Ma már nem az a kérdés, hogy egy vállalat használ-e felhőt, inkább az, hogy mikor felhősíti rendszereit teljes mértékben. Bár vállalati szinten továbbra is a hibrid modell a követendő, a nyilvános szolgáltatások igénybevétele gyakran gazdaságosabb.

Az, hogy a migráció milyen költségekkel jár, egy dolog. Emellett azonban egy ilyen, a vállalatok IT-rendszereit alapjaiban érintő változásánál mindig be kell árazni a váltás kockázatait is. Arról, hogy a felhő mennyiben ad megoldást a szállítófüggőség problémájára, érdemes elolvasni az IVSZ felhős fogalomtárának egyik összeállítója, Gazdag Ferenc kétrészes írását.

De mire kell még figyelni? Az Open Networking User Group (ONUG), amely olyan cégek IT-vezetőit tömöríti, mint a Bank of America, a Citigroup, a Credit Suisse, a FedEx, a GE, a JPMorgan Chase, a Morgan Stanley vagy a Pfizer, összegyűjtött néhány olyan fogást, amely a tagok felhős gyakorlatának a legjavát tartalmazzák. Bár a gyakorlatok globális nagyvállalatoktól származnak, javaslataikban szinte minden cég talál olyant, amit érdemes megfontolnia.

1. A felhő nem kiszervezés. Talán az egyik legfontosabb figyelmeztetés, amit nem lehet elégszer hangsúlyozni: a felhőszolgáltatás nem tekinthető klasszikus kiszervezési (outsourcing) szerződésnek. Az olyan problémák, mint a felelősség, az auditálhatóság, a tanúsítványok stb. egészen mást jelentenek az orutsourcing és a felhőszolgáltatás esetében. Ezzel kapcsolatban érdemes elolvasni Horváth Csaba (PwC) oldalunkon megjelent négyrészes tanulmányát a felhőszolgáltatások kockázatértékelésének módszertanairól. Az ONUG csupán arra hívja fel a figyelmet, hogy ha egy vállalatnak van is tapasztalata outsourcing/insourcing szerződésekben, ne azokra támaszkodjon.

2. Kell egy profi tárgyaló, aki ismeri a jogi hátteret. Az ilyen tárgyalások hosszadalmasak, akár egy évnél is hosszabb időt vesznek igénybe, mire minden részletet tisztáznak a felek. Ehhez professzionális jogi háttérrel rendelkező tárgyaló kell, aki végigviszi az ügyet. Az már részletkérdés, hogy a tárgyaló a cég belső embere vagy külső szakértő. De arra érdemes felkészülni, hogy akár egy-másfél évig is elhúzódhat egy komolyabb szerzőség végigtárgyalása, és ennek költsége is van – sokszor elég tetemes.

Számolni kell azzal is, hogy az SLA-ra (Service Level Agreement) vonatkozó megállapodás nehézkes lesz. A felhőszolgáltatásokat ugyanis nem kötik földrajzi korlátok, ami előny, hiszen ha egy adott helyen probléma adódik, akkor a szolgáltatás biztosítható egy másik adatközpontból, ami esetleg egy másik országban van. Ez azonban nem mindig megoldás, hiszen bizonyos szervezetek esetében a compliance előírások miatt nem mozgathatók az adatok szabadon országhatáron kívülre. Egyszerűbb a helyzet, ha az SLA országon (vagy Európai Unión) belüli szolgáltatásnyújtásra vonatkozik.

3. A listaár csak tájékoztató jellegű. Az árak miatt is lassú a megállapodás. Bár minden komolyabb felhőszolgáltató közzétesz árlistát a szolgáltatásairól, azok egy nagyvállalatnak csak tájékoztató jellegűek lehetnek. A hosszabb távú és átfogóbb szolgáltatói szerződések esetén minden esetben érdemes közvetlenül a szolgáltatóval tárgyalni a végső árakról és az egyéb feltételekről (lásd fentebb), melyeket részletesen bele kell foglalni a szolgáltatói szerződésbe.

4. Újra kell gondolni a licencgazdálkodást. Ez különösen fontos pont, hiszen épp a felhőszolgáltatások terjedése miatt Magyarországon is gyakoribbá válnak a gyártói licencauditok. A felhőbe költözésnél figyelni kell arra, hogy a meglévő vállalati licenceket hogyan érinti az, hogy bizonyos szolgáltatásokat felhőből vesz igénybe a vállalat. És egyáltalán nem biztos, hogy a licencköltségek csökkennek, hiszen ha felhasználóalapú a licencelés, és a felhős szolgáltatás miatt több alkalmazott fér hozzá, máris nőhet a költség, ahogy például az is befolyásolhatja, ha egy alkalmazáshoz nemzetközi hozzáférést biztosít a felhőbe vitele.

A szoftvergyártók is egyre inkább beépítik a felhős konstrukciókat licencpolitikájukba. Mindazonáltal a felhőbe költöző cégé a felelősség, hogy licencei a felhőbe költözés után is rendben legyenek. Hogy konkrétan milyen menetrendet érdemes követni, arról itt írtunk részletesen.

5. Auditálhatóság, tanúsítványok. Itt két probléma is van. Egyrészt a felhőszolgáltatások könyvelési oldala, másrészt a megfelelőség (compliance). Az ONUG tapasztalatai szerint a belső rendszereken szocializálódott könyvelőket, könyvvizsgálókat képezni kell ahhoz, hogy megbirkózzanak a felhőszolgáltatásokkal. Például nekik is meg kell tanulniuk, mi a különbség a fizikai szerver és a virtuális szerver között, vagy hogy mi a szerepe egy szoftveresen meghatározott infrastruktúrának, és azokat hogyan kell kezelni a könyvelés szempontjából.

Ennél bonyolultabb kérdés a megfelelőség, amely iparáganként és országonként is változhat. Erre a szolgáltatóval történő tárgyalások során külön figyelni (lásd a 2. pont SLA-kkal kapcsolatos bekezdését), illetve érdemes is igénybe venni a szolgáltatók esetleges oktatásait.

6. Módosul a biztonság fogalmának tartalma. Az egy dolog, hogy a nyilvános felhőszolgáltatás igénybevétele automatikusan magával hozza, hogy a titkosítás magasabb szintjét kell bevezetni, és azt következetes be is kell tartatni. Ugyanakkor a kockázatelemzés is új szintre helyeződik. Felértékelődik a szerepalapú és többtényezős hitelesítés is.

Emellett újra kell gondolni a kockázatelemzést és kockázatkezelést. Már nem csak az a kérdés, hogy az adat milyen minősítésű és hol van, hanem például arra is kell forgatókönyveket készíteni, hogy mi történik, ha az adott felhőszolgáltató megszűnik. Az ONUG azt javasolja, hogy a felhőbe költöző szervezetek vonjanak be a folyamatba ún QSA (Qualified Security Assessor) szakértőket, akik segítenek a kockázatok azonosításában.

7. Felelősség. Végül, de nem utolsósorban egy vitás pont: mekkora felelősséget vállal a szolgáltató az esetlegesen bekövetkezett kárért. Míg a menedzselt szolgáltatások és a klasszikus outsourcing megállapodások esetében a kihelyezett eszközök értékéig terjed a felelősségvállalás, addig a felhőszolgáltatók óvatosabbak. Általában csak a szerződés ellenértékéig vállalnak anyagi felelősséget.