八项指标体系反映SLA
DOIT云计算 12年06月12日 12:17 【转载】 作者:中国电子报 责任编辑:唐蓉
导读:欧盟网络与信息安全局于2012年4月正式出台《云计算合同安全服务水平监测指南》(简称《指南》),提供了一套持续监测云计算服务提供商服务级别协议运行情况的操作体系,将监测行动科学地引入到全合同周期之中,以达到实时核查用户数据安全性的目的。
《指南》八项指标体系反映SLA运行情况
《指南》从SLA角度出发,为客户提出了包括服务可用性、事故响应、数据生命周期管理等8个指标体系。
由于云服务的安全性主要由云服务提供商掌控,而客户与提供商的互通主要是通过服务级别协议(SLA)。因此,本《指南》主要从SLA角度出发,为客户提出了包括服务可用性、事故响应、服务弹性、数据生命周期管理等8个方面的一整套持续监测其服务提供商SLA运行情况的指标体系,旨在通过对这8项反映SLA运行情况的关键指标的持续监测和预警,帮助客户达到核查其数据安全性的目的。
服务的可用性:可用性是指在一定的时间内,服务请求和服务时间得到满足的占比。在服务协议中,必须明确给出关于服务可用性状态的描述。目前,已经出现了很多用于监测网络连接状态的服务和产品,以及依靠云服务提供商的监测工具。
事故响应:事故是指服务非正常提供的状态,以及引起或可能引起服务中断或服务质量下降的事件。根据信息技术基础架构库(ITIL)模型,对事故的监测和响应等级通常由两个因素决定:一是严重性,根据事故的严重性分级进行确定。二是响应时间,是指进行补救的时间
服务弹性与负载公差:弹性可以在数量上描述为在一个执行期内失败资源配置占全部配置要求的比例。一些CSP提供冗余能力服务,这不但可在其他用户使用时保证一定的弹性,而且更重要的是,对灾害恢复时期意义重大。
数据生命周期管理:主要用于测量提供商数据处理的效率和效益,包括服务的备份或数据复制系统、导出数据的能力和数据丢失防护系统。
技术合规性和漏洞管理:用于衡量云服务是否符合技术安全政策,包括控制的准确性和漏洞处理能力。监测技术的合规性和漏洞管理,往往要根据偏离基准线安全政策的程度进行。
变更管理:用于对与系统安全属性和配置有关的重要变更进行监测和管理。在签署合同时需要制定一个清单明细,如果清单上的项目发生变更,应向用户发出通知。
数据隔离:是一种功能性的要求,必须实时进行。数据隔离可确保不同的客户数据和服务的保密性、完整性和可用性,并保护数据免受未授权第三方用户的访问。
日志管理与取证:包括获取用户使用云资源的历史信息。按照其内部控制、合规、审计、法律和监管要求,客户可能需要获取以下信息:哪些用户在何时、何处、对哪些数据进行怎样的处理。