Безопасно витать в облаках

Как защищена информация и выстроены бизнес-процессы в виртуальных серверах

Облака открывают бизнесу большие преимущества, о которых практически все компании хорошо осведомлены, а многие уже испытали их на собственном опыте. Например, облака позволяют гораздо быстрее, чем в случае с железом, заказывать ресурсы или отказываться от них. Более гибко подходить к планированию бюджета, наращивать или сокращать затраты на ИТ-сервисы. Однако облачные системы могут и приводить к проблемам. Как избежать трудностей и в чем их причина, читателям RSpectr рассказал ИТ-директор ActiveCloud Руслан Райкевич.

ОБЛАКО ТРЕБУЕТ ЧЕТКИХ ЦЕЛЕЙ

В облака манит многих, но не все четко понимают, зачем им это. Иногда клиент обращается к облачным технологиям только потому, что это заметный тренд: так уже сделали его коллеги по рынку, и хочется последовать их примеру. Само по себе такое желание похвально, если бы не одно но: клиент начинает с переноса в облака «чего-нибудь и как-нибудь». Например, сперва он переносит несколько серверов, которые отвечают за не совсем важный сервис. При этом он приобретает опыт миграции в облако, но не сможет быстро получить все технологические преимущества облаков.

Совсем другое дело, если переход в облако будет заранее выверен. Как правило, при грамотно спланированных миграциях в облака выносятся сперва frontend-сервисы, которые взаимодействуют с клиентом через интернет. Backend-сервисы могут либо оставаться у клиентов, либо быть в тех же облаках, но скрыты из Сети. При такой схеме перехода клиент гораздо быстрее ощутит, насколько облака удобны, интересны и полезны для перевода CAPEX в OPEX.

Еще более тщательного планирования требует перевод в облако всех ресурсов компании. Случается, что ход таких проектов надо просчитывать заранее на несколько лет вперед, зато результат того стоит. У нас был весьма успешный проект, который клиент начал с вывода в облако небольшой части своих мощностей и интеграции облачных сервисов с сервисами в собственном ЦОДе. Далее, по мере устаревания железа и вывода его из эксплуатации, в облако один за другим были переведены все ресурсы клиента. В итоге этой длительной миграции клиент получил удобную и гибкую облачную инфраструктуру. Когда наступает сезон больших продаж, клиент наращивает потребление облачных ресурсов, о чем уведомляет провайдера. Как только прошла жаркая пора – потребление снижается.

ДВА ЛУЧШЕ ОДНОГО, НО СЛОЖНЕЕ

Как бы ни были безопасны облака, я бы предостерег тех, кто планирует миграцию критически важных для бизнеса данных, от использования только одного облачного пространства.

Если у компании есть возможность рассредоточить свои ресурсы по нескольким облакам, заключить контракты с несколькими облачными провайдерами – ее надо использовать

Синхронизация данных между разными поставщиками облачных услуг, конечно, происходит по более сложной схеме, чем в случае работы с одним провайдером, но с точки зрения безопасности и отказоустойчивости распределенная инфраструктура значительно выигрывает по совокупной отказоустойчивости.

Если у компании нет возможности сотрудничать одновременно с несколькими провайдерами, разумным будет разместиться у одного провайдера, но в разных облаках. Мы, например, каждому клиенту предлагаем распределить данные по нескольким дата-центрам. В одной только Москве у нас три облака в разных ЦОДах, и опыт показывает, что это верное решение. В нашей практике был случай, когда в ЦОДе, где располагается большое количество наших клиентов, случился пожар. Сотрудники дата-центра героически боролись с огнем, и все ресурсы клиентов были полностью сохранены. Но мы еще раз убедились в том, о чем всегда предупреждали желающих обойтись одним облаком: от форс-мажора, к сожалению, не застрахован ни один ЦОД.

КТО ЗАЩИЩАЕТ ОТ КИБЕРАТАК

Всем известно, что потеря данных – в том числе хранящихся в облаке – может привести к потере бизнеса. Но не все компании учитывают, что переход в облако не избавляет от необходимости самостоятельно заботиться о безопасности своих данных. Облачные провайдеры по умолчанию предоставляют инфраструктуру IaaS «услуга как есть» – то есть дополнительные сервисы информационной безопасности клиент должен внедрять самостоятельно или заказывать отдельно.

Если компания выбрала путь решения проблем безопасности собственными силами, то этим должен заниматься компетентный специалист. Важно понимать: главный аспект кибербезопасности – люди. У большой компании со множеством интернет-сервисов, скорее всего, в штате есть безопасник, который следит за всеми потенциальными угрозами, и руководство может полностью на него положиться. Если же таких сотрудников нет, что особенно характерно для малого бизнеса, то проблему безопасности не удастся решить, приглашая системного администратора один-два раза в год, чтоб тот настроил корпоративную инфраструктуру.

Каждой компании необходимо четко регламентировать действия безопасников

Прежде всего, нужно регулярно проводить обновления всех информационных продуктов, новые секьюрити-патчи обязательно надо устанавливать сразу после их выхода. Этому требованию есть простое объяснение: сети роботов-ботов методично перебирают и атакуют все IP-адреса, и без обновлений система быстро становится уязвимой для них. Случаи, когда хакеры целенаправленно пытаются взломать определенную компанию, встречаются значительно реже, но и в этом случае закрытые патчами уязвимости значительно усложняют им задачу.

Второй залог безопасности – наличие резервных копий. Среди администраторов даже есть пословица: бекапы либо не делают, либо уже делают. Еще один крайне важный для безопасности инструмент – шифрование. Если у бизнеса есть критичные данные, то все, что может выйти за пределы клиентского облака, должно быть надежно зашифровано.

Четвертое, что нужно сделать каждой компании, которая дорожит своей информацией, – организовать многофакторную аутентификацию.

Если у вас в штате нет специалиста, который выполняет все перечисленное, его можно найти в организации, которая специализируется на обеспечении безопасности. Можно обратиться и к самому облачному провайдеру, но это будет в рамках отдельного договора о предоставлении таких услуг.

ПОДДЕРЖКА ТРЕБУЕТ КВАЛИФИКАЦИИ

Облачные технологии приходят не для того, чтобы усложнить жизнь администраторам или сотрудникам ИТ-подразделений, а наоборот, чтобы сделать ее легче. Чтоб, например, не переносить тяжелые серверы и не обжимать провода, а удаленно и быстро масштабировать инфраструктуру несколькими кликами мыши. Но инфраструктурные требования к облачным технологиям так же высоки, как и в случае использования железа, и по мере развития облака компетенции тех, кто его поддерживает, тоже должны расти.

Так, для многих организаций критической проблемой является интеграция облачных технологий с уже существующими системами. Кто должен обеспечивать этот процесс? Опять-таки по умолчанию – сам клиент, и к этому надо быть готовым.

Необходимо позаботиться о том, чтоб в штате был ИТ-специалист необходимой квалификации, готовый к обучению и профессиональному росту

Конечно, облачные провайдеры могут решить и эти задачи, но опять же в рамках дополнительных договоров. Заключать с провайдером соглашение о техподдержке или использовать свой ИТ-персонал – решать руководству клиента. Главное – не рассчитывать, что в облаке все будет работать само собой.

ЛИШНИЕ ТРАТЫ

Экономия ресурсов при рациональном использовании облаков очевидна. Но проблема правильной организации контроля за тем, какие ресурсы, для чего и в каком объеме используются, действительно существует. Есть примеры, когда компания покупает облачный дата-центр, получает возможность безлимитного заказа виртуальных ресурсов, и после этого не отслеживает, кто из сотрудников и для чего заказывает мощности, как эти ресурсы используются. Бухгалтерия привыкает платить некую сумму в адрес провайдера. Казалось бы, все всех устраивает, но это неверный подход.

Закупка виртуального оборудования должна согласовываться.

Например, финансовый директор вправе регулярно требовать от сотрудников компании обоснование, сколько нужно ресурсов на предстоящей неделе

Может быть, сотрудникам нужны дополнительные ресурсы или, наоборот, от какой-то части облака можно отказаться без ущерба для бизнеса – пусть они аргументируют это.

Установка бюджетных ограничений – еще один способ избежать бесконтрольного потребления облачных услуг. Провайдеры предоставляют возможность автоматических уведомлений о том, сколько ресурсов клиентом использовано, сколько денег на это ушло с баланса клиента, и этим тоже надо пользоваться.

Право наращивать облачные ресурсы должно быть только у тех сотрудников компании, кому это действительно необходимо. В установке пользовательских разграничений нет ничего сложного: провайдеры могут создать несколько учетных записей и прописать разные роли. А вот обучать работе в облаке следует всех пользователей облачных сервисов вне зависимости от того, какими правами относительно работы в облаке они обладают.

Гибкость, которую дают облачные сервисы, – не проблема, а ее решение, если во благо компании ее обуздать и отказаться от перепотребления. Облачные технологии как вода: раньше воду носили в ведрах, а потом появились водопроводы. Это удобно, и воды теперь – сколько хочешь. Но любой ресурс надо тратить разумно.