仔細檢查云服務水平協議的需求非常明確。云服務擁有定義明確的條件和責任，滿足客戶期望，并提供價值保證。這條技巧根據開發云SLA指出了一些安全和法規遵從考慮事項。

ITIL v3定義的術語服務水平協議(SLA)，用以描述提供商和客戶之間的服務、文檔目標以及具體的職責。為了使其變成一個安全的術語，SLA應該為一個環境帶來透明度，能夠迭代變化更，并通過指標的使用自動化，以便維護相互之間的信任。

考慮到這些，云安全和法規遵從的關鍵點就和三個主要領域的風險相關：

(1)資產所有權，包含數據保管、控制、擁有和返回權;

(2)服務可用性、監控和響應，旨在衡量和成本相關的領域以及持續性的能力;

(3)服務基線，比如易損性和配置管理的法規遵從或者安全評估。

編寫一個SLA要覆蓋上面這三個領域的風險，這樣考慮四個控制領域(技術、流程、人員和地理)就容易了，并且可以基于可用性水平、保密性和完整性衡量。

云SLA：可用性

對于服務提供商而言，可用性也許是最聲名狼藉的SLA術語了。響應時間、恢復時間和恢復點是常規指標。2011年亞馬遜服務的一次宕機持續了數天闡明了地理位置如何成為云SLA的前沿和中心內容，此次宕機并沒有違反亞馬遜EC2的SLA，其中聲明提供“365天內一定范圍內99.95%的服務可用性。”換句話說，當一定范圍的亞馬遜ESB和RDS“可用性區域”變得不可用，該公司裝裱精美的SLA就使其免受其責。客戶需要更高水平的服務，要求多種可用性區域，服務跨多種不同的地理區域。

云SLA：保密性

地理在保密性上有逆效果。大多數人都不想自己的數據跨管轄區蔓延。比如，歐洲希望數據自己擁有，避免美國的服務器接觸，因為保管、控制和擁有都受到美國法律的限制。反過來也一樣。為了符合著這種需求，亞馬遜2011年宣布了一項服務隔離出一個單獨的數據中心。

云SLA必須根據加密、身份認證和其他的控制目標解決位置問題。另一個重要的方面在于這個問題是人員、流程和技術如何安全的銷毀數據，防止泄露。云的靈活性和高可用性和地理分布性相關，回避了提供商如何保證數據以公有的標準在所有地方都破壞了。

云SLA：完整性

完整性衡量旨在指出風險，包括數據格式和可移植性，還有變更管理。云提供商的系統使用私有的格式，對于客戶現有的內容是否是障礙?云提供商提供的虛擬系統圖像有什么保證或者應用沒有客戶的授權不會被修改?一些SaaS提供商發布的產品中有變更和事件漏洞，卻沒有通知或者文檔修改計劃;客戶在業務處理時會受到影響，包括應用程序接口，會發生意外失敗。

正如你所看到的，每一個因素都有非常多的風險，必須在云中加以解決，才能在SLA中提供實際的保險。幸運的是，現有的標準、知道和控制里除了能夠適用的內容來解決這些因素。ISO 27001信息安全管理框架，提取了ISO 27002控制，已經成為通用國際標準，描述和詳細介紹了云服務提供商的安全控制。客戶在開發云SLA時應該考慮將這些標準作為基礎。