仔细检查云服务水平协议的需求非常明确。云服务拥有定义明确的条件和责任,满足客户期望,并提供价值保证。这条技巧根据开发云SLA指出了一些安全和法规遵从考虑事项。 ITIL v3定义的术语服务水平协议(SLA),用以描述提供商和客户之间的服务、文档目标以及具体的职责。
为了使其变成一个安全的术语,SLA应该为一个环境带来透明度,能够迭代变化更,并通过指标的使用自动化,以便维护相互之间的信任。 考虑到这些,云安全和法规遵从的关键点就和三个主要领域的风险相关: (1)资产所有权,包含数据保管、控制、拥有和返回权; (2)服务可用性、监控和响应,旨在衡量和成本相关的领域以及持续性的能力; ……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
仔细检查云服务水平协议的需求非常明确。云服务拥有定义明确的条件和责任,满足客户期望,并提供价值保证。这条技巧根据开发云SLA指出了一些安全和法规遵从考虑事项。
ITIL v3定义的术语服务水平协议(SLA),用以描述提供商和客户之间的服务、文档目标以及具体的职责。为了使其变成一个安全的术语,SLA应该为一个环境带来透明度,能够迭代变化更,并通过指标的使用自动化,以便维护相互之间的信任。
考虑到这些,云安全和法规遵从的关键点就和三个主要领域的风险相关:
(1)资产所有权,包含数据保管、控制、拥有和返回权;
(2)服务可用性、监控和响应,旨在衡量和成本相关的领域以及持续性的能力;
(3)服务基线,比如易损性和配置管理的法规遵从或者安全评估。
编写一个SLA要覆盖上面这三个领域的风险,这样考虑四个控制领域(技术、流程、人员和地理)就容易了,并且可以基于可用性水平、保密性和完整性衡量。
云SLA:可用性
对于服务提供商而言,可用性也许是最声名狼藉的SLA术语了。响应时间、恢复时间和恢复点是常规指标。2011年亚马逊服务的一次宕机持续了数天阐明了地理位置如何成为云SLA的前沿和中心内容,此次宕机并没有违反亚马逊EC2的SLA,其中声明提供“365天内一定范围内99.95%的服务可用性。”换句话说,当一定范围的亚马逊ESB和RDS“可用性区域”变得不可用,该公司装裱精美的SLA就使其免受其责。客户需要更高水平的服务,要求多种可用性区域,服务跨多种不同的地理区域。
云SLA:保密性
地理在保密性上有逆效果。大多数人都不想自己的数据跨管辖区蔓延。比如,欧洲希望数据自己拥有,避免美国的服务器接触,因为保管、控制和拥有都受到美国法律的限制。反过来也一样。为了符合着这种需求,亚马逊2011年宣布了一项服务隔离出一个单独的数据中心。
云SLA必须根据加密、身份认证和其他的控制目标解决位置问题。另一个重要的方面在于这个问题是人员、流程和技术如何安全的销毁数据,防止泄露。云的灵活性和高可用性和地理分布性相关,回避了提供商如何保证数据以公有的标准在所有地方都破坏了。
云SLA:完整性
完整性衡量旨在指出风险,包括数据格式和可移植性,还有变更管理。云提供商的系统使用私有的格式,对于客户现有的内容是否是障碍?云提供商提供的虚拟系统图像有什么保证或者应用没有客户的授权不会被修改?一些SaaS提供商发布的产品中有变更和事件漏洞,却没有通知或者文档修改计划;客户在业务处理时会受到影响,包括应用程序接口,会发生意外失败。
正如你所看到的,每一个因素都有非常多的风险,必须在云中加以解决,才能在SLA中提供实际的保险。幸运的是,现有的标准、知道和控制里除了能够适用的内容来解决这些因素。ISO 27001信息安全管理框架,提取了ISO 27002控制,已经成为通用国际标准,描述和详细介绍了云服务提供商的安全控制。客户在开发云SLA时应该考虑将这些标准作为基础。
相关推荐
-
你的云计算SLA是否是可协商的?
服务水平协议是开展云业务的基石。供应商草拟的SLA可充分反映他们的商业模式,客户在签署SLA时(通常不会提出太多意见)会希望能够在发生违反协议情况时获得赔偿。
-
更换云服务供应商的征兆
云对于其用户来说就如同老鼠爱大米一般,无论如何,它的性价比高,不仅前期只需要较少的投入,而且还能给企业用户带来其他很多的好处。
-
避免云计算SLA陷阱
除非你能按照一个小项目的方式来处理云计算服务水平协议的过程,否则云计算SLA将会失败。专家Tom Nolle提供给我们3个步骤来创建一个有效的云SLA。
-
这些云服务水平协议最佳实践好得不要不要的
服务水平协议帮助用户了解他们对云服务供应商的期望。但法律专家认为这同时也为企业增加了一系列的烦恼。