kunden er ansvarlig for “security in the cloud”. Det er altså udbyderens ansvar at tage sig af operativsystemet, det virtuelle lag og den fysiske del af setuppet, mens det er kundens ansvar at konfigurere og styre de sikkerhedsaspekter, der handler om “gæste-operativsystemet” og tilhørende applikationer, firewall og kryptering af data.
Det overordnede fokus er her sikkerhed, men der er også et andet - og i realiteten nok vigtigere - aspekt; nemlig ansvar i en lidt bredere forstand. For det handler ikke kun om sikkerhed i form af beskyttelse af data og information. Det handler også om, at både public cloud-udbyderen og virksomheden har hånden på kogepladen.
Sagt på en anden måde: Public cloud-udbyderen stiller en ramme til rådighed, men du har selv ansvaret for at fylde den ud. Og desværre gør udbyderne ikke altid nok for at tydeliggøre denne ansvarsfordeling. Derfor ser man ofte cloud-projekter, der kører af sporet, fordi kundens forventninger ikke bliver indfriet. Måske hører du til blandt dem, der tøver med at lægge virksomhedens software i skyen, fordi du har hørt, at det er en tung proces med masser af overraskelser undervejs. Der er stor sandsynlighed for, at det er fordi, du har hørt om et af de projekter, hvor udbyderen ikke har været dygtig nok til at forklare princippet om Shared Responsibility - og nok heller ikke til at hjælpe kunden med at navigere i processen. Der findes et ord for det, som udbyderen ikke har været god nok til: Forventningsafstemning. Når man ikke forventningsafstemmer inden et større projekt, har projekterne en tendens til at køre af sporet og efterlade skuffede kunder.
Kræv tydelighed fra public cloud-udbyderen
Som beslutningstager i en virksomhed kan du med rimelighed forvente, at jeres udbyder påtager sig ansvaret for at informere og uddanne dig og dine folk til at kunne navigere i IaaS-virkeligheden.
Dette blev yderst aktuelt den 16. juli 2020, da der blev afsagt dom i Schrems II-sagen, som blandt andet vedrører brugen af EU-Kommissionens standardkontrakter. Med ét blev grundlaget for overførsel af personoplysninger til tredjelande, baseret på Privacy Shield, gjort ugyldigt.
Det betyder, at for dig som virksomhed, der overvejer en public cloud-løsning, er kravene blevet større, og kompleksiteten er øget. Du skal ikke kun forholde dig til de tekniske aspekter ved at benytte public cloud, men også have de juridiske samt organisatoriske problemstillinger for øje.
Det er givetvis en ny måde at tænke ansvar og struktur på - på din side af bordet. Public cloud-udbyderen har det inde på livet konstant, hvorfor der også er en risiko for, at ting forbliver usagt. Simpelthen fordi præmissen tages forgivet af udbyderen.
Hvis du vil vide mere om, hvordan du skal forholde dig til det delte driftsansvar i din cloud-transformation, så mødes vi gerne til en uforpligtende snak på en Cloud Date.
