Vägledning för lyckad upphandling av molntjänster

Vi adderar fler delar till denna vägledning för lyckad upphandling av molntjänster över tid, så återvänd för att ta del av fler råd.

Introduktion

Att hitta, köpa och använda molntjänster kan vara svårare än det verkar. Det har många verksamheter blivit varse, i både privat och offentlig sektor.

Denna vägledning syftar till att underlätta lyckade anskaffningar av molntjänster.

Vi menar att en verksamhet framgångsrikt upphandlar en molntjänst när verksamheten:

• Tillvaratar sitt egenintresse.
• Realiserar avsett värde vid användning av molntjänsten.
• Hushåller med sina resurser och betalar avsedd ersättning.
• Följer tillämplig lagstiftning, såsom dataskyddsförordningen (GDPR) och NIS2 (den kommande cybersäkerhetslagen).
• Tillgodoser behov inom informationssäkerhet och lämplighet.

Verksamheten ska därtill realisera detta över tid, i varje del av livscykeln. Kontraktstecknandet är bara slutet på början. För att anskaffningen ska bli lyckad behöver den från start ta höjd för perspektiv i olika faser, från inköp till användning och avveckling av molntjänsten.

Vägledningen är omfattande, och ändå långtifrån heltäckande. Den är inte en bibel, utan ett sätt för Cleura att bidra med kunskap inom ett område vi har viss erfarenhet inom.

Vägledningen är tänkt att byggas ut över tid. Du är välkommen att lämna förslag och synpunkter – hör av dig direkt till arman.borghem snabela cleura.com.

---

Varför ska du läsa en vägledning för upphandling av molntjänster från Cleura?

Vägledningen är framtagen av Cleura, en europeisk leverantör av molninfrastruktur.

Varför ska du då läsa en guide från Cleura – har vi inte ett egenintresse här?

Annorlunda uttryckt: kommer det sluta med att du springer och köper molntjänster från Cleura om du läser den här vägledningen?

Det vet vi inte svaret på. Kanske leder vägledningen till att din verksamhet avvaktar med att köpa molntjänster, tills verksamheten har byggt den förmåga som krävs för lyckade anskaffningar. Kanske köper din verksamhet molntjänster från någon av våra konkurrenter – vi har flera i Sverige och ännu fler ute i Europa.

Ur Cleuras perspektiv ser vi två huvudnyttor med vägledningen:

1. Att göra det lättare och snabbare för verksamheter att göra lyckade anskaffningar av molntjänster. Allt annat lika leder det till ökad efterfrågan på molntjänster, vilket gynnar Cleura.
2. Att hjälpa verksamheter tillvarata sitt egenintresse vid anskaffning av molntjänster. Vi tror att det gynnar Cleura, eftersom vi tror att vi är bättre på att tillgodose kunders egenintresse än andra molntjänstleverantörer, särskilt de som idag har störst marknadsandel.

I slutändan är det är din verksamhets agerande som avgör vilka molntjänstleverantörer ni använder. Verksamhetens agerande kan i sin tur präglas av mer eller mindre medvetna val.

Helst vill vi givetvis göra medvetna val. Det förutsätter en självständig förmåga att bedöma alltifrån verksamhetens behov till lagkrav, värdekalkyl och alternativ på marknaden. Det betyder inte att din verksamhet ska isolera sig från omvärlden eller avstå dialog med leverantörer – tvärtom. Vi tror att en verksamhet med en välutvecklad anskaffningsförmåga för en nära dialog med marknadens aktörer.

Lyckade anskaffningar förutsätter emellertid att verksamheten har en självständig förmåga att kritiskt värdera och ifrågasätta den information som verksamheten tar del av. Annars kommer verksamheten att agera – medvetet eller omedvetet – utifrån beskeden från den som är bäst på att argumentera, istället för den med bäst argument.

Råd 1: Säkerställ en självständig förmåga att värdera intern och extern information

Den här vägledningens första råd är därför: säkerställ en självständig förmåga att värdera både intern och extern information!

I synnerhet bör information från externa parter betraktas med ett kritiskt öga.

Det gäller givetvis information från it-leverantörer, men också deras kunder. Även advokatbyråer, konsulter, akademiker, talare på konferenser och deltagare i paneldiskussioner, personer som uttalar sig i branschmedia samt företrädare för ”initiativ” eller nätverk kan ha ekonomiska band eller gemensamma intressen med vissa marknadsaktörer. En stor it-leverantör publicerar rentav sin egen onlinetidning.

Särskilt allvarligt är det när band och intressen av detta slag inte redovisas alls, eller åtminstone inte på ett tydligt sätt. Sådan mer eller mindre dold påverkan är det förstås särskilt viktigt att vara vaksam på.

Det är fler än chefer med formell makt över it-besluten som har anledning att vara på sin vakt. Personal som tar fram beslutsunderlag eller på annat sätt formar beslutens ramar bör också vara vaksamma. Det kan vara alltifrån personer i linjen till mellanchefer, it- och informationssäkerhetsspecialister, it-arkitekter och jurister. I kommunal och regional verksamhet gäller det även politiker. Alla dessa personers attityder och referensramar formar i hög grad en verksamhets it-beslut, och är därför kommersiellt värdefulla att påverka.

Den här vägledningen förtjänar förstås också ett kritiskt öga. Vi är emellertid tydliga med vem som är avsändare, och har skrivit vägledningen så att den ska tåla att synas i sömmarna. Fokus ligger där vi har särskild kunskap att bidra med – se vägledningen som en källa till perspektiv som din verksamhet annars hade kunnat gå miste om. Om den bidrar med värde är förstås i slutändan upp till dig och din verksamhet att avgöra.

En verksamhets benägenhet att okritiskt acceptera budskap från särintressen kan påverkas av hur verksamheten är organiserad, attityder hos personalen samt hur resurser prioriteras.

Vägledningens första råd blir betydligt lättare att uppfylla om verksamheten har:

• Egen it-kunskap med en bredare horisont än en enskild leverantörs lösningar.
• En it-strategi som är leverantörsneutral. Även om en viss leverantörs lösningar dominerar it-miljön idag är verksamheten öppen för att ta in lösningar från andra leverantörer så länge dessa är ändamålsenliga.
• Beslutsfattare, personal på it-avdelningen och ute i linjen som är nyfikna på alternativen på marknaden och inte mentalt bundna vid en viss leverantör.
• Tillgång till oberoende it-rättslig kompetens av hög kvalitet, särskilt inom relevanta rättsregler (exempelvis GDPR, NIS2/cybersäkerhetslagen, DORA, OSL, säkerhetsskyddslagen).
• Förmåga att genomföra it-upphandlingar med hög kvalitet, som fångar upp behov, formulerar genomtänkta och leverantörsneutrala krav samt utvärderar olika lösningar i konkurrens.
• Beslutsfattare som kritiskt men konstruktivt kan skärskåda kategoriska påståenden om vilka leverantörer som bara “måste“ användas, särskilt om måstet saknar slutparentes.

Vägledningens första råd blir betydligt svårare att uppfylla om verksamheten har:

• Utkontrakterat väsentlig it-kunskap till en it-partner som har starka ekonomiska band till vissa leverantörer.
• En it-strategi som uttalat eller underförstått pekar ut en specifik leverantör som oundgänglig, nu och i princip för evig tid.
• Personal som är mentalt inställd på lösningar som ägs av en viss leverantör och som är ointresserad av att lära sig eller ta in något annat.
• Svag tillgång till oberoende it-rättslig kompetens, särskilt inom relevanta rättsregler (exempelvis GDPR, NIS2/cybersäkerhetslagen, DORA, OSL, säkerhetsskyddslagen).
• Svag förmåga att förstå sitt it-behov samt kravställa och konkurrensutsätta behovet.
• En it-avdelning eller annan personal som tillåts driva igenom “måste ha“-anspråk på en specifik leverantörs it-lösningar utan konkurrensutsättning.

---

Vem är det som kör?

När en verksamhet kan värdera intern och extern information på sakliga grunder, så öppnas nya horisonter. Det blir plötsligt möjligt att sålla mellan värdefulla och otillförlitliga informationskällor. Då infinner sig också självförtroendet att föra en dialog med marknadens aktörer utan att för den skull falla platt för deras budskap.

All upphandling behöver i någon mån matcha internt formulerade krav och önskemål mot de valmöjligheter som leverantörer på marknaden kan erbjuda.

Utan förståelse för vad marknaden kan erbjuda riskerar en verksamhet att bli navelskådande och ställa omöjliga eller onödigt kostnadsdrivande krav. Det leder inte till bra upphandlingsunderlag, anbud eller leveranser.

I andra vågskålen är det farligt om en verksamhet försummar sina medarbetare och deras perspektiv på hur verksamheten kan utvecklas. Det är även viktigt att inkludera ledningens strategiska överblick och riktning.

It-lösningar ska tillgodose verksamhetens behov; verksamheten finns inte till för att tillgodose it-leverantörernas.

Risken är annars att leverantörerna på marknaden i praktiken bestämmer vilka it-lösningar din verksamhet väljer. Och i takt med att it-lösningar blir allt viktigare för verksamheters utveckling, kan kontrollen över it i allt högre grad likställas med kontrollen över verksamhetsutvecklingen.

Vad kan hända om it-leverantörer tillåts styra? En leverantör som bara säljer hammare kommer att hitta gott om spikar i verksamhetens vrår, fastän verksamheten skulle behöva en skruvdragare. Det är riskfyllt om enbart it-leverantörer får peka ut riktningen, och verksamheten inte kan hävda sina egna behov.

Följden kan bli att leverantörer prioriterar sina egna behov på verksamhetens bekostnad, exempelvis genom att:

• bygga lösningar som inte motsvarar verksamhetens funktionella eller rättsliga behov,
• ha avtalsvillkor som är obalanserade, ogenomträngliga och ständigt föränderliga,
• ha en olaglig eller rättsligt tvivelaktig uppgiftshantering, samt
• genomföra prishöjningar som blir alltmer aggressiva över tid.

En sådan osund utveckling är särskilt sannolik om verksamheten lämnar över kontrollen till en leverantör som inte utsätts för effektiv konkurrens.

En förståelse för marknadens utbud behöver därför inkludera en förståelse för konkurrenssituationen, och till vilka villkor olika lösningar kan tillhandahållas.

Innan en verksamhet går ut i upphandling bör den försäkra sig om att flera olika leverantörer kan möta verksamhetens underliggande behov. Den egna it-avdelningen kan här betraktas som en leverantör. Det bör alltså vara möjligt att antingen välja mellan minst två leverantörer på marknaden, alternativt mellan en leverantör och drift i egen regi utan leverantörsberoende.

Vid bristande konkurrens bör verksamheten påminna sig om att en marknadsdialog kan omfatta mer än bara informationsinhämtning. Det går att försöka påverka leverantörerna och belysa områden där alternativen och konkurrensen brister. Det är särskilt effektivt när flera verksamheter gör gemensam sak för att påvisa en större efterfrågan. I svensk offentlig sektor är eSamverkansprogrammet (eSam) och Sambruk exempel på det.

Råd 2: Säkerställ kontroll genom en förståelse för dels den egna verksamhetens behov och utvecklingspotential, dels marknadens utbud

Den här vägledningens andra råd är: säkerställ kontroll genom en förståelse för dels den egna verksamhetens behov och utvecklingspotential, dels marknadens utbud!

I takt med att it-lösningar blir allt viktigare för verksamheters utveckling blir det också allt viktigare att ledningen förstår både de interna behoven och alternativen på marknaden.

Innan verksamheten går ut i upphandling behöver den säkerställa att det finns flera olika leverantörer som kan möta behoven.

Om verksamheten har behov som marknaden inte kan möta, eller om verksamheten är osäker på om någon leverantör kan möta behoven, så bör verksamheten eftersträva att synliggöra behoven, gärna tillsammans med andra likasinnade verksamheter.

För att uppnå tillräcklig kontroll bör verksamheten se förarsätet som sin naturliga plats, samtidigt som leverantörerna på marknaden kan peka ut möjliga vägar som verksamheten kan ta.

I ett sämre läge är det leverantören som styr, medan verksamheten sitter intill med fingrarna runt en handbroms som blir allt klenare var gång den används.

Sämst är det förstås om leverantören sitter bakom ratten medan verksamheten är relegerad till baksätet. Då är det inte ens säkert att verksamheten har uppsikt över vart den är på väg.

---

Molntjänst eller traditionell outsourcing?

Begreppet molntjänst används ibland för att beskriva alla slags it-lösningar som tillhandahålls på distans. I detta avsnitt ska vi nyansera begreppet.

Vi beskriver molntjänster som en leveransmodell där en leverantör tillhandahåller automatiskt skalbara programvarubaserade it-tjänster på distans.

När en verksamhet överväger att låta en it-leverantör hantera information eller tillhandahålla digitala funktioner är det värdefullt att förstå vilka leveransformer som finns och vad de innebär.

Molntjänster delas vanligen in i tre lager:

• Infrastruktur som tjänst (IaaS – Infrastructure as a Service)
• Plattform som tjänst (PaaS – Platform as a Service)
• Programvara som tjänst (SaaS – Software as a Service)

I verkligheten är den här indelningen i viss mån flytande; en molntjänst kan ha förmågor från flera lager. På engelska kan det beskrivas som att molntjänster har cloud capability types.

Vi ska hålla oss till att beskriva IaaS, PaaS och SaaS på övergripande nivå. Vi berör också traditionell utkontraktering av it-drift och vad som skiljer den från molntjänster.

Infrastruktur som tjänst (IaaS – Infrastructure as a Service)

Infrastruktur som tjänst (IaaS) är molntjänster i sin mest grundläggande form.

Med en molninfrastruktur får kunden tillgång till ett webbgränssnitt eller API som låter kunden snabbt och enkelt skapa, ändra och radera s.k. virtuella objekt. Exempel på virtuella objekt är:

• Virtuella servrar (virtual machines, VM)
• Switchar och routrar
• Databasinstanser
• Lastbalanserare
• Objektlagring
• Brandväggar
• Containrar

Kundens virtuella objekt nyttjar i sin tur kapaciteten i molntjänstleverantörens fysiska servrar i ett eller flera datacenter. Denna kapacitet bildar en skalbar och elastisk pool av delbara dataresurser, som inkluderar:

• Processorkraft (CPU/GPU)
• RAM (arbetsminne)
• Lagringsutrymme
• Nätverk

När kunden skapar virtuella objekt som representerar fysisk hårdvara (såsom virtuella servrar, switchar och brandväggar) uppträder dessa ur kundens perspektiv som om de vore sin fysiska motsvarighet. Molntjänstleverantören förfogar över den fysiska utrustningen, som står i ett datacenter.

På virtuella servrar kan kunden installera valfri programvara, såsom operativsystem och applikationer. Vanliga användningsområden är driftsättning av interna verksamhetssystem samt lösningar som kunder eller medborgare använder för att uträtta ärenden.

Kunden kan skapa virtuella servrar med valfri kapacitet, anpassade efter den styrka som kundens applikationer behöver. Obemärkt för kunden kan flera virtuella servrar alltså dela på en fysisk servers hårdvara.

De programvaror som kunden installerar på de virtuella servrarna använder hårdvaruresurser för att fungera: processorkraft för beräkningar, RAM för att snabbt läsa och spara data, hårddiskutrymme för att lagra data och nätverk för att överföra data. Kunden betalar i regel endast för den tid, ner på sekundnivå, som kundens virtuella objekt använder fysiska hårdvaruresurser.

När en molntjänstleverantör tillhandahåller sådana resurser som tjänst, brukar det kallas IaaS eller Infrastructure as a Service.

Ordet infrastruktur signalerar att tjänsterna levererar digitaliseringens mest grundläggande resurser. Varje kund får automatiskt precis den mängd processorkraft, arbetsminne och lagring som behövs vid varje given tidpunkt – från molntjänstleverantörens elastiska pool av delbara dataresurser – utan att behöva anskaffa, installera, äga, förvalta och skrota servrar och annan hårdvara.

Bakom kulisserna driftsätter och förvaltar molntjänstleverantören en uppsättning programvara för att tillhandahålla sin molninfrastruktur till kunderna. Cleura och flera andra svenska och europeiska molntjänstleverantörer använder OpenStack med tillhörande programvaror för det syftet. OpenStack är ett av världens största öppen källkod-projekt, och är en modern plattform för skalbar molninfrastruktur vid sidan av AWS, Azure och GCP.

En verksamhet kan köpa molninfrastruktur som publik molntjänst (public cloud), som i regel är multitenant. Det innebär att många kunder delar på den elastiska poolen av dataresurser, som finns utspridd över många av molntjänstleverantörens fysiska servrar. Vilka specifika servrar som nyttjas, och vilka kunder som nyttjar vilka servrar, kan förändras över tid. En och samma fysiska server kan också leverera resurser (processorkraft, minne, lagring) till flera kunder samtidigt, om servern har kapacitet för det. Molninfrastrukturens underliggande programvara (t.ex. OpenStack) fördelar automatiskt ut lasterna över de fysiska servrarna. Det kan ge en drift som är kostnadseffektiv samt miljö- och klimatvänlig. Exempel på publika molntjänster är Cleura Compliant Cloud och Cleura Public Cloud, Amazon Web Services (AWS), Microsoft Azure och Google Cloud Platform (GCP). Ett annat namn för detta är digital infrastruktur, eller molninfrastruktur.

En verksamhet kan även använda molninfrastruktur som privat molntjänst (private cloud), som i regel är single-tenant. Då väljs ett antal specifika fysiska servrar ut för att enbart betjäna en viss kund. Kunden delar då inte hårdvara med andra kunder. Ett privat moln kan driftsättas i kundens eget datacenter eller lokaler (on-premises), eller i en leverantörs datacenter. Ett privat moln ger kunden ökad kontroll och kan ha fördelar ur säkerhetssynpunkt. Det möjliggör samtidigt användning av samma moderna teknik och arbetssätt som ett publikt moln, för att utveckla och driftsätta applikationer. Verksamheten får också tillgång till molnets skalbarhet, inom de gränser som mängden avskiljd hårdvara tillåter. Cleura är en av flera leverantörer som bygger och tillhandahåller privata moln. Ett genuint privat moln går att tillhandahålla utan att molntjänstleverantören har någon som helst åtkomst till det privata molnet.

Det finns även hybridlösningar, eller hybridmoln (hybrid cloud). Det är en kombination av privat moln (eller annan drift on-premises) och publikt moln. Vissa laster hanteras i det privata molnet medan andra laster automatiskt nyttjar det publika molnet. Det kan vara användbart vid återkommande toppar med hög belastning, eller för specifika funktioner som är mer kostnadseffektiva i ett publikt moln. En fördel med just OpenStack som molninfrastruktur är att OpenStack kan driftas både som publikt moln och privat moln.

Traditionell utkontraktering av it-drift

Vissa verksamheter har sedan länge en intern serverdrift (on-premises) eller har utkontrakterat driften till en traditionell it-leverantör. Traditionell outsourcing av it-drift skiljer sig markant från köp av molninfrastruktur som tjänst (IaaS).

Vid traditionell utkontraktering av it-drift tillhandahåller leverantören ett antal fysiska servrar som står i leverantörens datahall. Dessa kallas ibland dedikerade servrar, eftersom de är öronmärkta för en viss kund, och varje server används i regel för en eller flera utpekade applikationer.

Om kunden behöver mer kapacitet så behöver kunden skicka en beställning till leverantören, vars personal i sin tur handlägger ärendet och anskaffar ytterligare fysiska servrar. Tidsåtgången för detta kan vanligen mätas i dagar, veckor eller rentav månader. Kunden kan dessutom behöva betala för tillgången till sina servrar oavsett i vilken grad de faktiskt används. Därtill saknas molnets automatiska skalbarhet, vilket gör att kapacitet förblir outnyttjad på servrar som endast används delvis.

Traditionell utkontraktering av it-drift är alltså inte lika flexibelt som att köpa modern molninfrastruktur som tjänst. Ibland behövs emellertid traditionell serverdrift, särskilt när äldre applikationer måste köras på specifik hårdvara och programvara.

Det händer att en verksamhet vill flytta sin traditionella serverdrift till molnet utan att ändra på de applikationer som ska driftas. Sådana så kallade lift and shift-projekt är relativt enkla att genomföra för att påskynda avvecklingen av intern serverdrift eller traditionell outsourcing. Dåtidens applikationer kan dock ha en arkitektur som är utformad för dåtidens serverdrift. Att flytta en äldre applikation ut i molnet, utan anpassning, blir därför inte alltid det mest kostnadseffektiva alternativet över tid. En sådan applikation kan mer eller mindre behöva byggas om för att dra nytta av molnets alla fördelar.

Det kan rentav vara mer rationellt att ersätta en äldre applikation med en modernare applikation, eller att bygga en ny applikation från grunden. Dels kan en nyare applikation nyttja molnets skalbarhet. Dels möjliggör det en mer effektiv applikationsförvaltning samt en ökad utvecklingstakt med moderna verktyg och arbetssätt.

Begreppet molntjänst har i någon mån använts så brett att innebörden slitits ut. Ibland avses med molntjänster alla slags digitala applikationer som tillhandahålls över internet, även om de driftas i en traditionell servermiljö. Det är därför värt att påminna sig om vad som utmärker just leveransformen molntjänster. Nämligen den automatiskt skalbara och elastiska poolen av delbara dataresurser i botten av infrastrukturen.

Plattform som tjänst (PaaS – Platform as a Service)

I en plattform som tjänst (PaaS) tillhandahåller leverantören en molntjänst med utvecklingsmiljöer, programbibliotek, API-baserade tjänster eller andra verktyg som riktar sig till verksamheter som utvecklar, driftsätter eller förvaltar applikationer, exempelvis genom DevOps.

I en renodlad plattform som tjänst kontrollerar kunden inte den underliggande molninfrastrukturen. Molntjänstleverantören ansvarar för operativsystem, lagring, beräkningskraft, nätverksresurser och andra delar av IaaS-lagret som ligger ”under” PaaS-lagret, men som behövs för att PaaS-lagret ska fungera.

Exempel på plattform som tjänst är tjänster för containerorkestrering som Cleura Container Orchestration Engine och Elastisys Kubernetes Platform.

Programvara som tjänst (SaaS – Software as a Service)

En programvara som tjänst är en digital lösning som är redo att nyttjas av sina slutanvändare (anställda, medborgare, konsumenter) och som leverantören vanligen tillhandahåller slutanvändarna via:

• webbläsare, genom att slutanvändarna besöker en webbplats, eller
• programvara installerad på slutanvändarnas datorer eller mobiltelefoner.

Ofta krävs det att varje slutanvändare har ett personligt användarkonto och loggar in på webbplatsen eller i programvaran.

Tjänstedelen av SaaS handlar om att lösningen nyttjas mot en löpande avgift, som en prenumeration, oftast med nya versioner och support inbakat i priset.

Det kan jämföras med den modell som var vanligare förr: verksamheter betalade då en engångskostnad för en specifik version av en programvara med evighetslicens. Ibland erbjöds därutöver support och uppdateringar mot en avgift.

Även om många SaaS-lösningar idag är helt webbaserade så finns det lösningar som medför installation av programvara, exempelvis på en dator eller mobiltelefon. Det betyder dock inte att all information stannar i programvaran, ”lokalt” på användarens dator eller mobiltelefon. En programvara kan fungera så att information som adderas till programvaran laddas upp till molnet, och att information som visas i programvaran först hämtas ner från molnet. Både uppladdning och nedladdning kan ske sömlöst, utan att slutanvändaren lägger märke till det.

En sådan lösning kan ha flera fördelar. Uppdaterad information finns alltid tillgänglig oavsett om slutanvändaren använder lösningen från en webbläsare, mobilapp eller datorprogram. Programvaran behöver inte i onödan lagra stora informationsmängder lokalt, utan hämtar och visar endast den information som är relevant och efterfrågas. Beroende på situation kan det också vara säkrare eftersom det primärt är molnlösningen som behöver skyddas; även om en slutanvändare blir av med sin mobiltelefon eller bärbara dator så hamnar inte en hel databas på vift.

En kund som köper en SaaS-lösning kontrollerar inte lösningens underliggande PaaS- eller IaaS-lager, såsom de programbibliotek, operativsystem eller nätverksresurser som SaaS-lösningen behöver för att fungera.

Exempel på SaaS-lösningar är:

• Boost.ai (chattbot)
• Fortnox (ekonomisystem)
• Scrive (e-signering och eID)
• Webdoc (journalsystem för vården)
• Mailbox.org och OpenTalk (e-post/kalender och videokonferens)
• Meaplus SEFOS (säker digital kommunikation för kommuner och regioner)

Flera av företagen bakom dessa lösningar nyttjar Cleuras molninfrastruktur.

Råd 3: Förstå vilken typ av molntjänst din verksamhet behöver

Den här vägledningens tredje råd är: förstå vilken typ av molntjänst din verksamhet behöver!

Det finns olika slags molntjänster, med olika egenskaper och ansvarsfördelning mellan kund och leverantör. Traditionell outsourcing lever dessutom kvar på sina håll, utan det moderna molnets skalbarhet. All användning av en extern it-leverantör är alltså inte likställt med användning av molntjänster.

När din verksamhet ska upphandla en extern it-tjänst så behöver den förstå de huvudsakliga leveransmodeller som finns och vad leverantören typiskt sett tar ansvar för i respektive leveransmodell. Hur din verksamhet beskriver sitt behov påverkar vad leverantörerna på marknaden uppfattar att de ska erbjuda.

Din verksamhet behöver särskilt förstå skillnaden mellan att köpa en modern, skalbar molntjänst jämfört med traditionell it-outsourcing med dedikerade servrar.

Är motivet för att gå till molnet att helt fasa ut den traditionella interna eller outsourcade it-driften? Ska verksamheten genomföra en lift-and-shift och därefter modernisera applikationsfloran?

Eller ska verksamheten börja med ett mindre steg, där den lägger ut en lämplig applikation i molnet för att lära sig hur det fungerar?

Vad kan ett steg ut i molnet kräva i form av perspektivförflyttning och kompetens?

Dessa frågor är lämpliga att diskutera med molntjänstleverantörerna på marknaden.

---

Väljer du it-leverantör eller it-lösning?

Amazon Web Services (AWS), Google Cloud Platform (GCP) och Microsoft Azure

Amazon Web Services (AWS), Google Cloud Platform (GCP) och Microsoft Azure är tre plattformar för digital infrastruktur (IaaS) som byggts av tre it-företag: Amazon, Google och Microsoft.

Var och en av dessa IaaS-lösningar kontrolleras av det it-företag som ursprungligen skapade respektive IaaS-lösning. Företagen utesluter i sin tur sina konkurrenter från att driftsätta och tillhandahålla varandras IaaS-lösningar. Din verksamhet kan alltså inte använda Azure hos Amazon, Google Cloud hos Microsoft eller AWS hos Google.

En verksamhet som använder exempelvis Azure behöver alltså ingå ett avtal med Microsoft enligt villkor som Microsoft bestämmer över. Det är också Microsoft som kontrollerar prissättningen. Det går alltså inte att konkurrensutsätta någon del av själva molntjänsten. Olika återförsäljares påslag kan möjligen skilja något, men det är en försvinnande liten del av den totala kostnaden för molntjänsten.

VMware Cloud

VMware Cloud är en infrastrukturlösning som byggts av it-företaget VMware. VMware har ingått avtal med vissa utvalda it-driftleverantörer som får sälja it-drift och hanterade it-tjänster baserat på VMware Cloud. En verksamhet kan också själv köpa licenser av VMware för att drifta VMware-lösningar lokalt, on-premises.

En verksamhet med it-drift baserad på VMware Cloud behöver acceptera att VMwares avtal kan reglera it-driften, potentiellt inbegripet hur VMware får hantera och använda uppgifter i molnet.

Ytterst är det också företaget VMware som kontrollerar prissättningen för VMware Cloud. Många verksamheter blev varse detta efter att teknikjätten Broadcom köpte VMware och i rask takt genomförde kraftiga prishöjningar. När VMware höjde priset gentemot it-driftleverantörerna, så behövde it-driftleverantörerna överföra prishöjningen till sina egna kunder. Verksamheter drabbades alltså även om de inte ens kände till att deras it-driftleverantör var beroende av VMware. En del it-driftleverantörer och kunder sjösatte därefter projekt för att migrera från VMware till OpenStack.

OpenStack

OpenStack är en IaaS-lösning med en viktig skillnad jämfört med de andra alternativ som nämnts. OpenStacks utveckling förvaltas av en ideell stiftelse, och OpenStack är till fullo tillgängligt under en öppen källkod-licens. Det betyder att vem som helst får använda OpenStack samt erbjuda OpenStack som tjänst till andra, utan att be någon om tillstånd eller betala några avgifter.

Det var ursprungligen it-företaget Rackspace och den amerikanska rymdstyrelsen NASA som byggde OpenStack. De två verksamheterna upptäckte att de på var sitt håll hade utvecklat kompletterande delar av en molninfrastruktur. De bestämde sig för att sammanfoga delarna till ett gemensamt projekt. Därmed skapade de, sett till funktionaliteten, ett alternativ till AWS.

The OpenStack Mission is to produce a ubiquitous Open Source Cloud Computing platform that is easy to use, simple to implement, interoperable between deployments, works well at all scales, and meets the needs of users and operators of both public and private clouds.

OpenStack is open source, openly designed, openly developed by an open community.

OpenStack wiki

Rackspace och NASA beslutade dessutom att dela med sig av OpenStack till resten av världen. De hade inget att förlora på att andra använde lösningen. Samtidigt skulle de själva gynnas av att låta andra bidra till att göra lösningen bättre. Sagt och gjort: de släppte OpenStack under en öppen källkod-licens. Licensen innebär att vem som helst får använda och distribuera OpenStack utan att be någon om tillåtelse och utan att betala några avgifter. OpenStack är fullt ut öppen källkod utan proprietära delar; det finns inte, och kommer inte finnas, någon särskild stängd betalversion med andra funktioner.

OpenStack förvaltas av stiftelsen OpenInfra Foundation. Stiftelsen är också värd för näraliggande projekt inom bl.a. AI/maskinlärning, CI/CD, containers och edge computing.

Stiftelsens arbete finansieras eller stöttas på olika sätt av över 560 organisationer. Bland stiftelsens medlemmar på Platinum-nivå finns bland annat Ericsson och Microsoft. På Guldnivå finns Cleura, som också är representerad i stiftelsens styrelse.

Stiftelsen reglerar och organiserar arbetet med OpenStack för att tjäna gemenskapens bästa, inte någon enskild aktörs särintresse. Utvecklingen sker transparent. De som aktivt bidrar till respektive OpenStack-projekt väljer sina teamledare, och projektmötena hålls i chattkanaler med offentliga loggar.

OpenStack har möjliggjort för europeiska och svenska molntjänstleverantörer att erbjuda infrastruktur som tjänst (IaaS) till verksamheter som av olika skäl föredrar OpenStack-baserad infrastruktur framför andra alternativ.

Verksamheter kan alltså välja en lösning för molninfrastruktur (OpenStack), levererad av en eller flera molntjänstleverantörer (Cleura och andra), eller driftad on-premises om så önskas, utan att betala någon licensavgift till stiftelsen OpenInfra Foundation eller till någon annan aktör, varken nu eller i framtiden. Verksamheter som köper OpenStack-baserad infrastruktur som tjänst betalar istället typiskt sett för ett supportavtal samt för nyttjade hårdvaruresurser.

En verksamhet kan därmed fullt ut konkurrensutsätta sitt behov av OpenStack-baserad molninfrastruktur. Det blir därmed möjligt att förhandla om eller på annat sätt konkurrensutsätta väsentliga aspekter som:

• Pris
• Säkerhet
• Supportnivå
• Governance-modell
• SLA:er för tillgänglighet
• Avtalsvillkor, exempelvis för uppgiftshantering

Råd 4: Skilj på leverantör och it-lösning

Den här vägledningens fjärde råd är: skilj på leverantör och it-lösning!

Med traditionella amerikanska molnlösningar som AWS, GCP och Azure, så är det en leverantör som kontrollerar själva molnlösningen, dess villkor, driften och priset. I princip ingenting går att konkurrensutsätta när din verksamhet väl har valt en av dessa molnlösningar.

Med en it-drift baserad på VMware Cloud kan verksamheten konkurrensutsätta vissa aspekter. Olika leverantörer kan sköta driften med olika nivåer av tillgänglighet och support, och governance-modeller. Däremot blir verksamheten fortfarande beroende av en viss leverantör, VMware, som kontrollerar prissättningen (gentemot kunden eller kundens driftleverantör). VMware har dessutom egna villkor som kan reglera it-driften, potentiellt inbegripet hur VMware får hantera och använda informationen i molnet.

Med en molninfrastruktur byggd på OpenStack finns inga monopol. Din verksamhet kan välja OpenStack utan att det valet binder verksamheten till en viss leverantör. Ett flertal leverantörer tillhandahåller OpenStack-baserad molninfrastruktur som tjänst. Ingen av dessa leverantörer behöver be någon om tillåtelse eller betala några licensavgifter. OpenStack och relaterade projekt utvecklas och förvaltas av en ideell stiftelse med hundratals medlemsorganisationer.

En verksamhet kan konkurrensutsätta och om nödvändigt flytta mellan olika leverantörer som erbjuder OpenStack-baserad infrastruktur som tjänst, för att erhålla den kombination av SLA, villkor för uppgiftshantering, cybersäkerhet, governance-modell och pris som passar verksamheten bäst.

Vissa teknikval innebär per automatik att din verksamhet väljer, eller blir beroende av, en viss leverantör. Andra teknikval bryter med den logiken – och upplöser likhetstecknet mellan en viss teknik och en viss leverantör.

Ett genuint fritt val mellan olika leverantörer gör att din verksamhet kan realisera nyttan av verklig konkurrens. Leverantörer som kan konkurrensutsättas har starka incitament att vara tillmötesgående, lyhörda mot kunders och potentiella kunders behov samt ge konkurrenskraftiga priser. Kunderna befinner sig i en starkare position både när avtal ska upphandlas och inför varje förlängning. Det leder till en helt annan dynamik mellan kund och leverantör. En dynamik som fortsätter även efter att kontraktet har tecknats, år efter år, årtionde efter årtionde.

När valet av teknik är likställt med valet av en leverantör, så hämmas istället dessa incitament.