The Role of SLAs in Building a Trusted Cloud for Europe

Ferrer, Ana Juan; Montanera, Enric Pages i

doi:10.1007/978-3-319-18491-3_22

Cited by 3 publications

(8 citation statements)

References 5 publications

Supporting

Mentioning

Contrasting

Order By: Relevance

“…According to data from BAE Systems, 85% of the attacks have targeted high-profile organisations, such as government ministries (55%), embassies (15%) and public organisations (12%). 1 This statistical data is also supported by the Control Risks on Risk Map Report 2016, which pointed out that governments are the top sector targeted by cyber attacks (36% of total attacks). This is not surprising, as many governments generate, collect and store far more sensitive data than the private sectors, and this data is accumulated in more vulnerable systems.…”

Section: Introductionsupporting

confidence: 52%

“…An SLA is a binding agreement between a service provider and a customer that is widely used in a variety of contexts to claim the obligation of external SPs to deliver services according to service requirements [1,3]. The concept of security-related SLAs was first proposed by Henning [5], who pointed out that security-related SLAs have a lack of tangible and measurable services because security is not quantifiable and has not been expressed in such concrete terms in SLAs.…”

Section: Reflection With Related Workmentioning

confidence: 99%

See 1 more Smart Citation

Investigating Security Capabilities in Service Level Agreements as Trust-Enhancing Instruments

Nugraha

Martin

2017

Trust Management XI

View full text Add to dashboard Cite

Many government agencies (GAs) increasingly rely on external computing, communications and storage services supplied by service providers (SPs) to process, store or transmit sensitive data to increase scalability and decrease the costs of maintaining services. The relationships with external SPs are usually established through service level agreements (SLAs) as trust-enhancing instruments. However, there is a concern that existing SLAs are mainly focused on the system availability and performance aspects, but overlook security in SLAs. In this paper, we investigated 'real world' SLAs in terms of security guarantees between GAs and external SPs, using Indonesia as a case study. This paper develops a grounded adaptive Delphi method to clarify the current and potential attributes of security-related SLAs that are common among external service offerings. To this end, we conducted a longitudinal study of the Indonesian government auctions of 59 e-procurement services from 2010-2016 to find 'auction winners'. Further, we contacted five selected major SPs (n=15 experts) to participate in a three-round Delphi study. Using a grounded theory analysis, we examined the Delphi study data to categorise and generalise the extracted statements in the process of developing propositions. We observed that most of the GAs placed significant importance on service availability, but security capabilities of the SPs were not explicitly expressed in SLAs. Additionally, the GAs often use the provision of service availability to demand additional security capabilities supplied by the SPs. We also observed that most of the SPs found difficulties in addressing data confidentiality and integrity in SLAs. Overall, our findings call for a proposition-driven analysis of the Delphi study data to establish the foundation for incorporating security capabilities into security-related SLAs.

show abstract

Section: Introductionsupporting

confidence: 52%

Section: Reflection With Related Workmentioning

confidence: 99%

Investigating Security Capabilities in Service Level Agreements as Trust-Enhancing Instruments

Nugraha

Martin

2017

Trust Management XI

View full text Add to dashboard Cite

show abstract

“…According to "Worldwide and Regional Public IT Cloud Services 2012-2016 Forecast", public IT cloud services will observe a compound annual growth rate of 26.4% between 2012 to 2016, which is five times the IT industry overall (Burns, 2012). However, given the growth of public cloud adoption, concerns about security, privacy and legal are highest in this deployment model (Ferrer & Montanera, 2015).…”

Section: Public Cloud Model -Focus Of This Studymentioning

confidence: 99%

“…Organisations need people with appropriate competencies to address these concerns and to ensure security against these threats. Knowing that the public cloud environment faces highest security, privacy and legal concerns (Ferrer & Montanera, 2015), it is not surprising that 'risks, compliance, and security management' is the most significant competency required in order to evaluate and manage cloud vendors. Staff need to have the technical capabilities to assess and identify various asset or non-asset based risks (related to reputation and image); as well as the ability to assess and ensure internal and external compliance, and its effectiveness in the context of legal, governmental, and industry regulations.…”

Section: Vendor Evaluation and Managementmentioning

confidence: 99%

IT controls in the public cloud: Success factors for allocation of roles and responsibilities

Khan

Nicho

Takruri

2016

Journal of Information Technology Case and Application Research

View full text Add to dashboard Cite

“…binary, numeric, linguistic), while users can adjust weights according to their specific needs and functional requirements. SLA is the fundamental mechanism that allows users to enforce guarantees about performance and conformance of single or federated Cloud services [29]. Service Level Agreements specifically establish the consensus on the characteristics of the service to be provided between the service provider and the cloud service user.…”

Section: Multi-criteria Decision Making Methods For Service Assessment With Userdefined Prioritiesmentioning

confidence: 99%

Trust-aware life-cycle management of federated edge clouds

Παπαδάκης-Βλαχοπαπαδόπουλος¹

View full text Add to dashboard Cite

Στην εποχή των δικτύων πέμπτης γενιάς (5G) και του Διαδικτύου των Αντικειμένων (ΔτΑ - Internet of Things), τα μοντέλα παροχής και διαχείρισης υπηρεσιών γίνονται όλο και πιο σύνθετα, με το συνδυασμό μιας ευρείας γκάμας από τεχνολογίες και συσκευές. H πολυσυνθετότητα των νέων μοντέλων παροχής υπηρεσιών εγείρει νέες προκλήσεις σχετικά με την εκπλήρωση και τη διαχείριση του κύκλου ζωής μιας υπηρεσίας, από την ανακάλυψη και την επιλογή μιας υπηρεσίας, μέχρι την ενορχήστρωση, τη διαχείριση και την παρακολούθηση της. Επιπρόσθετα, σε ένα τέτοιο πλαίσιο, όπου άγνωστοι μεταξύ τους, χρήστες, συσκευές και πάροχοι απαιτείται να αλληλεπιδρούν για την εκπλήρωση μιας υπηρεσίας, είναι κρίσιμο να παρέχεται μια αίσθηση εμπιστοσύνης στους χρήστες. Κινητήριος δύναμη για την παρούσα διατριβή είναι η αντιμετώπιση των νέων προκλήσεων που εγείρονται στη διαχείριση του κύκλου ζωής υπηρεσιών και η παροχή εμπιστοσύνης.Στο πρώτο μέρος της παρούσας διατριβής, το επίκεντρο της προσοχή μας εστιάζεται η αξιολόγηση της επίδοσης υπηρεσιών οι οποίες αναπτύσσονται με τη χρήση ετερογενών υποδομών, λαμβάνοντας υπ' όψιν τη Ποιότητα της Υπηρεσίας (ΠτΥ - Quality of Service) και την Ποιότητα της Εμπειρίας (ΠτΕ - Quality of Experience), συνδυάζοντας δεδομένα παρακολούθησης, την υποκειμενική αντίληψη των χρηστών και τις μοναδικές απαιτήσεις τους. Για την επίτευξη αυτού του στόχου, στοχεύουμε να ποσοτικοποιήσουμε την αξιολόγηση της επίδοσης των υπηρεσιών με τα παραπάνω κριτήρια, ως μια τιμή φήμης, η οποία αντιπροσωπεύει τις επιδόσεις και την αξιοπιστία μια υπηρεσίας με δίκαιο τρόπο, με την παράλληλη εγγύηση προστασίας από κακόβουλες οντότητες που επιχειρούν να την τροποποιήσουν προς ιδίων όφελος.Για την επίτευξη των προαναφερθέντων στόχων, αναπτύξαμε συνεργατικά πλαίσια Συμφωνίας σε Επίπεδο Υπηρεσιών (Service Level Agreement - SLA) και Διαχείρισης της Εμπιστοσύνης με βάση τη φήμη (Reputation Trust Management - RTM) με κύρια μέριμνα τα ομόσπονδα νέφη. Η ομοσπονδία νέφους είναι η ανάπτυξη, διαχείριση και συνεργασία πολλαπλών υπηρεσιών υπολογιστικού νέφους. Η ομοσπονδία νέφους μπορεί να ενσωματώνει ιδιωτικά (private), κοινοτικά (community) και δημόσια (public) νέφη παρέχοντας πολλά οφέλη όπως κλιμακωσιμότητα, ανοχή στα σφάλματα (fault tolerance) και ελαστικότητα στο περιβάλλον νέφους. Παράλληλα όμως, προκύπτουν νέες προκλήσεις όπως η δια-λειτουργικότητα μεταξύ των ετερογενών νεφών και η έλλειψη εμπιστοσύνης μεταξύ των διαφορετικών παρόχων. Σε αυτό το περιβάλλον, χρησιμοποιούμε SLA ώστε να επιτρέψουμε στους χρήστες να εξασφαλίσουν εγγυήσεις για τις επιδόσεις των υπηρεσιών που καταναλώνουν. Επεκτείνουμε τους καίριους δείκτες απόδοσης (Key Performance Indicators - KPIs) που αξιολογούνται από SLA για να ξεπεράσουμε το πολύ περιορισμένο KPI της διαθεσιμότητας (availability) υπηρεσίας που προσφέρουν οι περισσότεροι πάροχοι υπηρεσιών νέφους, ώστε να μπορούν να εκφραστούν οι μοναδικές απαιτήσεις κάθε ξεχωριστού χρήστη. Επιπρόσθετα, για το κομμάτι της διαχείρισης εμπιστοσύνης με βάση τη φήμη των συνεργατικών μας πλαισίων, εστιάζουμε σε πολυ-κριτιριακές τεχνικές λήψης αποφάσεων (Multi-Criteria Decision Making - MCDM) για την ποσοτικοποίηση της εμπιστοσύνης και τον υπολογισμό της αντίστοιχης τιμής φήμης. Υιοθετούμε τέτοιες τεχνικές λόγω της ικανότητας τους να δέχονται ως είσοδο πολλαπλά KPIs συνδυάζοντας μετρικές που αντιπροσωπεύουν τόσο την ΠτΥ όσο και την ΠτΕ του χρήστη. Στην ερευνητική μας δουλειά, τροποποιήσαμε και επεκτείναμε δυο γνωστές MCDM τεχνικές που βασίζονται σε ασαφή λογική (Fuzzy Logic), την Fuzzy VIKOR και την Fuzzy Analytic Hierarchical Proccess (AHP). Η πρώτη είναι οριζόντιας δομής ενώ η δεύτερη ιεραρχικής δομής. Οι κύριες συνεισφορές των επεκτάσεων μας στις παραπάνω τεχνικές είναι η διεύρυνση των τύπων δεδομένων που δέχονται ως είσοδο ώστε να μη περιορίζεται σε ασαφής αριθμούς αλλά να περιλαμβάνει και γλωσσικές και δυαδικές τιμές. Με αυτόν τον τρόπο μπορούμε να συνδυάζουμε ένα μεγάλο εύρος κριτηρίων της ΠτΥ και της ΠτΕ στη διαδικασία παραγωγής της τιμής εμπιστοσύνης και να εγγυηθούμε ότι η υψηλή τιμή φήμης αναπαριστά αντικειμενικά την ποιότητα και αξιοπιστία ενός παρόχου. Επιπλέον, τροποποιήσαμε τις τεχνικές αυτές ώστε να επιτρέψουμε στους χρήστες να προσαρμόζουν τα βάρη κάθε κριτηρίου που συμμετέχει στην διαδικασία αξιολόγησης ώστε να μπορούν να εκφράσουν με αυτόν το τρόπο τις μοναδικές τους διαφορετικές απαιτήσεις.Τέλος, και στις δύο τεχνικές, εισάγουμε μηχανισμούς αξιοπιστίας που αναπτύξαμε και συγκρίνουν τις αξιολογήσεις των χρηστών με δεδομένα SLA και δεδομένων παρακολούθησης προκειμένου να εντοπιστούν κακόβουλες οντότητες και να προστατευτούν οι πάροχοι από απόπειρες χειραγώγησης της τιμής εμπιστοσύνης τους.Η υλοποίηση και πειραματική επικύρωση και αξιολόγηση των προτάσεων μας, επικύρωσαν την αποτελεσματικότητα των τεχνικών SLA και τις επιδόσεις των προτεινόμενων λύσεων μας για τη διαχείριση της εμπιστοσύνης με βάση τη φήμη. Πιο συγκεκριμένα, η σύγκριση με γνωστές λύσεις από τη βιβλιογραφία ανέδειξε τη σημασία του μείγματος διαφόρων αριθμητικών και ασαφών δεδομένων, σε σύγκριση με το περιορισμό μονάχα σε αριθμητικές εισόδους. Επίσης αναδείχθηκε η αναγκαιότητα και αποτελεσματικότητα των μηχανισμών αξιοπιστίας. Στο δεύτερο μέρος της διατριβής μας, συνεχίζουμε την ενασχόληση μας με τις προκλήσεις στη διαχείριση του κύκλου ζωής. Σε αυτό το σημείο εστιάζουμε στη διαχείριση του κύκλου ζωής υπηρεσιών σε ομόσπονδα νέφη στις παρυφές του δικτύου (federated edge clouds) και στο να προσφέρουμε σε χρήστες υπολογιστικών κέντρων νέφους παρυφών τη δυνατότητα, είτε να προσφέρουν τις υπηρεσίες που έχουν αναπτύξει προς μίσθωση είτε να μισθώσουν κάποια που εξυπηρετεί τις ανάγκες τους. Ως ομόσπονδα νέφη παρυφών, στο πλαίσιο αυτής της διατριβής, ορίζουμε την πολύ-διαχειριστική (multi-administrative) συνεργασία πολλαπλών παρόχων οι οποίοι είναι πρόθυμοι να επιτρέψουν την επικοινωνία μεταξύ διαφορετικών διαχειριστικών τομέων (administrative domains), ώστε να γίνει δυνατή η προσφορά για μίσθωση η κατανάλωση μιας υπηρεσίας μεταξύ αυτών μέσα μιας αγοράς δικτυακών υπηρεσιών (Network Service Marketplace - NSM). Για την επίτευξη των στόχων αυτών, μετακινούμαστε από συστήματα διαχείρισης της φήμης σε συστήματα χωρίς εμπιστοσύνη (trustless systems), για την εξυπηρέτηση του κύκλου ζωής υπηρεσιών. Χρησιμοποιούμε Αλυσίδα Επιβεβαιωμένων Συναλλαγών (ΑΕΣ - Blockchain) ως σύστημα χωρίς εμπιστοσύνη, διότι επιτρέπει σε οντότητες χωρίς εμπιστοσύνη μεταξύ τους, να αλληλεπιδρούν χωρίς τη διαμεσολάβηση κάποιας έμπιστης κεντρικής αρχής. Αντίθετα η επικοινωνία είναι αποκεντρωμένη, διατηρώντας όλες τις λειτουργίες που θα εξυπηρετούσε μια κεντρική αρχή και διατηρώντας παράλληλα την εμπιστοσύνη στην ορθότητα των συναλλαγών και τα αποτελέσματα τους. Χρησιμοποιήσαμε ΑΕΣ για την ανάπτυξη μιας πλήρως λειτουργικής αγοράς δικτυακών υπηρεσιών. Χρησιμοποιήσαμε το κατανεμημένο κατάστιχο (distributed ledger) ως μια κατανεμημένη βάση δεδομένων μεταξύ των διαφορετικών παρόχων και υπολογιστικών κέντρων νέφους παρυφών και αξιοποιήσαμε τα έξυπνα συμβόλαια για την ανάπτυξη της αγοράς και τη διαχείριση των απαραίτητων συναλλαγών. Με την χρήση έξυπνων συμβολαίων αναπτύχθηκαν όλες οι απαραίτητες αλληλεπιδράσεις και συναλλαγές που απαιτούνται σε μια αγορά δικτυακών υπηρεσιών, εξυπηρετώντας κάθε βήμα στο κύκλο ζωής μιας υπηρεσίας, όπως η ανακάλυψη, η επιλογή, η μίσθωση, η χρέωση και το κυριότερο, η ενορχήστρωση της επικοινωνίας μεταξύ υπηρεσιών. Η λύση μας παρέχει μία πολύ-τομεακή αρχιτεκτονική η οποία είναι σύμφωνη με το πρότυπο ETSI-NFV, η οποία έχει πολύ καλή κλιμακωσιμότητα και απαιτεί ελάχιστους πόρους και επιπρόσθετη διαχείριση από νέους παρόχους παρυφών νέφους. Ακόμη, προκειμένου να επιτευχθεί η κατανάλωση μιας μισθωμένης υπηρεσίας στην αγορά, αναπτύξαμε ένα πρωτότυπο ενορχηστρωτή της επικοινωνίας μεταξύ δικτυακών υπηρεσιών (Cross-Service Communication - CSC) για περιβάλλοντα και αρχιτεκτονικές εικονικοποίησης δικτυακών λειτουργιών (Network Function Virtualization - NFV). Ο ενορχηστρωτής μας, λαμβάνοντας την ελάχιστη απαραίτητη πληροφορία από την βασισμένη σε ΑΕΣ αγορά μας, πραγματοποιεί όλες τις απαραίτητες ενέργειες για την αυτόματη ενορχήστρωση της επικοινωνίας μεταξύ δικτυακών υπηρεσιών. Τα δεδομένα που αποθηκεύονται στην ΑΕΣ είναι τα ελάχιστα απαραίτητα και περιλαμβάνουν κατά βάση ετικέτες. Με αυτόν τον τρόπο εξασφαλίζεται τόσο η αποδοτικότητα των δεδομένων όσο και η ιδιωτικώτητα των δεδομένων σχετικά με τις προσφερόμενες υπηρεσίες.Η υλοποίηση και αξιολόγηση της αγοράς δικτυακών υπηρεσιών και του ενορχηστρωτή μας επιβεβαίωσαν ότι η προτεινόμενη λύση είναι κλιμακώσιμη και ότι οι χρονικές καθυστερήσεις που προσθέτει ο ενορχηστρωτής μας και η επικοινωνία μεταξύ της ΑΕΣ και του ενορχηστρωτή κρίνονται αμελητέες. Επιπλέον, η ενορχήστρωση της επικοινωνίας μεταξύ δικτυακών υπηρεσιών δεν απαιτεί επιπλέον πόρους ενώ παράλληλα άλλες προτάσεις στη βιβλιογραφία απαιτούν ενδιάμεσες δικτυακές υπηρεσίες που διαμεσολαβούν αυτήν την επικοινωνία και απαιτούν επιπρόσθετους πόρους.Τέλος, συνοψίζουμε τα συμπεράσματα της διατριβής μας και προσφέρουμε μερικές ενδιαφέρουσες ιδέες για μελλοντική ανάπτυξη και εμπλουτισμό της δουλειάς μας καθώς και σημαντικές συνέργειες που μπορούν να προκύψουν μεταξύ των προτάσεων που παρουσιάσαμε σε αυτήν τη διατριβή.

show abstract

The Role of SLAs in Building a Trusted Cloud for Europe

Cited by 3 publications

References 5 publications

Investigating Security Capabilities in Service Level Agreements as Trust-Enhancing Instruments

Investigating Security Capabilities in Service Level Agreements as Trust-Enhancing Instruments

IT controls in the public cloud: Success factors for allocation of roles and responsibilities

Trust-aware life-cycle management of federated edge clouds

Contact Info

Product

Resources

About