Contratos de nivel de servicio
En este curso ya hemos hablado de las ideas fundamentales detrás de la informática en la nube y de algunos de los modelos de servicio que han surgido en el paradigma de la informática en la nube. Suponiendo que una organización quiere migrar su infraestructura y sus servicios a un proveedor de nube, surgen varias preguntas. Por ejemplo:
- ¿Cómo una organización define sus requisitos en cuanto a los servicios que necesitan del proveedor de servicios en la nube?
- ¿Cómo una organización identifica el tipo y la cantidad de los servicios que requiere?
- ¿Cómo una organización determina el nivel de servicio y el soporte que espera de un proveedor de nube?
- ¿Cómo una organización supervisa y valida el tipo y la calidad del servicio que el proveedor de servicios en la nube garantiza?
Cuando una organización debe indicar formalmente sus requisitos de servicio en términos empresariales y legales, define estos requisitos en términos de los objetivos de nivel de servicio, los que se definen como sigue:
Objetivo de nivel de servicio
(definición) Un objetivo de nivel de servicio se define como un elemento clave que delimita algún aspecto del servicio que se espera del proveedor de servicios
Un objetivo de nivel de servicio en común con los proveedores de servicios en la nube, por ejemplo, es una garantía de tiempo de actividad, en el que se garantiza que un servicio estará disponible y en ejecución dentro de los parámetros de funcionamiento normales durante un porcentaje especificado del tiempo.
Por lo general, los objetivos de nivel de servicio se acuerdan entre el cliente y un proveedor de servicios en un contrato mayor conocido como un contrato de nivel de servicio (SLA), el que se define de la manera siguiente:
Contrato de nivel de servicio
(definición) Un contrato de nivel de servicio (SLA) es un contrato entre un proveedor de servicios (interno o externo) y el cliente que define el nivel de servicio que se espera del proveedor de servicios.
Existen contratos de nivel de servicio en muchos sectores en los que existe una relación entre proveedor y cliente para un servicio proporcionado por el proveedor al cliente de manera periódica. Los SLA de las tecnologías de la información, en su forma actual, se han usado desde fines de la década de 1980 por parte operadores de telecomunicaciones de línea fija como parte de sus contratos con clientes corporativos.
Un SLA típico puede constar de los componentes siguientes:
- Una definición de los servicios que el proveedor de servicios proporcionará al cliente.
- Métodos para medir el rendimiento
- Protocolos para administrar problemas
- Una lista de tareas de cliente
- Garantías que debe respetar el proveedor de servicios
- Procedimientos necesarios para la recuperación ante desastres
- Proceso y directivas con respecto a la terminación del contrato
Los principios que han regido por décadas los contratos de nivel de proceso son especialmente relevantes en el sector de informática en la nube. Es importante que las organizaciones sepan lo que garantiza un proveedor de servicios en la nube, así como lo que no garantiza.
SLA en la informática en la nube
Los contratos de nivel de servicio han evolucionado a lo largo de los años para satisfacer distintos tipos de servicios de TI. La evolución de los servicios de infraestructura compartidos, como las nubes, ha hecho necesario usar contratos de nivel de servicio seguros. Por definición, los SLA pueden definir cualquier nivel de servicio, pero un SLA bien estructurado idealmente hará lo siguiente1:
- Codificar los parámetros específicos y los niveles mínimos necesarios para cada elemento del servicio, así como las correcciones de errores para cumplir dichos requisitos.
- Confirmar la propiedad del cliente de sus datos almacenados en el sistema del proveedor de servicios y especificar los derechos del cliente para recuperarlos.
- Detallar los estándares de seguridad e infraestructura del sistema que debe mantener el proveedor de servicios, junto con los derechos del cliente para auditar su cumplimiento.
- Especificar los derechos del cliente y el costo para continuar y dejar de usar el servicio del proveedor de servicios en la nube.
En el caso de los usuarios de la nube, el elemento más importante de un contrato de nivel de servicio suele ser el tiempo de actividad garantizado, que varía según el servicio y el proveedor. El tiempo de actividad se mide normalmente en "nueves", donde tres 9, por ejemplo, significa 99,9 %, cuatro 9 significa 99,99 %, etc. Los proveedores suelen ofrecer créditos de servicio cuando no se cumplen los SLA. Amazon, por ejemplo, proporciona a los clientes un crédito de servicio del 10 % si el tiempo de actividad mensual de una instancia de Elastic Beanstalk cae por debajo del 99,99 % y uno del 30 %, si cae por debajo del 99 %. Una cifra como 99 % suena alta, pero significa que un servicio podría no estar disponible durante unos 3,5 días al año. Eso es mucho tiempo para una empresa como Amazon o Expedia, cuya interfaz principal de cara a sus clientes (y medio de generación de ingresos) es a través de la Web.
Las garantías de tiempo de actividad también pueden variar según la configuración y el nivel de servicio. Por ejemplo, Microsoft garantiza que tendrá conectividad con una máquina virtual de Azure al menos el 99,99 % del tiempo, pero solo si se implementan dos o más instancias de la máquina virtual en dos o más zonas de disponibilidad en la misma región de Azure. Además, algunos servicios en la nube le permiten seleccionar entre varios niveles de servicio y los niveles superiores ofrecen mayores tiempos de actividad. En general, cuanto mayor sea el tiempo de actividad garantizado, mayor será el costo.
Auditoría en la informática en la nube
Aunque la informática en la nube proporciona numerosas ventajas, uno de los desafíos principales es garantizar y comprobar la confiabilidad de los servicios en la nube. Si un cliente firma un contrato de servicio que garantiza cierto nivel de disponibilidad, ¿cómo sabe el cliente si el proveedor se rige según los términos del contrato? Es más… ¿cómo lo sabe el proveedor de la nube?
Los principales proveedores de servicios en la nube, como Amazon, Microsoft y Google, contratan auditores de terceros para supervisar sus plataformas en busca de disponibilidad y otros factores, como la seguridad y la confidencialidad de los datos. Los auditores generan informes de SOC que cumplen con el estándar SOC del Instituto Americano de Contables públicos (AICPA). Los informes de SOC se dividen en tres categorías:
- Informes de SOC 1, que cubren los informes financieros.
- Informes de SOC 2, que cubren la seguridad, la disponibilidad y la privacidad.
- Informes de SOC 3, que también cubren la seguridad, la disponibilidad y la privacidad.
Los informes SOC 1 y SOC 2 suelen ser privados y solo están disponibles para los clientes que tienen acuerdos de confidencialidad (NDA) firmados con el proveedor de nube. Los informes de SOC 3 están disponibles para el público.
Los principales proveedores de nube también ofrecen servicios de supervisión a sus clientes. Estos servicios se pueden implementar junto con los servicios IaaS, PaaS y SaaS para alertar a los clientes casi en tiempo real si, por ejemplo, un sitio web deja de funcionar o si una máquina virtual deja de estar disponible. Aunque la responsabilidad de cumplir con los términos del contrato de nivel de servicio recae en gran medida en el proveedor de nube, los clientes también pueden diseñar las soluciones que implementan para maximizar la disponibilidad, por ejemplo, mediante el uso de mecanismos de conmutación por error que ofrece el proveedor de nube, a fin de garantizar que el tráfico a una base de datos o a una máquina virtual que haya dejado de estar disponible se redirija a una copia de esa base de datos o máquina virtual en otra región.
Dada la naturaleza de los servicios en la nube, es necesaria la auditoría y la supervisión. Esto requiere la supervisión y evaluación en tiempo real para desencadenar una respuesta rápida que permita proteger el servicio y la reputación del cliente. En las nubes públicas, esto se debe conseguir a la vez que se evita la exposición de datos de cliente a otros clientes en la nube. La auditoría casi en tiempo real se está modificando rápidamente y se convierte en un requisito para los servicios de informática en la nube confiables que requerirán pistas de auditoría y la supervisión de las métricas de servicio, rendimiento y seguridad, entre otros.
Referencias
- Thomas Trappler. Si está en la nube, pasarlo a papel: problemas del contrato de informática en la nube. https://www.educause.edu/ero/article/if-its-cloud-get-it-paper-cloud-computing-contract-issues