Не витайте в облаках, или Появится ли в России GovCloud?

10.11.2021
Индустрия IT уже давно двигается в сторону облачных вычислений и сервисов. Мы не будем подробно говорить здесь о том, какие плюсы это дает при цифровизации бизнеса. Все больше компаний, таких как Yandex.Cloud, SberCloud, МТС и многие другие, предлагают услуги облачных сервисов российским заказчикам. Некоторые крупные компании даже создают подобные сервисы внутри собственной IT-инфраструктуры и предоставляют возможность внешним компаниям-разработчикам использовать их в процессе реализации, отладки и внедрения программных продуктов. Для профессионалов в индустрии информационных технологий не должно стать открытием то, что крупнейшим игроком и в какой-то мере «первопроходцем коммерческих облачных сервисов» является AWS (Amazon Web Services), и новые сервисы во многом повторяют то, что уже сделано в AWS и на других крупных платформах. Почему же тогда появляются все новые локальные провайдеры, какие проблемы стоят перед российскими компаниями при использовании облачных сервисов и, самое главное, как в этих условиях выбрать правильную стратегию развития IT?


Артем Оганесян, заместитель директора департамента систем электронного банковского обслуживания

С небес на землю

Каким бы чудесным и продвинутым ни был сервис, и в особенности сервис глобальный, а уж тем более, глобальный сервис, предоставляемый компанией из США, найдется немало причин серьезно подумать, прежде чем размещать в нем свои корпоративные данные. И тут стоит обратить внимание на одну интересную особенность нашего IT-рынка. Дело в том, что лидерами в области цифровых сервисов и внедрения передовых технологий, таких как работа с биометрическими данными, использование искусственного интеллекта при обслуживании клиентов и принятии решений и тому подобных, в нашей стране являются в основном профессиональные участники финансового рынка, примущестенно банки. Важный нюанс заключается в том, что именно банки максимально консервативны в вопросах обеспечения информационной безопасности, и как следствие, открытости своей инфраструктуры и готовности к широкому применению облачных сервисов. Их данные являются тем более ценными, что представляют огромный интерес не только для самих банков, но и для их клиентов. Стали бы вы доверять свои сбережения банку, если бы знали, что учетная система находится в другой стране и управляется сторонней частной компанией? Но не спешите с ответом. Пока просто отметим этот момент.

Надо признать, что службы информационной безопасности кредитных организаций неустанно следят за тем, чтобы не происходило утечек данных, за тем, чтобы информация продуктивных систем была доступна только авторизованным на то сотрудникам и много еще за чем, что могло бы нанести вред самому банку или его клиентам. Для этого используется широчайший арсенал средств контроля за утечками, систем контроля и фиксации действий пользователей и клиентов, регулярно проводятся тесты на уязвимости в информационных системах, формулируются модели угроз безопасности и методов их противодействию. Весь этот инструментарий и подходы формировались долгие годы, и каждый из обозначенных пунктов был, своего рода, ответом на появлявшиеся новые угрозы и вызовы. Но что же произошло с приходом облачных вычислений и сервисов? В большинстве случаев ответ подразделений информационной безопасности на вопрос, касающийся возможности размещения в облаке продуктивных информационных систем, строго отрицательный. И это в какой-то степени вполне оправдано. Как управлять такими рисками пока не понятно, да и сама возможная модель угроз пока сформулирована довольно не четко. Дело осложняется и тем, что модель распределенной ответственности при использовании облачных сервисов меняется в зависимости от того, о каком конкретно сервисе и варианте его предоставления идет речь. Так, например, вы можете использовать базы данных, размещенные на подготовленных вами серверах, которые, в свою очередь, будут размещены в облаке, а можете использовать полностью управляемые провайдером услуг сервисы. Ответственность, а, следовательно, и риски будут распределяться по-разному.

Гибридные инфраструктуры спешат на помощь

Одним из вариантов решения проблемы, связанной со сбалансированностью рисков информационной безопасности, стали гибридные системы, или гибридные облака. Модель довольно проста: вы выносите «за периметр» только системы, не содержащие реальных данных или менее критичные для основного бизнеса, чтобы ускорить процессы разработки, а основные и наиболее важные системы остаются полностью в ведении компании. Такой подход позволяет извлечь выгоды от использования облачных сервисов в ходе разработки и тестирования и одновременно сохранить полный контроль над собственной инфраструктурой, тесно интегрировав их. Правда, тут возникает ряд других проблем. Дело в том, что облачные сервисы развиваются и трансформируются стремительно, поэтому рассчитывать на то, что будучи однажды принятым, такой подход к построению инфраструктуры будет удовлетворять потребностям бизнеса хоть сколько-нибудь длительное время, не приходится. В облачные инфраструктуры ведущих провайдеров уже давно встроены инструменты разработки (IDE), автоматического развертывания (CI/CD), бессерверных технологий (Serverless), которые нельзя просто так принести в периметр. Это требует значительных усилий со стороны IT-подразделений и серьезных финансовых затрат.


Kubernetes и Docker решили часть проблем

Приложения, поставляемые в контейнерах Docker, и инфраструктуры, построенные на основе технологии Kubernetes, действительно, решили целый пласт проблем, давно стоящих перед IT-специалистами. Теперь мы можем поставлять готовые контейнеры для развертывания как в облачной инфраструктуре, так и в периметре компании, обеспечивая высокую совместимость программных компонентов. И это отличное решение, когда вы начинаете новый проект, реализуете новую функциональность. В наши дни требования практически к любому проекту включают в себя реализацию в микросервисной архитектуре с высокой степенью гибкости и управляемости решения. Этот процесс, безусловно, приведет нас к инфраструктурам нового поколения с такими свойствами, как автоматическое восстановление при отказах, автоматическое масштабирование при высокой нагрузке, управление инфраструктурой как кодом и другим преимуществам, без которых через 3-5 лет ваша инфраструктура вполне может если и не превратиться в тыкву, то уж точно потерять актуальность и перестать отвечать на запросы бизнеса. «Прекрасное решение», — возможно скажите вы. «Нужно взять на вооружение гибридные облачные инфраструктуры, добавить контейнеризацию, и дело, как говориться “в шляпе”». Это было бы так, если бы не еще пара моментов. Во-первых, мы с вами знаем о главном плюсе облачных инфраструктур — это предоставление вычислительных мощностей по требованию. Например, к вам пришло несколько десятков тысяч новых клиентов, или нужно обработать социальные выплаты для нескольких сотен тысяч. В реальном облаке с этим нет проблем: ресурсы будут выделены провайдером по вашему требованию или автоматически, и вы оплатите только период их реального использования. В гибридном облаке, если ваши продуктивные системы настроены на масштабирование, вы, как минимум, должны располагать необходимыми ресурсами. Другими словами, вы держите эти ресурсы «на черный день», и когда этот день проходит, вы продолжаете их держать. Мы не будем углубляться в тему стоимости владения инфраструктурой, ограничившись лишь заключением, что это точно будет недешево. Во-вторых, ряд крупных информационных систем, таких как главная учетная система (известная как АБС), внутренние аналитические системы, подсистемы для формирования регуляторной отчетности и т.п. довольно слабо поддаются контейнеризации. Если вы давно работаете в IT банковского сектора, то поймете все сразу. Если нет, я дам очень краткое пояснение: эти комплексы разрабатывались годами, а некоторые даже по нескольку десятков лет крупными командами высококвалифицированных программистов и аналитиков. Просто «переписать» их займет примерно такое же, если не большее время. При этом они и сейчас вполне работоспособны и продолжают успешно развиваться, так что это точно не вопрос ближайшей перспективы. Да и основания для вложения огромных средств в переделку работающего функционала только потому, что он не устраивает нас архитектурно, вряд ли станут вескими доводами для владельцев бюджетов.

Безвыходных ситуаций не бывает

Что же в такой ситуации может стать компромиссным решением? Как дать возможность крупным компаниям и банкам использовать огромные преимущества современных облачных технологий, сохранив при этом баланс в области безопасного хранения и обработки информации? Ответ, возможно, уже был найден, и примером тому могут послужить облачные инфраструктуры под доверенным управлением. В AWS и Alibaba Cloud это сервисы, размещаемые в отдельной части под названием GovCloud. Это ограниченная часть облачной инфраструктуры, в которой применяются специальные требования к хранению и обработке информации, но не только. Эти требования так же распространяются и на участников, подключающихся к системе. Таким образом, если заказчик в лице государственной компании хочет использовать облачные сервисы, он подключается к системе и оплачивает вычислительные ресурсы в соответствии с тарифами. Если компания-разработчик желает выполнять разработку для данного клиента, она так же подключается к этому облаку, но при этом она должна соответствовать ряду критериев. Таким образом, создается относительно доверенная среда для взаимодействия и предоставления сервисов. Это сродни стандарту PCI DSS, используемому в платежной инфраструктуре.

Еще к одному стимулу движения в сторону использования инфраструктур под доверенным управлением, по крайней мере, в финансовом секторе можно было бы отнести взаимодействие компаний и регуляторов. Так, например Центральный банк достаточно давно борется с проблемой «непрозрачности» происходящего в информационных системах того или иного банка. Для осуществления контроля используется огромное количество регуляторной отчетности, предоставляемой банками в ЦБ, но она формируется банком самостоятельно, и тут возможны несоответствия с реальной ситуацией в учетной системе. Кроме того, достаточно широко известны случаи «потери» информации, например, при отзыве лицензии у банка, или различные манипуляции с ней. Несколько лет назад даже обсуждалась возможность передачи копий всех данных учетных систем банков в ЦБ для предотвращения такой возможности. Впоследствии, когда стало ясно, что потребуется сделать при необходимости «развернуть» эти системы, от идеи отказались. Из этого можно сделать вывод, что использование инфраструктуры под доверенным управлением могло бы не только способствовать минимизации рисков компаний, но и повысить прозрачность и снизить риски для регуляторов.

Инфраструктуры доверенного управления, подобные GovCloud и ряду других, более закрытых систем, на мой взгляд, решают большую часть проблем, мешающих в настоящее время активно использовать новые возможности крупными государственными компаниями и банками. Что же предпринять, если пока в России таких сервисов еще нет? Вероятнее всего стоит готовиться к их появлению. Прорабатывать возможности более широкого использования облачных сервисов в рамках своей инфраструктуры и учиться управлять рисками информационной безопасности в новой парадигме. Во-первых, опыт показывает, что большинство хороших и правильных подходов и идей до нас все-таки доходит и реализуется. Во-вторых, уж точно не стоит стремиться организовать подобные облачные платформы внутри компании. Это затратное и неэффективное занятие. В-третьих, если вы сейчас формируете свое видение и стратегию на развитие в облачной инфраструктуре — позаботьтесь об отсутствии привязки к конкретному поставщику услуг.

Сделать это самостоятельно не всегда просто, поэтому постарайтесь найти квалифицированного и независимого партнера, провести консультации и наметить план действий. Таким партнером для вас может выступить R-Style Softlab. Мы работаем в области банковской автоматизации уже более 25 лет и продолжаем помогать клиентам работать в условиях стремительных и масштабных изменений в индустрии IT и банковского сектора.

Посмотреть материал на bosfera.ru


Все публикации