Заочный круглый стол: переносим ИТ-инфраструктуру в облака

Какой критерий, по-вашему, является определяющим для перехода компании в облако?
Готовность компании вынести часть своих вычислительных нагрузок зависит, в первую очередь, от готовности топ-менеджмента трансформировать процессы ИТ-сервисов, в настоящее время триггером клаудификации может быть необходимость периодически выполнять высокоресурсные вычисления, оборудование под которые просто невыгодно закупать в свой локальный ЦОД, но особое ускорение процессу перехода в облако способствовал перевод сотрудников на удаленный режим работы и необходимость организовать доступную среду для совместной работы.
Как правильно выбрать провайдера услуг? Какие критерии выбора облачного провайдера вы считаете важными? Как правильно выбрать тариф? Какие инструменты использовать для оценки производительности ресурсов провайдера?
Лучший сценарий строится на планировании карты сервисов бизнеса компании по уровням их критичности, на основании которой вы и сможете определить лучшего провайдера для каждого сервиса. Весьма вероятно, что может оказаться, что, с точки зрения финансовой эффективности и обеспечения стабильности бизнеса, вам будет необходимо несколько cloud-провайдеров и собственное облако на своей ИТ-инфраструктуре. Далеко не все рабочие нагрузки можно перенести во внешнего облачного провайдера, многие массивы данных имеют регуляторные и законодательные ограничения.
Что безопасней: приватное, гибридное или мультиоблако? Можно ли довериться публичному облаку?
Всё зависит не от технологии облака как такового, а от средств защиты и команды ИБ-специалистов, которые обслуживают эти средства защиты. Атакам подвержены все инфраструктуры, эксплуатируемые уязвимости есть абсолютно всегда, даже если вы о них не знаете. Поэтому безопаснее не приватное или гибридное облако, безопаснее правильное облако, безопаснее то облако, команде обеспечения которого вы доверяете. Если говорить о публичных облаках, то здесь есть вполне конкретные показатели безопасности – сертификаты соответствия. Хранить гостайну на публичных облаках мы бы не рекомендовали, но если у публичного облака есть сертификаты соответствия PCI DSS, пройдена сертификация по 152-ФЗ, используются меры приказа 21 ФСТЭК, то (при наличии шифрованного канала связи) вы можете быть уверены, что публичное облако ничем не хуже приватного и требует меньше затрат на использование.
Безусловно, очень важно детально проработать модели угроз и нарушителя, категорировать ваши активы и понять, что будет безопасным в облаке именно для вас.
Как защититься от недобросовестного персонала облачного провайдера? Какие технологии и приемы лучше использовать? Как можно оценить профессионализм персонала облачного провайдера?
Современные средства защиты позволяют защититься от потенциальных действий недобросовестного персонала облачного провайдера, связанных с попытками перехвата административного доступа, компрометации репозиториев, компрометации виртуальных серверов, копирования данных. Строго говоря, вы должны делать всё то же самое, что и при использовании собственной виртуальной инфраструктуры, ведь от злонамеренных действий собственных администраторов тоже нужно быть защищенным: используйте шифрование чувствительной информации и ее резервных копий, используйте средства управления административным доступом, используйте True SSO и IdM-решения. Прежде всего подумайте о минимально возможном составе административного доступа со стороны персонала облачного провайдера и требуйте соблюдения этого обстоятельства – на время аренды ресурсов провайдер обязан обеспечить конфиденциальность, целостность и доступность. Формула качественной защиты не меняется.
Профессионализм персонала облачного провайдера подтверждается SLA и вам не следует его проверять и оценивать. Нужно защищаться от непрофессионализма, халатности и сговора. Вы не можете на 100 % доверять внешним администраторам, так как не вы их набирали и проверяли при приеме на работу. Поэтому вместо оценки стоит сфокусироваться на выборе средств защиты, ведь от оценки ваша модель нарушителя не изменится.
SaaS, PaaS и IaaS... Какие сервисы лучше вынести в облако в первую очередь и какую модель использовать? Рассматриваете ли вы гибридные решения для постепенного перехода в облачную среду?
Начните с карты сервисов, после ее составления и для вас и ваших стейкхолдеров будет прозрачно и очевидно, какие процессы и нагрузки необходимо переносить в облако.
Резервное копирование данных в облаке. Как правильно его реализовать и обезопасить свою информацию?
Прежде всего следует понимать, что провайдер будет снимать резервные копии. Поэтому в облачных средах вычисления важным становится использование низкоуровневого шифрования для обеспечения защиты неконтролируемых вами резервных копий. Также следует уточнить, как организована система резервного копирования, как обеспечивается доступность хранимых копий и есть ли методы дублирования копий на вашу локальную инфраструктуру. Провайдер обязан предоставить вам гарантию сохранности копий.
В случае приватного облака действуют те же правила – шифрованные копии в нескольких доверенных местах хранения, так же, как вы делали с вашей виртуальной вычислительной средой или физическими серверами.
Как переход в облако меняет роль внутренней ИТ-службы и службы безопасности? Риски для ИТ-специалистов при миграции корпоративных инфраструктур в облако, есть ли они? Если да, то как им противостоять?
Смотря о каком облаке речь, – если приватное или гибридное, то службы ИТ и ИБ будут необходимы в полной мере. Если речь о публичном облаке – часть задач безусловно заберет на себя сервис-провайдер, что поможет оптимизировать бюджет ИТ и ИБ-подразделений. Это не риск для ИТ-специалиста, если ИТ-специалист знает, зачем он нужен в компании и понимает, что ресурс надо не только обеспечивать, но и управлять им. С другой стороны, безусловно страдают специалисты технической поддержки, которые занимались поддержкой технологической платформы, хотя, с точки зрения рынка HR, это нивелируется потребностью сервис-провайдеров в таких специалистах. Это же касается администраторов средств защиты. Поэтому не следует противостоять, следует идти в ногу со временем, ведь формально переход в облако – это не смена платформы, а ее передислокация.
Источник: журнал «Системный администратор».