Selectel TechDay 2018 #2: мультиоблака и информационная безопасность

На прошлой конференции Selectel TechDay, которой посвящён отдельный материал, много говорилось о развитии гибридных облаков вообще и в России в частности, а также о развитии услуг Selectel в этом направлении. Нынешняя, уже третья по счёту конференция продолжает тему облачных технологий, но с акцентом на другие направления: парадигму multi-cloud и обеспечение безопасности в таких смешанных средах.

Стратегия мультиоблака в целом является развитием идей облачных сервисов как таковых и подразумевает одновременное использование услуг нескольких разных cloud-провайдеров. Актуальна она в первую очередь для крупных компаний. Конкретные сценарии могут заметно отличаться друг от друга, но по данным RightScale, во-первых, 81% крупных организаций выбирают именно multi-cloud, а, во-вторых, из этих 80 с лишним процентов более половины приходится на системы из гибридных облаков. Например, в рамках одного провайдера может жить частное изолированное облако компании, которое провязано с разрозненными системами, живущими уже у других провайдеров. Более специфические варианты вроде создания нескольких виртуальных ЦОД у разных поставщиков или использование исключительно публичных сервисов редки.

Почему мультиклауд становится популярней? Причин несколько. Облака в принципе как подход к работе с IT-инфраструктурой давно доказал свою состоятельность, это просто удобно, хотя не всегда и не для всех. Но есть и важные нюансы. Во-первых, с одним провайдером очень легко попасть в vendor lock-in, что в принципе происходит, например, с AWS, где очень легко (и даже приятно) масштабироваться и разрастаться, но после некоторого момента очень трудно сбежать. Во-вторых, встаёт вопрос надёжности и доступности. Речь не только о работе самого провайдера, но и всяческих политических и юридических аспектах, которые могут внезапно привести к недоступности сервисов в различных регионах. В-третьих, мультиоблако в теории позволяет более разумно расходовать деньги, выбирая оптимальные по всем параметрам облачные службы. Крупные организации по статистике чаще всего используют минимум двух поставщиков облачных услуг, более 40% — от четырёх и более, а в относительно редких случаях используются более двадцати (20!) облаков.

Это всё, конечно, хорошо, но и проблем хватает. Самая очевидная — это резкий рост размера периметра безопасности и его размытие. Отсюда проистекает и вторая проблема: как вообще настроить работу с разными облачными поставщиками, как ей управлять и как её мониторить? Как адаптировать или перенести имеющиеся программные системы в разнородные облака? И, что главное: как не потерять деньги, которые в теории как раз можно сэкономить, раскидав задачи между несколькими провайдерами? При планировании мультиоблака, например, забывают о расходах на трафик между облаками, которые могут съесть всю выгоду. Отдельный вопрос: разница в законодательстве стран, где физически расположены облака. Глобально все эти проблемы сводятся к одной — отсутствие опыта и компетенции, отсутствие людей, которые могут создавать и контролировать такие мультиоблачные структуры. Вещи вроде бы очевидные, но о них регулярно забывают.

Безопасность является самой важной составляющей успешного перехода в смешанные окружения. Во многом этот вопрос сводится к доверию к конкретным провайдерам. Чем глубже происходит погружение в облачные сервисы, тем больше теряется контроль над компонентами всей системы и тем больше ответственности переносится с плеч заказчика на плечи провайдера. Ситуация осложняется тем, что все облачные решения имеют свойство динамически изменяться. Как на уровне развёртывания и свёртывания сервисов самим клиентом, например, в зависимости от нагрузки, так и на уровне собственно облачного провайдера — клиент может даже не знать, что его виртуальные машины и прочие службы физически перемещаются не только внутри, но и между ЦОД.

На TechDay Selectel рассказала о своём варианте решения проблемы безопасности — услуге защищённого сегмента ЦОД. Технически это всё те же выделенные серверы (+ собственные машины заказчика) или частное облако для ВМ, предлагаемые по стандартной модели IaaS. Однако хитрость в том, что зона ответственности самого провайдера ограничивается лишь физическим уровнем, а за всё остальное отвечает заказчик. Это несколько контринтуитивно, но для целого ряда клиентов именно такой подход более оптимален. Для кого именно? Для компаний, работающих в госсекторе, где предъявляются особые требования к безопасности. Для зарубежных игроков, которым с одной стороны для работы в РФ требуется соблюдение закона «О персональных данных», а с другой — уже есть выстроенные (и выстраданные) годами собственные политики безопасности. Для B2B-сегмента, где хочется и гибкости, и безопасности — например, для тех, кто делает уже собственный SaaS. Ну и для различных компаний, так или иначе вынужденных хранить и обрабатывать конфиденциальные или коммерческие данные и сохранять разного рода тайны. Вы знали, что в законах РФ прописано более 60 видов различных типов тайн?

Как это реализовано? Машины в защищённом сегменте буквально отделены от остальных машин в ЦОД. Selectel отвечает за их физическую защиту — за доступ к машинам с дополнительным периметром безопасности и контроля, в том числе белые списки персонала. На сетевом уровне также организованы изоляция и сегментирование: защищённые машины подключаются к выделенным коммутаторам и через межсетевые экраны. Клиентам доступны, в том числе, комплексные средства защиты самой платформы Intel Trusted Infrastructure. Диски могут быть зашифрованы, а доступ к серверам — физическим ли, виртуальным — осуществляется строго по зашифрованному каналу. Естественно, доступны и все стандартные внешние услуги: защита от DDoS, Web Application Firewall, ПО Veeam для хранения резервных копий и так далее. Систему, развёрнутую в защищённом сегменте, заказчик при желании может самостоятельно аттестовать на соответствие различным требованиям. Часть документации предоставит Selectel, так как ЦОД уже имеют сертификаты PCI-DSS, РКН, ФСТЭК и ФСБ России.

Помимо прочего, Selectel, конечно, рассказала и о новых услугах и возможностях: 4-сокетных серверах Intel SkyLake, повременной оплате выделенных серверов (актуально для аренды сотен ядер и GPU на несколько дней), бета-версии кластеров Kubernetes, услуге DRaaS (Disaster Recovery as a Service), расширении собственной CDN, новых возможностях SDN, доступности создания частного облака VMWare и других. Подробности доступны на сайте мероприятия.

Источник: servernews.ru