Максим Березин, КРОК «В облаке сегодня можно разместить практически все» - «Финансы»

КРОК[/b] большое количество надстроек, позволяющих «выжать» из облака максимум, ничего не потеряв по дороге.

А АБС может переехать в облако?

— Да, у нас есть опыт реализации таких проектов. Но окончательно ответить на этот вопрос можно только оценив размер банка и особенности построения его ИТ-инфраструктуры. Если банк среднего или, тем более, крупного размера — лучше использовать физическое оборудование подходящей мощности.

В нашей работе были случаи, когда к нам приходили банки и говорили — у нас есть бизнес, который напрямую не зависит от основной деятельности. Хотим начать с него, попробовать автоматизировать в облаке.

Мы говорим, что КРОК — это швейцарский нож в мире облаков

Или еще более яркий пример, когда параллельно создается новый сервис со своим юридическим лицом. Например, интернет-банк с отдельным брендом. И у заказчика есть желание построить его полностью в облаке, потому что «на берегу» не очень понятно — будет ли расти этот проект, какими темпами и т.д. Инвестировать значительные средства на этапе старта рискованно, поэтому облачный подход становится оптимальным. Проект запускается, растет, и бывает так, что ему перестает хватать мощности серверов, доступных в облаке. И тогда уже production-среды строятся в отдельных стойках рядом, а остальное крутится в облаке.

Мы говорим, что КРОК — это швейцарский нож в мире облаков.

Есть такая распространенная мысль, что данные в облаке лежат где-то далеко, и, случись чего, ты не сможешь дернуть рубильник и оперативно уничтожить все данные. Или перенести их куда-то, где до них не дотянуться. Это так?

— Наши коллеги из Positive Technologies проводили тесты на проникновение в облако КРОК. Проверка проходила в два цикла по одному месяцу каждый. В первом случае у «взломщиков» не было вообще никаких учетных записей, во втором – были, но с минимальными правами доступа. Также у них была информация по архитектуре облака и аппаратно-программному обеспечению. В результате им не удалось взломать облако или получить доступ к данным заказчика.

Может ли оператор ЦОД теоретически получить доступ к образам виртуальных машин заказчика? Будем откровенны — да, может

Так как большинство бизнес-задач банков связано с обработкой и хранением персональных данных клиентов, на первое место выходит их защищенность и безопасность доступа к ним. Могу сказать, что наши облачные услуги  соответствуют всем требованиям регуляторов в этой области. Как пример, гипервизор Hyper-V сертифицирован ФСТЭК, все дополнительные средства защиты в облаке и на его периметре также сертифицированы ФСТЭК. А весь программно-аппаратный комплекс подходит для размещения ИТ-систем заказчиков с персональными данными и для их защиты согласно закону «О персональных данных (ПДн)» № 152-ФЗ, что крайне важно для систем электронного документооборота и приложений класса HRMS и CRM. Все они надежно защищены от возможных утечек данных.

Также мы прошли сертификацию по международному стандарту ISO/IEC 27001 и сейчас подходим финальным этапам по сертификации по PCI DSS.

Может ли оператор ЦОД теоретически получить доступ к образам виртуальных машин заказчика? Будем откровенны — да, может. Но если заказчик будет подходить к данным так же ответственно, как если бы они находились у него в офисе, например – шифровать их, доступа к данным у поставщика сервиса не будет.

Но я подчеркиваю, что все это лишь теория, потому что отношения между оператором ЦОД и заказчиком регулируются подписанными NDA.

И все же. Вот пришли люди в сером, стоят на проходной. Если данные у меня под рукой, я выдерну несколько шнуров, дерну рубильник — и никто ничего не прочитает. А что с облаком?

— На самом деле, это иллюзия, что если данные под рукой, то их проще защитить. Срабатывает правило «подальше положишь — поближе возьмешь».

Не стоит также забывать, что абсолютное большинство кейсов по инцидентам в области ИБ связано с инсайдерами

В ЦОД КРОК данные хранятся на разных стойках, и где данные того или иного заказчика — необходимо выяснить. Наверное, единственный относительно быстрый способ получить их, спросить логин и пароль у самого заказчика. Либо мы можем отдать образы виртуальных машин по решению суда, но, как известно, принятие таких решений занимает очень много времени. Без него никто в ЦОД не попадет.

Не стоит также забывать, что абсолютное большинство кейсов по инцидентам в области ИБ связано с инсайдерами. Последним в облаке действовать гораздо труднее, чем на физических машинах: остается гораздо больше неустранимых следов.

Все знают, что облака позволяют экономить, но никто не знает — сколько именно? Можете привести примеры?

— Нельзя назвать точную цифру. Все действительно очень зависит от конкретных задач. Это могут быть и десятки процентов, и порядки.

Но давайте посмотрим на конкретных примерах.

У одного из наших заказчиков, крупного интернет-магазина, есть четыре месяца, когда нагрузка резко возрастает примерно на 50%. В горизонте трех лет покупка оборудования для обслуживания пиковой нагрузки стоит примерно 32 миллиона рублей, а покупка облачных ресурсов — 44 миллиона рублей.

Но из-за того, что заказчик использует ресурсы только 4 месяца в году, реальная цена облачного решения с почасовой тарификацией составит около 15 миллионов рублей на тот же период (3 года). Если бы заказчик пошел по пути приобретения «железа», то вдобавок к существенному приросту CAPEX получил бы 8 месяцев простоя. А это непозволительная роскошь в текущей ситуации на рынке.

Покупка оборудования выгоднее только в том случае, когда задача абсолютно статична, и вы точно знаете — сколько она всегда будет требовать ресурсов

Другой пример. Есть задача под которую закупили оборудование с расчетным сроком амортизации 36 месяцев. На старте закладываются требования к производительности, которые — скорее всего — будут через три года. Но на начальном этапе загрузка меньше и получается, что  он  растягивается на год или два. В результате, инвестиции сделаны, но их эффективность вызывает вопросы. Если изначально разместить продукт в облаке и постепенно наращивать объем ресурсов, экономия составит даже по предварительным оценкам порядка 20% от суммы.

Покупка оборудования выгоднее только в том случае, когда задача абсолютно статична, и вы точно знаете — сколько она всегда будет требовать ресурсов. Во всех других случаях облако объективно дешевле. Не исключено, что в дальнейшем реальная загрузка приобретенных мощностей на практике окажется выше расчетной и придется закупать дополнительное оборудование на не очень выгодных условиях при весьма ограниченном бюджете.

Самый выгодный вариант — оценить базовую нагрузку и обслуживать ее при помощи физического оборудования, а на время всплесков докупать облако. Но при таком подходе все равно потребуется год-два на набор статистики по нагрузке, генерируемой ИТ-сервисом. И эти несколько первых лет пройдут целиком в облаке.

Формат отчетности XBRL, который начнет тестироваться в банках с 2018 года, сделает облако необходимостью даже для самых консервативных банков. Потребует ли это дополнительных мощностей в облаках?

— Учитывая объем данных, который будут выкладывать банки, вряд ли речь пойдет о наращивании мощностей. Скорее, вопрос в дополнительной сертификации, которая будет сильно пересекаться с PCI DSS.

Над каким облачным сервисом вы работали в последнее время?

— Совсем недавно мы запустили КРОК Диск. Это облачный сервис, решающий проблему хранения и обмена данными внутри компании и за ее пределами. При этом нет разницы — работает ли заказчик на тонких клиентах, на настольных компьютерах или на мобильных устройствах. 

Традиционно файлы пересылаются либо по корпоративной электронной почте, либо передаются через FTP-сервер и общие папки. Все это давно и надежно вписано в корпоративные системы, регулируется единой политикой безопасности, но есть масса пользовательских ограничений. Для почты главное ограничение — объем пересылаемой информации. В большинстве организаций он не превышает 10-20 Мбайт, чего недостаточно не только для мультимедийных файлов, но и для тяжелых презентаций.

Общие папки решают вопрос внутреннего обмена, однако недоступны с внешнего периметра. Поэтому для отправки файлов «наружу» есть Dropbox, Яндекс.Диск и другие аналогичные сервисы. С позиции пользователя все удобно, но при этом полностью отсутствует контроль над данными со стороны компании, нет шифрования и, с точки зрения отдела ИБ, царит полная анархия. С точки зрения управления доступом, КРОК Диск — интегрируется в Active Directory, подчиняется политике безопасности компании, данные хранятся в России одновременно в двух ЦОД, обеспечивая полную их сохранность и защищенность. При обмене данными с партнерами можно устанавливать срок действия ссылки на файл или задавать ограничение по числу скачиваний. Например, однократное — если файл скачан, второй раз получить его нельзя.

Сервис КРОК Диск можно покупать помесячно в необходимых количествах, а можно приобрести его развертывание на собственных мощностях с полной кастомизацией с корпоративным названием и дизайном.