SLA差距不应阻碍云创新

随着云采用的加速，组织依赖服务级别协议(SLA)来定义关于可用性、安全性和性能的期望，以访问和处理数据或使用服务。然而，SLA往往滞后于创新。对于CTO和CISO来说，这种不一致是战略风险，他们需要找出在基础设施保证不能反映现代数字服务的复杂性或关键性时如何安全地进行创新。

创新速度快于SLA成熟度

现代云架构日益依赖容器编排和无服务器计算。机器人流程自动化、生成式AI和边缘计算等技术正在重塑服务交付。然而，主要云提供商（例如AWS、Azure、Google Cloud）的SLA条款通常提供99.9%到99.99%的可用性，而实际性能因配置和依赖关系而异。

为弥合这一差距，组织可以使用体验级别协议(XLA)来衡量服务质量和用户体验。目标与关键成果(OKR)应与XLA保持一致以跟踪业务目标，而SLA和关键风险指标(KRI)支持交付和风险管理。该模型然后将技术输出与业务影响联系起来，使领导者能够评估创新是否转化为可衡量的结果。

发展治理以缩小SLA差距并遏制影子IT

今年公共云支出预计将达到7230亿美元（Gartner）。然而，SLA限制可能驱动未经授权的使用，特别是在生成式AI等快速发展的领域（MIT）。最近涉及ChatGPT、xAI（Grok）和通过Microsoft Copilot访问的GitHub存储库的事件显示，员工为寻求效率而提交的敏感内部数据，即使在存储库设为私有后，仍被公共搜索引擎索引。

虽然可以通过限制用户使用批准的系统来管理云平台风险，但这并不能消除影子IT的出现，员工仍可能绕过官方渠道，暴露私有数据。管理需要政策、培训和意识，并辅以清晰的治理和技术控制。

这强调了持续监督和主动治理与监控的必要性，从静态合规转向动态赋能。这需要将技术控制与业务目标对齐，教育团队可接受的使用，并将KRI嵌入决策。这些措施共同有助于防止影子IT并维护运营完整性。

安全与治理：云创新的基础推动者

云提供商在共享责任模型下运营，其中基础设施安全由提供商管理，而数据、配置和访问控制仍然是客户的责任。

这加强了对跨堆栈的分层安全的需求：虚拟机监控程序、应用程序、访问、监控和操作。安全即代码、零信任架构和云原生工具（如AWS Security Hub和Google Cloud Security Command Center）使组织能够增强安全性。这些对于遵守数字运营弹性法案(DORA)和欧盟人工智能法案等法规也至关重要。

治理框架如NIST风险管理框架和COBIT可以帮助将IT与战略联系起来。当与OKR、XLA、SLA和KRI集成时，这些框架可以实现负责任管理创新的结构化方法。

应对SLA限制的架构策略

混合和多云策略增加了灵活性，允许企业通过设计选择（如微分割、受限访问和专用租户）调整SLA。自托管开源工具如Apache Spark可以减少对商业提供商的依赖，但需要内部技能和治理来管理它们。此外，生成式AI平台可能需要混合配置以满足数据主权要求。这意味着架构决策应反映业务需求和风险承受能力，而不是对完美安全的理想化追求。

当SLA差距过大时的战略撤退

在某些情况下，SLA限制，特别是围绕合规性或主权的限制，可能需要转向私有云或自托管解决方案。像AWS Outposts这样的产品将部分运营责任转移给组织，实现更大的控制但需要增强的治理和技术能力。

这要求领导者理解何时从不可管理风险中战略撤退可以保持韧性和准备状态。监控SLA暴露可以确保敏捷性和准备，使组织在条件改善或风险缓解时重新参与。

结论

因此，SLA差距不是创新的障碍，而是领导必须采取行动的指标。CTO和CISO需要不仅关注满足技术保证，还要确保云采用支持可衡量的业务成果。

他们可以通过将OKR与XLA对齐，并以SLA和KRI为基础，来构建有韧性和响应性的治理。在高度监管但依赖创新的经济体中，技术领导者必须平衡雄心与责任。这可能意味着在风险过大时退后一步，无论是通过混合云、补偿控制还是战略供应商选择，始终保持安全可持续地推动创新的焦点。