云服務(wù)級別協(xié)議中應(yīng)該包括的十條最佳實踐

責(zé)任編輯:editor005

作者:nana

2016-04-26 14:51:22

摘自:安全牛

美國政府問責(zé)辦公室(GAO)最近出臺的一份報告著重指出:購買云服務(wù)時最重要的一點就是制定并執(zhí)行服務(wù)級別協(xié)議。9 指定安全表現(xiàn)要求和屬性,確保能夠定義云服務(wù)提供商在安全要求未能滿足時應(yīng)在何時以何種方式通知機構(gòu)。

美國政府問責(zé)辦公室(GAO)最近出臺的一份報告著重指出:購買云服務(wù)時最重要的一點就是制定并執(zhí)行服務(wù)級別協(xié)議。

GAO稱:“從提供商購買IT服務(wù),可以免去部署支持此類服務(wù)所需的硬件、軟件和網(wǎng)絡(luò),讓聯(lián)邦機構(gòu)得以更快更節(jié)約地使用服務(wù)。為充分發(fā)揮效能,聯(lián)邦機構(gòu)計劃在2016財年投入至少20億美元云計算服務(wù)上。”

在報告成形過程中,GAO總結(jié)了云服務(wù)級別協(xié)議(SLA, Service Level Agreements)的十條最佳實踐,適用于美國聯(lián)邦機構(gòu)和私營企業(yè),也可作為國內(nèi)機構(gòu)使用或購買云服務(wù)時的一個參考。

1. 詳細(xì)定義SLA相關(guān)的各方角色和責(zé)任,至少,要包括機構(gòu)和云提供商。

這些定義包括負(fù)責(zé)合同監(jiān)管、審計、效率管理、維護(hù)和安全等方面的人員。定義關(guān)鍵條款,比如生效日期、性能等,還要商定云計算術(shù)語定義中任何模棱兩可的部分。

2. 定義云服務(wù)性能衡量標(biāo)準(zhǔn),包括是誰負(fù)責(zé)衡量。云服務(wù)可用性、最大用戶數(shù)、客戶事務(wù)響應(yīng)時間等都包括在衡量標(biāo)準(zhǔn)中。

3. 定義清晰的承包商表現(xiàn)測評標(biāo)準(zhǔn)。包含由哪方進(jìn)行測評。這些標(biāo)準(zhǔn)的例子可以有:

服務(wù)水平(例如:服務(wù)可用性——機構(gòu)可使用服務(wù)的持續(xù)時間)
云服務(wù)能力(例如:同時登錄最大用戶數(shù),提供商擴容能力)
響應(yīng)時間(例如:客戶事務(wù)處理速度,服務(wù)中斷的響應(yīng)時間)

4. 指定機構(gòu)訪問自身數(shù)據(jù)和網(wǎng)絡(luò)的方式和時間。

包括SLA存續(xù)期間數(shù)據(jù)和網(wǎng)絡(luò)將怎樣被管理和維護(hù),以及服務(wù)退出/終止的情況下數(shù)據(jù)和網(wǎng)絡(luò)將怎樣轉(zhuǎn)換回機構(gòu)。

5. 指定以下服務(wù)管理要求:

云服務(wù)提供商將怎樣監(jiān)控服務(wù)表現(xiàn)并報告給機構(gòu);
機構(gòu)通過審計確認(rèn)云服務(wù)提供商表現(xiàn)水平的時間和方式。

6. 準(zhǔn)備災(zāi)難恢復(fù)和運營持續(xù)性計劃和測試方案。

包括云服務(wù)提供商應(yīng)在何時,以怎樣的方式向機構(gòu)報告此類宕機。另外,提供商將如何修復(fù)此類情形,以及防止同樣的情況再次發(fā)生,也應(yīng)該包含在方案中。

7. 描述清楚當(dāng)云服務(wù)提供商的表現(xiàn)衡量標(biāo)準(zhǔn)不適用時應(yīng)遵循的例外準(zhǔn)則(例如:在按計劃維護(hù)或升級期間的表現(xiàn)衡量便不適用常規(guī)標(biāo)準(zhǔn))。

8. 指定云服務(wù)提供商必須達(dá)到的各項安全指標(biāo),確保符合機構(gòu)的數(shù)據(jù)保護(hù)安全表現(xiàn)要求(例如:清楚指明誰有權(quán)限訪問數(shù)據(jù),明確機構(gòu)數(shù)據(jù)的防護(hù)措施)。

指定服務(wù)提供商應(yīng)符合的安全表現(xiàn)要求,包括描述數(shù)據(jù)保護(hù)安全表現(xiàn)指標(biāo),比如:數(shù)據(jù)可靠性、數(shù)據(jù)存儲、數(shù)據(jù)保密性等。清楚定義云服務(wù)提供商和機構(gòu)的訪問權(quán),以及各自在防護(hù)數(shù)據(jù)、應(yīng)用和流程安全中的責(zé)任,保證符合所有聯(lián)邦要求。描述安全缺口定義,規(guī)定一旦未能達(dá)標(biāo),服務(wù)提供商應(yīng)在何時以何種方式通知機構(gòu)。

9. 指定安全表現(xiàn)要求和屬性,確保能夠定義云服務(wù)提供商在安全要求未能滿足時應(yīng)在何時以何種方式通知機構(gòu)。

10. 劃定可實行的后果處理措施,比如處罰條款,以備未能遵守SLA時的處置。

制定這些處罰機制的實施方式。若缺乏處罰和補救措施,機構(gòu)便有可能在發(fā)生狀況時無法在強制遵從合同條款上占據(jù)優(yōu)勢。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號