Как гибридное облако помогает масштабировать IT-инфраструктуру

Что такое облако

Облако – это распределённая IT-инфраструктура, в которой какую-то часть занимает оборудование, а какую-то – системы виртуализации. Строго говоря, в применении к облачным технологиям, облако представляет собой компьютерное оборудование с установленной на нём программной виртуализирующей прослойкой (гипервизором). На гипервизоре работают операционные системы и программы. У облака есть владелец и администратор, иногда это одно и то же лицо. Смысл облака в повышении отказоустойчивости всей системы, её быстром и недорогом масштабировании, стабильном доступе из любой точки мира.

Облачное оборудование устанавливают в серверных, как правило это охраняемые помещения с бесперебойным электроснабжением и системами контроля климата (температурой и влажностью). Температура в серверных не должна превышать 19-23 градусов в холодный период и 20-24 в тёплый период года. Влажность должна быть в диапазоне 45-59%.

Какие облака бывают

Облака принято делить на 3 вида: 

• Частные, обслуживаются пользователем, чаще всего организацией, самостоятельно, либо сторонним партнёром по размещению (управляемое частное облако). Каналы связи частного облака обычно имеют выделенные линии, защищены файрволами и используются только сотрудниками пользователя. Частное облако может не иметь выхода в Интернет, если речь идёт о работе с конфиденциальной информацией.

• Публичные облака обслуживаются сторонней организацией, доступны через сеть Интернет. Они эксплуатируются сразу несколькими компаниями (пользователями). Публичные облака имеют ежемесячную абонентскую плату, легко масштабируются, но могут уступать частным облакам в безопасности. Безопасность в этом случае зависит от квалификации инженеров, обслуживающих облако, и используемого ими оборудования. Несмотря на физическое размещение всех клиентов на одном оборудовании, виртуальные ресурсы у разных клиентов разделены друг от друга.

• Гибридное облако может объединять несколько публичных, а иногда публичное облако  вовсе отсутствовать. Кроме того, гибридным облаком принято называть объединение частного и публичного облаков. Такое облако представляет собой наиболее гибкий вариант, позволяя регулировать расходы на обслуживание  по месяцам, в зависимости от загруженности оборудования и это удобно, поскольку у всех компаний-клиентов есть как пиковые нагрузки, когда требуется дополнительная мощность, так и периоды спада, например,  праздничные дни и периоды отпусков. У крупных провайдеров в гибридном облаке (как и в публичном), реализована триада информационной безопасности CIA (конфиденциальность, целостность и доступность). Это эталонная модель информационной безопасности, используемая для оценки информационной безопасности организации. Поэтому по уровню безопасности гибридное облако не уступает частному.

Частное облако (private cloud) представляет собой облачную инфраструктуру, принадлежащую одной организации. Обычно оно расположено в серверной предприятия, для обеспечения безопасности конфиденциальных данных. Ключи от серверной находятся у ограниченного круга лиц, что повышает безопасность, поскольку у посторонних лиц нет доступа внутрь помещения. Системные администраторы организации отвечают за эксплуатацию частного облака, не допуская в него сторонних специалистов. Это обеспечивает максимальный уровень контроля и защиты от утечек информации, хакерских атак и заражения вирусами. Постороннему инженеру невозможно скопировать конфиденциальную информацию на внешний носитель и вынести из здания.

Хорошее частное облако – это организация полноценной серверной – ЦОДа с соблюдением требований к безопасности. Эти требования выполняют банки и крупные предприятия, которым важно быть уверенными в доступности и сохранности данных.

В небольших компаниях с урезанным бюджетом часто страдает безопасность, как физическая, так и информационная. В этом случае лучше мигрировать в публичное облако, отдав облачному провайдеру обеспечение безопасности.

Публичное облако (public cloud) представляет собой облачную инфраструктуру, принадлежащую поставщику услуг. Используется сразу несколькими организациями, оплачивающими ежемесячную абонентскую плату. Оплата услуг строится по принципу pay-as-you-go (оплата по мере использования), зависит от нагрузки на оборудование и количества предоставленных услуг. Это обеспечивает высокую масштабируемость, экономию на обслуживании дорогостоящего оборудования, и позволяет конечному пользователю не содержать собственную серверную.

Клиент может арендовать виртуальные рабочие места, лицензионное ПО, средства разработки приложений и хранилища данных. Компании используют публичные облака, когда нагрузка на сервера неравномерна в течение года. Например, в компаниях, торгующих климатической техникой или в туристических агентствах, когда наплыв клиентов происходит в тёплое время года.

Частное облако часто администрируют сотрудники предприятия и их компетенции может быть недостаточно в области информационной безопасности. 

Публичное облако как правило администрирует провайдер, у него большой штат сотрудников, включающий в себя отдел по информационной безопасности. Специалисты этого отдела экспертны в защите информации и имеют соответствующую квалификацию. 

Кроме сильной технической поддержки, провайдер публичного облака может предоставить клиентам систему обнаружения вторжений (Intrusion Detection System, сокращённо IDS), средства защиты от DDoS-атак и другие средства для своевременного обнаружения угроз. 

Также провайдер публичного облака может предоставлять услугу защищённого облака, соответствующего всем требованиям федерального закона № 152-ФЗ «О персональных данных». Эта услуга позволяет клиенту сэкономить, как на закупке и обслуживании дорогостоящего оборудования, так и на консультационной и юридической поддержке, которая будет необходима перед проверкой у надзорных органов.

Гибридное облако (hybrid cloud) объединяет в себе как минимум одно частное и одно публичное облака, их количество зависит от поставленных задач. Гибридные облака создаются для большей универсальности, лёгкого масштабирования и экономии ресурсов, в том числе финансовых.

Если это банк или иная организация, в которой безопасность стоит на первом месте, то политику использования гибридного облака диктует именно отдел безопасности. И только вполне обоснованные требования бизнеса могут заставить отдел безопасности проработать требуемые варианты объединения облаков и их реализацию. В данном случае применение облачного оператора для экономии средств не покроет сопутствующие расходы на требования безопасности и дешевле будет расширить собственную инфраструктуру, создав гибридное облако с полным контролем оборудования. Например, создавая гибридное облако на основе территориально разнесенных облаков в разных ЦОДах. Принадлежность ЦОДов может находиться в третьих руках, поскольку физический доступ к оборудованию гораздо дешевле ограничить, чем содержать собственный ЦОД.

Гибридное облако реализует способ работы заказчика с несколькими операторами связи для распределения своих сервисов по разным облакам/дата-центрам. Гибридное облако возможно создавать только при наличии сильной инженерной команды, которая администрирует связку частного и публичного (публичных) облаков. Например, собственная инфраструктура клиента включает в себя серверное оборудование и ПО, своевременно обновляется и настраивается, а публичные мощности арендуются. Публичные мощности часто используются для рекламных компаний, курсов повышения квалификации, размещения документации о товарах и услугах клиента. Гибридное облако является оптимальным решением при наличии периодов пиковой нагрузки, когда дополнительные вычислительные мощности требуются только на короткое время.

Сочетание частного и публичного облаков даёт увеличение скорости реакции на изменения рынка и быстрое масштабирование инфраструктуры. Например, можно быстро организовать покупку и внедрение нового ПО и новых рабочих мест в удалённых филиалах. Облачные сервисы также позволяют сэкономить на закупке компьютеров. Например, для большинства офисных сотрудников достаточно закупить большую партию бюджетных ноутбуков по оптовым ценам. Большая часть вычислений будет происходить в облаке, а ноутбуки и ПК будут использоваться в качестве терминалов для ввода данных и просмотра результата вычислений.

В случае необходимости, у провайдера можно заказать защищённое облако, которое будет полностью соответствовать следующим требованиям:

• федерального закона № 152-ФЗ «О персональных данных»; 

• постановлению Правительства №1119 (Требования к защите ПДн); 

• приказу ФСТЭК России № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн); 

• приказу ФСБ России № 378 Состава и содержания мер по обеспечению безопасности ПДн с использованием СКЗИ).

В гибридном облаке можно реализовать средства криптографической защиты информации для защиты каналов связи, шифрование баз данных, защиту от несанкционированного доступа, антивирусную защиту, и организовать резервное копирование информации. И в финансовом плане это будет выгоднее заказать у провайдера, чем закупать, настраивать и обслуживать самому.   

Рано или поздно имеющиеся у клиента компьютеры устаревают, и перестают удовлетворять рекомендуемым системным требованиям к ПО. Тогда можно не закупать новые ПК, а организовать виртуальные рабочие места в облаке, а устаревшие компьютеры будут использоваться в качестве терминалов. Вместо приобретения мощного компьютера или ноутбука, можно приобрести лицензию на виртуальное рабочее место с уже установленным и настроенным лицензионным программным обеспечением.

В публичном облаке сервисы принадлежат поставщику и управляются им. При этом арендодатель экономит на электроэнергии, аренде или покупке помещения серверной и зарплате дополнительных системных администраторов. Чем больше доля публичного облака, тем выше экономия при использовании гибридного.

Примеры гибридных облаков

В качестве примера можно взять банк, у которого есть свой брокер (а они есть у большинства крупных банков). Справочную информацию по вкладам, тарифы на услуги банка и брокера, учебные материалы по инвестированию и трейдингу выгоднее размещать в публичном облаке, чтобы к ним имели доступ все филиалы компании. Эта информация не содержит коммерческой тайны и личных данных клиентов, поэтому эти данные вряд ли будут представлять интерес для злоумышленников. Также эта информация может размещаться не в гибридном облаке, а просто отдельно от приватного облака, чтоб не занимать более дорогостоящее оборудование. 

В том же банке есть много бухгалтерских документов, личных данных клиентов, и прочей конфиденциальной информации. С ней уже проще работать в частном облаке или защищённом публичном. Это позволит отслеживать действия всех пользователей в бухгалтерской базе, на корпоративном сайте и переписку в корпоративных мессенджерах. В частном облаке гораздо проще выявить факт взлома защиты, и легче обеспечить её надёжность, поскольку доступ к нему будут иметь только сотрудники банка, а не миллионы людей по всему миру.

Частное облако бывает рационально заменить защищённым публичным или гибридным облаком. Например, у банка открываются небольшие филиалы в сельской местности, когда закупка ПО и оборудования для частной сети просто нерентабельна.

Архитектура гибридного облака

Сотрудники клиента подключаются из любой точки мира к корпоративной сети и работают в ней как в единой среде, не замечая разделения на частное и публичное облака. Доступ к облачным ресурсам будет индивидуальный у каждого конкретного пользователя, согласно требованиям безопасности и должностным инструкциям компании.

Сценарий использования гибридного облака

Гибридное облако выгодно использовать в компаниях с разветвлённой структурой, включающей сеть филиалов. Например, когда компания открывает филиал в другом регионе, и ей требуются не только новые рабочие места, но и отдельный сервер с высокой пропускной способностью. Компания арендует публичное облако (включающее серверное оборудование и ПО), интегрируя его с имеющимся частным облаком (в котором содержится конфиденциальная информация, включающая базы бухгалтерии, кадров и прочие документы).

Предположим, компании требуется внедрение нового ПО. Оно должно использовать отдельный сервер и получать постоянные обновления сразу на многие рабочие места. Вместо покупки серверного оборудования, лицензии для каждой отдельной программы и оплаты её обновлений, компания оплачивает всё оптом, просто докупая по мере необходимости уже полностью настроенные рабочие места для новых сотрудников. Новое ПО может использовать базы данных частного облака компании.

Сценарии использования гибридного облака:

• Гибридное облако может использоваться для разгрузки собственного оборудования, выполнения на нём или в помещении серверной каких-либо работ. Иногда выгодно разовое создание такого облака на срок проведения работ.

• Создание гибридного облака для сохранения возможности использования собственного оборудования: текущее оборудование ещё довольно производительное и хочется его продолжить использовать; текущее оборудование выполняет особенные вычисления или функции, которые в публичном облаке нельзя выполнить или это будет экономически невыгодно (к примеру, использование графики и GPU ускорителей) и иные причины.

• Использование гибридного облака для увеличения отказоустойчивости своего сервиса путём наличия двух и более географически разнесённых ЦОДов.

Выбор провайдера для гибридного облака

Прежде чем выбирать провайдера, нужно понять, какие ресурсы используются и какова текущая нагрузка, что плохо работает и чего необходимо добиться от провайдера. Возможно, будет дешевле полностью переехать в публичное облако, чем организовать гибридное. Особенно, если у заказчика имеются несколько филиалов.

При выборе поставщика обычно смотрят рейтинги облачных провайдеров в профильных изданиях, спрашивают у коллег-бизнесменов контакты тех, кто себя зарекомендовал, читают отзывы на отзовиках (именно в отзывах встречаются упоминания о слабых местах провайдера). Уточняют возможную пропускную способность выделенного канала, а также ширину общего канала сети Интернет. В часы пик линии провайдера не должны быть перегружены. Клиент должен понимать свои текущие потребности и перспективы масштабирования инфраструктуры в случае расширения бизнеса. Такой подход необходим при большой нагрузке на линии связи и оборудование, все нюансы обычно уточняются инженерами при подготовке перехода. Нелишним будет позвонить в поддержку провайдера и задать им интересующие вопросы, по адекватности ответов можно сделать выводы о надёжности компании. Переход должен осуществляться только после тщательной предварительной подготовки.

Поскольку законы об обеспечении конфиденциальности данных требуют, чтобы секретные данные хранились внутри страны, важно учитывать страну расположения облачного провайдера. Также есть проблема задержки при размещении серверов на другом континенте, для их использования обычно требуется больше времени, чем если бы они хранились в стране проживания клиента, желательно в одном с ним регионе.

Для перехода на гибридное облако нужно выбрать провайдера для публичной его части, чтобы он смог организовать единую среду. Нужно внимательно разграничить зоны ответственности между техническими специалистами компании клиента и поставщика услуг, протестировать полученную инфраструктуру на стабильность работы и время реакции провайдера на заявки пользователей клиента.  Как правило, поставщики предоставляют тестовый период от двух недель до месяца, которым стоит воспользоваться для принятия решения. Все нюансы должны быть чётко прописаны в договоре с провайдером, включая максимальное время на решение проблем и новых задач клиента, а также штрафных санкций за срыв сроков или недоступность данных.

Заключение

Частные облака дороги в создании и обслуживании, поэтому чаще всего встречаются на оборонных предприятиях и в правительственных структурах, где безопасность и секретность превыше всего, несмотря на высокие расходы.

Публичные облака выгодны предприятиям малого и среднего бизнеса, а также государственным конторам, не работающим с секретной информацией. Публичные облака обычно дешевле частных, но при этом почти не уступают им в безопасности данных. Публичные облака легко масштабируются и позволяют пользоваться передовым оборудованием и услугами опытных администраторов за разумный бюджет.

Если требуется повышенная защита данных, то заказывается защищённое облако (использующее шифрование и криптографию, систему обнаружения вторжений, средства анализа защищенности и поиска уязвимостей, соответствующее 152-ФЗ «О персональных данных»). 

Гибридные облака актуальны для крупных компаний, имеющих подразделения в разных районах города или в разных регионах. Гибридное облако позволяет целой сети филиалов по всей стране или миру работать как единое целое, а также легко масштабируется, предоставляя бизнесу необходимые мощности.