Kun kirjoitimme Azure-pilven hallintamallista huhtikuussa 2024, perusasiat olivat jo kunnossa. Monitoimittajaympäristö, vastuunjako, kustannusten hallinta ja tietoturva. Kaksi vuotta myöhemmin samat asiat ovat yhä keskiössä, mutta peli on muuttunut. NIS2 on tullut Suomessa voimaan ja koskettaa yllättävän laajaa joukkoa organisaatioita. Pilvilaskuja katsotaan nyt myös CFO:n pöydällä, eikä ”pilvi on joustava” enää riitä vastaukseksi. Tässä päivitetyssä kirjoituksessa Above IT ’consigliere’ Juha Kari käy läpi, miltä järkevä Azure-hallintamalli, eli Azure governance, näyttää vuonna 2026.
Monitoimittajaympäristö on edelleen Azuren todellisuus
Azure on valtaosalle yrityksistä monitoimittajaympäristö. Tietohallinto pitää huolta core-osista, yksi kumppani tuottaa Data Warehousea, toinen pyörittää integraatioalustaa, kolmas vastaa identiteeteistä ja huolehtii Modern Workplace -palveluista. Joukkoon mahtuu sovellustoimittajia, joiden ratkaisut on viety Azureen jossain vaiheessa, eikä kukaan oikein muista miksi.
Tämä on tavallinen lähtötilanne, eikä se itsessään ole ongelma. Ongelmaksi se muuttuu, kun kukaan ei ole kirjoittanut auki sitä, miten kaikki nämä toimijat ympäristössä yhdessä toimivat. Hallintamalli on yhteinen pelikirja, johon voidaan viitata, kun uusi kumppani tulee mukaan. Ilman sitä ympäristö ajautuu helposti tilaan, jossa muutaman vuoden päästä kukaan ei enää uskalla koskea mihinkään.
Vastuu on edelleen kuulijalla
Azure-tilaukset ovat sinun tietohallintosi nimissä, lasku tulee sinulle ja tietoturvavastuu on sinulla. Vaikka kumppani luo resurssin, vastuu sen olemassaolosta ja kustannuksesta on viime kädessä sinun. Viiden tähden vinkkini kaikille Azure-pilveä hyödyntäville organisaatioille kuuluukin: Jotta perälauta ei vuoda, yksi perusasia on jo budjettien määrittäminen Azure-tilauksille.
Hyvä kumppani kysyy ohjeita ja noudattaa niitä, mutta hänellä pitää olla ohjeet, joita noudattaa. Jos hallintamallia ei ole, kumppani toimii oman parhaan ymmärryksensä mukaan. Yleensä se on järkevää, mutta kun sama tilanne toistuu kolmen eri kumppanin kanssa, ympäristössä on kolme erilaista tapaa tehdä sama asia. Tietohallinnon tehtävä on antaa raamit, ja hallintamalli antaa siihen yhteisen sanaston.
Mitä hallintamalliin kuuluu vuonna 2026
Tekninen runko ei ole muuttunut paljoa parissa vuodessa. Hallintamallissa kuvataan tyypillisesti management groupien rakenne ja tilausten jäsentely, verkkoarkkitehtuuri, RBAC-roolit ja niiden myöntämisen periaatteet, Azure Policyt joilla resurssien luontia ja konfiguraatioita ohjataan, nimeämis- ja tagauskäytännöt, varmuuskopiot ja jatkuvuus, tietoturvan tekninen pohja sekä vastuunjako tietohallinnon, kumppanien ja sisäisten tiimien välillä. Microsoftin oma Cloud Adoption Framework antaa tähän hyvän viitekehyksen, mutta puhdas mallikirja ei sellaisenaan riitä kenenkään käyttöön.
Vuosi 2026 on tuonut mukanaan enemmänkin painotusten muutoksen. Tietoturvan painoarvo on kasvanut NIS2:n myötä ja kustannusten hallinnasta on tullut konkreettisempi vaatimus. Käyn nämä kaksi asiaa läpi seuraavaksi tarkemmin.
FinOps Azuressa: kustannukset hallintaan
Pilvi myytiin aikanaan joustavana ja edullisena. Joustavuus on totta, mutta edullisuus toteutuu vain, jos joku oikeasti hallitsee kustannuksia. Jos ei hallitse, lasku kasvaa hiljaa niin pitkään, että jossain vaiheessa joku kysyy kysymyksiä, joihin ei ole hyvää vastausta.
Hallintamallin FinOps-osio vastaa kolmeen kysymykseen. Mihin raha menee on tagauksen kysymys: jos resursseja ei ole tagattu vähintään omistajalla, kustannuskeskuksella ja ympäristötunnisteella, kustannusraportointi ei toimi liiketoiminnalle uskottavasti. Onko raha järkevästi käytetty on katselmoinnin kysymys: kaikissa Azure-ympäristöissä pyörii testikoneita jotka jäivät päälle, ylimitoitettuja SKU:ita, vanhentuneita snapshotteja ja levyjä joiden virtuaalikoneet on poistettu. Näiden siivoaminen on usein kymmenien tuhansien eurojen vuotuinen säästö keskikokoisessa ympäristössä. Ja kustannusten ennakointi on Reservationsien ja Savings Plansien kysymys, jolla saadaan vakaiden työkuormien hintaa alas merkittävästi kunhan käyttöä osataan ennustaa.
Hyödyllinen yksityiskohta. FinOps ei ole pelkkä IT-asia. Hyvässä hallintamallissa kustannukset jaetaan liiketoiminnalle siten, että jokainen yksikkö näkee oman osuutensa pilvilaskusta. Kun pilvilasku on omalla budjettiviivalla, käyttäytymiseen tulee aivan eri ryhti.
NIS2 ja Azure-hallintamalli: vastuunjako kuntoon
NIS2-direktiivi tuli Suomessa kansalliseen lainsäädäntöön kyberturvallisuuslakina huhtikuussa 2025. Se koskee selvästi laajempaa joukkoa organisaatioita kuin moni vielä ymmärtää. Velvoitteet ovat oikeasuhtaisia organisaation kokoon ja kriittisyyteen nähden, mutta jotain vaaditaan kaikilta direktiivin piirissä olevilta.
Azure-hallintamallin näkökulmasta NIS2 tuo kolme käytännön vaatimusta. Toimittajaketjun hallinta tarkoittaa, että sinun on tiedettävä kuka käsittelee dataasi ja millä oikeuksilla. Jos viidellä eri kumppanilla on Owner-roolit ja ne myönnettiin pari vuotta sitten, lähtötilanne ei ole hyvä. Häiriönhallinta ja raportointi tarkoittaa, että lokitus, hälytykset ja vasteprosessit pitää olla kunnossa, koska merkittävistä häiriöistä on raportoitava viranomaiselle määräajoissa. Ja johdon vastuu tarkoittaa, että hallintamallin ei pitäisi olla pelkkä tekninen dokumentti vaan sisältää myös johdolle ymmärrettävä yhteenveto siitä, miten pilviympäristön riskejä hallitaan.
Auditoijalle riittää harvoin sanominen, että asia on hoidossa. Heille pitää pystyä näyttämään dokumentti.
Mistä lähteä liikkeelle Azure-hallintamallin kanssa
Kuten kaksi vuotta sittenkin, vastaus on sama. Ei kannata yrittää tehdä 50-sivuista täydellistä dokumenttia kerralla. Se vie kuukausia, kukaan ei jaksa lukea sitä ja vuoden päästä se on jo vanhentunut.
Hyvä lähtökohta on 10 sivua, ei 50. Siinä kuvataan tilausrakenne, RBAC-periaatteet, tagauskäytäntö, kustannusten seurannan rytmi, tietoturvan minimitaso ja vastuumatriisi tärkeimmistä alueista. Tätä laajennetaan sitä mukaa kun tarpeet tarkentuvat. Yhtä tärkeää on, että joku vastaa mallin ylläpidosta ja että johto on siihen sitoutunut. Hallintamalli ilman ylätason hyväksyntää on vain suositus, johon on vaikea vedota kumppanin kanssa.
Hallittu pilvi palveluna
Olemme rakentaneet vuosien varrella oman valmiin hallintamallirungon, jota käytämme kaikkien hallitun pilven asiakkaidemme kanssa pohjana. Sitä mukautetaan jokaisen organisaation tarpeisiin, mutta ydin pysyy samana. Käyttöönotossa määritämme yhdessä vastuut, viemme tekniset politiikat ympäristöön ja tuemme sen jälkeen tietohallintoasi sekä kumppaneitasi arjessa.
Jos haluat keskustella siitä, miten teidän hallintamallinne kannattaisi rakentaa tai päivittää, varaa 15 minuutin keskustelu kalenteristani, niin päästään alkuun!
Tietohallintosi luotettuna neuvonantajana meidän tehtävämme on varmistaa, että Azure-ympäristö toimii sinun ja kumppaneittesi tarpeisiin järkevillä kustannuksilla ja kestävällä tietoturvalla. Yhdessä tekemällä se onnistuu.