Максим березин, крок: «в облаке сегодня можно разместить практически все»

- kbrbank

Директор по формированию продаж облачных одолжений Максим Березин поведал Bankir.Ru о практическом применении облачных сервисов в денежной сфере, о подходах к расчету экономической эффективности туч и о том, из-за чего данные в облаке хранить спокойнее, чем в собственной серверной. — Под термином облако сейчас знают в один момент все и ничего. Другими словами, с одной стороны, это что-то нужное, надежное и разрешающее экономить.

А с другой — какое-то место, где неясно как сохраняются эти, и нужно все время быть настороже. И по большому счету многие представления сохраняются неизменными уже лет десять. С того времени, в то время, когда многие облачные сервисы были только храбрыми прожектами.

— Да, облачные ответы до сих пор у последовательности компаний и банков приводят к скепсису. Многим из них спокойнее, в то время, когда все сведенья сохраняются в собственном подвале, в клетке, в периметре с овчарками и Омоном.

Я по образованию эксперт по информационной безопасности и не понаслышке знаю типовые страхи банков. на данный момент  большая часть задач банков возможно вынести в облако не то что без ущерба для безопасности, но, напротив, с пользой. Так как облако — это всего лишь модель оказания услуг.

А вот функциональное наполнение конкретной услуги определяется в значительной мере компетенциями интегратора. К примеру, таковой подход возможно реализовать на базе облачного плеча H-Cloud от Микрософт — одной из трех платформ, образующих неоднородную облачную инфраструктуру КРОК. Платформа разрешает обеспечить защищенность персональных данных по 4-му и 3-му уровням, в соответствии с требованиями законодательства и регуляторов, что особенно критично для компаний из финсектора.

В облаке сейчас возможно разместить фактически все. Но «возможно» и «необходимо» — это различные вещи

По большому счету, под облачными проектами в банках мы в большинстве случаев понимаем сложные инфраструктуры, складывающиеся из обвязки и облака около него. В обвязку смогут входить как тяжелые UNIX-совокупности, так и их заменители на x64. И все перечисленное трудится как единое целое.

Под проект клиента создается кастомизированный инфраструктурный комплекс с учетом того, где та либо другая задача будет выполняться лучше и стремительнее. В качестве иллюстрации приведу пример инфраструктуры, организованной на базе того же облачного плеча H-Cloud от Микрософт. С его помощью достаточно просто поставить работу сервисов Микрософт по модели SaaS, включая корпоративную почтовую совокупность Exchange, инструмент унифицированных коммуникаций Skype for Business, портал SharePoint, пакет приложений Office 365.

Такая экосистема бизнес-приложений для коллективной работы сотрудников, размещенная в облаке КРОК с высокой отказоустойчивостью, разрешает не только расширить эффективность сотрудничества персонала, но и снизить риски, которые связаны с бесперебойностью работы и качеством доступа.

В облаке сейчас возможно разместить фактически все. Но «возможно» и «необходимо» — это различные вещи. Принципиально важно четко осознавать преимущества всех вариантов и использовать их на пользу бизнесу.

В ассортименте КРОК много надстроек, разрешающих «выжать» из облака максимум, ничего не утратив по дороге.

— А АБС может переехать в облако?

— Да, у нас имеется опыт реализации таких проектов. Но совсем ответить на данный вопрос возможно, лишь оценив размер особенности и банка построения его ИТ-инфраструктуры. В случае если банк среднего либо тем более большого размера — лучше применять физическое оборудование подходящей мощности.

В отечественной работе были случаи, в то время, когда к нам приходили банки и говорили: у нас имеется бизнес, что напрямую не зависит от главной деятельности. Желаем начать с него, попытаться автоматизировать в облаке.

Мы говорим, что КРОК — это швейцарский нож в мире туч

Либо еще более хороший пример, в то время, когда параллельно создается новый сервис со своим юридическим лицом. К примеру, интернет-банк с отдельным брендом. И у клиента имеется желание выстроить его всецело в облаке, по причине того, что «на берегу» не весьма ясно, будет ли расти данный проект, какими темпами и т. д. Инвестировать большие средства на этапе старта рискованно, исходя из этого облачный подход делается оптимальным.

Проект запускается, растет, и не редкость так, что ему перестает хватать мощности серверов, дешёвых в облаке. И тогда уже production-среды строятся в отдельных стойках рядом, а другое крутится в облаке.

Мы говорим, что КРОК — это швейцарский нож в мире туч.

Максим березин, крок: «в облаке сегодня можно разместить практически все»

— Имеется такая распространенная идея, что данные в облаке лежат где-то на большом растоянии и, произойди что, ты не сможешь дернуть рубильник и оперативно стереть с лица земли все сведенья. Либо перенести их куда-то, где до них не дотянуться. Это так?

— Отечественные коллеги из Positive Technologies проводили тесты на проникновение в облако КРОК. Проверка проходила в два цикла по одному месяцу любой. В первом случае у «взломщиков» не было по большому счету никаких учетных записей, во втором — были, но с минимальными правами доступа. Кроме этого у них была информация по архитектуре облака и аппаратно-программному обеспечению.

В следствии им не удалось ни взломать облако, ни получить доступ к данным клиента.

Может ли оператор ЦОДа получить доступ к образам виртуальных автомобилей клиента? Будем откровенны: да, может

Так как большая часть бизнес-задач банков связано с хранением и обработкой персональных данных клиентов, на первое место выходит их безопасность и защищенность доступа к ним. Могу заявить, что отечественные облачные услуги  соответствуют всем требованиям регуляторов в данной области. Как пример: гипервизор Hyper-V сертифицирован ФСТЭК, все дополнительные средства защиты в облаке и на его периметре кроме этого сертифицированы ФСТЭК.

А целый программно-аппаратный комплекс подходит для размещения ИТ-совокупностей клиентов с персональными данными и для их защиты, в соответствии с закону «О персональных данных (ПДн)» №152-ФЗ, что очень принципиально важно для совокупностей приложений класса и электронного документооборота HRMS и CRM. Все они надежно защищены от утечек данных.

Кроме этого мы прошли сертификацию по западному стандарту ISO/IEC 27001 и по сей день подходим к финальным этапам по сертификации по PCI DSS.

Может ли оператор ЦОДа, теоретически, получить доступ к образам виртуальных автомобилей клиента? Будем откровенны: да, может. Но в случае если клиент будет доходить к данным так же ответственно, как если бы они пребывали у него в офисе, к примеру шифровать их, доступа к данным у поставщика сервиса не будет.

Но я подчеркиваю, что все это только теория, по причине того, что отношения между оператором ЦОДа и клиентом регулируются подписанными NDA.

— И все же, вот пришли «люди в сером», стоят на проходной. В случае если эти у меня под рукой, я выдерну пара шнуров, дерну рубильник — и никто ничего не прочтёт. А что с облаком?

— В действительности, это иллюзия, что в случае если эти под рукой, то их несложнее обезопасисть. Срабатывает правило «подальше положишь — поближе заберёшь».

Не следует кроме этого забывать, что большинство кейсов по инцидентам в области ИБ связано с инсайдерами

В ЦОД КРОК эти сохраняются на различных стойках, и где эти того либо иного клиента — нужно выяснять. Возможно, единственный довольно стремительный метод взять их, задать вопрос пароль и логин у самого клиента. Или мы можем дать образы виртуальных автомобилей согластно судебному вердикту, но, как мы знаем, принятие таких ответов занимает довольно много времени.

Без него никто в ЦОД не попадет.

Не следует кроме этого забывать, что большинство кейсов по инцидентам в области ИБ связано с инсайдерами. Последним в облаке функционировать значительно тяжелее, чем на физических автомобилях: остается значительно больше неустранимых следов.

— Все знают, что тучи разрешают экономить, но только бог ведает, сколько как раз? Имеете возможность привести примеры?

— Запрещено назвать правильную цифру. Все вправду весьма зависит от конкретных задач. Это смогут быть и десятки процентов, и порядки.

Но давайте взглянуть на конкретных примерах.

У одного из отечественных клиентов, большого вебмагазина, имеется четыре месяца, в то время, когда нагрузка быстро возрастает, приблизительно на 50%. В горизонте трех лет приобретение оборудования для обслуживания пиковой нагрузки стоит приблизительно 32 млн рублей, а приобретение облачных ресурсов — 44 млн рублей.

Но по причине того, что клиент применяет ресурсы лишь четыре месяца в году, настоящая цена облачного ответа с почасовой тарификацией будет равна примерно 15 млн рублей на тот же период (три года). Если бы клиент отправился по пути приобретения «железа», то вдобавок к значительному приросту CAPEX взял бы восемь месяцев простоя. А это непозволительная роскошь в текущей обстановке на рынке.

Приобретение оборудования удачнее лишь в том случае, в то время, когда задача полностью статична и вы совершенно верно понимаете, сколько она постоянно будет потребовать ресурсов

Второй пример. Имеется задача под которую закупили оборудование с расчетным сроком амортизации 36 месяцев. На старте закладываются требования к производительности, каковые, вероятнее, будут через три года. Но на начальной стадии загрузка меньше, и получается, что он растягивается на год либо два. В следствии инвестиции сделаны, но их эффективность приводит к вопросам.

В случае если изначально разместить продукт в облаке и неспешно наращивать количество ресурсов, экономия составит, кроме того по предварительным оценкам, порядка 20% от суммы.

Приобретение оборудования удачнее лишь в том случае, в то время, когда задача полностью статична и вы совершенно верно понимаете, сколько она постоянно будет потребовать ресурсов. В любой другой ситуации облако объективно дешевле. Нельзя исключать, что в будущем настоящая загрузка купленных мощностей на практике окажется выше расчетной и нужно будет закупать дополнительное оборудование на не весьма удачных условиях при очень ограниченном бюджете.

Самый удачный вариант — оценить базисную нагрузку и обслуживать ее при помощи физического оборудования, а на время всплесков докупать облако. Но при таком подходе все равно потребуется год-два на комплект статистики по нагрузке, генерируемой ИТ-сервисом. И эти пара первых лет пройдут полностью в облаке.

— Формат отчетности XBRL, что начнет тестироваться в банках с 2018 года, сделает облако необходимостью кроме того для самых консервативных банков. Потребует ли это дополнительных мощностей в тучах?

— Учитывая количество данных, что будут выкладывать банки, вряд ли обращение отправится о наращивании мощностей. Скорее, вопрос в дополнительной сертификации, которая будет очень сильно пересекаться с PCI DSS.

— Над каким облачным сервисом вы трудились сейчас?

— Совсем сравнительно не так давно мы запустили КРОК Диск. Это облачный сервис, решающий проблему обмена и хранения данными в компании и за ее пределами. Наряду с этим нет отличия, трудится ли клиент на узких клиентах, на настольных компьютерах либо на мобильных устройствах. 

Традиционно файлы пересылаются или по корпоративной email, или передаются через FTP-общие папки и сервер. Все это в далеком прошлом и надежно вписано в корпоративные совокупности, регулируется единой политикой безопасности, но имеется масса пользовательских ограничений. Для почты основное ограничение — количество пересылаемой информации.

В большинстве организаций он не превышает 10–20 Мбайт, чего не хватает не только для мультимедийных файлов, но и для тяжелых презентаций.

Неспециализированные папки решают вопрос внутреннего обмена, но недоступны с внешнего периметра. Исходя из этого для отправки файлов «наружу» имеется Dropbox, «Яндекс.аналогичные» сервисы и Диск. С позиции пользователя все комфортно, но наряду с этим всецело отсутствует контроль над данными со стороны компании, нет шифрования и, с позиций отдела ИБ, царит полная анархия.

С позиций управления доступом, КРОК Диск — интегрируется в Active Directory, подчиняется политике безопасности компании, эти сохраняются в Российской Федерации в один момент в двух ЦОДах, снабжая полную их защищенность и сохранность. При обмене данными с партнерами возможно устанавливать срок действия ссылки на файл либо задавать ограничение по числу скачиваний. К примеру, однократное: в случае если файл скачан, второй раз взять его запрещено.

Сервис КРОК Диск возможно брать помесячно в нужных количествах, а возможно купить его развертывание на собственных мощностях с полной кастомизацией с дизайном и корпоративным названием. 

Суперагенты КРОК на страже тройных облачных гарантий

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: