การกำหนดข้อตกลงระดับการให้บริการ (SLA) ของ Cloud Computing

Cloud Computing เริ่มเป็นที่ยอมรับของผู้ใช้มากขึ้น แต่ผู้ใช้ก็ยังมีความเป็นห่วงเรื่องความปลอดภัยของข้อมูล มาตรฐาน และความน่าเชื่อถือของผู้ให้บริการ Cloud ซึ่งโดยมากก็จะมีข้อแนะนำว่าขึ้นอยู่กับข้อตกลงระดับการให้บริการ (SLA: Service Level Agreement) ที่จะต้องนำมาพิจารณา แต่เราก็มักจะมีคำถามว่าแล้วจะเขียน SLA ของ  Cloud Computing อย่างไร

วันนี้เลยจะขอแนะนำการกำหนด SLA โดยใช้ Cloud Assessment Tool (CAT) ของ  Asia Cloud Computing Association ซึ่งสามารถเข้าไปดูได้ที่ https://accacat.herokuapp.com/ โดย Assessment Tool จะเป็นการกำหนดข้อกำหนดในมาตรฐานของ  Cloud Computing ให้ผู้ที่ต้องการใช้ Cloud หรือผู้ให้บริการ Cloud เลือกของกำหนดในแปดกลุ่มคือ

• Security  ที่จะพิจารณาด้าน สิทธิส่วนบุคคล ความปลอดภัยของข้อมูล และกฎระเบียบ
• Life Cycle ที่จะพิจารณาด้านการให้บริการกับลูกค้่าในระยะยาวที่มีผลกระทบกับธุรกิจ
• Performance ที่จะพิจารณาด้านลักษณะการทำงานของ application softwareที่ติดตั้ง
• Access ที่จะพิจารณาด้านระบบการเชื่อมต่อระหว่างผู้ใช้และผู้ให้บริการ Cloud
• DC  Basic ที่จะพิจารณาด้านโครงสร้างของระบบ
• Certification ที่จะพิจารณาด้านมาตรฐานการประกันคุณภาพาำหรับลูกค้า
• Support ที่จะพิจารณาด้านการติดตั้ง  Application และการบำรุงรักษา
• Interoperability ที่จะพิจารณาด้านการเชื่อมต่อระหว่าง Cloud hypervisor กับ applications

โดยในแต่ละกลุ่มจะมีหัวข้อย่อยๆเพื่อให้เราสามารถเลือกระดับ (Level) ต่างๆในการกำหนดการให้บริการได้ โดยจะมี 4 Level แต่ในบางกรณีก็อาจไม่มีให้เลือกเลย

เพื่อให้ภาพการเขียนข้อกำหนด SLA ผมจะอธิบายการใช้งาน CAT โดยจะเข้าไปที่เว็บไซต์ดังกล่าว และจะสาธิตในฐานะ Prospective Cloud User

โดยผมจะกำหนดชื่อเป็น CRM Service และจะตั้งข้อกำหนดในกลุ่ม  Security, Life Cycle, Performance, Access, Certification  และ Support ดังรูป

เมื่อผมกด  Next Step เมนูจะแสดงข้อกำหนดย่อยในกลุ่ม Security ให้ผมเลือก ซึ่งในที่นี้ผมไม่จำเป็นที่จะต้องเลือกทุกข้อ โดยพิจารณาเลือกเฉพาะข้อกำหนดที่ผมต้องการ ซึ่งในที่นี้ผมเลือกข้อกำหนดด้าน Authenthication, User Account Logging, Protection, Data Removal และ Location Awareness ดังรูป

โดยเราจะเห็นข้อความที่เป็นข้อกำหนดที่ทาง CAT แสดงมาให้ด้านล่างดังรูป

ซึ่งเมื่อกด  Next Step ระบบก็จะให้เรากำหนดมาตรฐานในกลุ่ม Life Cycle ซึ่งผมเลือกข้อกำหนดต่างๆดังรูป

จากนั้นก็จะเป็นข้อกำหนดในกลุ่ม Performance  ซึ่งผมเลือกข้อกำหนดต่างๆดังรูป

จากนั้นก็จะเป็นข้อกำหนดในกลุ่ม Access  ซึ่งผมเลือกข้อกำหนดต่างๆดังรูป

จากนั้นก็จะเป็นข้อกำหนดในกลุ่ม Certification  ซึ่งผมเลือกข้อกำหนดต่างๆดังรูป

จากนั้นก็จะเป็นข้อกำหนดในกลุ่ม Support  ซึ่งผมเลือกข้อกำหนดต่างๆดังรูป

ซึ่งเมื่อเราเลือกข้อกำหนดตามที่ต้องการแล้ว CAT ก็จะสรุปแล้วให้เราเลือกที่จะดูหรือส่งของกำหนดมายัง e-mail ของเราดังรูป

ซึ่งเราก็จะได้ต้นแบบของ SLA เพื่อนำมาใช้เป็นข้อกำหนดที่สมบูรณ์ต่อไป ตัวอย่างของข้อกำหนดที่เหลือมาในกรณีนี้ก็จะเป็นดังนี้

Security: Privacy, information security, regulatory

Authentication: Level 1: Standard methods to authenticate the portal as well as the API access by a user.

User Account Logging: Added capability of logging management activities on requested resources and other actions.

Protection: Assurance that software, computing results, data and etc., cannot be accessed or infringed upon by other users. This includes inter-virtual machine attack prevention, storage block level isolation and hypervisor compromise protection.

Data Removal: In case a user requests his software or data to be deleted, all data/software stored in the cloud must be entirely and irretrievably removed. This requires that the appropriate techniques be employed to locate the data and all its backups, encrypted or otherwise, and to completely erase all of them into an unrecoverable state.

Location Awareness: The user receives an indication of where his data is being stored and processed. User can specify where software and data have to be stored, run and processed. Provisions are in place to ensure all data and backups are stored only in these locations agreed by contract or the service level agreement.

Life Cycle: Long-term support impacting customer business processes 

Dev. Roadmap: Ensure that the service provider has a planned way forward (process) to evolve available features and introduce new capabilities. For L2 to L4 a well-defined approach comparable to “Capability Maturity Model” is needed, e.g. L2 is CMM L2, L3 is CMM L3 and L4 is CMM L4.

Service Management: In general terms cloud services are IT services remotely offered to the customer. There are well defined and well structured methods available to determine how services are expected to be managed in an enterprise environment. One should expect the same structured approach to IT service offerings from a service provider as would be expected from an in-house IT organization. Cost, effort and rigidness increase with the ITIL level and present a natural way for mapping it into the CAT framework levels.

Reporting: L2: In addition to L1 requirements an on- line information dashboard should be made available to the user, showing the list of essential Cloud services currently being deployed and utilized. It may include real-time update of information on status of VMs, Storage usage, Storage Buckets, Data transfer and others.

Portal: “Self Service” is the cloud Web portal feature that enables customers to perform most of the essential services themselves. This includes provisioning resource, managing resources such as controlling VM status (reboot, shutdown, restart, etc.), viewing various subscribed services, downloading essential support documents (e.g. user guides and FAQ list, etc.).

Billing: L3: Service provider keeps a history of the customer’s use of chargeable resources and services.

Performance: Runtime behavior of deployed application software

Availability %: Refers to the length of time the service is offering without interruption (outside defined maintenance windows). L1: 99.95% represents standard IT hardware and software runtime uptime.

Elasticity: Addresses the how fast a deployed application can increase its performance response with increasing service requests.

Redundancy: Redundancy architectures frequently rely on a well-defined set of software components to preserve states and transactions.

Access: Connectivity between the end user and cloud service provider

Access: This parameter measures the type of access. L1: Access through public Internet.

Availability: Indicates the “guaranteed” level of uptime of the network access.

Scalability: Capability to increase and decrease user’s access bandwidth based on actual capacity demand.

Certification: Degree of quality assurance to the customer

ISO 9000: A series of standards, developed and published by the International Organization for Standardization that define, establish, and maintain an effective quality assurance system for manufacturing and service industries.

ISO 27001/2: The objective of this pair of standards is to “provide a model for establishing, implementing, operating, monitoring, reviewing, maintaining, and improving an Information Security Management System”.

Vendor Cert.: Validates the integrity of commercial software products. It indicates the competence and ability of the provider to operate or offer any third party SW.

Support: Deployment and maintenance of applications

Customer Support: Methods and capabilities available for how a user can interact with the service provider.

Service Responsiveness: Time it takes for the service provider to respond to calls or customer inquiries.

Incident Response Time (Pri1): Maximum time it takes for service provider to react and act on Priority 1 incidents (an event where a service/application is not working or accessible). L1: 30 minutes