На что следует обратить внимание при составлении соглашения об уровне обслуживания
Многие ИТ-руководители недовольны тем, что им приходится контролировать надежность защиты большей части критически важных компонентов своей инфраструктуры. Однако в последние годы аутсорсинг защиты стал очень популярным и надежным средством снижения затрат на обеспечение безопасности. Все больше компаний передают на аутсорсинг поставщикам услуг управления защитой (managed security service providers, MSSP) часть своей инфраструктуры защиты, в том числе сетевые экраны, системы обнаружения вторжений и виртуальные частные сети.
Планируя передать на аутсорсинг столь значимый участок, нужно хорошо представлять последствия этого шага как для инфраструктуры защиты ИТ, так и для работы компании в целом. Поставщики услуг существенно отличаются друг от друга, что в полной мере предопределено соглашением об уровне обслуживания (service-level agreement, SLA). Мы детально рассмотрим различные аспекты SLA и попытаемся выяснить, что именно должно присутствовать в этом соглашении и почему каждый из разделов требует пристального внимания. В целом соглашение об уровне обслуживания с поставщиками сервисов защиты должно охватывать следующие области.
Краткое описание сервиса
Как правило, раздел с кратким описанием сервиса содержится во вводной части SLA. В нем всегда должны указываться названия компании-поставщика и компании-клиента.
В этом описании перечислены обязательства, которые клиент берет на себя, чтобы выполнить соглашение об уровне обслуживания. Например, вас могут попросить предоставить актуальные списки контактов, сетевые топологии и способы расширения круга клиентов. В этом разделе обычно указан уровень поддержки (например, «Золотой» или «Платиновый»), который вы приобретаете. Этот уровень определяет, с какой оперативностью поставщик услуг будет реагировать на ваши запросы о предоставлении сервиса, сколько таких запросов можно посылать в неделю или в месяц, как часто вы будете получать уведомления при возникновении экстремальных ситуаций, наконец, самое важное, каковы общие гарантии готовности сервиса.
Аппаратное обеспечение
Поставщики оказывают услуги защиты с помощью разных схем. Одни устанавливают специальное аппаратное обеспечение в вашем офисе. Другие предоставят вам аппаратное обеспечение, подключив к своему центру управления сетью (network operations center, NOC). А третьи предложат услуги защиты через виртуальные домены, посредством которых, наряду с другими клиентами, вы будете использовать оборудование, размещенное в офисе самого поставщика.
Вне зависимости от подхода, поставщик услуг должен четко оговорить в SLA способы предоставления сервиса. Как только узнаете, какое именно оборудование будет применяться поставщиком, постарайтесь получить исчерпывающие сведения об аппаратных спецификациях, производительности, пропускной способности, размере, модернизациях и т. д.
Программное обеспечение
Большинство поставщиков услуг используют продукты известных компаний, таких как Check Point, ISS, Cisco и других. Однако некоторые отдают предпочтение свободно распространяемому программному обеспечению, такому как Snort для систем обнаружения вторжений.
Важно выяснить, какое программное обеспечение будет применяться для предоставления приобретаемых вами услуг. Тогда ваша компания может выдвинуть свои особые требования. Например, вы вправе отказаться от использования свободно распространяемого и не имеющего поддержки производителя программного обеспечения в любом из компонентов вашей инфраструктуры ИТ. В этом случае ПО Snort может быть изъято, а поставщик услуг будет вынужден использовать продукты, имеющие поддержку производителя. Заранее зная какое ПО применяется, вы сможете лучше понять взаимоотношения между поставщиком и производителем этого программного обеспечения. Если ваш поставщик использует Cisco PIX в качестве программного обеспечения сетевого экрана, но в его составе нет CCIE, то это законная причина для беспокойства.
Готовность сервиса
Многим читателям, скорее всего, хорошо известен раздел о готовности сервиса. Там точно описаны гарантии уровня обслуживания, которые вы получаете как клиент. В числе самых важных гарантий доля времени непрерывного обслуживания. Например, время наработки на отказ 99,5% означает, что ваш сайт потенциально может быть отключен на 216 минут в месяц без каких-либо последствий для поставщика услуг. Если же сервис был отключен на большее время, чем предусматривает гарантированный уровень обслуживания, то поставщик услуг обязан выплатить вам компенсацию за этот период. При этом важно понять, что поставщик считает простоем. Так, большинство поставщиков услуг процесс осуществления модернизаций не расценивают как время простоя, следовательно вы не получите компенсацию за этот период, хотя услуги в тот момент фактически не предоставляются.
Другие гарантии уровня обслуживания могут указывать, как быстро поставщик услуг отреагирует на ваши запросы, сколько модернизаций предстоит, как своевременно будет выявлять проблемы и т. д. Особого внимания заслуживают штрафные санкции, возможные в том случае, если гарантии уровня обслуживания поставщик не выполнит. На деле все сводится к тому, что поставщик просто не будет брать плату за этот период.
Запросы на предоставление сервиса
Обычно соглашения об уровне обслуживания предусматривают определенное число стандартных и экстренных запросов на предоставление сервиса в месяц. Важно понять, когда вызов сервиса будет считаться экстренным, это позволит вам корректно планировать изменения. Например, если поставщик рассматривает как экстренные любые запросы, сделанные не в стандартные рабочие часы (с 8 утра до 17 вечера с понедельника по пятницу), а большинство изменений, которые вы планируете, приходятся на «нестандартный» период, то у вас могут возникнуть проблемы.
Есть и другие нюансы, на которые следует обратить внимание при обсуждении ваших потребностей в сервисе. В частности, некоторые поставщики услуг склонны ограничивать число специалистов по ИТ вашей компании, которым разрешено посылать запросы на предоставление сервиса.
Другие расценивают определенные запросы на предоставление услуги по принципу «один равен двум». Третьи за запросы на ряд услуг взимают дополнительную плату. Список можно продолжить.
Мониторинг и генерация отчетов
Сетевые администраторы нередко сетуют на то, что не в состоянии быстро найти и устранить ошибки, когда сеть внезапно оказывается в нерабочем состоянии, либо не имеют достаточных ресурсов, чтобы оперативно провести так называемый «судебный анализ» при обнаружении инцидента. Сейчас поставщики услуг значительно эффективнее выполняют такие операции, как генерация отчетов об использовании полосы пропускания, анализ причин простоя и управление регистрационными записями.
Учитывая тот факт, что между поставщиками услуг есть определенные различия, имеет смысл заранее выяснить, чьи условия для вас более приемлемы. Достаточно задать несколько вопросов. Передает ли ваш поставщик по сети большую часть актуальной конфигурации, которую специалисты компании могли бы анализировать? Будут вас обеспечивать отчетами ежедневно, еженедельно или ежемесячно на основе данных, полученных из журналов регистрации на межсетевом экране, в системе обнаружения вторжений и виртуальной частной сети? Готов поставщик предоставлять специальные или адаптированные отчеты, на основе которых вы могли бы выполнять поиск и устранение неисправностей или судебный анализ? Для всех ли конфигураций делаются резервные копии? И, разумеется, при составлении соглашения об уровне обслуживания с любым из поставщиков необходимо детально обсудить его готовность, обратную связь и качество предоставляемых услуг.
Джиан Жен — обладатель сертификатов CISM и CISSP. Является руководителем по управлению продуктами компании LogLogic. В отрасли средств информационной безопасности работает уже 10 лет. С ним можно связаться по адресу zhenjl@gmail.com или через его блог в Operational Intelligence.
Jian Zhen. SLA 102: The Service Summary. http://www.computerworld.com/securitytopics/security/ story/0,10801,109760,00.html