2016.05.10

클라우드 SLA 베스트 프랙티스 10선

Michael Cooney | Network World
“클라우드 서비스를 도입할 때 무엇보다 중요한 것은 SLA(Service Level Agreement)를 작성하고 실행하는 것이다.” 최근 미국 회계 감사원(GAO)의 연방 감시 단체가 발표한 보고서에서 내린 최종 결론이다.

GAO는 보고서에서 "공급업체를 통해 IT 서비스를 구매하면 정부 기관은 그러한 서비스를 제공하는 데 일반적으로 필요한 하드웨어, 소프트웨어, 네트워크와 같은 모든 자산에 대한 비용 지출을 피할 수 있다. 이 방법은 연방 정부 기관에게 과거에 해왔던 방법보다 더 빠르고 저렴하게 서비스를 구매할 수 있는 수단을 제공한다. 이러한 잠재적 혜택을 활용하기 위해 정부 기관들은 2016 회계연도에 클라우드 컴퓨팅에 20억 달러 이상을 투자할 계획이라고 보고했다"고 밝혔다.

GAO는 이 보고서를 작성하면서 정부 및 개인 사용자와 관련된 SLA를 위한 10가지 핵심 사항을 정리했다.

1. SLA와 관련된 모든 당사자(최소한 기관과 클라우드 제공업체를 포함)의 역할과 책임을 명시한다. 예를 들어 계약과 감사, 성능 관리, 유지보수, 보안을 책임지는 사람을 정해야 한다. 활성화 날짜, 성능을 포함한 핵심 조건을 정의하고 클라우드 컴퓨팅 용어 정의에서 모호한 부분을 찾아 확인한다.

2. 날짜 및 성능과 같은 핵심 요소를 정의한다. 성능 측정을 누가 책임지는지를 포함한 클라우드 서비스의 성능 척도를 정의한다. 이러한 척도에는 클라우드 서비스의 가용성, 클라우드에 동시 접속 가능한 사용자 수, 고객 거래를 처리하기 위한 응답 시간 등이 포함된다.

3. 서비스 업체의 성능에 대한 명확한 척도를 정의한다. 성능 측정 책임을 어느 쪽이 맡을지도 명시해야 한다. 이러한 척도의 예에는 다음이 포함된다.

- 클라우드 서비스의 용량과 기능(예: 클라우드에 동시에 접속 가능한 최대 사용자 수, 더 많은 사용자를 수용하도록 서비스를 확장할 수 있는 제공업체의 역량).
- 응답 시간(예: 고객이 입력한 거래를 클라우드 서비스 제공업체 시스템이 얼마나 신속하게 처리하는가, 서비스 중단에 대한 응답 시간).

4. 기관이 자체 데이터와 네트워크에 접속하는 방법과 시점을 명시한다. 여기에는 데이터와 네트워크가 SLA 기간 동안 어떤 방법으로 관리되고 유지되는지, 그리고 서비스 중단/종료 시 어떤 방법으로 기관에 다시 귀속되는지가 포함된다.

5. 다음 서비스 관리 요구 사항을 명시한다.
- 클라우드 서비스 제공업체가 성능을 모니터하고 그 결과를 기관에 보고하는 방법.
- 기관이 감사를 통해 클라우드 서비스 제공업체의 성능을 확인하는 시점과 방법.

6. 재해 복구 및 운영 연속성 계획과 테스트를 제공한다. 여기에는 클라우드 서비스 제공업체가 이러한 장애 및 중단을 기관에 보고하는 방법과 시점이 포함된다. 또한 제공업체가 이와 같은 상황을 어떻게 해결하고 이 문제의 반복 위험을 어떻게 완화할 것인지에 대한 내용도 포함한다.

7. 클라우드 제공업체의 성능 척도가 적용되지 않는 예외 조건을 기술한다. (예: 예정된 유지보수 또는 업데이트 시간 동안)

8. 클라우드 제공업체가 기관의 데이터를 보호하기 위한 보안 성능 요구 사항에 부합함을 보여주기 위해 충족해야 하는 척도를 명시한다(예: 데이터에 접속할 수 있는 사람, 기관 데이터를 보호하기 위한 보호책을 명확히 정의). 서비스 제공업체가 충족해야 하는 보안 성능 요구 사항을 명시한다. 여기에는 데이터 안정성, 데이터 보존 및 데이터 프라이버시와 같은 데이터 보호를 위한 보안 성능 척도에 대한 기술이 포함될 수 있다. 클라우드 서비스 제공업체와 기관의 접근 권한과 데이터, 애플리케이션, 프로세스를 보호하여 모든 연방 요구 사항을 충족하기 위한 양 당사자의 책임을 명확하게 정의한다.

9. 보안 요구 사항이 충족되지 않은 경우(예: 데이터 침해가 발생한 경우) 클라우드 서비스 제공업체가 이를 기관에게 알리는 방법과 시점을 정의하는 성능 요구 사항 및 속성을 명시한다.

10. SLA 성능 기준 미달 시 적용되는 집행 가능한 후속 조치(예: 페널티)를 명시한다. 기관이 이러한 강제 조치를 어떤 방법으로 시행할지 명시한다. 페널티와 개선책을 명시하지 않을 경우 기관은 상황 발생 시 계약 조건에의 부합을 강제할 수단이 없을 수도 있다.  editor@itworld.co.kr



2016.05.10

클라우드 SLA 베스트 프랙티스 10선

Michael Cooney | Network World
“클라우드 서비스를 도입할 때 무엇보다 중요한 것은 SLA(Service Level Agreement)를 작성하고 실행하는 것이다.” 최근 미국 회계 감사원(GAO)의 연방 감시 단체가 발표한 보고서에서 내린 최종 결론이다.

GAO는 보고서에서 "공급업체를 통해 IT 서비스를 구매하면 정부 기관은 그러한 서비스를 제공하는 데 일반적으로 필요한 하드웨어, 소프트웨어, 네트워크와 같은 모든 자산에 대한 비용 지출을 피할 수 있다. 이 방법은 연방 정부 기관에게 과거에 해왔던 방법보다 더 빠르고 저렴하게 서비스를 구매할 수 있는 수단을 제공한다. 이러한 잠재적 혜택을 활용하기 위해 정부 기관들은 2016 회계연도에 클라우드 컴퓨팅에 20억 달러 이상을 투자할 계획이라고 보고했다"고 밝혔다.

GAO는 이 보고서를 작성하면서 정부 및 개인 사용자와 관련된 SLA를 위한 10가지 핵심 사항을 정리했다.

1. SLA와 관련된 모든 당사자(최소한 기관과 클라우드 제공업체를 포함)의 역할과 책임을 명시한다. 예를 들어 계약과 감사, 성능 관리, 유지보수, 보안을 책임지는 사람을 정해야 한다. 활성화 날짜, 성능을 포함한 핵심 조건을 정의하고 클라우드 컴퓨팅 용어 정의에서 모호한 부분을 찾아 확인한다.

2. 날짜 및 성능과 같은 핵심 요소를 정의한다. 성능 측정을 누가 책임지는지를 포함한 클라우드 서비스의 성능 척도를 정의한다. 이러한 척도에는 클라우드 서비스의 가용성, 클라우드에 동시 접속 가능한 사용자 수, 고객 거래를 처리하기 위한 응답 시간 등이 포함된다.

3. 서비스 업체의 성능에 대한 명확한 척도를 정의한다. 성능 측정 책임을 어느 쪽이 맡을지도 명시해야 한다. 이러한 척도의 예에는 다음이 포함된다.

- 클라우드 서비스의 용량과 기능(예: 클라우드에 동시에 접속 가능한 최대 사용자 수, 더 많은 사용자를 수용하도록 서비스를 확장할 수 있는 제공업체의 역량).
- 응답 시간(예: 고객이 입력한 거래를 클라우드 서비스 제공업체 시스템이 얼마나 신속하게 처리하는가, 서비스 중단에 대한 응답 시간).

4. 기관이 자체 데이터와 네트워크에 접속하는 방법과 시점을 명시한다. 여기에는 데이터와 네트워크가 SLA 기간 동안 어떤 방법으로 관리되고 유지되는지, 그리고 서비스 중단/종료 시 어떤 방법으로 기관에 다시 귀속되는지가 포함된다.

5. 다음 서비스 관리 요구 사항을 명시한다.
- 클라우드 서비스 제공업체가 성능을 모니터하고 그 결과를 기관에 보고하는 방법.
- 기관이 감사를 통해 클라우드 서비스 제공업체의 성능을 확인하는 시점과 방법.

6. 재해 복구 및 운영 연속성 계획과 테스트를 제공한다. 여기에는 클라우드 서비스 제공업체가 이러한 장애 및 중단을 기관에 보고하는 방법과 시점이 포함된다. 또한 제공업체가 이와 같은 상황을 어떻게 해결하고 이 문제의 반복 위험을 어떻게 완화할 것인지에 대한 내용도 포함한다.

7. 클라우드 제공업체의 성능 척도가 적용되지 않는 예외 조건을 기술한다. (예: 예정된 유지보수 또는 업데이트 시간 동안)

8. 클라우드 제공업체가 기관의 데이터를 보호하기 위한 보안 성능 요구 사항에 부합함을 보여주기 위해 충족해야 하는 척도를 명시한다(예: 데이터에 접속할 수 있는 사람, 기관 데이터를 보호하기 위한 보호책을 명확히 정의). 서비스 제공업체가 충족해야 하는 보안 성능 요구 사항을 명시한다. 여기에는 데이터 안정성, 데이터 보존 및 데이터 프라이버시와 같은 데이터 보호를 위한 보안 성능 척도에 대한 기술이 포함될 수 있다. 클라우드 서비스 제공업체와 기관의 접근 권한과 데이터, 애플리케이션, 프로세스를 보호하여 모든 연방 요구 사항을 충족하기 위한 양 당사자의 책임을 명확하게 정의한다.

9. 보안 요구 사항이 충족되지 않은 경우(예: 데이터 침해가 발생한 경우) 클라우드 서비스 제공업체가 이를 기관에게 알리는 방법과 시점을 정의하는 성능 요구 사항 및 속성을 명시한다.

10. SLA 성능 기준 미달 시 적용되는 집행 가능한 후속 조치(예: 페널티)를 명시한다. 기관이 이러한 강제 조치를 어떤 방법으로 시행할지 명시한다. 페널티와 개선책을 명시하지 않을 경우 기관은 상황 발생 시 계약 조건에의 부합을 강제할 수단이 없을 수도 있다.  editor@itworld.co.kr

X