量身定制的协议
各种规模的企业都已接受和采用云计算:从中小企业到全球行业巨头(如微软,亚马逊、谷歌)通过采用云计算实现其增长或业务敏捷性愿望。在此范围内,重要的是要了解并没有万能的方法。云计算服务通常有三种模型或层次:基础设施即服务(IaaS)、平台即服务(PaaS)、软件即服务(SaaS)。每个层次都提供不同类型的IT服务,因此它们相互堆叠,底层的IaaS提供存储和服务器基础设施,PaaS提供平台级支持,SaaS是位于顶层的应用层。在同一个堆栈上分层意味着IaaS、PaaS、SaaS通常是通过云计算服务协议采购的,这些协议解决了许多相互关联的问题。
但是,重要的是要注意每个协议的关键术语可能在许多方面有所不同。需要了解的一些关键因素:
•主要目的
每个技术层都应关注不同的问题,因此云计算协议应该突出其相关技术的关键目的。对于IaaS,协议应侧重于虚拟机的创建、管理、控制;对于PaaS,协议应侧重于软件应用程序的开发和部署;对于SaaS,协议应侧重于软件和应用程序的访问管理。
•服务水平
客户可能依赖具有不同重要性级别的每一个技术层,因此服务级别要求可能有所不同。由于通常提供关键的后端功能,客户通常需要IaaS提供商提供服务级别承诺,而PaaS提供商通常不将应用程序开发视为关键,因此一般不会提供服务级别承诺。有了SaaS,客户可能会认为服务级别承诺对于确保企业内多个用户访问SaaS时的业务连续性至关重要。
在任何服务级别承诺到位的情况下,客户必须确保准确衡量相关指标,并且相关的信贷都必须适当地激励云计算提供商实施。如果云计算服务提供商没有或不会提供任何服务级别承诺,客户可以考虑请求因重复或长期服务失败而终止服务的权利。
•量身定制
由于云计算通常建立在可扩展的解决方案基础之上,因此云计算提供商通常会限制定制以最有效的方式管理服务,最常见的是SaaS,其中软件通常以相同的方式配置在提供商的整个客户群中。但是,可能需要为IaaS定制云计算服务的范围更广泛,可能需要与客户系统集成,而PaaS可能需要与客户系统和其他计算组件集成。在每种情况下,云计算服务协议都必须准确规定所采购的服务范围,并确定所需的任何定制。
虽然云计算依赖于相同的创新技术来提供服务,但这些服务的签约方式需要根据特定客户的要求进行定制。在这个领域,新形式的契约“授权外包”开始进入市场。
共同合作
成功实现云计算合同的关键是灵活性,允许扩展或缩小云计算环境,并横向扩展以获得新的业务机会。然而,这种对灵活性的需求可能导致与传统合同的冲突(在这种情况下,客户具有节省IT开支的动机,而供应商则有从中获取最大收益的动机),因为它不一定适合云计算环境的底层设计,以允许客户以更快的速度和更大的灵活性移动。
人们开始看到一种替代方法来克服IT供应商和客户目标之间的差异。这将合同视为一种共同合作,在这种合作中,供应商和客户设定了共同的业务目标,从中双方都获得了真正的利益,并为供应商提供了新的激励形式——即“授权外包”的概念。最大的挑战是实现这一目标,要求双方长期购买,并使采购流程复杂化。
立法的创新
面对如何监管和立法如此快速发展的技术的问题,该行业开始发生转变。例如,历史上一个主要问题是该行业缺乏标准化指导。云计算不受特定的“云计算法案”的约束,其服务也不受直接监管。相反,法律和监管格局由一系列不同规则组成,范围与技术本身一样广泛,跨越多个行业和地区。考虑到这一广度,没有依赖立法解决方案,而是逐步向行业标准化转变,允许监管跟上步伐。
监管指导
最近几年,一些监管机构(尤其是金融服务行业)也发布了指导意见,这就揭示了云计算应如何与现有监管一起使用。虽然这并没有为按照法规部署云计算技术制定一个循序渐进的过程,但它表明,监管机构认为,企业需要以符合法规的方式使用云计算服务。
然而,这并不能解决一个关键障碍,即无法在严格监管的行业中广泛采用云计算解决方案,即缺乏确切的、监管机构可能接受的标准。在这里,标准化提供了一个解决方案。
国际标准化组织发布的一个例子是ISO 27018标准,涵盖了云中个人数据的处理。本标准是对欧盟监管机构旨在为云计算服务提供商引入可审计的合规框架的直接回应,该框架促进了云计算在所有经济领域的信任和快速采用。
ISO 27018标准是第一个针对云计算的隐私专用国际标准,旨在创建一组通用的安全类别和控件,可由作为数据处理器的公共云计算服务提供商实施。其目的是帮助公共云服务提供商在充当数据处理器时遵守其适用的义务,并对其云计算服务客户保持透明。
这一点很重要,因为尽管每个云计算服务客户必须确保遵守其所受的特定法律,但隐私和数据保护法律将适用于大多数云计算客户。因此,ISO 27018标准将得到广泛的应用,这是因为:
•为处理个人数据的云计算服务提供商提供可审计的标准——审计人员可以检查并颁发合规证书;
•允许将经审核的合规性写入云计算合同,这将有助于客户证明其符合数据保护法律。
ISO 27018标准的大部分内容都基于欧盟数据保护法,但实际上,该标准更进一步,并解决了更多程序方面的问题,通过确保云计算提供商实施将个人数据返还、传输和处置给客户(例如在服务结束时)和主题的政策。它们在预定的时间间隔(或在发生重大处理变化时)向独立的信息安全审查提供服务。
展望未来
因此,ISO 27018标准提供了一个实用的基础,从中可以开始建立对云计算行业参与者正确处理个人数据的信心,为更加明确立法和监管铺平道路。同样,授权外包提供了一种灵活的承包模式,以匹配现代云计算服务客户所需的定制协议。如果云计算行业继续以目前的速度发展,需要进一步创新,将新需求和技术整合到现有的合同和监管框架中。但是,有一点需要确定的是,这将是一个值得关注的令人兴奋的领域。