Contratti di servizio

  • 8 minuti

In questo corso si è parlato delle idee fondamentali alla base del cloud computing e di alcuni dei modelli di servizio che sono emersi nell'ambito del paradigma di cloud computing. Supponendo che un'organizzazione voglia spostare l'infrastruttura e i servizi in un provider di servizi cloud, sorgono alcune domande. Ad esempio, in che modo un'organizzazione:

  • Definisce i propri requisiti in termini di servizi richiesti al provider di servizi cloud.
  • Identifica il tipo e la quantità dei servizi richiesti.
  • Determina il livello di servizio e il supporto che dovrà ricevere da un provider di servizi cloud.
  • Monitora e convalida il tipo e la qualità del servizio garantiti dal provider di servizi cloud.

Quando un'organizzazione deve dichiarare formalmente i requisiti del servizio in termini aziendali e legali, definisce questi requisiti in termini di obiettivi a livello di servizio, definiti come segue:

Obiettivo a livello di servizio

(definizione) Un obiettivo a livello di servizio viene definito come elemento chiave che definisce un certo aspetto del servizio che ci si attende dal provider di servizi

Un obiettivo a livello di servizio comune con i provider di servizi cloud, ad esempio, è una garanzia del tempo di attività, in cui si garantisce che un servizio è disponibile e in esecuzione entro i normali parametri operativi per una percentuale specificata del tempo.

Gli obiettivi a livello di servizio vengono in genere concordati tra il cliente e un provider di servizi in un contratto più ampio noto come contratto di servizio, o SLA, definito come segue:

Contratto di servizio

(definizione) Un contratto di servizio (SLA) è un contratto tra un provider di servizi (interno o esterno) e il cliente che definisce il livello di servizio che dovrà essere erogato dal provider di servizi.

I contratti di servizio sono presenti in molti settori in cui esiste una relazione fornitore-cliente per un servizio offerto periodicamente dal fornitore al cliente. I contratti di servizio per i sistemi IT, nella forma attuale, sono stati usati a partire dalla fine degli anni '80 dagli operatori di telecomunicazioni a linea fissa come parte dei propri contratti con i clienti aziendali.

Un contratto di servizio generalmente è costituito dai componenti seguenti:

  • Definizione dei servizi che il provider di servizi deve erogare al cliente
  • Metodi di misurazione delle prestazioni
  • Protocolli per la gestione dei problemi
  • Elenco di doveri per il cliente
  • Garanzie che devono essere rispettate dal provider di servizi
  • Procedure necessarie per il ripristino di emergenza
  • Processo e criteri relativi alla risoluzione del contratto

I principi che hanno regolato i contratti di servizi per decenni sono particolarmente pertinenti nel settore del cloud computing. È importante che le organizzazioni comprendano le garanzie offerte da un provider di servizi cloud e sappiano quali garanzie non offre.

Contratti di servizio del cloud computing

I contratti di servizio si sono evoluti nel corso degli anni per soddisfare diversi tipi di servizi IT. L'evoluzione dei servizi di infrastruttura condivisi come i cloud ha richiesto l'uso di contratti di servizio più articolati. I contratti di servizio per definizione possono definire qualsiasi livello di servizio, ma un contratto di servizio ben strutturato idealmente deve1:

  • Codificare i parametri specifici e i livelli minimi richiesti per ogni elemento del servizio, nonché i rimedi nel caso in cui tali requisiti non vengano soddisfatti.
  • Affermare che il cliente è il proprietario dei dati archiviati nel sistema del provider di servizi e che il cliente ha il diritto di farseli restituire.
  • Specificare che l'infrastruttura di sistema e gli standard di sicurezza devono essere gestiti dal provider di servizi, nonché il diritto del cliente di verificarne la conformità.
  • Specificare i diritti e i costi del cliente per continuare e interrompere l'uso del servizio del provider di servizi cloud.

Per gli utenti del cloud, l'elemento più importante di un contratto di servizio è in genere il tempo di attività garantito, che varia in base al servizio e al provider. Il tempo di attività viene normalmente misurato in "nove", dove tre 9, ad esempio, significa 99,9%, quattro 9 significa 99,99% e così via. I provider offrono spesso crediti per il servizio quando i contratti di servizio non vengono rispettati. Amazon, ad esempio, offre ai clienti un credito del 10% per il servizio se il tempo di inattività mensile per un'istanza di Elastic Beanstalk è inferiore al 99,99% e un credito del 30% se scende al di sotto del 99%. La percentuale 99% sembra elevata, ma significa che un servizio potrebbe non essere disponibile per circa 3,5 giorni all'anno. Si tratta di un lungo periodo di tempo per un'azienda come Amazon o Expedia la cui interfaccia principale per i clienti (nonché il mezzo per generare profitti) è sul Web.

Le garanzie del tempo di attività possono variare anche in base alla configurazione e al livello di servizio. Microsoft, ad esempio, garantisce la connettività a una macchina virtuale di Azure per almeno il 99,99% del tempo, ma solo se due o più istanze della macchina virtuale vengono distribuite in due o più zone di disponibilità nella stessa area di Azure. Alcuni servizi cloud, inoltre, consentono di scegliere tra diversi livelli di servizio, con livelli più elevati che offrono tempi garantiti più elevati. In generale, maggiore è il tempo di attività garantito, maggiore sarà il costo.

Controllo nel cloud computing

Sebbene il cloud computing offra numerosi vantaggi, una delle principali problematiche è la verifica dell'affidabilità dei servizi cloud. Se un cliente firma un contratto di servizio che garantisce un certo livello di disponibilità, come fa il cliente a sapere se il provider è all'altezza dei termini del contratto? E come fa a saperlo il provider di servizi cloud?

I principali provider di servizi cloud, tra cui Amazon, Microsoft e Google, assumono revisori di terze parti per monitorare le piattaforme e controllarne la disponibilità e altri fattori, tra cui la sicurezza e la riservatezza dei dati. I revisori producono report SOC conformi allo standard SOC (Service Organization Controls) dell'American Institute of Certified Public Accountants (AICPA). I report SOC sono suddivisi in tre categorie:

  • Report SOC 1, che riguardano i rapporti finanziari
  • Report SOC 2, che riguardano sicurezza, disponibilità e privacy
  • Report SOC 3, che riguardano ancora sicurezza, disponibilità e privacy

I report SOC 1 e SOC 2 in genere sono privati e vengono resi disponibili solo per i clienti che hanno firmato accordi di non divulgazione con il provider di servizi cloud. I report SOC 3 sono disponibili per il pubblico.

I principali provider di servizi cloud offrono anche servizi di monitoraggio ai propri clienti. Questi servizi possono essere distribuiti insieme ai servizi IaaS, PaaS e SaaS per inviare avvisi ai clienti quasi in tempo reale se, ad esempio, un sito Web si arresta o una macchina virtuale non è più disponibile. Benché la responsabilità di soddisfare le condizioni del contratto di servizio ricada in gran parte sul provider di servizi cloud, anche i clienti possono progettare le soluzioni che distribuiscono per ottimizzare la disponibilità, ad esempio impiegando meccanismi di failover offerti dal provider di servizi cloud per assicurarsi che il traffico verso un database o una macchina virtuale che non è più disponibile venga reindirizzato a una copia di tale database o macchina virtuale in un'altra area.

Data la natura dei servizi cloud, il controllo e il monitoraggio sono necessari. Questa operazione richiede il monitoraggio e la valutazione in tempo reale per attivare una risposta rapida per salvaguardare il servizio e la reputazione del cliente. Nei cloud pubblici questo risultato si ottiene impedendo l'esposizione dei dati del cliente ad altri clienti del cloud. Il controllo quasi in tempo reale è in rapida evoluzione e diventa un requisito per i servizi di cloud computing affidabili, che richiederanno, tra l'altro, l'uso di log di controllo e il monitoraggio del servizio, delle prestazioni e delle metriche di sicurezza.

Riferimenti

  1. Thomas Trappler. If It's in the Cloud, Get It on Paper: Cloud Computing Contract Issues (Se è sul cloud, mettilo per iscritto: problemi contrattuali del cloud computing). https://www.educause.edu/ero/article/if-its-cloud-get-it-paper-cloud-computing-contract-issues

Verificare le conoscenze

1.

Microsoft offre ai clienti un credito del 10% per il servizio se il tempo di attività mensile di un servizio app di Azure scende sotto il 99,95%. Supponendo che un mese abbia 31 giorni, per quanti minuti deve essere inattivo un servizio app in un mese per attivare un credito?

2.

Si supponga di compilare una soluzione costituita da due servizi cloud interconnessi, ognuno dei quali include un contratto di servizio che garantisce che il servizio sarà attivo almeno il 99,50% del tempo. Qual è il tempo minimo di attività previsto per la soluzione nel suo complesso?