Меню
Главная Блог Угрозы безопасности в облаке: ответы на часто задаваемые вопросы
Угрозы безопасности в облаке: ответы на часто задаваемые вопросы

Угрозы безопасности в облаке: ответы на часто задаваемые вопросы

2018-11-02

Стоит ли размещать собственную ИТ-инфраструктуру в национальном облаке? В статье рассмотрены основные мифы, часто возникающие вопросы и методы обеспечения безопасности на примере ЦОД De Novo.

Наиболее частые вопросы, которые задают нам на мероприятиях (независимо от основной темы самого мероприятия), связаны с угрозами облачной безопасности. В частности – безопасностью хранения данных в национальном облаке. Зачастую эти вопросы являются следствием иррациональных страхов и недоверия к отечественным провайдерам, что переросло в неподтверждённые действительностью мифы и легенды, которые мы и постараемся развеять в данной статье. Но перед этим рассмотрим, какие существуют реальные угрозы безопасности и непрерывности функционирования ИТ-инфраструктуры и какова их природа. И на собственном примере рассмотрим методы их предотвращения.

ВВЕДЕНИЕ

Прежде всего, отметим, что дата-центр De Novo – безопасный облачный сервис, который не является публичным, невидим из интернета и защищён от угроз, а доступ к ресурсу возможен только при многоуровневой идентификации. Также облако построено на базе собственного дата-центра, поэтому работать с инцидентами и непредвиденными случаями нам значительно проще, поскольку все необходимые компетенции находятся в рамках компании.

По сути, это банк ресурсов в виде виртуальных процессорных ядер, исчисляемых в гигагерцах, виртуальной оперативной памяти, исчисляемой гигабайтами, и различные классы накопителей. И, естественно, это полный спектр управления сетями, а также консоль для управления полученными в пользование ресурсами, которая позволяет создавать виртуальные машины, объединять их в сети, устанавливать ПО и подключать своих пользователей.


Доступные ресурсы в облаке De Novo

Определившись с понятием облака, рассмотрим возможные угрозы облачных вычислений и методы обеспечения безопасности в виде таблицы: 

УгрозыМетоды и инструменты их предотвращения
Нарушение конфиденциальностиРепутация провайдера; шифрование
КатастрофыDisaster Recovery as a Service
Разрушение данныхМеханизм Snapshots, Backup – 7 вариантов
Сетевые угрозыEdge Gateway, Virtual Cisco ASA
Отказы оборудованияИзбыточное «железо» + HA-функции Cloud OS 
Физические угрозыЦОД De Novo

Как видно, угрозы облачной безопасности могут быть внешние (катастрофы или физические угрозы) и внутренние. Есть такие, которые невозможно предотвратить, но можно минимизировать последствия (расположение дата-центра в благоприятном месте для предотвращения природных катастроф). Также возможны угрозы со стороны клиента – в этом случае мы рекомендуем использовать определенный набор инструментов для их предотвращения.

Соответственно, используемые нами методы обеспечения безопасности и предотвращения угроз делятся на предоставляемые по умолчанию и опциональные (рекомендуемые). К первым относятся сам дата-центр De Novo (как защита от физических угроз) и избыточное оборудование (защита от отказов). Отметим, что с 2010 года наш ЦОД не останавливался ни на одну секунду, обеспечивая тем самым 100%-ное выполнение SLA. Вторые – опциональные – включают:

  • EDGE Gateway, Virtual Cisco ASA (защита от сетевых угроз);
  • Механизмы «снимков» (snapshots) и резервного копирования, в общей сложности 7 вариантов (защита от разрушения и утери данных);
  • Восстановление после сбоев – DRaaS, Disaster Recovery as a Service (защита от катастроф);
  • Шифрование (защита против нарушений конфиденциальности).
  • Репутация De Novo, подтверждённая 10-летней безотказной работой и обслуживанием сотен клиентов (от госструктур до крупных корпораций), разместивших здесь данные и инфраструктуру.

Угрозы и соответствующие предоставляемые по умолчанию и опциональные (рекомендуемые) методы обеспечения безопасности. 

Итак, наиболее частые вопросы следующие:

  • Где находится ваш дата-центр и облако?
  • У вас бекапы есть?
  • Вы ночами читаете наши данные?
  • Что, если придут?
  • Что, если клиентов будет столько, что облака не хватит?
  • Облака – это дорого!
  • За рубежом лучше!

Постараемся ответить на самые популярные вопросы и, возможно, развеять некоторые существующие мифы относительно безопасности облачных технологий. Сначала кратко, а потом и более детально.

Где находится ваш дата-центр и облако? – в безопасной зоне, неподверженной основным стихийным рискам и с многоуровневой системой физической и информационной безопасности.

У вас бекапы есть? – Обязательно, причём множество разных вариантов на любой вкус. Это и механизм «снимков» (snapshots), и резервное копирование в любом направлении (в/из облака), и резервное копирование и восстановление собственной IT-инфраструктуры в облако, а также BaaS (Backup as a Service).

Вы ночами читаете наши данные? – А зачем? Работа любого облачного провайдера строится прежде всего на незапятнанной репутации. Любое, даже малейшее нарушение конфиденциальности со стороны оператора ЦОД способно перечеркнуть все инвестиции и годы напряжённой работы. Таким образом, провайдер первый заинтересован в обеспечении надёжной защиты данных в облаке и соблюдении конфиденциальности.

Что, если придут? – В нашем случае вероятность крайне мала. Полностью прозрачная структура собственности, регулярные налоговые и аудиторские проверки, повышенная информационная безопасность, тщательный отбор клиентов и отсутствие среди них сомнительных компаний (напр., файлообменников) – всё это позволяет свести риски со стороны силовых структур к абсолютному минимуму.

Что, если клиентов будет столько, что облака не хватит? – Дата-центр изначально строился с запасом по всем ключевым параметрам (мощность электропитания и охлаждения, пропускная способность каналов, физическое размещение оборудования) и в любой момент способен разместить IT-инфраструктуру практически любой крупной компании.

Облака – это дорого! – Только если считать неправильно. Обычно при расчётах «в лоб» не учитывается масса факторов, таких как обеспечение отказоустойчивости, покупка лицензий ПО, оплата персонала и пр. При правильном расчёте, который может быстро подготовить провайдер, использование облачных сервисов зачастую оказывается намного выгоднее, а их безопасность – значительно выше.

За рубежом лучше! – С этим готовы поспорить. По сравнению с глобальными игроками уровня Amazon и Azure, облако De Novo обеспечивает большую гибкость, лучшую отказоустойчивость, меньшие задержки (а значит, и более высокую скорость работы), а также более доступную стоимость, причём не подверженную колебаниям валютного курса. Кроме того, в локальном облаке вполне возможно обеспечить достаточную безопасность облачных вычислений.

РАЗМЕЩЕНИЕ ДАТА-ЦЕНТРА

В качестве примера того, как строится облако национального оператора, кратко остановимся на основных параметрах ЦОД De Novo и методах обеспечения безопасности облачных сервисов.

  • Локация: дата-центр находится в сейсмически-устойчивой зоне, на значительном удалении от промышленных предприятий и не подвержен наводнениям;
  • Безопасность: обеспечивается повышенный уровень физической безопасности и конфиденциальности (4 защитных периметра, собственное охранное агентство, два дополнительных контракта со службами быстрого реагирования);
  • Максимальная надежность: физическое дублирование всех инженерных систем жизнеобеспечения;
  • Универсальность: готовность к приему оборудования любого типа, включая технику класса Enterprise – до 20 кВт на стойку;
  • Гарантия SLA: 99,982% доступности, что соответствует уровню надежности Tier III Uptime Institute;
  • Проверено временем: с ноября 2010 г. ЦОД не останавливался ни на одну секунду (SLA выполнен на 100%);
  • Одобрено регулятором: полное соответствие требованиям НБУ; соответственно обеспечен достаточный уровень защиты от угроз информационной безопасности.

Ни одного простоя за 8 лет работы – это отдельный предмет гордости нашей команды. По сути, на текущий момент в этом локальном облаке уже предоставляется сервис уровня не только TIER III, но и TIER IV.

"А ЧТО ЕСЛИ ПРИДУТ?"

Теоретически могут. Но если вы тщательно подойдете к выбору провайдера облачных услуг и изучите его репутацию, то практически – очень вряд ли. Мы как провайдер облачных услуг, сводим этот фактор риска к минимуму и обеспечиваем безопасность облачной инфраструктуры, так как:

Структура собственности полностью прозрачна;

  • финансовая деятельность находится под регулярным аудиторским контролем;
  • ежегодно проводится налоговая проверка;
  • мы не ведем бизнес с риск-заказчиками, которые могут принести проблемы (напр., файлообменники, электронные казино и пр.)

Поэтому мы получили доверие крупнейших банков страны (включая государственные); здесь же размещена и площадка ProZorro.

ОБЛАКО ИЛИ СОБСТВЕННЫЕ СЕРВЕРЫ: ЧТО ВЫГОДНЕЕ?

Еще один расхожий миф, с которым регулярно приходится сталкиваться: облака – это дорого! Как правило, сравнивая два решения – облачное и собственное, – потенциальные заказчики допускают одну и ту же ошибку. Получив спецификацию оборудования от поставщика и стоимость ежемесячной аренды ЦОД, клиент делит одно на другое и получает так называемую «точку окупаемости». При таком расчете получается, что облако в первый год будет экономически целесообразно, а после второго года будет генерировать чистый убыток.

Однако такой расчет некорректен, поскольку не учитывает множество параметров, например:

  • Аппаратное резервирование – в облаке предоставляется по умолчанию, при использовании собственного оборудования необходимо докупать дополнительное «железо» и строить отказоустойчивую систему;
  • Эластичность облака – за несколько лет использования инфраструктуры запросы могут вырасти в разы, и в случае использования собственной IT-инфраструктуры может потребоваться её апгрейд или замена, тогда как в ЦОД достаточно запросить дополнительные ресурсы с минимальной дискретностью (1 GHz производительности, 1 GB оперативной памяти, 10 TB дисковой памяти);
  • Лицензии ПО виртуализации – в облаке предоставляется по умолчанию, для собственной техники докупается отдельно;
  • Сервисный контракт 4-го года – увеличение стандартного 3-летнего гарантийного срока на приобретаемое оборудование до 4-летнего стоит отдельных денег, в облаке эта статья расходов отсутствует;
  • Оплата персонала – включена в абонплату использования дата-центра;
  • Аренда ЦОД – сейчас уже мало кто строит собственные серверные, предпочитая аренду;
  • Затраты на электроэнергию с учетом PUE – с учетом динамики цен на электроэнергию эта статья расходов все более заметна в общей стоимости поддержания работоспособности собственного оборудования;
  • Стоимость денег во времени – если деньги, сэкономленные на отказе от приобретения собственного оборудования, просто положить в банк под проценты, они будут ежегодно приносить прибыль; в противном случае они просто замораживаются на несколько лет вперед.

Таким образом, обычно при расчете упускается множество параметров, которые необходимо внести в cash flow. Если сравнивать правильно, с учетом всех упущенных параметров, то станет очевидным: собственная инфраструктура также требует дополнительных расходов, и облако в итоге оказывается более выгодным!

При попытках просчитать, что более выгодно – облако или собственно оборудование, – лучше всего не «изобретать велосипед», а просто обратиться к рассматриваемому провайдеру облачных сервисов, у которого уже давно имеются все инструменты для оценок и расчетов. Достаточно будет дать ответы на несколько ключевых вопросов – и на выходе облачный провайдер предоставит понятные расчеты и графики, наглядно демонстрирующие, что именно является более эффективным. Детальный пример расчета точки окупаемости описан в материале «IaaS или свое железо».

ЗАГРАНИЦА НАМ ПОМОЖЕТ?

Украина постепенно вступает в фазу, когда гос.предприятиям и даже центральным органам власти будет разрешено размещать данные и сервисы в иностранных облаках, таких как Amazon и Azure. Это должно произойти, чтобы в стране функционировала вся полнота облачных сервисов, которые предлагает мировой рынок.

Тем не менее, локальный провайдер облачных сервисов может вполне комфортно себя чувствовать в конкуренции с крупными глобальными игроками. У локальных игроков есть немало преимуществ, которые могу упростить жизнь находящимся в Украине компаниям и организациям:

-  Высокая отказоустойчивость. В дата-центре De Novo используется оборудование A-брендов с уникальной отказоустойчивостью – предполагается отказоустойчивость каждой виртуальной машины, которая передается пользователям.

В случае с облаками глобальных игроков такую отказоустойчивость нужно строить своими силами за дополнительную плату.

- Гибкая конфигурация виртуальных машин. В нашем облаке используются избыточные кластерные мощности, поэтому пользователи никогда не упираются в потолок производительности. Как уже упоминалось выше, мощности ЦОД предоставляются с минимальной дискретностью (1 GHz/ 1 GB/10 TB), и есть возможность создать практически любую конфигурацию сервиса, которая в точности отвечает его нуждам.

В Amazon и Azure виртуальная машина создается из предустановленной конфигурации, и зачастую клиент получает или больше ресурсов, чем нужно, или же меньше, чем нужно. 

- Влияние ландшафтов. В облаке De Novo поддерживается достаточный банк ресурсов, чтобы размещённые IT-инфраструктуры не конкурировали за ресурсы. Наш ЦОД в любой момент способно принять практически любого крупного клиента с запросом на сотни гигагерц производительности, сотни гигабайт оперативной памяти и практически любые объемы дисковой памяти (это заодно и ответ на типичный вопрос «а если облака не хватит?»).

В случае же с мировыми игроками в SLA ничего не говорится о взаимном влиянии ландшафтов.

- Наличие выделенного канала: к локальному облаку легко доступиться через телекоммуникационные каналы с минимальными задержками, которые в изобилии существуют в Украине. Например, канал из Киева в Киев будет стоить порядка 1000 грн. в месяц.

В то же время для доступа к сервисам вроде Amazon или Azure стоимость канала может быть чуть ли не главной статьей расхода и доходить до $1000 в месяц. При этом величина задержек может превышать 30 мс, что весьма существенно для многих сервисов. 

 Кроме того, локальное облако обладает более низкой стоимостью и работает в правовом поле Украины, без привязки к валюте и колебаниям курса. Цены зафиксированы в гривне, и это указывается в договоре. Техническая поддержка включена в стоимость (в отличие от зарубежных провайдеров), а «время входа/выхода в/из облако» минимально – можно просто приехать с жестким диском на несколько терабайт и практически моментально перелить информацию, без необходимости передавать весь этот объем данных через интернет.

ИТОГО

Как было показано выше на примере ЦОД De Novo, локальный оператор способен эффективно минимизировать риски информационной безопасности в облачной среде и обеспечить максимальный уровень надежности, безопасности и катастрофоустойчивости. По сравнению с глобальными провайдерами облачных сервисов, обеспечивается значительно большая гибкость, меньшая латентность и более доступная стоимость. А для особо требовательных клиентов со специфическими запросами по безопасности предоставляются частные облака по модели «как сервис».

 

Подписывайтесь на наши социальные сети, чтобы следить за главными облачными трендами и новостями Украины и всего мира!