IaaS – full kontroll, fullt ansvar

Infrastructure as a Service ger dig virtuella maskiner, lagring, nätverk och brandväggar som du konfigurerar själv. Det är det närmaste en egen serverhall du kommer i molnet – men utan att äga hårdvaran.

När IaaS är rätt val

IaaS passar när du behöver granulär kontroll över miljön. Typiska scenarion:

• Specialiserade arbetsbelastningar som kräver specifika OS-versioner, kernelmoduler eller GPU-konfigurationer
• Lift-and-shift-migreringar där befintliga applikationer flyttas till molnet med minimala kodändringar
• Strikta regulatoriska krav där du behöver dokumentera exakt vilka patchnivåer, brandväggsregler och krypteringsmetoder som gäller
• Högprestandaberäkning (HPC) och maskininlärningsträning

På AWS innebär det EC2-instanser i exempelvis eu-north-1 (Stockholm), med EBS-volymer och VPC-konfiguration. På Azure motsvaras det av Virtual Machines i Sweden Central.

Den dolda kostnaden

Flexibiliteten har ett pris som inte syns på fakturan: driftskompetens. Du ansvarar för patchning, övervakning, backup, skalning och säkerhetshärdning av operativsystem. Enligt Flexeras State of the Cloud-rapporter är kostnadshantering konsekvent den största utmaningen för molnanvändare – och IaaS-resurser är särskilt benägna att generera spill genom överdimensionerade instanser som ingen stänger av.

Från vårt SOC-perspektiv ser vi att organisationer utan dedikerad driftskompetens ofta hamnar i en situation där IaaS-miljöer saknar grundläggande säkerhetshygien: opatchade system, öppna säkerhetsgrupper och avsaknad av loggning. Har du inte resurser att underhålla IaaS på rätt sätt bör du antingen välja PaaS eller anlita en managerad tjänsteleverantör.

PaaS – utvecklarens snabbspår

Platform as a Service abstraherar bort allt under din applikationskod. Du skriver kod, definierar dependencies i en konfigurationsfil och leverantören hanterar servrar, operativsystem, runtime-miljö och skalning.

Konkreta fördelar

Snabbare time-to-market är den mest påtagliga fördelen. Ett team som annars lägger veckor på att konfigurera Kubernetes-kluster, lastbalanserare och CI/CD-pipelines kan med PaaS deploya en ny tjänst på timmar. Tjänster som AWS Elastic Beanstalk, Azure App Service och Google App Engine tar hand om:

• Automatisk skalning baserat på trafik
• Inbyggd TLS-terminering
• Blue/green-deployments utan egen infrastrukturkod
• Integrerad loggning och grundläggande övervakning

PaaS minskar också den kognitiva bördan – utvecklare behöver inte vara experter på nätverkskonfiguration eller OS-härdning. Det frigör fokus för det som faktiskt skapar affärsvärde: applikationslogiken.

Begränsningarna du behöver förstå

PaaS är inte gratis lunch. De viktigaste nackdelarna:

• Vendor lock-in: Din applikation anpassas till plattformens runtime, deployment-modell och tjänsteintegration. Att flytta från Azure App Service till Google App Engine är inte trivialt.
• Begränsad konfigurationsförmåga: Behöver du en specifik systembiblioteksversion eller en anpassad nätverkskonfiguration? Då slår du snabbt i PaaS-plattformens tak.
• Oförutsägbara kostnader vid skalning: Automatisk skalning är bekväm – tills en trafikspik genererar en faktura som ingen räknade med. FinOps-disciplin är lika viktig här som i IaaS.

Vår rekommendation: PaaS fungerar utmärkt för webbaserade applikationer, API-backends och mikrotjänster där standardruntime räcker. Byt till IaaS (eller containers med Kubernetes) när kraven på infrastrukturkontroll ökar.

SaaS – färdig programvara, minimal drift

Software as a Service är det som de flesta människor faktiskt menar när de säger "molnet". Microsoft 365 för e-post, Salesforce för CRM, Slack för kommunikation – färdiga applikationer som nås via webbläsaren.

Varför SaaS dominerar

SaaS har blivit standardvalet för affärsapplikationer av goda skäl:

• Noll infrastrukturhantering: Ingen server att patcha, ingen backup att verifiera, ingen skalning att hantera
• Förutsägbar kostnad: Fast pris per användare och månad gör budgetering enkel
• Snabb utrullning: En ny medarbetare får tillgång till alla verktyg på minuter, inte dagar
• Kontinuerlig uppdatering: Leverantören rullar ut nya funktioner och säkerhetsfixar automatiskt

Kontrollförlusten är reell

SaaS-modellen innebär att du lämnar ifrån dig kontroll på flera kritiska punkter:

Datasuveränitet och GDPR: Med SaaS vet du inte alltid var din data lagras eller vilka underleverantörer som behandlar den. Efter Schrems II-domen och med NIS2-direktivets krav på leverantörskedjor har detta blivit en konkret compliance-risk. Integritetsskyddsmyndigheten (IMY) har upprepade gånger påpekat att användning av amerikanska SaaS-tjänster kräver noggrann bedömning.

Funktionalitetsbegränsningar: Du är hänvisad till de funktioner leverantören erbjuder. Behöver du anpassningar utöver vad konfigurationen tillåter, får du antingen acceptera begränsningen eller byta leverantör.

Integrationsutmaningar: Trots att de flesta SaaS-tjänster erbjuder API:er varierar kvaliteten enormt. Att bygga automatiserade flöden mellan fem olika SaaS-verktyg kan bli ett integrationsprojekt i sig. Managerade DevOps-tjänster kan hjälpa till att hålla ihop dessa flöden.

Ansvarsfördelning och säkerhet – den kritiska frågan

Oavsett modell gäller principen om delat ansvar (shared responsibility model). AWS, Azure och Google Cloud har alla publicerat tydliga ramverk för detta, men kärnprincipen är enkel:

> **Molnleverantören ansvarar för säkerheten av molnet. Du ansvarar för säkerheten i molnet.**

Vad "i molnet" betyder varierar med modell:

• IaaS: Du ansvarar för OS-patchning, brandväggsregler, IAM-policyer, applikationssäkerhet och datakryptering
• PaaS: Du ansvarar för applikationskod, autentisering och dataklassificering
• SaaS: Du ansvarar för användarhantering, åtkomstkontroll och dataklassificering

Det vanligaste misstaget vi ser från Opsios SOC är att organisationer antar att leverantören tar hand om mer än de faktiskt gör. Ett EC2-instans med öppet SSH-port mot internet är inte AWS problem – det är ditt. En dåligt konfigurerad Azure AD-tenant som ger alla användare globaladmin-rättigheter är inte Microsofts ansvar.

Molnsäkerhet och SOC-tjänster är särskilt viktiga i IaaS-miljöer där ansvarsytan är som störst.

Hur du väljer rätt modell – ett beslutsramverk

Istället för att välja modell baserat på vad som känns modernt, ställ dig dessa frågor:

1. Behöver vi kontrollera operativsystemet? → Ja: IaaS. Nej: gå vidare.

2. Utvecklar vi egen applikationskod? → Ja: PaaS (eller containers). Nej: SaaS.

3. Finns en färdig produkt som löser behovet? → Ja: SaaS. Nej: PaaS eller IaaS.

4. Har vi driftskompetens internt? → Ja: IaaS kan fungera. Nej: PaaS/SaaS eller MSP.

5. Hur känslig är datan? → Mycket känslig: IaaS med egna krypteringsnycklar eller PaaS med strikt konfiguration. Standard: SaaS med verifierad compliance.

I praktiken ser vi att de flesta medelstora och stora organisationer landar i en hybridstrategi: SaaS för produktivitetsverktyg och standardprocesser, PaaS för egenutvecklade applikationer och IaaS för de arbetsbelastningar som kräver fullständig kontroll.

Migreringsstrategin avgör framgången

Att välja rätt modell är bara första steget. En molnmigrering som inte tar hänsyn till modellval tenderar att bli en dyr lift-and-shift till IaaS – där organisationen sedan sitter fast med samma driftsbörda som tidigare, fast på någon annans servrar.

En genomtänkt migrering identifierar vilka applikationer som kan moderniseras till PaaS, vilka som bör ersättas med SaaS och vilka som verkligen behöver IaaS. Det kräver en inventering av befintliga system, deras beroenden och affärskritikalitet – inte en checkbox-övning utan genuint arkitekturarbete.

Vanliga frågor

Vilken molntjänstmodell är billigast?

Det beror helt på vad du gör. SaaS har lägst startkostnad och enklast budget, men kan bli dyrt per användare i stor skala. IaaS har lägst enhetskostnad men kräver driftskompetens som kostar. PaaS landar ofta i mitten. Den verkliga kostnaden inkluderar alltid personal – inte bara licensavgifter.

Kan man kombinera IaaS, PaaS och SaaS?

Ja, och de flesta företag gör det. En typisk uppsättning kan vara SaaS för e-post och CRM, PaaS för egenutvecklade applikationer och IaaS för specialiserade arbetsbelastningar med hårda prestandakrav. Nyckeln är att ha en tydlig strategi för hur de integreras.

Hur påverkar GDPR valet av molntjänstmodell?

Med SaaS har du minst insyn i var data lagras och hur den behandlas, vilket gör leverantörsbedömningen kritisk. IaaS ger mest kontroll – du kan välja region (t.ex. eu-north-1 i Stockholm) och krypteringsmetod. Oavsett modell kvarstår ditt ansvar som personuppgiftsansvarig enligt GDPR.

Vad är skillnaden mellan PaaS och serverless?

Serverless (som AWS Lambda eller Azure Functions) är en evolution av PaaS där du inte ens hanterar applikationsruntime – du levererar bara funktioner. Det passar händelsestyrda arbetsbelastningar men ger ännu mindre kontroll. Tänk på serverless som PaaS dragen till sin logiska extrem.

Hur vet jag om vi behöver IaaS eller PaaS?

Ställ dig frågan: behöver vi kontrollera operativsystemet? Om svaret är ja – exempelvis för specialkompilerade bibliotek, GPU-arbetsbelastningar eller specifika kernelkonfigurationer – är IaaS rätt. Om ditt team främst skriver applikationskod och vill komma ut snabbt, välj PaaS.