Что вы знаете о правах заказчика облачных услуг? В связи со сложностью современной технологии вычислений в облаках Совет по облачным сервисам при аналитической компании Gartner (Gartner Global IT Council for Cloud Services) сформулировал шесть прав и одну обязанность заказчика облачных услуг. Цель этой инициативы — помочь провайдерам облачных услуг и их заказчикам организовать плодотворное сотрудничество.
Хотя по стилю изложения предложенный список напоминает принятое в США “Правило Миранды” (юридическая норма, согласно которой подозреваемый в совершении преступления должен быть уведомлен о своих правах), он может пригодиться предприятиям, которые собираются внедрять решения на базе облачных вычислений. Поэтому Совет по облачным сервисам, в который входят ИТ-директора крупных компаний-пользователей облачных сервисов и аналитики Gartner, решил определить основные права потребителя облачных услуг и способы их соблюдения.
“Если облачные сервисы получат широкое распространение, провайдеры должны предоставить заказчикам серьезные гарантии, — сказал Дэрил Пламмер, вице-президент Gartner. — Однако провайдеры либо вообще не предлагают клиентам никаких мер защиты, либо их предложения очень сильно различаются. Мы считаем, что Совет по облачным сервисам может исправить такую ситуацию, и в результате в выигрыше окажутся не только заказчики ИТ-услуг, но также разработчики, вендоры и другие участники отрасли”.
Право 1. У вас есть право владеть своими данными, использовать и контролировать их. Совет по облачным сервисам подчеркивает важность защиты данных с точки зрения сохранения права собственности и контроля. Провайдер должен определить, что он может делать с данными заказчика. Отсутствие ясности в этом вопросе может привести к дорогостоящим судебным процессам. Кроме того, заказчик может лишиться возможности контролировать свои данные, если провайдер уйдет с рынка или продаст бизнес другой компании. В исходном контракте по уровню обслуживания (SLA) должно быть четко определено, чтобы будет с данными потребителя услуг в случае, если провайдер прекратит обслуживание.
Право 2. У вас есть право на SLA-соглашение, который определяет обязательства, меры восстановления и влияние на бизнес. Со всеми компьютерными услугами случаются сбои, бывают и случаи снижения производительности. Однако провайдеры облачных услуг редко берут на себя обязательства по соблюдению времени восстановления сервисов, не определяют способы восстановления и не описывают процедуры, которые они будут при этом выполнять. Чтобы SLA-соглашения соответствовали целям бизнеса заказчика, провайдеру не нужно их заново формулировать для каждого клиента. Напротив, в них необходимо полностью учитывать все возможные бизнес-задачи, которых касается предлагаемый тип сервиса. Соглашение с провайдером должно не просто гарантировать определенное время подключения дополнительной вычислительной мощности, а определять, как провайдер будет это выполнять.
Право 3. У вас есть право на уведомления и выбор, если изменения влияют на ваши бизнес-процессы. Каждый провайдер услуг вынужден останавливать свои системы, прерывать обслуживание или производить другие изменения, чтобы повысить вычислительную мощность и обеспечить соответствие своей инфраструктуры требованиям заказчика в долгосрочной перспективе. Для защиты бизнес-процессов предприятия провайдер должен заранее уведомлять клиентов о масштабных обновлениях и других изменениях систем, а также предоставлять им возможность в некоторой степени контролировать время данного перехода. Такие изменения могут включать обновление приложений, предлагаемых по модели Software-as-a-Service, внедрение salesforce.com, переход на новую версию услуг, изменение места, из которого предоставляются услуги, начало новой деятельности или уход из бизнеса, закрытие одной из площадок и т. д.
Право 4. У вас есть право заранее узнать о технических ограничениях или требованиях, возникающих при использовании сервиса. Большинство провайдеров услуг не объясняют полностью, как работают их системы и какие у них технические требования и ограничения. Из-за этого предприятия, переходящие на облачные вычисления, рискуют столкнуться с проблемами при настройке сервисов, для решения которых могут потребоваться значительные инвестиции. Провайдеры и клиенты должны постараться как можно подробнее проинформировать друг друга о технических ограничениях, особенно в случае масштабных, длительных проектов или сложных архитектур и систем.
Право 5. У вас есть право знать законодательные требования или юрисдикцию, которой подчиняется провайдер облачных услуг. Если провайдер хранит ваши данные в другой стране или передает их через зарубежную территорию, клиент вынужден подчиняться законам и нормативам, о которых он, возможно, ничего не знает. Это значит, что провайдер не объяснил клиенту особенности юрисдикции страны, в которой находятся его данные, и не рассказал, с какими законодательными требованиями он может столкнуться. Потребитель облачных услуг должен быть уверенным в том, что провайдер не нарушает никаких национальных законов и тем самым не ставит предприятие в положение ответственного за их несоблюдение.
Право 6. У вас есть право знать, какие меры защиты предусматривает провайдер. В случае облачных вычислений нарушения защиты могут происходить на разных технологических уровнях и этапах использования систем. Пользователь облачных услуг должен понимать, какие процессы обеспечения безопасности использует провайдер для того, чтобы средства защиты на одном уровне (например, серверном) не приводили к нарушению защиты на другом уровне (например, сетевом). Если клиент этого не знает, он рискует столкнуться с нарушениями защиты, вызванными тем, что провайдер не учитывает, какими способами предприятие использует его сервисы. Кроме того, клиенты должны знать планы провайдера относительно непрерывности бизнеса, чтобы быть уверенными в возможности продолжать свой собственный бизнес в случае чрезвычайных ситуаций. Однако далеко не все провайдеры объясняют свои процедуры защиты и планы непрерывности бизнеса.
Вы обязаны понимать и соблюдать требования лицензирования ПО Провайдеры облачных услуг и их клиенты должны достигнуть общего понимания того, как правильно использовать лицензии на ПО. С одной стороны, провайдер не должен пострадать в случае, если вы перенесете в облако софт, который вы лицензировали у сторонней компании, хотя это нарушает ваше лицензионное соглашение. С другой стороны, провайдер не обязан соглашаться на аудит, который проводит вендор этого софта, если ваше предприятие действительно имеет соответствующие лицензии. Аудит должен проводиться у потребителя облачных услуг, потому что при этом необходимо учитывать полную картину: и то, что предприятие использует в облаках (возможно от нескольких провайдеров), и то, что у него работает на его собственной инфраструктуре.
Заключение. По мнению Дэрила Пламмера, данный список прав и обязанностей поможет и провайдерам облачных услуг, и их клиентам: “Соблюдение этих прав потребует от провайдеров усилий и затрат, однако это убедит предприятия перенести в облако больше бизнес-процессов. Однако если предприятия не будут настаивать на выполнении этих правил при обсуждении условий с провайдерами, их никто не будет выполнять. Мы призываем предприятия сделать все возможное для превращения этих прав и обязанностей в стандарт в области облачных вычислений”.