雲端運算改變了IT服務模式與成本價格,許多企業打算慢慢地將商業模式轉換至雲端,以獲取最佳的效益。不過,在導入雲端服務之前,雲端服務的風險卻不可不知。諸如可靠度、回應時間、服務不中斷等,都是Cloud Service常見的服務層級協議(SLA)面向,但是這些就夠了嗎?倘若所有IT資源與平台都不是由供應商自行擁有,那麼該如何確保供應商可確實履行雙方所建立的合約內容?
全數通過才能拿五星
現階段, ECSA V3(第3版)已於2014年5月完成改版,成為歐盟官方認可雲端驗證標準之一。取得驗證的一般作法是由雲端服務業者決定要驗證哪一個等級,例如三星、四星或五星來進行驗證(通常會建議三星以上的驗證為主,原因是兩星以下的驗證,實質意義並不大。)若申請三星,則所有三星的control question皆須滿足。若申請四星,則所有三星及四星的control question皆須滿足。同理申請五星,則所有三星、四星及五星的原則也是如此。
原則上申請星級所屬control question皆須查核,若須排除則需具備正當合理之理由且經稽核機構確認。而各項control question評分可分為A?F共6等級:A為相當理想(optimal)、B為符合常見規範(according to common standard)、C為發現有少部份限制(with some limitations)、D為發現重大限制(with major limitations)、E為不能接受(inacceptable)、F為不適用(not applicable),只要有一項條款評分為D…^E級,那麼驗證就不能通過。
部份control question屬於各星級皆應具備的控制措施,但實施之有效性及成熟度等級,會影響該項措施之評分等級。例如條款中有一項:「服務供應商有沒有對客戶保證回應時間為多少?」四小時之內完成回應為五星級、一天以內完成回應為四星級,如果大於一天完成回應則為為三星級。倘若服務供應商完全沒有承諾回應時間,就無法通過驗證。(註:此類control question得不必再細分評分等級)目前ECSA證書有效期為兩年。定期追查的頻率可以是半年至兩年一次,由驗證單位與稽核人員雙方視實際必要度討論決定。
看合約內容確保SLA
樂以媛強調,不同於CSA雲端安全聯盟著重於深耕雲端安全,ECSA則是廣泛地看待各個層面,而且聚焦在供應鏈(Supply Chain)關係,這項驗證是從使用者角度出發,因此會審視合約內容,以確保合約雙方都在合理誠信的立足點上。
|
▲ECSA V3已於2014年5月完成改版,共有五星驗證機制。 |
何星翰表示,雲端服務的型態類似於企業或組織把部分IT服務委外給外部服務商,所以ECSA會審查雲端服務合約的基本架構條款,合約的內容有無符合EuroCloud各項稽核法規的要求?而有多少份合約模式,就會審查多少份的合約內容。尤其ECSA特別重視法規遵循,而且也會從企業用戶方來加以思考。
他舉例,有些時候難免會遇到合約上的爭議,像是用戶忘記到期因而晚繳錢等等,對於業主來說,不繳錢就應該要切斷服務,但是ECSA卻認為不論是什麼樣的爭議,資料本身的擁有者就是使用者,即使遇上計價或是法規的爭議,使用者存取資料的權利不能受到限制。業主可以尋求其他途徑來協商,例如透過法律訴訟手段來達到催繳收帳的目的,卻不能以資料的Ownership(持有狀態)去威脅對方。
又例如,假設使用者租用的雲端服務供應商因經營不善而被購併了,新業主不願承接原雲端服務供應商承諾使用者的SLA、權限、福利與內容,這時,ECSA不會同意新業主這麼做。他提到,「關於這點在台灣確實有爭議,因為台灣並沒有制定雲端相關的法規,許多情況是倒閉就倒閉了,使用者只能自認倒楣,但即使如此,ECSA也認為應該有些作為,原先核發的驗證就會被作廢。」
目前,ECSA在台已有驗證案例,台哥大旗下運算雲服務已通過ECSA四星級驗證。