Cloud Computing

När Microsoft publicerade sin kvartalsrapport förra veckan sa företagets finansdirektör Amy Hood att kunderna ville ha mer molnkapacitet för sina AI-arbetsbelastningar än vad företaget kunde leverera.

”AI-efterfrågan på kort sikt är lite högre än vår tillgängliga kapacitet”, sa Hood på torsdagen under ett konferenssamtal för att diskutera företagets kvartalsresultat för kvartalet som slutade den 31 mars.

Microsoft redovisade intäkter på 61.9 miljarder dollar för kvartalet, en ökning med 17 procent jämfört med föregående år, varav 26.7 miljarder dollar (+ 21 procent) kom från bolagets Intelligent Cloud-segment, som består av Azure och andra publika, privata och hybridserverprodukter och molntjänster. Molnsiffran exkluderar Bing Search och Xbox Cloud Gaming, som ingår i segmentet More Personal Computing, där intäkterna ökade med 17 procent till 15,6 miljarder dollar, samt Microsoft 365 och Dynamics 365, som ingår i segmentet Productivity and Business Processes, där intäkterna ökade med 12 procent till 19,6 miljarder dollar.

Inom Intelligent Cloud-segmentet ökade intäkterna från Azure och andra molntjänster med 31 procent jämfört med föregående år, vilket överträffade förväntningarna, och AI-tjänster bidrog med 7 procentenheter av tillväxten, enligt Hood.

Men Azures tillväxt kunde ha varit ännu större: Bristen på AI-molnkapacitet påverkade intäkterna under kvartalet och kommer att göra det även under nästa kvartal, sa Hood.

Balansera utbud och efterfrågan

Microsoft måste balansera molnefterfrågan varje kvartal mot sina investeringsplaner för infrastruktur för nästa, och planerar redan att spendera mer. ”Vi förväntar oss att investeringarna kommer att öka väsentligt på en sekventiell basis driven av infrastrukturinvesteringar i moln och AI” sa Hood.

Denna balansgång, enligt Dylan Patel, chefsanalytiker på analysföretaget Semianalysis, kan ses i företagets stegvisa utrullningsplan för AI-copiloter i olika tjänsteerbjudanden.

– Det finns många funktioner som har utvecklats för Windows- och Office-copiloterna utan att ha distribuerats på grund av bristen på datorkraft. Github Copilot använder fortfarande en mycket mindre modell, säger Patel.

När leverantörer inte kan möta efterfrågan inom andra områden kan de höja priserna tills efterfrågan minskar, eller så kan kunderna söka alternativa källor eller byta till andra produkter.

Det är dock osannolikt att kunderna skulle gå någon annanstans, eftersom AI-arbetsbelastningar ofta drivs av stora mängder företagsdata från applikationer som körs i samma moln. Bara kostnaden och komplexiteten i migrationsprocessen skulle avskräcka befintliga företagskunder från att flytta till en annan molnleverantör på grund av kortsiktiga kapacitetsproblem.

– Ibland kan den tekniska skulden som uppstår vid migrering av ett väletablerat projekt uppväga eventuella problem med latens, säger Bradley Shimmin, chefsanalytiker på analysföretaget Omdia, och tillägger att företag som använder AI för verksamhetskritiska applikationer skulle vara ännu mindre benägna att byta leverantör.

Och även om Microsoft kan ha gått miste om lite intäktstillväxt till följd av kapacitetsbegränsningarna, menar analytikerna att det inte finns någon risk att företaget förlorar nya kunder till sina konkurrenter.

– Efterfrågan på AI är så stor att det helt enkelt inte finns tillräckligt med kapacitet för att sätta in stora språkmodeller i alla applikationer som företag vill ha. Både AWS och Google har också kapacitetsproblem. Microsoft är inte unikt, säger Patel på Semianalysis.

Företaget kan till och med ha ett försprång eftersom det började bygga ut sin AI-stack före sina konkurrenter, säger han.

– AWS och Google tillhandahåller fortfarande inte modeller med GPT-4 Turbo-funktioner fullt ut, till exempel, säger Patel och tillägger att hans företags analys visar att Microsoft inte längre förlorar pengar på API-anrop och har en sund marginal, vilket ger det ännu en fördel mot rivalerna.

Prisökningar osannolika

Även med en till stor del bunden kundbas är det osannolikt att Microsoft kommer att ta till prishöjningar som ett sätt att hantera efterfrågan, åtminstone på kort sikt, enligt analytikerna.

Med omogna tekniker som generativ AI står Microsoft och dess konkurrenter inför utmaningar med att exakt förutse förändringar i efterfrågan, enligt Dhaval Moogimane, på det digitala tjänsteföretaget West Monroe. Även om tillfälliga avvikelser mellan kapacitet och efterfrågan kan kvarstå är det osannolikt att det kommer att manifesteras som ett långvarigt eller systemiskt problem som skulle leda till prishöjningar, säger Moogimane.

Istället, säger Bradley Shimmin på Omnia, kommer Microsoft och andra hyperscalers sannolikt att använda sig av andra taktiker för att hantera efterfrågan, till exempel att nedgradera svarstiderna för kunder som betalar mindre eller att använda sig av batch inferencing, en process där förutsägelser görs, lagras och senare presenteras på begäran. Detta kan vara mer effektivt än online eller dynamisk inferencing, där förutsägelser genereras i realtid.

Batchinferens, särskilt som stöd för API-anrop, håller snabbt på att bli ”en grej” bland modellhostingleverantörer enligt Shimmin.

Kunderna bör inte bli förvånade över obalansen mellan efterfrågan och utbud inom cloud computing, enligt IDC-analytikern Rijo George Thomas: Det är inget nytt och företag har klagat på dem sedan början av covid-pandemin. 

– IDC:s Wave-undersökningar har visat att begränsningar i leveranskedjan var ett av de största problemen och att det påverkade deras tekniska strategier och budgeta”, säger Thomas.

IBM meddelar att de kommer att köpa automatiseringsföretaget Hashicorp för 6,4 miljarder dollar, motsvarande 69 miljarder kronor.

När affären har slutförts, vilket förväntas i slutet av 2024, planerar IBM att ytterligare integrera Hashicorps automatiseringsteknik i sina Red Hat-, Watsonx-, datasäkerhets-, it-automatiserings- och konsulterbjudanden. IBM använder redan Hashicorp-teknik i många av sina molnerbjudanden.

Hashicorps produkter inkluderar det populära Terraform-paketet, som gör det möjligt för kunder att automatiskt tillhandahålla infrastruktur, nätverk och virtuella komponenter över flera molnleverantörer och lokala miljöer. Företaget erbjuder även Vault för identitetsbaserad autentisering och för att auktorisera åtkomst till känslig data, Nomad för workload orchestration, Boundary för säker fjärråtkomst och Consul för tjänstebaserat nätverkande.

Dessutom har Hashicorp teknikavtal med de flesta större molnleverantörer, inklusive Amazon Web Services, Google Cloud och Microsoft Azure.

HashiCorp är ”ett företag som vi har samarbetat med under lång tid och som vi tror passar utmärkt strategiskt med IBM”, säger Arvind Krishna, IBM:s vd, under en telefonkonferens. 

– Företagskunder brottas med en aldrig tidigare skådad expansion av infrastrukturapplikationer i offentliga och privata moln, såväl som i lokala miljöer, vilket gör detta till den perfekta tidpunkten att genomföra detta förvärv, säger Krishna. 

– Eftersom generativ AI-användning accelererar vid sidan av traditionella arbetsbelastningar, arbetar utvecklare med alltmer heterogena, dynamiska och komplexa infrastrukturstrategier. Hashicorp har en dokumenterad erfarenhet av att hjälpa kunder att hantera komplexiteten i dagens infrastruktur genom att automatisera, orkestrera och säkra hybrid- och multi-cloud-miljöer. 

Hashicorp blir ett strategiskt tillskott till IBM-portföljen och utökar Red Hats hybridmolnfunktioner för att tillhandahålla automatiserad livscykelhantering av infrastruktur och säkerhet från början till slut, säger Krishna. 

– Terraform är branschstandarden för automatisering av infrastruktur för dessa miljöer med säkerhet i fokus för alla företag, säger Krishna.

Genom att till exempel kombinera konfigurationshanteringsfunktionerna i Red Hats Ansible Automation Platform och Terraforms automatisering kommer det att förenkla provisionering och konfiguration av applikationer i hybridmolnmiljöer, säger IBM.

Hashicorp-affären blir IBM: s tredje förvärv av året och det trettonde sedan 2023. Företagets förvärv 2018 av mjukvaruföretaget Red Hat för 34 miljarder dollar är fortfarande dess största uppköp hittills.

Dave McJannet, Hashicorps vd, kommer att rapportera till Rob Thomas, IBM: s senior vice president med ansvar för programvara, om affären går igenom, enligt IBM.

Den europeiska lobbyorganisationen Cloud Infrastructure Services Providers in Europe (CISPE) är starkt kritisk till Broadcoms svar på oron om de licensförändringar som företaget har infört på marknaden.

Förra veckan presenterade Broadcoms vd Hock Tan förändringar i VMwares licensvillkor efter frågor från EU:s konkurrensmyndigheter och vissa branschorganisationer om teknikjättens förvärv av molntjänstföretaget.

De förändringar som meddelades omfattade prissänkningar och nya bestämmelser som gör det möjligt för kunder att överföra sina arbetsbelastningar från privata datacenter till molnleverantörer och mellan olika molntjänster. Dessutom presenterade VMware en fullständig övergångsplan för att införa en prenumerationsmodell.

CISPE avfärdar dessa förändringar, hävdar att priserna faktiskt inte har minskat och anklagar Broadcom för att försöka dölja de viktigaste frågorna i tvisten.

I ett uttalande säger organisationen att den ekonomiska bärkraften för många molntjänster som används av kunder i Europa hotas av ”de massiva och omotiverade prishöjningarna, återpaketering av produkter, den förändrade faktureringsgrunden och införandet av orättvisa licensvillkor för programvara som begränsar valfriheten och låser in kunder och partner.”

Anti-moln-metoder

CISPE påpekar att problemet inte är själva licensmodellen utan att den inte tillåter flexibla pay-as-you-go-modeller som hjälper kunder och leverantörer att skala resurser efter efterfrågan.

”Broadcoms nya villkor är motsatsen och är i grunden anti-moln, eftersom de tvingar partners att binda sig och betala i förväg för virtualiseringskapacitet som de kanske aldrig kommer att behöva”, säger branschorganisationen. 

CISPE påpekar att de nya villkoren innebär att kunderna i stället för att använda en pay-as-you-go-modell baserad på faktisk användning – en vanlig praxis för molninfrastruktur och tidigare för VMware – nu måste göra ett förhandsåtagande för tre års kapacitet baserat på potentiell användning av serverkärnor.

Medlemmar i CISPE är bland annat AWS och flera andra molnföretag som Aruba och Anexia.

– För oss är det som att få höra att den pacemaker vi är beroende av för att överleva plötsligt kommer att kosta flera gånger mer att använda, säger Alexander Windbichler, vd för Anexia, i CISPE:s uttalande. 

– Ja, vi kan byta ut den, men då måste vi hitta ett alternativ, schemalägga en operation och räkna med vila och fysioterapi för att återhämta oss. Allt detta tar tid och resurser, vilket vi inte erbjuds. Vi kräver en paus för att överväga våra möjligheter och genomförbara alternativ som gör att vår verksamhet kan blomstra.

Nedlåtande mot kunderna?

CISPE kritiserar också Broadcom för att diktera kundernas behov och insistera på att de nya priserna är lägre trots att det i verkligheten finns bevis på motsatsen.

Man menar att förändringar som nya paket, en övergång från minnesbaserad till kärnbaserad prissättning och borttagandet av vissa populära produkter har lett till en betydande prisökning, med priser som stigit med faktorer på 6, 10 eller till och med 12, i motsats till påståenden om minskade kostnader.

Intresseorganisationen uppmanar Europeiska kommissionen och andra tillsynsmyndigheter att inleda formella undersökningar av de dominerande programvaruföretagens praxis, som man anklagar för att använda orättvisa licensförfaranden för att manipulera marknadsdynamiken till sin fördel.

”Vi har sett liknande beteende från Microsoft och nu Broadcom”, säger CISPE. ”Dessa dominerande leverantörers förmåga att diskriminera genom att välja vem som kan och inte kan licensiera deras programvara är en uppenbar form av snedvridning av marknaden.”

Avvisar erbjudande om nolldagssäkerhet

Broadcom har också meddelat att man kommer att ge fri tillgång till nolldagars säkerhetspatchar för stödda versioner av vSphere, med planer på att utvidga detta till andra VMware-produkter över tiden.

CISPE avfärdar dock även denna gest och kritiserar den för dess begränsningar. Intresseorganisationen beskriver den fortsatta supporten av nolldagspatchar för befintliga innehavare av eviga licenser som otillräcklig, och menar att bara löftet om att åtgärda kritiska programvarufel om kunderna inte byter till den nya prenumerationsmodellen gränsar till exploaterande metoder.

Den senaste versionen av Anthropics Claude AI, Claude 3 Opus, är nu tillgänglig på Amazons tjänst Bedrock, och erbjuder högre prestanda på mer öppna uppgifter till företag som använder Amazon för tillgång till generativa AI-modeller.

Enligt ett tillkännagivande från Amazon fördubblar Claude 3 Opus noggrannheten i AI: s svar på svåra, nya och öppna frågor. Genom att erbjuda Claude 3 Opus via Bedrock vill Amazon göra det möjligt för företag att utveckla mer robusta och funktionsrika applikationer baserade på generativ AI, till exempel komplexa finansiella prognoser och FoU.

Automatisering av uppgifter, forskning och till och med uppgifter på hög nivå som att formulera strategier är alla inom räckhåll för Claude 3 Opus, säger Amazon. ”Eftersom företagskunder förlitar sig på Claude inom branscher som sjukvård, finans och juridisk forskning, är förbättrad noggrannhet avgörande för säkerhet och prestanda”, säger uttalandet.

Amazon är också en direkt investerare i Anthropic. Efter att ha meddelat ett tillskott på 2,75 miljarder dollar till företaget i slutet av förra månaden uppgår dess totala investering i Anthropic till 4 miljarder dollar.

Claude 3 Opus släpptes i mars, och dess inkludering i Bedrock – en molnplattform utformad för att låta utvecklare arbeta med en rad olika generativa AI-modeller genom ett gemensamt API – fortsätter trenden med att Amazon tar med de senaste modellerna från Anthropic till sin plattform. Den senaste och mest robusta versionen av Claude, Opus, ger färre hallucinationer, bättre visuell bearbetning och färre felaktiga vägran att utföra ofarliga uppgifter, sade Anthropic då.

”Den uppvisar nästan mänskliga nivåer av förståelse och flyt i komplexa uppgifter, vilket leder till gränsen för allmän intelligens”, sa företaget.

Amazons uttalade strategi med generativ AI håller på att förändras, sa vd Andy Jassy förra veckan i ett årligt aktieägarbrev, och rör sig bort från interna, konsumentinriktade AI-applikationer och mot system som Bedrock, vilket gör det möjligt att sälja tjänster via webben till företagsanvändare.

Det är ett område där stora hyperscalers som Amazon har en viktig fördel, enligt experter; att faktiskt driva de LLM som ligger till grund för generativ AI och dess tillhörande applikationer kräver den typ av omfattande datainfrastruktur som endast stora plattformsleverantörer och de största företagen har råd med.

Bedrock konkurrerar med liknande erbjudanden från andra hyperscalers, inklusive Azure AI Studio från Microsoft och Vertex AI Generative AI Studio, från Google. Bedrock har inte samma tillgång till OpenAI-modeller som Azure AI Studio och har totalt sett färre AI-modeller tillgängliga, men kostnaderna för prompt engineering och vissa typer av apputveckling tenderar att vara lägre på Amazons plattform.

Företag som vill använda SaaS-lösningar bör involvera säkerhetsteamet i upphandlingsprocessen och vara uppmärksamma på avtalsspråket.

Nästan alla organisationer i världen är beroende av SaaS, software as a service. Medelstora och stora företag kan ha mer än 130 SaaS-applikationer och för företag med mer än 10 000 anställda kan antalet överstiga 400. När data lagras på så många ställen och hanteras av så många parter är det inte ovanligt att säkerhetsproblem uppstår, särskilt om avtalen med leverantörerna inte har förhandlats fram på rätt sätt.

Det hände nyligen Bloomtechs medgrundare Austen Allred, som inte kunde exportera sitt företags data från Slack utan att ingå ett nytt, kostsamt avtal. Även om situationen i slutändan löstes, belyste den de potentiella komplikationer som är förknippade med data som lagras på SaaS-plattformar, och fungerar som en varningssignal för andra företag.

– SaaS var tänkt att vara: Jag ger dig pengar med min högra hand, och jag tar en mjukvara som en tjänst med min vänstra hand, säger Shiva Nathan, vd för startup-företaget Onymos som utvecklar appar. 

– Men jag måste ge pengar och data för att mjukvaran som tjänst ska fungera.

Detta öppnar dörren för utmaningar relaterade till datahantering. I Bloomtechs fall handlade det om tillgång till data, men andra problem kan vara relaterade till integritet, efterlevnad och datasuveränitet. 

Därför måste företag som använder SaaS-lösningar vidta lämpliga säkerhetsåtgärder, vara uppmärksamma på avtalsspråket och involvera säkerhetsteam i upphandlingsprocessen när det är möjligt.

– Du vill inte bli gisslan hos en SaaS-leverantör som du har gett dina uppgifter till, säger Shiva Nathan. 

– Om du sitter i ledningsgruppen är data den främsta prioriteringen 2024, och förmodligen de närmaste åren tills vi får ordning på saker och ting. Data är så viktigt att folk måste börja oroa sig för det.

Ha en exitstrategi från början

Innan en SaaS-lösning används måste organisationerna veta exakt vad de vill ha och noggrant utvärdera de villkor och tjänster som tillhandahålls av leverantören. Dessa dokument kan vara fulla av problem –  de är långa och har ett invecklat språk, vilket gör det skrämmande och opraktiskt att läsa dem. 

– Click-through-avtal är mjukvarubranschens gissel, säger Shiva Nathan. 

– Du hittar inga klickavtal när du köper en bil eller något annat.

Bakom den juridiska jargongen döljer sig ofta viktiga detaljer som kan ha stor inverkan på hur en organisation använder tjänsten. 

Andrej Dumitru, vice ordförande vid Institute of Operational Privacy Design, säger att organisationer måste fastställa en exitstrategi innan de ingår ett avtal med en SaaS-leverantör.

–  Det är viktigt att se till att data kan tas ut till en känd och hanterbar kostnad och i ett bärbart format som kan användas med en alternativ tjänst, säger han.

Viktiga frågor att ta hänsyn till här är om det finns en frist för att hämta data och om det finns en bestämd process för att radera data för att förhindra att de finns kvar på leverantörens servrar. Vid avtalets slut bör det finnas en beskrivning av dataexportformatet, vilket kan hjälpa ett företag att få en smidigare övergång till en alternativ tjänst.

 – Företagen bör ha en tydlig uppfattning om kostnaderna och tidsramen för att ta bort data, säger Andrej Dumitru.

–  I allmänhet är det gratis att lägga in data, men mycket dyrt att ta bort data från en SaaS-tjänst.

En annan viktig aspekt som företag behöver känna till är om de kan ha full kontroll över sina data och vad som händer med dem. 

– Hur definierades era data i användarvillkoren? Vem äger den? Vem kontrollerar den? Hur kommer den att användas? Det  är några av de frågor som bör ställas, säger Shiva Nathan.

Daniel Walker, medgrundare av Zegal, håller med. 

– Gå igenom villkoren med en finkam. Det är klokt att skapa egna säkerhetskopior av data så att du inte är helt beroende av SaaS-leverantören.

Alternativt kan organisationer välja lokalt distribuerade lösningar som erbjuder samma funktioner. Säkerhets- och it-teamen kan arbeta tillsammans för att identifiera leverantörer som erbjuder datafri arkitektur och fullt ägande över licensierad källkod.

Var uppmärksam på dåligt avtalsspråk

Vanligtvis tjänar avtal leverantörens intressen, så företag som vill använda SaaS-lösningar måste vara uppmärksamma på de varningssignaler som kan döljas i juridiken. Daniel Walker minns ett fall som hans företag arbetade med för några år sedan och som involverade en snabbt växande organisation som beslutade att integrera en SaaS-lösning för kundrelationshantering. 

Företaget förstod inte till fullo det avtal som det undertecknade. 

– Avtalet var vagt på flera kritiska punkter, särskilt när det gällde villkoren för tjänsten och policyn för datahantering, säger han.

Några månader efter att avtalet trätt i kraft meddelade SaaS-leverantören att villkoren ändrats, att rättigheterna till dataanvändning ändrats och att ytterligare avgifter införts för funktioner som kunden hade kommit att förlita sig på. 

– De nya villkoren medförde inte bara oväntade kostnader utan väckte också frågor om säkerheten och integriteten för kunddata, säger Daniel Walker. 

– Det vaga ursprungliga avtalet gav företaget små möjligheter att bestrida dessa förändringar eller söka alternativ utan att ådra sig betydande förluster.

På senare tid har vissa SaaS-leverantörer utnyttjat det komplexa avtalsspråket för att få ut mer pengar från kunderna. 

– Det är en ny och mycket otrevlig trend i vår bransch att hålla säkerhetsfunktioner bakom en extra betalvägg, säger Eyal Manor, VP för produkthantering på Check Point Software Technologies. 

– Att lägga grundläggande säkerhetsfunktioner bakom ett dyrare avtal känns som att be folk betala extra för att lägga till säkerhetsbälten i sina bilar.

Eyal Manor ser flera oroväckande situationer, förutom dataåtkomst i utbyte mot pengar. 

– Vissa mjukvaruföretag vill till exempel inte granska inloggningar eller låta dig använda SSO utan en dyrare produkt, säger han.

För att förhindra några av dessa problem bör företag som använder SaaS-lösningar se till att avtalen är tydliga. Alla vaga formuleringar på det här området ”kan leda till huvudvärk längre fram”, säger Daniel Walker. 

– Om det inte är kristallklart att din organisation behåller äganderätten till sina data är det en kraftig varningssignal.

All denna juridik kan låta förvirrande, men generativ AI kan hjälpa till, säger Eyal Manor. 

– Kul grej: du kan be dessa verktyg att kontrollera saker i användarvillkoren, förklarar han. 

– Om man till exempel frågar något i stil med ”kan företaget sälja mina data vidare om jag använder den här appen?” får man ett ganska lättläst svar.

Om det finns avsnitt i avtalet som kräver ändringar bör organisationerna ta sig tid att diskutera dessa med SaaS-leverantören.

–  Förhandla alltid om villkoren, sök juridisk rådgivning för att skydda dina intressen och minimera riskerna, säger Nigel Gibbons, senior rådgivare på NCC Group.

Ett avtal är mer än bara en formalitet, det är avgörande. “Det är inte bara pappersarbete”, säger Daniel Walker. 

– Det är ditt skyddsnät – det säkerställer att SaaS-leverantören har skinn på näsan när det gäller att hålla dina uppgifter säkra.

Håll koll på efterlevnad av säkerhetskrav

Efterlevnad är utan tvekan en annan sträng fråga som företag som använder SaaS-lösningar måste vara uppmärksamma på. Vissa av de regler som de måste följa ingår i EU:s GDPR och Kaliforniens CCPA, men det dyker hela tiden upp nya regler på olika geografiska platser. Organisationer måste se till att de SaaS-lösningar de använder håller jämna steg med allt som händer på den här fronten.

– Att följa lagar och regler är en av de snabbast växande utmaningarna, eftersom standarder och regler blir så dynamiska, säger NCC:s Nigel Gibbons. 

För att hantera detta måste organisationerna se till att de använder rätt verktyg och har rätt personer på plats för att övervaka förändringar i lagstiftningen och anpassa sina efterlevnadsstrategier därefter.

Företag som verkar över gränserna måste navigera i komplexa regelverk och säkerställa efterlevnad av olika lagar och standarder i varje jurisdiktion, vilket ofta kräver specialkunskaper och strategier. 

– Om du till exempel lagrar data i ett land som tillåter myndigheter att få tillgång till data av nationella säkerhetsskäl, men du kommer från ett land med striktare integritetsskydd, kan du hamna i kläm, säger Daniel Walker på Zegal.

Även om stora SaaS-leverantörer har börjat erbjuda mer lokala datalagringsalternativ är problemet inte helt löst. 

– Åtminstone i Europa finns det fortfarande mycket att göra för att skapa ett ekosystem av SaaS-alternativ som kan konkurrera med de etablerade plattformarna utomlands och uppfylla suveränitetskraven, säger Andrej Dumitru.

När företag överväger att införa en SaaS-applikation bör de sträva efter ”en försiktig strategi”, som Nigel Gibbons uttrycker det, vilket innebär att granska leverantörerna avseende efterlevnad och säkerhet, göra regelbundna applikationsutvärderingar och vara uppmärksamma på varje detalj.

Involvera säkerhetsteamet i upphandlingen

De flesta experter menar att säkerhetsteamen måste spela en central roll i upphandlingsprocessen för SaaS-lösningar när det är möjligt. På så sätt kan företagen säkerställa att leverantörerna uppfyller höga standarder för säkerhet, dataskydd och efterlevnad. 

– Detta innebär att man kontrollerar organisationens efterlevnad, exempelvis erkända säkerhetscertifieringar som ISO 27001 eller SOC 2, krypteringsrutiner och efterlevnad av bestämmelser som GDPR eller HIPAA, säger Nigel Gibbons. 

Säkerhetsteamen kan utvärdera leverantörernas policyer för datahantering, incidenthantering, dataregionalisering och integritet. De kan utvärdera ett servicenivåavtal för till exempel  tillgänglighet och säkerhetsmätningar. 

De kan också granska leverantörens säkerhetskultur och rutiner, inklusive revisioner från tredje part, och bekräfta funktioner som multifaktorautentisering och dataåterställning. Helst bör företagen göra säkerhetsbedömningar av dessa produkter i realtid och vara så noggranna som möjligt. 

– För SaaS-lösningar med hög risk kan leverantörerna utsättas för en red teaming-övning för robusthet, säger Nigel Gibbons.

Andrej Dumitru håller med. 

– Även om få SaaS-lösningar går med på att bli pen-testade är det fortfarande en fråga som är värd att ställa, säger han. 

– Det är ett gott tecken om en SaaS-leverantör kan svara på alla frågor om dataskydd och informationssäkerhet och ger detaljer om hur den skyddar data, säkerställer tillgänglighet och katastrofåterställning.

Men enligt Eyal Manor är det tyvärr i många fall inte särskilt praktiskt att inkludera säkerhetsteam i upphandlingsprocessen. 

– Många av de SaaS-tjänster som används idag följer Product Lead Growth-metoden, vilket innebär att en användare kan använda produkten gratis innan han eller hon köper den, eller till ett mycket lågt pris, tillägger han. 

– Därför används många SaaS-tjänster i organisationen innan den kommer till upphandlingsfasen, och då kan det vara för sent att backa.

Ett sätt att hantera detta är att låta säkerhetsteamen hålla ett öga på SaaS-produkterna hela tiden, inte bara under upphandlingsprocessen. 

– Det är viktigare att ha uppsikt över den SaaS som används än att ha uppsikt över vad som kommer att användas, säger Eyal Manor. 

– Det rätta att göra är vanligtvis att använda en produkt som hjälper dig att spåra risken för olika SaaS-tjänster som används i din organisation

En annan möjlighet är att leta efter mer etiska SaaS-leverantörer. 

– Den bästa lösningen på problemet är att återuppfinna SaaS en tjänst i taget, säger Shiva Nathan.

– Låt leverantörerna säga att vi tillhandahåller mjukvaran som en tjänst på de data som ni äger och kontrollerar var ni än lagrar data, och vi kommer inte att se data. Det är det nya som är på gång, och om fem år tror jag att mjukvara som tjänst kommer att uppfinnas på nytt.

EU arbetar vidare med sin nya certifiering för cybersäkerhet, som ska göra det lättare för myndigheter och företag i unionen att välja leverantörer. Ett förslag som varit på agendan är ett suveränitetskrav, som skulle kräva att leverantören inte skulle svara under lagstiftning från ett icke-EU-land. Det skulle i praktiken kräva att Microsoft, Google och Amazon skapar ett joint venture med ett lokalt bolag, som sedan får hantera kundernas data, för att få den frivilliga certifieringen.

Förslaget har väck kritik från flera håll för att vara mer av ett politiskt krav än ett krav ur teknisk synvinkel. Och nu rapporterar Reuters att EU ser ut att backa från kravet.

I ett nytt utkast till regler för certifieringar, som nyhetsbyrån tagit del av, är suveränitetskravet struket. Istället behöver leverantörerna bara informera kunderna om var datan hanteras och vilka lagar som gäller.

EU-kommissionen har inte kommenterat Reuters uppgifter.

Efter att tidigare ha sagt upp medarbetare på Prime Video, MGM Studios och Twitch går nu Amazon vidare och säger upp flera hundra personer på AWS, rapporterar AP. 

Enligt företaget ligger ett strategiskt skifte bakom neddragningarna. 

Det handlar om några hundra i det team som övervakar teknik för fysiska butiker – där Amazon just meddelat att de lägger ner sin teknik för kassalösa butiker, Just Walk Out. 

Ett par hundra jobb ska också försvinna inom AWS försäljning, marknadsföring och globala serviceorganisation, många av dem är relaterade till olika förändringar i utbildnings- och certifieringsprogram och även i försäljningsverksamheten. 

Utgifterna för databehandlings- och lagringsinfrastruktur för molninstallationer ökade med 18,5 procent jämfört med föregående år under det fjärde kvartalet 2023, enligt den senaste uppdateringen av IDC Worldwide Quarterly Enterprise Infrastructure Tracker, som publicerades förra veckan. Det totala antalet levererade enheter minskade dock, vilket återspeglar molnjättarnas aptit på GPU-tunga servrar med hög kapacitet och högre genomsnittliga försäljningspriser.

AI ligger bakom den kraftiga ökningen av utgifterna för molninfrastruktur, enligt Lidice Fernandez, Group Vice President på IDC och en av medförfattarna till rapporten. Mer specifikt är det den snabba uppbyggnaden av AI-kapacitet hos några av de största företagen inom tekniksektorn, inklusive stora hyperscalers som Google och Microsoft, i kombination med det faktum att den hårdvara som behövs för att hantera AI-centrerade arbetsbelastningar involverar dyr GPU-hårdvara.

– Dessa stora, stora, mega-datacenter är de som påverkar volymerna, säger hon. 

– Så i år började vi se att alla dessa stora hyperscalers och molntjänstleverantörer föredrog GPU-rika konfigurationer, som tenderar att vara dyrare när det gäller bearbetningskapacitet.

Samtidigt kan de dyra, GPU-tunga enheterna hantera tyngre arbetsbelastningar, vilket innebär att dessa företag behöver färre av dem för att skapa en viss mängd kapacitet, tillade Fernandez.

– Du behöver förmodligen färre lådor för att klara samma arbetsbelastning, så den dynamik vi ser, när det gäller de största köparna av infrastruktur, kommer att fortsätta exponentiellt under bara ett par år, säger hon.

Sett till faktiska siffror ökade försäljningen av molninfrastrukturprodukter under fjärde kvartalet 2023 med 18,5 procent jämfört med föregående år, till totalt 31,8 miljarder dollar. Det är högre än utgifterna för icke-molnbaserad databehandlings- och lagringsinfrastruktur, enligt IDC:s data, som ökade med 16,4 procent jämfört med föregående år, till 18,9 miljarder dollar. Det totala antalet enskilda leveranser av molnutrustning minskade med 22,8 procent under samma tidsperiod.

Den höga efterfrågan bland hyperscalers och stora tjänsteleverantörer gjorde också att IDC:s data lutade sig mot den publika molnsidan av ekvationen. ”Delad” molninfrastruktur, som till stor del omfattar driftsättningar av typen publika moln, ökade med 27 procent jämfört med året innan och uppgick till 22,8 miljarder dollar. Det motsvarar också nästan 45 procent av de totala globala infrastrukturutgifterna, moln eller icke-moln. Däremot ökade ”dedikerade” moln, som främst består av privat molninfrastruktur, med bara 1,4 procent under samma tidsperiod, till 9 miljarder dollar.

– De flesta av utgifterna fortsätter att vara koncentrerade till det publika molnet, säger Fernandez.

Räkna inte bort tillväxten för privata moln

Fernandez konstaterar dock att privata moln kommer att förbli viktiga under överskådlig framtid, inte minst eftersom molnanvändarna i gemen – inte hyperscalers och tjänsteleverantörer – har ett betydande och potentiellt växande behov av dem.

– Allt som finns kvar finns där av en anledning. I många fall handlar det om integritet, efterlevnad och säkerhet.

Massor av arbetsbelastningar som är verksamhetskritiska – särskilt de som omfattas av branschspecifik lagstiftning eller nya bestämmelser i exempelvis EU – har inte bara behållits i privata eller on-prem-distributioner, utan många som har flyttats till det publika molnet ”repatrieras”, säger Fernandez.

– Om man ser till de övergripande siffrorna är de relativt stabila när det gäller utgifter. Den infrastrukturen måste fortsätta att underhållas, distribueras och uppdateras i en viss takt.

Den tysktalande användargruppen för mjukvarujätten SAP säger att kundernas vilja att investera i företagets molnprodukt S/4HANA ökar, men fortfarande släpar efter flaggskeppsprodukter som ECC 6, och vissa kunder ser behovet av mer diskussion om SAP:s utdragna övergång till molnet.

DSAG, en grupp som representerar SAP-användare i Tyskland, Österrike och Schweiz, har offentliggjort data från en undersökning bland sina medlemmar. Undersökningen visade att den mest använda SAP-produkten fortfarande var den traditionella ERP-linjen, där 68 procent av respondenterna sa att de använde den, jämfört med 41 procent för S/4HANA on-premises och 11 procent respektive 6 procent för S/4HANA private och public cloud.

DSAG:s ordförande, Jens Hungershausen, säger att uppfattningen om SAP:s molnstrategi var mycket blandad, trots små ökningar i molnanvändningen.

– De tillfrågade DSAG-medlemmarna är kritiska till SAP:s molnstrategi för S/4HANA, säger han i ett uttalande. 

– Endast 13 procent av de tillfrågade hade en positiv åsikt, strax under hälften hade en negativ åsikt.

Säkerhet och AI är båda viktiga ämnen för DSAG:s medlemmar, eftersom allt fler i gruppens undersökning nämner detta som ett viktigt ämne för framtiden. Hela 88 procent av de tillfrågade ansåg att säkerhet var av antingen medelhög eller hög relevans för dem, medan antalet svarande som uppgav att de planerade att investera i AI mer än fördubblades under de senaste två åren, till 28 procent. 

I den senare kategorin ville gruppen återigen se att SAP tog in mer input från kunderna, och endast 31 procent bedömde företagets AI-strategi som ”bra” eller ”tillfredsställande”.

Enligt Bob Parker, analytiker på IDC, är en del av problemet för SAP att företaget inte ses som en ledande partner för mer omvälvande teknik, som AI och molntjänster.

– AWS och Azure, Google Cloud, och så vidare, tenderar att ha mer eftertraktade erbjudanden, säger han. 

– Så SAP befinner sig fortfarande mitt i övergången till molnet.

När det gäller AI tillägger Parker att SAP:s åtgärder på det området kan ta lite tid att bära frukt, men att de leder företaget i positiva riktningar. Ett enhetligt datalager som kallas Datasphere bör visa sig vara en kritisk förmåga för företag som vill dra nytta av AI, liksom förvärv som Signavio, som tillhandahåller en processbrytnings- och kartläggningsförmåga.

– Så allt detta är mycket positiva faktorer för att de ska kunna börja göra mer innovativa saker”, säger han. 

– De har lysande mjukvaruingenjörer i Walldorf, det kommer bara att ta lite tid, eftersom deras installationsbas är mycket komplex.