Вестник цифровой трансформации

Облачная инфраструктура и ее безопасность
Облачная инфраструктура и ее безопасность




20:55 19.11.2024  |  Руслан Иванов | 244 просмотров



Для того, чтобы получить все преимущества облаков, миграцию в них надо совершить грамотно. Важной частью при этом является разносторонний учет возникающих рисков.

За покупкой облака любой компанией всегда стоит бизнес-модель, и часто она связана со снижением расходов. Однако прежде всего облако дает не экономию, а возможность гибкого управления ресурсами, в том числе финансовыми, и быстрой адаптации к изменениям. Кроме того, бизнес получает в облаке доступ к новым компетенциям, в частности, связанным с информационной безопасностью. Для того, чтобы получить эти преимущества, переход в облако надо совершить грамотно.

Основные причины перехода в облака

В традиционном понимании ИT- и ИБ-специалистов облаком нельзя назвать просто среду виртуализации с оркестратором. Облако обязательно должно обладать следующими двумя ключевыми качествами: эластичность управления ресурсами облачной инфраструктуры и биллинг (гранулярное управление расходами). На практике к облачной инфраструктуре обращаются компании с определенной зрелостью ИT и бизнеса, с процессной моделью управления, зачастую – с хозрасчетом между подразделениями, что позволяет при запуске внутреннего продукта заранее закладывать бюджет на инфраструктуру и обеспечение ее безопасности.

В то же время в холдинговых структурах подразделения без помощи материнской компании не способны быстро запускать новые продукты или проекты по проверке бизнес-гипотез. Случается, руководство компании понимает, что внутренние ИТ по каким-либо причинам не справятся с поставленными задачами, и тогда можно попробовать найти решение в гибридном или публичном облаке.

Другой тип пользователей облаков – когда бизнес еще нельзя назвать зрелым, но компания готова двигаться в этом направлении и расти. Таким компаниям также подойдут модели публичных и гибридных облаков, где можно гибко использовать ресурсы.

Для организаций, которые попали под санкции, переход в отечественное облако становится возможностью импортозаместиться в нужные сроки, используя готовые рецепты. Здесь важен опыт: у партнера, который помогает внедрять облачный подход, должна быть наработана методология. Со своей стороны, бизнес должен принять, что сделать в российском облаке все точно так, как было в западном, не получится. Надо сосредоточиться на решении своих задач и быть готовым к компромиссам.

Внимание на риски

При построении облака нужно обратить внимание на несколько рисков.

Первым из них являются требования регуляторов, чтобы не попасть на репутационные и финансовые, а тем более уголовные риски. Бизнес должен понимать, в зоне ответственности каких региональных, отраслевых и прочих регуляторных органов он находится, и соответствовать их требованиям. Особенно часто регуляторные риски связаны с данными. Так, если компания, выходя в облако, не учитывает риски, связанные с КИИ, конфиденциальными и персональными данными или чувствительной финансовой информацией, она рискует получить штрафы от регулятора.

Второй вид рисков связан с репутацией компании в случае компрометации данных, потери коммерческого преимущества в случае утечки значимых данных о клиентах и сделках, ключевых бизнес-процессах. Наконец, бывают угрозы самому существованию компании – они возникают, если злонамеренные действия в облаке (внешние и внутренние) могут потенциально привести к невозможности выполнения необходимых бизнес-операций.

Первое, что должна сделать компания для минимизации рисков при переходе в облако, – это получить от облачного провайдера четкий ответ, за какие критические участки отвечает каждая из сторон. Служба безопасности компании должна быть проинформирована, какие услуги предоставляет облачный провайдер с точки зрения обеспечения безопасности, какие инструменты у него для этого есть. Например, у облачного провайдера могут быть расширенные возможности по мониторингу, доступ к журналам и так далее.

Некоторые облачные операторы предоставляют комбинированные услуги по работе приложений и их защите – включающие компенсацию недостатка людей с нужными компетенциями по выстраиванию процессов: менеджеров SOC или vCISO, продвинутые услуги резервного копирования. Про это нужно своевременно узнать и пользоваться такими опциями.

Если облако обладает набором аттестаций и соответствует требованиям регулятора, препятствий для работы в нем, как правило, нет. В нашей стране наработан опыт размещения в облаках даже государственных информационных систем.

Некоторые российские интеграторы и провайдеры облегчают клиентам задачу перехода в облако, предлагая решения «под ключ» и избавляя заказчиков от необходимости собирать облачную инфраструктуру из доступных на рынке составляющих.

Как спланировать максимально безопасный переход в облако

Компания должна понимать расходную часть работы в облаке не только в моменте, но и на достаточно длинной дистанции. В том числе, с точки зрения кадрового вопроса, возможностей управления инфраструктурой, а также рисков, о которых мы говорили выше.

Стратегию перехода в облако следует просчитать заранее. Если опыта таких расчетов у бизнеса нет, он может обратиться к консалтинговой компании или за консультацией к системному интегратору, компетентному в построении облаков. Созданная специально для конкретной компании концепция перехода в облако представляет собой бизнес-план, какие действия по переходу в облако и в какой последовательности надо совершить, чтобы получить запланированный результат.

Выбрать партнера по консалтингу можно, опираясь на референсы. Кроме того, следует помнить, что на рынке есть консалтинговые компании, которые берут на себя финансовую ответственность за работоспособность предложенной концепции. Их немного и их услуги стоят дорого, но в случае партнерства с ними число рисков для клиента уменьшается.

От чего зависит бюджет на облачную инфраструктуру

Можно рассматривать переход в облако как инвест-проект или сделать его частью текущей трансформации бизнеса. В любом случае, бюджеты на инфраструктуру должны всегда находиться в прямой зависимости от бизнес-задач. Надо быть глубоко погруженным в текущий бизнес компании, понимать направление ее движения, знать потребности топ-менеджмента и продуктовых подразделений, чтобы как можно точнее рассчитать, какие инфраструктурные потребности у компании возникнут.

Сложение потребностей по разным бизнес-продуктам дает прогноз по объемам бюджета на инфраструктуру на краткосрочную и среднесрочную перспективу. Иногда при планировании бюджета закладываются возможности «на вырост», и тут важно понять, какого роста ждать суммарно, и не запланировать излишков.

Облака дают множество опций по оптимизации затрат. В частности, подписная модель позволяет оплачивать услуги облачного провайдера исходя из цикла доходов и расходов компании-клиента с наиболее удобной периодичностью. С этой точки зрения облачная модель более гибкая, предсказуемая, выгодная. При этом довольно часто оказывается, что провайдер не готов компенсировать убытки больше чем в размере оплаченных ему средств. К соответствующим пунктам в договорах бизнесу надо относиться предельно внимательно и учитывать это в стратегии.

Для акционерной компании, которая стремится к повышению уровня капитализации, покупка собственной инфраструктуры работает на увеличение акционерного капитала. Компании, ориентированные на OPEX-модель, чаще пробуют гипотезы на арендованной инфраструктуре. Для компаний, которые придерживаются CAPEX-модели, облако позволяет проверять гипотезы с минимальными затратами, не вкладывая больших денег, если компания в данный момент к этому не готова.

Переход в облака работает на имидж

Облака отлично ложатся в бизнес-концепцию развивающихся компаний, которые готовы к переменам и росту. Но и для крупных отраслевых монополистов, позиции которых на рынке устойчивы, перевод инфраструктуры в облако может стать интересным экспериментом. Самим компаниям облака откроют новые возможности, в том числе в сфере информационной безопасности. С точки зрения владельцев продуктов облака дают понятные бизнес-преимущества – сокращение времени запуска продукта, возможность быстро проверять гипотезы с минимальными расходами, быстрое покрытие рынка при экспансии, эластичность в случае повышения спроса. Обращаясь к облакам, которые задействуют сами регуляторы, бизнес получает среду, соответствующую регуляторным требованиям, а также персонал с необходимыми компетенциями для управления облаком. В итоге это не только безопасно, но и экономит средства клиента. Топ-менеджменту проекты перехода в облака позволяют достигать локальных целей и роста персональных показателей, работают на повышение личной репутации.

 

Автор – Руслан Иванов, CTO компании ITKey

Теги: ИТ-инфраструктура Облачные сервисы

На ту же тему: