SLA voor Cloud Services
ICT diensten worden steeds vaker vervangen door Cloud Services met daaraan gekoppeld een SLA voor Cloud Service.
Zelfs zeer bedrijfseigen specifieke en unieke software producten worden meer en meer geleverd vanuit een Cloud omgeving.
Dat roept de vraag op hoe we die service managen. Hebben we daar nog een SLA voor nodig?
Is het niet zo dat Cloud Service gestandaardiseerd is en dat we dus weinig te managen hebben?
Andere vragen zijn:
- Waarover moet je afspraken maken bij Cloud Services?
- Wat zijn risico’s die je moet afdekken?
- Waarin verschilt een Cloud SLA ten opzichte van een andere Outsourcing SLA?
Een contract voor Cloud Service wordt meestal al vanuit de leverancier ondersteund met een SLA die onderdeel is van het contract.
Hiermee demonstreert de leverancier zijn commitment voor het leveren van faciliteiten.
In de praktijk is zo’n SLA component in het contract veel minder gedetailleerd dan we bij reguliere Outsourcing gewend zijn.
Drie gebieden worden in zo’n Cloud leverancier SLA meestal wel afgedekt:
De specificatie van de servers (de hardware) die beschikbaar worden gesteld, met daarbij garantietijden voor maximale downtime.
Aan overschrijding van die tijd zijn dan (beperkte) financiële regelingen gekoppeld.
NB Let goed op of je daarmee gebaat bent.
Meestal niet en een falende leverancier komt er met het betalen van een kleine boete vanaf.
Hij voldoet met die betaling aan zijn contractverplichtingen en jullie zitten met de gebakken peren (productiviteitsverlies, boze klanten etc.).
De specificatie van geleverde netwerkverbindingen.
En ook hier weer garanties voor beschikbaarheid en boeteafspraken als die garanties niet gehaald worden. Voor dat laatste geldt dezelfde opmerking als die hierboven.
Geplande downtime (bijvoorbeeld voor onderhoudswerkzaamheden) waarvoor jullie op voorhand worden gewaarschuwd. Hiervoor wordt geen compensatie aangeboden.
Bedenk je ook dat de SLA component in het contract door de leverancier is opgesteld. Alle geboden voorzieningen zullen eerder in het voordeel van de leverancier uitvallen dan in het voordeel van jullie, de klant.
SLA voor Cloud Services: Je startvraag is:
Praten we over een standaard service product ...
of over een speciaal voor jullie ingerichte Cloud omgeving?
Als je via de Cloud een standaard product zoals bijvoorbeeld Office 365 afneemt, dan heeft het niet zoveel zin om veel energie in deze SLA te steken.
Ook met de leverancier van je favoriete weekblad heb je geen SLA afgesproken en ook met de bakker waar je dagelijks je brood haalt niet.
Toch is die dienstverlening meestal oké.
Dat komt doordat die dienstverlening gestandaardiseerd is en in grote aantallen relatief goedkoop wordt geleverd.
De leverancier kan zich geen grote misstappen veroorloven, want dan is hij snel out of business. Zo is het ook met standaard ICT diensten via de Cloud.
In deze situatie kun je intensief nadenken over een SLA voor Cloud Services gevoeglijk achterwege laten. Denk wel goed na over de dienstverlening die je wilt.
Hierover verderop meer.
Wanneer altijd een klantspecifieke SLA?
In alle gevallen waarin de Cloud Service specifieke maatwerkcomponenten bevat, is het uiterst belangrijk dat je wel over een specifieke SLA voor Cloud Services gaat nadenken.
Hierbij maakt het niet uit of de specifieke component eruit bestaat dat de Cloud Service an sich specifiek is of dat er heel specifieke mission kritische bedrijfsapplicaties in de Cloud worden gehuisvest.
In beide gevallen is het van belang dat er een SLA wordt opgesteld die vergelijkbaar is met een klassieke SLA.
Zo’n SLA moet voldoen aan een aantal kritische elementen. Elementen die ervoor zorgen dat je als Regisseur / Demand Manager in de driver’s seat zit met het stuurwiel in je hand en niet met een tandeloze tijger op je bureaudesk.
Welke elementen dat zijn, leer je in de tweedaagse opleiding Outsourcing en Holistisch Demand Management.
SLA voor Cloud Services: Startvragen
Voordat je contractonderhandelingen en SLA voor Cloud Services besprekingen start, zijn er enkele startvragen waar iedere betrouwbare Cloud provider zich comfortabel bij zal voelen:
1. Hoe garandeert u service afspraken (SLA)?
- Biedt u 24/7 support?
- Hoe monitort u alle systemen?
- Monitort u ook alle applicaties?
- Monitort u ook transacties?
- Ontvangen wij alerts?
- Hoe garandeert u Nederlands/Europees- of global- connectivity en een basisniveau van datacommunicatiesnelheden?
- Beschikt u over ‘dual link’of ringnet verbindingen naar uw datacenters?
- Is de beschikbaarheid van uw diensten gelijk aan of beter dan de industriestandaard? (De standaard anno 2016 is 99,8 %.)
2. Hoe zien bij u de regelingen eruit voor:
- de back-up (een reservekopie van jullie data en programma’s)?
- de fail-over (een procedure die bij een storing de control automatisch overgeeft aan een duplicaatsysteem)?
- rampenscenario planning (business continuïteit planning)?
3. Wat voor integratiemogelijkheden biedt u
Wat voor integratiemogelijkheden biedt u voor verbindingen en samenwerking met derde partijen?
Deze vraag wint elke dag meer aan belang, nu Cloud Service steeds meer traditionele Outsourcing arrangementen overneemt.
4A. Herstel mogelijkheden
Hoe eenvoudig kunnen wij onze programma’s en data weer terug in huis halen of naar een andere leverancier transporteren?
4B. Hoe krijgen we onze gegevens aangeleverd?
Deze vragen zijn van levensbelang. In geval van IaaS of PaaS service mag je rekenen op transportabele programma’s en datastructuren die aansluiten bij die programma’s.
Maar neem niets aan voor vanzelfsprekend en wees niet verbaasd als de data die jullie programma’s gebruiken ergens versleuteld wordt opgeslagen.
Zonder technologie van je leverancier die deze versleuteling kan herleiden, heb je vervolgens niets aan je data en kan je nieuwe leverancier er ook niets mee.
Je hoeft niets over al die technieken te weten. De provider moet alleen maar garanderen dat jullie data die hij je levert overal en altijd kan samenwerken met het programma dat jullie gebruiken.
Heb je dat niet afgesproken, heb je geen SLA voor Cloud Services waarin dit soort zaken zijn geregeld, dan kun je in (dure) problemen verzeild raken.
SLA voor Cloud Services en Wet en regelgeving
Waar moet je rekening mee houden?
Cloud dienstverlening biedt op het terrein van beveiliging en risico's voordelen en er zijn verplichte maatregelen.
De gegevens (data) worden niet binnen de eigen organisatie vastgelegd en beheerd. Daarmee is het risico van interne manipulatie, vervreemding of misbruik verminderd.
Voor de bescherming van extern opgeslagen data gelden een aantal wettelijke eisen. Hierover leg je daarom in je SLA voor Cloud Services afspraken vast.
Wet bescherming persoonsgegevens!
Op 1 januari 2016 is de wet bescherming persoonsgegevens actief geworden. Onderdeel hiervan is de meldplicht datalekken.
De wet beschouwt onrechtmatig verspreiden, wijzigen en vernietigen van persoonsgegevens als een datalek. Iedere organisatie in Nederland heeft hiermee te maken.
Dit staat los van Cloud diensten en ook bijvoorbeeld het verlies van een USB-stick kan een datalek zijn.
In het kader van deze wet moet je een aantal maatregelen nemen. Maatregelen die ook voor Cloud diensten gelden.
Hierover maak je daarom afspraken met de Cloud dienstverlener zoals:
- een bewerkersovereenkomst;
- informatiebeveiliging;
- interne verantwoordelijkheid (Wie meldt datalekken?);
- registratie (van alle inbreuken);
- verzekering (bijvoorbeeld een cybercrimeverzekering).
De Amerikaanse Patriot Act
De Patriot Act is wetgeving gericht op het bestrijden van terrorisme (USA). De Amerikaanse overheid kan organisaties en bedrijven verplichten om toegang tot data te geven.
Voor overheidsinstanties en andere organisaties kan dit een reden zijn om niet voor een Amerikaanse Cloud provider te kiezen.
Echter ook de Nederlandse overheid heeft vergelijkbare rechten. Uit oogpunt van databeveiliging biedt die niet-USA-optie voor particuliere bedrijven weinig soelaas.
Sarbanes-Oxley-wetgeving
Sarbanes-Oxley is ook USA-wetgeving. De wet gaat over voorschriften voor financiële verantwoording en beheersing van financiële processen.
De wet is van belang als je organisatie op de US-aandelenbeurs is genoteerd of als je accountant daar is genoteerd. In dat geval kan je accountant je hierbij adviseren.
Private Cloud of Public Cloud?
Public Cloud
Een Cloud provider hanteert voor een Public Cloud standaard contracten die voor iedere klant gelijk zijn.
De service catalogus voor de dienstverlening kun je meestal downloaden van de provider zijn website.
Bij Public Cloud oplossingen kan de SLA voor Cloud Services meestal binnen een bepaald voorgeprogrammeerd kader worden aangepast aan de behoefte van jouw bedrijf.
Aanpassingen buiten die voorgeprogrammeerde aanpassingen zijn niet mogelijk.
De provider zal zich niet inspannen om te onderzoeken of zijn aanbod matcht met jullie wensen! Dit moet je zelf doen door jullie specificaties te vergelijken met het aanbod dat de provider doet.
Meestal zal je met de leveranciersversie van SLA voor Cloud Services kunnen volstaan en als dat niet kan, kom je uit bij een Private Cloud.
Private Cloud
Een Private Cloud is meer vergelijkbaar met een klassieke Outsourcing. De provider gaat nu wel met je in onderhandeling en is ook meer dan bij een Public Cloud in staat om in te spelen op jullie wensen.
Je SLA voor Cloud Services kan nu maatwerk worden. Je moet daarvoor wel het initiatief nemen. Je leverancier biedt je zijn standaard SLA voor Cloud Services aan en zo’n SLA is nooit in jullie voordeel.
De ene Cloud oplossing is de andere niet
Kies je bijvoorbeeld voor Office 365 via de Cloud, dan is dat een redelijk gestandaardiseerde service en er zijn veel aanbieders die de service aanbieden.
Kunnen incidenten je Office 365 SLA voor Cloud Services beïnvloeden?
Nauwelijks. Microsoft levert al sinds 2013 constant 99,9 % beschikbaarheid. Sinds 2015 zelfs 99,98 %. Weet wel dat dit cijfer over alle gebruikers wordt berekend (nu een kleine 100 miljoen).
Dat betekent dat als een datacenter in Amsterdam plat gaat voor 8 uur en daar 2 miljoen gebruikers last van hebben, dan nog zakt de performance van Office niet meer dan naar 99,7.
In de praktijk is de kans dat jullie zoiets overkomt en zo’n datacenter 8 uur plat gaat praktisch nihil.
SLA voor Cloud Services Office 365 inclusief of exclusief e-mail?
Een vraag die wel relevant is, is wat je wilt doen met je e-mail. Waarschijnlijk draait die nu op een lokale server of bij een provider. Die provider gebruikt hosted exchange. Ook een Microsoft product.
Stel dat jullie op exchange server 2013 draaien en je wilt migreren naar de 2016 versie of misschien volgend jaar naar de 2018 versie (als die er komt), dan beslis je dat zelf. En jullie provider zal hulp bieden bij die migratie.
Een upgrade van de exchange server kan blijven samenwerken met de Outlook client op de PC’s van de medewerkers. Exchange is een meer stabiele en rustiger omgeving voor je mail.
Mail ook op 365?
Ga je ook voor je mail over naar Office 365? Het voordeel is dat je dan altijd onmiddellijk over de nieuwste apps en mogelijkheden beschikt. De Outlook client wordt ook automatisch geüpdatet.
Meestal verandert er veel in een nieuwe Outlook. Een eenvoudig voorbeeld.
Als je per ongeluk een mailtje verwijdert en dat wilt terughalen, dan gebeurde dat tot en met Outlook 2007 onder de tab ‘Tools’ met de optie ‘herstellen laatste actie’.
In Outlook 2013 werkte dat al anders en in Outlook 2016 is de hele Tools tab verdwenen en zijn functies elders ondergebracht.
Impact 365
De hele ‘look and feel’ van Outlook (en andere Office apps) gaat regelmatig bij een upgrade op zijn kop.
Sommige minder innovatieve organisaties moeten elke keer als zo’n update verschijnt hun medewerkers even bijscholen in het gebruik.
Voor innovatieve organisaties die altijd het nieuwste willen hebben en daarvan de mogelijkheden willen verkennen, is mail via Office 365 de te kiezen optie. Upgrades zijn gratis.
Let op! Gebruik je nu encryptiecodes voor beveiliging van je mail, dan zal je die beveiliging voor Office 365 opnieuw moeten verwerven.
Let op! Migratie van de mail, contacten en agenda service kan een fors verlies aan data opleveren. Dit is altijd zo bij migratie van oudere versies (2003 en ouder).
Ook data die op de PC van gebruikers is opgeslagen en niet op de centrale exchange server gaat mogelijk verloren.
Dat kan worden opgelost, maar daarvoor moeten per gebruiker .pst bestanden worden geüpload naar de Office 365 omgeving. Dat gaat veel werk opleveren en een dure operatie worden.
SLA voor Cloud Services 365: welke aanbieder?
Er zitten veel haken en ogen aan zoiets eenvoudigs als MS Office 365.
Onderlinge verschillen tussen de aanbieders van Office 365 zijn niet groot. Toch is er alle reden om goed over een leveranciersselectie na te denken.
Vraag 5 bij SLA voor Cloud Services:
Overweeg je om in de nabije toekomst meer services via de Cloud af te nemen?
Dan vallen een aantal Office 365 aanbieders af.
Dat is omdat deze leveranciers in de breedte en de diepte te licht zijn om jullie bedrijfsapplicaties betrouwbaar en effectief in de lucht te kunnen houden.
Vraag 6 bij SLA voor Cloud Services:
Willen jullie gebruikmaken van sharepoint?
Een effectieve en deskundige supportclub bij de provider wordt dan al veel belangrijker dan bij een Office Only contract.
Vraag 7 bij SLA voor Cloud Services:
Hoe omgaan met authenticatie?
Je kunt de accounts door Office 365 in de Cloud laten managen. Nadeel is dat gebruikers dan twee keer moeten inloggen met verschillende inloggegevens. Eerst in jullie netwerk en daarna bij Office.
Gebruikers zullen dit niet waarderen.
Je kunt inloggegevens van jullie netwerk laten synchroniseren met Office in de Cloud. Maar ook dan moet er nog steeds twee keer worden ingelogd, al is het nu dan wel twee keer met dezelfde gegevens.
Single sign-on is natuurlijk de mooiste optie, bezien van het oogpunt van gebruikersgemak.
Dit vraagt wel samenwerking tussen de techniek van jullie interne netwerk en de techniek van de Cloud provider.
Vraag 8 bij SLA voor Cloud Services:
Welke beveiliging en samenwerkingsconstructies wil je toestaan?
Office 365 is gebouwd om samenwerking tussen partijen te faciliteren. Meerdere mensen kunnen aan en rond één document samenwerken. Dat maakt dat die mensen ook toegang tot die documenten moeten hebben.
Er kunnen zich hierbij een aantal situaties voordoen waarbij uitwisseling van verkeer tussen diverse accounts en jullie zakelijke account nodig of nuttig kan zijn.
Steeds meer medewerkers gebruiken privé een Office account (een plan, zoals MS het noemt).
Hoe ga je veiligstellen dat jullie gevoelige data niet in privé accounts verdwijnt?
Maar ook medewerkers van zakenpartners hebben toegang tot een Office account nodig en hebben waarschijnlijk, om met jullie medewerkers te kunnen samenwerken, ook toegang nodig tot jullie account.
Hoe stel je veilig dat hier geen gevoelige data naar elders lekt?
In beide gevallen speelt dit: hoe voorkom je dat onveilige data via een ander account jullie netwerk binnenkruipt?
Een eenvoudige optie is het om op jullie netwerk de toegang tot alle andere accounts te blokkeren, maar de samenwerkingsopties die Office 365 biedt, gaan dan wel deels verloren.
Een optie die vaker wordt toegepast, is het om toegang tot het account van benoemde samenwerkingspartners toe te staan.
Die toegang kan ook nog beperkt worden tot relevante projectomgevingen en andere gebieden uitsluiten.
Ook de uitwisseling van data met andere gebieden dan deze projectomgeving kan worden uitgesloten.
Conclusie
Tot zover deze Slagkracht over SLA voor Cloud Services.
Je ziet dat ook bij eenvoudige en gestandaardiseerde Cloud Services blijkt dat er in de praktijk genoeg is om over na te denken en Contracten en de SLA voor Cloud Services op te verifiëren, voordat je een handtekening zet.
Op jouw Slagkracht,
-
Koos Overbeeke
Binge reading bij SLA voor Cloud Services:
Contracten en SLA’s, tandeloze tijgers?
Opleidingen Outsourcing, Regie & Holistisch Demand Management
De Service Level Agreement bij Outsourcing
Voor meer informatie over SLA's: Terug van SLA voor Cloud Services naar SLA voor Outsourcing