如何在多云环境中管理合同

随着越来越多的企业采用来自不同云计算提供商的云服务,企业将会面临管理多云环境的一些挑战。管理挑战的一个关键方面是如何处理使用多个云计算提供商和云计算服务签署的所有合同。

如何在多云环境中管理合同

帮助企业解决采购、谈判、法律和计划管理问题的咨询机构UpperEdge公司业务主管Adam Mansfield说,“并非所有的云计算合同都使用相同的内部流程和程序进行审查和谈判。

一些云计算合同是由云计算供应商规避客户流程的能力所驱动的,是由业务主管和首席营销管来审查和执行的。有些采购甚至可能没有IT高管参与,或者如果参与的话,通常是在交易已经结束的时候才在最后进行讨论。”

Mansfield表示,这导致整个企业没有统一的规定和承诺。他说,“经常与业务线达成协议的交易通常也没有竞争力,或者充满了‘陷阱’。管理具有不同级别的价格保护、灵活性和服务级别承诺的云计算合同非常具有挑战性。”

Mansfield说:“并非所有云计算供应商都采用相同的条款。在合同承诺方面,每个供应商都有自己的具体规定,即他们能提供什么,不能提供什么。规模较小的云计算供应商可能更灵活、更容易获得企业的业务,而一些更成熟的行业领先的云计算供应商可能会采取强硬的做法。这会导致企业中的云计算合同中没有通用条款和承诺,这给管理方面带来了挑战。”

IT咨询机构More Than Code公司负责人Sten Vesterli指出,云计算在很大程度上已经成为一种混乱的垄断政策,而混乱的市场营销使客户难以做出明智的决定。他说:“每个供应商都确保使用不同的指标,以使客户无法进行直接比较。”

在云计算市场上提供的大多数语言中缺乏标准,这也会给云计算服务合同的管理带来麻烦。

以下是在多云环境中协商、维护和管理云计算服务合同的一些技巧和最佳实践。

创建销售/采购部门来监督所有云计算合同

许多企业已经拥有管理销售/采购事务的职能。管理云计算服务合同也应该如此,因为它们将会越来越多并且日益复杂。

Mansfield说:“企业需要制定内部流程,其所有云计算合同必须通过销售/采购部门进行。对于业务高管和IT高管来说,参加谈判当然是必要的。但是还需要遵循必要的流程。”

他表示,这个部门可以帮助确保将统一的信息有效和一致地传达给相关的云计算供应商。它从建立接触规则开始,并一直执行合同。

Mansfield说,“在谈判过程中,云计算供应商及其销售团队非常善于规避流程,并通过在企业内部进行导航,通过互动获得优势来控制谈判。因此可以将这看作是一种‘分而治之’的方法。”

他表示,围绕将要谈判的关键项目有一个统一的信息至关重要。例如,前期折扣、长期价格确定性、高度灵活的模型、有意义的服务等级协议等等。

销售/采购功能还可以帮助云计算供应商在交付服务方面保持一致。Mansfield说:“为了在多云环境的投资组合中与特定的云计算供应商进行最有效的谈判,企业需要了解特定云计算供应商在谈判特定项目时可以做什么,不能做什么。”

Mansfield说,了解云计算供应商能够提供的门槛以及具体内容,不仅可以增加客户谈判的筹码,它还会在内部加快处理速度。他说,“人们不会在无法做到的事情上浪费时间,这可以设定和管理适当的内部预期。”

协商特定于客户的服务等级协议

为了确保达到预期的服务质量水平、可用性和性能,企业应针对所提供的每项服务均要求提供一个服务等级协议,并且应该专门设计服务等级协议以满足客户的需求。每个企业通常有自己的特定要求、流程、工作量等,因此采用一切的方法是行不通的。

IT咨询机构Opkalla公司的首席技术官Steve Ermish说:“大多数云计算提供商都提供了服务等级协议,但没有将其包含在标准合同语言中。在大多数情况下,通过合同中嵌入的URL将服务等级协议称为单独的协议。这使企业可以为所有客户提供一个标准的服务等级协议,从而定期更改他们的服务等级协议。”

Ermish表示,对于没有达到服务等级协议要求进行处罚的金额通常很低,不足以弥补客户的业务损失,客户需要了解这些更改如何影响业务,以及如果提供商无法满足其服务等级协议,则业务可能面临的风险。

Ermish说,“通过在云计算合同中协商一个特定于客户的服务等级协议,企业可以根据自己的条款使云计算供应商更具责任感,并从中得到更大的补偿。”

云安全联盟(CSA)总顾问Francoise Gilbert表示,需要记住,与多云环境相关的服务等级协议往往更复杂,因为与云安全相关的教育和最佳实践需要解决的问题更多。

Gilbert说,“例如,某些功能、规格或选择可能会相互冲突。由于多层和复杂的环境,发生一个事件就可能会产生多米诺骨牌效应。服务等级协议可能涵盖各种服务、不同类型的数据,以及长期和短期问题。因此,应该在协商的服务等级协议和未协商的服务等级协议之间进行区分。具有重大需求的大型公司通常能够协商其服务等级协议的某些条款。而规模较小的公司议价能力较低,可能没有能力协商其服务等级协议的条款,并且可能需要依靠其他方式来理解和应对这些合同可能产生的风险。”

确定安全漏洞和数据保护语言

Ermish表示,在安全漏洞非常普遍的情况下,云计算提供商每天都会受到网络攻击,这并不少见。当企业使用来自不同云计算提供商的多个云服务时,这种风险会被放大。

Ermish说:“如果云计算提供商受到威胁,并且如果企业的数据遭到破坏,则可能对其造成严重的业务和财务风险,这具体取决于对外泄露的数据类型。大多数企业不会量化数据对外泄露的成本,并相信云计算提供商会保护他们。”

Ermish表示,由于每个客户的潜在损失和诉讼费用巨大,因此将云计算服务提供商的责任降至最低符合云计算提供商的最大利益。通过在每个云计算合同中协商特定的违规条款,企业可以应用财务保护来减少自己的数据违规责任,还可以获得因故退出合同的灵活性。

Gilbert指出,尽管许多云计算服务提供商拥有完善的安全程序,但可能其他云计算服务提供商没有。他说,“当企业计划购买云计算服务时,应事先确保计划使用的服务提供商具备必要的安全措施,并能够证明这些措施对于在云平台中托管和处理的特定类型的数据的存在性、效率、有效性和可靠性。”

Gilbert说,企业应该询问一些具体问题,要求并审查有关安全计划,并评估所提供安全级别的性质和质量。例如,这包括检查先前的安全测试结果。他说:“企业未能深入研究安全计划可能会带来严重后果。”

Ermish指出,关于数据保护,在与云计算提供商签署合同之后,要做的第一件事就是准备转移数据。他说:“云计算合同中经常忽略的是,如何在合同终止时定义、处理、上传、保护和最终恢复企业的数据。”

具体来说,企业需要定义一些事情,例如哪些数据被视为企业的知识产权,以及云计算提供商是否可以通过任何方式访问这些数据。

Ermish说,“很多企业会惊讶地发现,云计算提供商有时会使用机器学习来读取企业的数据以用于自己的分析和营销用途。在合同终止后,企业将如何恢复数据,其格式将与上传时的格式是否相同?需要先支付数据费用或满足特定合同条款,然后才能取回数据吗?”

明确价格保护和终止条款

Ermish表示,大多数云计算合同都将受到费率变化以及价格自动上涨的影响,每年的涨幅可能在5%到10%。

Ermish说,“在云计算合同的生命周期内,协商固定的价格非常重要。客户有时可能需要提供承诺的最低支出或预付款。还要求将固定价格包括在合同中。与服务等级协议一样,如果云计算提供商引用外部定价计划,则可以定期更改,而无需通知客户。”

Vesterli说,“同样重要的是要明确终止条款。合同最重要的部分是从一开始就有一个退出计划。如果企业可以将业务扩展到其他地方,那么可以在关系中拥有更强大的力量。如果不能,则供应商就有更多的权力。”

Ermish表示,企业通常热衷于实施新的云计算服务和技术,在许多情况下,他们的目标是尽快推动合同通过审批流程。但如果他们在合同终止前对产品或服务不满意,他们往往会忽视自己的选择。

Ermish说:“在通常情况下,在签订云计算合同时,无论合同如何终止,客户都会在整个期限内拖欠这笔款项。”

通过花费时间在每个云计算合同中协商终止条款,企业可以创建杠杆作用和供应商责任制,以灵活地协商其他重要事项,如合同续签、价格和其他变更。Ermish说,“至少,它为企业提供了一种使云计算提供商对企业风险最小的方法。”

多云策略的好处之一就是灵活性,企业需要在合同交易中保持这种灵活性。

Culhane Meadows律师事务所合伙人Scott Stevenson说:“很多企业希望避免云计算供应商锁定,并保留灵活性,以便在云计算提供商之间分配工作负载和项目,并在一段时间内从可用的最佳云计算解决方案中进行选择。为了实现这些好处,客户需要专注于保持云计算合同的灵活性。”

跟上云合约动态的变化

Gilbert说,云计算生态系统发展迅速。他说:“云计算服务的性质已经扩大,依靠云计算处理数据的个人、公司和政府机构的数量也在增加。”

他表示,与其他类型的合同一样,云计算服务协议已经以许多方式发展。云计算服务提供商正在确定最适合他们的新合同结构,云计算客户需要更加了解他们可以协商或不能协商的内容。

Gilbert说,“合同必须发展以解决更多或不同的产品或服务、不同的风险或威胁、新的法律和相关法律要求。此外,有必要更改合同条款,以考虑到诉讼当事人提出的新法律理论,以及从诉讼、集体诉讼或监管机构发起的执法行动中汲取的教训。”

从“提前购买”转变到“按需购买”方法

IT服务提供商Flexera公司的云计算战略副总裁Kim Weins说,“一家正在将大量应用程序迁移到云平台的企业在移动应用程序之前就花费大量资金购买了预留实例,他们现在每小时都在为尚未使用的计算能力支付费用。”