В этой статье мы обсудим проприетарные платформы виртуализации Hyper-V и VMware и затронем одно из самых популярных решений с открытым кодом — OpenStack. Сравнивать все три продукта между собой не будем. Получится не совсем корректно, ведь слишком разные у них архитектуры и наборы инструментов для развертывания виртуальной инфраструктуры. Просто разберем достоинства и обрисуем недостатки каждого решения, чтобы вы сами определились с оптимальным вариантом под потребности бизнеса.

Hyper-V

Hyper-V — продукт компании Microsoft .Он разработан для создания и управления виртуализированной вычислительной средой. С 2008 г Hyper-V является одним из компонентов Windows Server, а начиная с 8 версии присутствует в 64-разрядных версиях Windows 8.1, Windows 10 и Windows. 11. Также Microsoft Hyper-V поставляется и в версии автономного Hyper-V Server.

Если разделять гипервизоры по классификации Дж. Попека и Р. Голдберга, предложенной в 1973 г, гипервизор Hyper-V относится к гибридному типу. С одной стороны он контролирует процессор и память. С другой, операционная система у него изолируется в отдельную сущность — parent partitio или родительский раздел. Раздел становится мостиком между всеми сущностями стека виртуализации и принимает на себя процессы обращений к драйверам устройств и операциям ввода-вывода. Благодаря гибридной микроядерной архитектуре гипервизора, в Hyper-V драйверы устройств работают независимо от аппаратного уровня. С точки зрения практики это требует меньше ресурсов на обслуживание и управление устройствами, а также обеспечивает ускоренное и упрощенное масштабирование.

Ключевые преимущества Hyper-V

Администрируя среды на Hyper-V, специалисты говорят о следующих преимуществах решения:

• привычный интерфейс с удобными шаблонами виртуальных машин с Windows;
• высокая стабильность,
• простая миграция, легкая установка на сервера с Windows и Linux,
• хорошая поддержка кластеризации для построения конфигураций высокой доступности,
• отличная аппаратная совместимость и вообще, Hyper-V не особо требователен к аппаратной части,
• комфортный для создания, клонирования, развертывания виртуальных машин (ВМ) инструмент Virtual Machine Manager (VMM),
• легко увеличивать и, что важно, уменьшать виртуальные диски,
• удобный функционал резервного копирования с сохраненными состояниями и использованием службы создания теневых копий целых томов,
• более низкая стоимость, по сравнению с VMware, особенно когда нужно управлять несколькими хостами.

В силу простоты управления, надежности, легкой масштабируемости и зрелости, система Hyper-V хорошо подходит для развертывания сред виртуализации в ЦОД. Если говорить о платформе виртуализации для VDS, то здесь Hyper-V отлично справляется с виртуализацией рабочих мест, запуском независимых виртуальных серверов на базе одного физического, созданием тестовых сред для разработчиков.

Виртуализация VMware

VMware включает большой набор готовых продуктов для виртуализации. Например, для облака Nubes на VMware мы используем платформу виртуализации VMware vSphere, платформу виртуализации хранилища vSAN, NSX для микросегментации и панель управления Cloud Director. Дополнительно у VMware много комплексных и специализированных продуктов для развертывания новых сред, VDI, консолидации и управления приложениями.

Что касается гипервизора, то гипервизор VMware относится к технологии развертывания программного обеспечения первого типа. Он разворачивается непосредственно на физическом железе и использует прямой доступ к исходному оборудованию. За счет этого считается более эффективным, производительным и безопасным, чем гипервизор второго типа.

Из уникальных особенностей VMware, хочется выделить USB Redirection, Fault Tolerance, Distributed Resource Scheduler и AppDefense. Если коротко, то технология USB Redirection позволяет пробрасывать порты в виртуальную машину, а Fault Tolerance защищает критически важные ВМ, копируя их память и процессорные инструкции в реальном времени для мгновенного переброса на «теневую» копию. Distributed Resource Scheduler автоматически, и что важнее, предикативно балансирует нагрузку на ЦПУ и ОЗУ, а AppDefense на уровне гипервизора готовит и реализует различные сценарии защиты виртуальной машины.

К основным достоинствам VMware относят:

• качественную техническую поддержку,
• высокий уровень производительности,
• широкий набор технологий и инструментов для развертывания облачных сред на крупных предприятиях со сложной IT-инфраструктурой,
•  возможность перенести в виртуальную среду инфраструктуру, с которой бизнес работал на физическом железе,
• легкая виртуализация под стандартные приложения,
• большой список операционных систем, 
• высокая отказоустойчивость и быстрое послеаварийное восстановление с помощью High Availability, vMotion, vCenter Site Recovery Manager.

В целом решения VMware отлично справляются с задачами автоматизации ЦОДов, демонстрируют непревзойденную надежность и стабильность в режиме повышенных нагрузок, упрощает виртуализацию ключевых приложений и консолидацию серверов.

Платформа OpenStack

OpenStack — программное решение для развертывания инфраструктуры облачных приложений.

В составе платформы несколько модулей (Nova, Glance, Cinder, Swift, Keyston и пр.), которые как кубики Lego отбираются под задачи проекта и легко интегрируются между собой. Но главное — исходный код. У OpenStack он открытый, поэтому все модули можно адаптировать под специфику проекта. Это дает практически неограниченные возможности для кастомизации облачных решений и, если у компании достаточно компетенций и ресурсов, даже на стандартном оборудовании с OpenStack можно реализовать продвинутые платформенные сервисы.

Как ПО с открытым исходным кодом, OpenStack устанавливается и используется бесплатно. Кроме того, OpenStack работает без привязки к определенному типу гипервизора и поддерживает Hyper-V, VMware ESX/ESXi, Xen, KVM и др. За техподдержку платформы и отдельных компонентов отвечает развитое сообщество, а разработчики со всего мира предлагают множество готовых модулей.

К основным достоинствам OpenStack относится:

• гибкость и широкие возможности кастомизации,
• поддержка большого количества гипервизоров, ОС и современных инструментов оптимизации IT-разработки,
• свободное бесплатное ПО,
• нетребовательность к оборудованию.

Где плюсы, там и минусы: опытным архитекторам облачных решений гибкость и модульность OpenStack видится как достоинство. Рядовые пользователи, разворачивая облако на OpenStack, сталкиваются со сложностями. У платформы очень непростая архитектура и для ее настройки нужны серьезные компетенции. Если сравнивать VMware с OpenStack с позиции простоты развертывания, то в первом случае облако сможет запустить администратор любого уровня, а для работы с OpenStack понадобится специалист с глубоким знанием специфики платформы.

Решения на базе OpenStack в основном используют компании, разворачивающие собственные дата-центры и крупные частные облака. Интересна OpenStack и стартапам: приватные среды с открытым кодом дают возможность с минимумом вложений запустить площадку для экспериментов и тестирования. При условии глубокой собственной экспертизы, конечно же. Есть определенный нюанс и с санкционными рисками. Как платформа с открытым кодом, OpenStack не зависит от санкционной политики разработчиков ПО для виртуализации, поэтому ее выбирают под проекты, которые важно освободить от привязки к зарубежному вендору.

Как видите, сравнивать Hyper-V с VMware и OpenStack — это как выбирать между кислым, тяжелым и зеленым. Нет универсального, эталонного для малого, среднего и крупного бизнеса решения. Есть оптимальный набор параметров, который подходит для конкретной компании, с конкретными требованиями к масштабированию, поддержке и бюджету на IT-инфраструктуру. И вот здесь мы готовы помочь: примерим разные варианты решений к вашему бизнесу и поможем выбрать оптимальное для проекта.

Резервированная инфраструктура сводит риск отказа IT-систем к минимуму, однако сбои и аварии нельзя исключить полностью. Форс-мажоры сложно предсказать и предупредить, но когда авария уже случилась, необходимо как можно быстрее восстановить систему и минимизировать простой критичных сервисов. Для этого и существует Disaster Recovery Plan (DRP) или план аварийного восстановления.

Что такое план аварийного восстановления и зачем он нужен

Disaster Recovery Plan — документ с последовательным описанием согласованных процедур, ролей и обязанностей персонала в аварийной ситуации.

В первую очередь, план определяет критически важные объекты IT-инфраструктуры и степень риска при отказе каждого из них. Уровень риска оценивается по методу BIA (business impact analysis). Это не единственный, но один из самых доступных методов анализа для ранжирования факторов риска и определения степени влияния события на ключевые бизнес-процессы. По методу BIA удобно определять взаимосвязь между процессами, устанавливать максимально допустимый период их простоя и рассчитывать целевое время для восстановления.

Также в DR-плане обязательно учитываются ресурсы (персонал и объекты инфраструктуры), задействованные в восстановлении. Ранжируется очередность устранения последствий. Определяются технологии Disaster Recovery и данные, чью безопасность нужно обеспечить в первую очередь.

• С практической точки зрения план аварийного восстановления (DR) решает четыре задачи бизнеса:
• Сохранить доступность критичных сервисов при сбое на основной площадке.
• Как можно быстрее восстановить стабильную работу IT-инфраструктуры, чтобы минимизировать убытки.
• Добиться прозрачности и предсказуемости процесса восстановления, сократив влияние человеческого фактора.
• Исключить или свести к минимуму потери важных данных. 

Как определить, нужен ли компании план аварийного восстановления

Говорить, что любому бизнесу нужен план аварийного восстановления — не совсем верно. Disaster Recovery Plan нужен компаниям, для которых остановка сервера оборачивается реальными финансовыми убытками, кибератака на базы данных чревата репутационными потерями, а сбой сайта или приложения нарушает операционный денежный поток.

Если потеря данных за 6-12 часов ничего в бизнес-процессах не меняет, компания может обойтись без детально прописанного DRP и ограничиться несложным планом восстановления из резервных копий. Пусть и не полноценный Disaster Recovery Plan, такой документ тоже полезен. Он помогает определиться с объектами копирования, расписанием и графиком бэкапов, видом, политикой хранения и регламентом восстановления резервных копий.

Как разработать план аварийного восстановления

План аварийного восстановления разрабатывает IT-отдел компании или архитекторы облачного провайдера. В нашем случае план разрабатывается архитекторами и параллельно с выбором DR-решения:

1. Проводится аудит инфраструктуры и объектов защиты при аварийных инцидентах. По каждому объекту формируются ссылки на документацию.

2. Распределяются роли персонала, обязанности внешних подрядчиков с фиксацией KPI по процессу реализации (время реагирования, RTO). Взаимодействие между сотрудниками и аутсорсером удобно иллюстрировать схемой.

3. Прописываются сценарии возможных инцидентов с основными факторами риска. По каждому сценарию прорабатываются процедуры проверки, точки мониторинга, последовательность действий. Обязательно обозначаются критерии, по которым сотрудники могут отнести инцидент к аварийной ситуации или событию, не требующему запуска DRP.

4. Определяется порядок поддержания актуальности плана аварийного восстановления. Устанавливается частота аудита и тестирования, необходимые для проверки корректности DRP.

Дополнительно в плане может указываться путь или место хранения технической документации, по шагам расписываются действия группы оценки финансовых рисков, условия подключения страховой компании и пр.

У плана аварийного восстановления нет формализованной структуры. Он может быть шире и объемней вышеприведенного шаблона. Главное, чтобы документ выстраивал четкую последовательность шагов при потенциальном сбое, помогал оценить масштаб аварии и среагировать адекватно угрозе. Кроме того, DR-план не статичен. Его нужно регулярно актуализировать, адаптируя под меняющуюся IT-инфраструктуру, новые направления деятельности и приоритеты бизнеса.

Чтобы понимать, насколько эффективен новый или скорректированный план восстановления, DRP тестируют. На базовом уровне достаточно проверить, понимает ли команда цель и значение DR-плана, знает ли каждый из сотрудников свои задачи, сроки реагирования. Для полноценного тестирования в компании моделируют аварийную ситуацию, не прерывая работу IT-систем: имитируют отказ оборудования и ПО, отслеживают реакцию персонала, проверяют эффективность коммуникаций, отклик резервных систем. Самый показательный, но и самый сложный вариант тестирования — проверка в рабочем режиме. Здесь все по-настоящему: провайдер отключает IT-инфраструктуру основной площадки, а компания проходит процедуры DR-плана в условиях реального отказа.

Глобальные тенденции к цифровизации постепенно подводят нас к тому, что Disaster Recovery Plan становится неотъемлемой частью планирования непрерывности бизнеса (Business Continuity). Как один из инструментов антикризисного менеджмента, он берет на себя поддержание доступности и восстановление IT-процессов, чтобы компания продолжала работать, несмотря на геополитические угрозы, инсайдерские атаки, стихийные бедствия и саботаж.

Спровоцировать отказ корпоративного облака могут совершенно разные факторы. В большинстве случаев это поломки оборудования, пожары, изъятие и повреждение сервера, а также массовые ошибки в сети хранения или сбой кластера SDS. Cбои возможны как на аппаратном, так и на программном уровне, поэтому говоря об катастрофоустойчивости облака, мы будем говорить об устойчивости трех его компонентов: физической архитектуры, СХД и приложений.

Катастрофоустойчивость облака на уровне физической инфраструктуры

Уровень физической инфраструктуры — базовый. В ЦОД Tier III он обеспечивается за счет, как минимум, двух энерговводов и резервирования активного оборудования по схеме N+1. Свою роль играет и оборудование, на котором разворачиваются облака. Облака Nubes, например, работают на 4-сокетных серверах с процессорами Intel Gold Хeon 6254 3,1 ГГц, СХД Netapp с подключением 16-32 Гб, сетевом оборудовании Cisco и управляющих коммутаторах корпоративного класса Brocade, и развернуты в двух ЦОД уровня Tier III. При этом основные элементы системы (хосты, SAN-свитчи и пр.) на каждой из площадок продублированы.

В целом Tier III обеспечивает уровень отказоустойчивости физической инфраструктуры вплоть до 99,982%, что в пересчете на часы составляет не более 1,6 часа в год.

Катастрофоустойчивость на уровне СХД

Катастрофоустойчивость облака на уровне СХД — устойчивость на аппаратно-программном уровне. Она реализуется на базе СХД и VMware vSphere с синхронной репликацией на дублирующую площадку. Работает это так: одна половина СХД находится в одном ЦОД Tier III, а вторая — в другом, такого же уровня. Обе части работают синхронно и данные одномоментно пишутся в одну и другую СХД, поэтому во втором ЦОД в любой момент времени есть идентичная копия виртуальных машин (ВМ) облака. И если в одном из дата-центров происходит сбой из-за отказа питания, сбоя контроллера, дисковых ошибок или повреждения канала связи, на резервной площадке инициируется перезапуск, после которого виртуальные машины начинают работать с того места, где случился сбой.

Катастрофоустойчивость корпоративных облаков на этом уровне мы реализуем через сервис Metrocluster. В случае аварии он сохраняет 100% данных, то есть RPO:0. Однако показатели RTO (допустимое время восстановления данных) зависят от типа сбоя. Если это просто отказ физического оборудования на основной площадке, то RTO составит 2,5 минуты. При тотальном отказе базового ЦОДа на перезапуск операционной системы, виртуальных машин и восстановление данных потребуется порядка 15 минут.

Катастрофоустойчивость корпоративного облака на уровне приложений

Если взять за основу облака на базе VMware, для облачной катастрофоустойчивости можно использовать прикладные решения для резервного копирования и репликации. Мы используем vCloud Availability и Veeam Cloud Connect, которые обеспечивают репликацию на уровне ПО. При правильно настроенной репликации в определенные временные промежутки в основной и дублирующей инфраструктуре работают две идентичные ВМ. Таким образом, в случае аварии на основной площадке, на резервной можно развернуть готовые к запуску реплицированные виртуальные машины.

VMware vCloud Availability поддерживает доступность приложений, сокращая время аварийного простоя во время аварий.

В рамках решения для текущего облачного узла настраивается стабильный канал репликации с резервным узлом в физической или облачной среде. Чтобы обеспечить защиту от отказа основной инфраструктуры, в клиентском vCenter разворачивается функция vCloud Availability и подключается к vCloud Availability провайдера. В панели управления клиент может выбрать исходную и целевую VDC, на которую будет идти репликация, настроить RPO, политику хранения, количество точек восстановления и период. После этого выбранная виртуальная машина начинает реплицироваться на резервную площадку с заданной скоростью RPO. Чтобы запустить реплику, достаточно выбрать точку восстановления и инициировать процесс.

Кстати, VMware vCloud Availability используется не только для защиты корпоративных облаков от сбоев, но и при миграции. В последнем варианте выбранный ресурс полностью и без простоя перемещается из одной среды в другую.

Решение Veeam Cloud Connect Replication настраивает репликацию виртуальных машин и запускает сохраненные реплики в облаке провайдера. В нашем случае — в облаке Nubes, развернутом в дата-центре уровня Tier III. При этом реплики доступны через панель Cloud Director, а инструмент позволяет разворачивать как отдельные реплицированные виртуальные машины с Microsoft SQL, Exchange, Active Directory и Oracle, так и всю инфраструктуру в рамках Failover Plan. Важно, что при восстановлении отдельных виртуальных машин сервис сохраняет связность между ВМ, работающими на основной площадке и ВМ в облаке провайдера.

Для настройки катастрофоустойчивости облака с помощью Veeam Cloud Connect Replication у клиента должен быть отдельный модуль Veeam Backup & Replication. Как и в случае с VMware vCloud Availability, настройки и реплики управляются через веб-панель.

Устойчивость корпоративного облака складывается из устойчивости всех компонентов системы. Нельзя положиться на одну только резервированную физическую инфраструктуру или асинхронную репликацию. Чтобы добиться максимальной стабильности и бесперебойной работы облака, нужно шаг за шагом пройти все уровни, на каждом оценить и закрыть потенциальные риски. Только в этом случае мы можем говорить о действительно катастрофоустойчивом облаке, которое сохраняет параметры доступности и производительности при отказе одного или нескольких фрагментов инфраструктуры.

В 2022 году у нас сильно увеличилось число заявок от компаний, которым требуется перенос инфраструктуры от зарубежного провайдера в российское облако. Мы успешно проводим миграцию в наше облако бесплатно, цены на ресурсы не поднимали. У нас нет дефицита площадей и ресурсов в дата-центре. ЦОД Nubes Аlto в Москве имеет все необходимые сертификаты, продолжает штатно работать.

Узнайте цену аренды облака NG Cloud с помощью онлайн-калькулятора на странице сервиса.

Информационная безопасность в облаке

Облачная информационная безопасность — нечто большее, чем защита от  DDos-атак и взлома аккаунтов. За последние 5 лет список угроз облачной безопасности пополнили вредоносы для нападения на Unix-системы, средства виртуализации и оркестраторы, проникновения инсайдеров, криптоджекинг и потери данных из-за простоев и аварий.

К сожалению, абсолютно неуязвимой системы, которая бы защищала от всего и сразу — нет. Зато есть проверенные практики, которые на стороне клиента закрывают одновременно несколько вопросов защиты облаков. О них мы и расскажем.

Аудит информационной безопасности в облаке

Аудит — отправная точка для любой системы информационной безопасности (ИБ). Он помогает разобраться, что и от чего защищать. Дает оценку реального положения дел, обнаруживает уязвимые места, определяет перечень угроз и их приоритетность.

В ходе аудита облачной безопасности оценивается не столько компьютерное и сетевое оборудование, ПО, базы данных, операционные системы и хранилища, сколько информационные процессы:

• управление доступом,
• организация мониторинга,
• практика использования мобильных устройств для хранения информации,
• алгоритмы шифрования,
• регламент дублирования и восстановления данных и пр.

По результатам становится ясно, соответствует ли облачная система информационной безопасности требованиям к защите персональных данных, может ли работать в условиях атаки на отказ в обслуживании и какие участки нуждаются в усиленной защите. Возможно, придется усилить контроль за парольными политиками для сервисных и административных учетных записей. Или разделить полномочия и ответственность администраторов виртуальных машин и СХД.

Защита конечных точек

Классической защиты IT-периметра уже недостаточно. Когда сотрудники получают доступ к IT-инфраструктуре одновременно с десктопов и мобильных телефонов, сложно даже определить, где начинается и где оканчивается периметр IT-среды. В этих условиях оптимальной выглядит стратегия, согласно которой каждая конечная точка доступа к IT-инфраструктуре рассматривается как объект с собственным периметром информационной безопасности. Для его защиты могут использоваться EPP и EDR-решения.

EPP (Endpoint Protection Platform) как системы защиты конечных станций блокируют известное вредоносное ПО в точке входа. EPP последнего поколения задействуют расширенные технологии безопасности, включая персональные межсетевые экраны, системы контроля портов, предотвращения вторжений, шифрования дисков и пр. Одним из передовых решений с усиленным функционалом для борьбы с современными угрозами является виртуальный файрволл NGFW на базе FortiGate. Помимо основных функций межсетевых экранов, он поддерживает IPS и антивирус для защиты от атак, сегментирует сеть и фильтрует трафик, управляет доступом к приложениям, строит SSL VPN и IPSEC VPN-туннели, контролирует исходящий трафик за счет антиботнет-модуля. Мы используем его как гибкое и производительное решение для защиты от внутренних и внешних угроз.

В отличие от EPP-решений, EDR (Endpoint Detection & Response) работают одновременно на нескольких уровнях:

• обнаруживают инциденты безопасности, в том числе новые и неизвестные,
• изолируют и сдерживают потенциальную опасность, удаленно контролируя сетевой трафик без приостановки ключевых процессов,
• расследуют эпизоды нарушения безопасности,
• возвращают рабочую станцию в состояние до заражения/повреждения.

Решения класса EDR относятся к сегменту продвинутых систем информационной безопасности. Они обнаруживают ранее неизвестные угрозы и выводят облачную ИБ на новый уровень контроля IT-периметра. Основным преимуществом решений EDR является обнаружение трудноопределимых угроз, в частности бесфайлового вредоносного ПО и шифровальщиков, быстрое восстановление после взлома и усиленная телеметрия угроз.

EPP-решения закрывают основные векторы потенциальных атак и могут стать ядром для поэтапного развития стратегии информационной безопасности в облаке. EDR обеспечивают мощную, комплексную защиту рабочих мест, но требуют соответствующего уровня компетенций, опыта и глубокой аналитики больших объемов данных. Но главное — ни тот, ни другой не дадут ожидаемого результата, если воспринимать их как инструменты «подключил и забыл». Любые сервисы защиты приходится периодически подкручивать и настраивать, адаптируясь под меняющийся ландшафт угроз.

План аварийного восстановления

«Несмотря на ключевую роль резервного копирования в защите данных, для 14% всех данных бэкап вообще не выполняется, а в 58% случаев данные из резервных копий невозможно восстановить».

Исследование Veeam Data Protection Report 2021

На случай кратковременных сбоев и длительных аварийных отказов у каждой компании должен быть план аварийного восстановления (DR-план). Сотрудники служб информационной безопасности знают его как документ с детальным описанием типов аварий, факторов риска и пошаговых действий по реконструкции данных, включая очередность восстановления процессов.

План составляется с учетом модели аварийного восстановления:

1. Классический бэкап на резервную площадку с последующим восстановлением.

2. Асинхронная репликация данных на дублирующую площадку.

3. Синхронное зеркалирование с репликацией на уровне СХД.

В рамках этого материала мы не будем подробно рассматривать модели и план Disaster Recovery, так как варианты решений подробно описаны на странице Disaster Recovery, а интересный кейс по выбору модели и составлению плана Disaster Recovery опубликован в блоге.

Шифрование как инструмент контроля безопасности информации в облаке

На стороне облачного провайдера шифрование выполняется на уровне Storage, баз данных, дополнительно шифруются резервные копии в Managed Services for Databases, а при передаче используется протокол шифрования TLS.

На стороне клиента остается самостоятельная реализация шифрования для критичных данных. Так, пользователи облаков на базе VMware могут зашифровать виртуальную машину, чтобы защитить ее от несанкционированного использования, а в облаке Hyper-V для защиты данных и состояния виртуальной машины предусмотрен параметр Encrypt State and VM migration traffic и диск для хранилища ключей. Encrypt State and VM migration traffic поможет шифровать сохраненный трафик динамической миграции и данные состояния виртуальной машины, а с опцией диска для хранения ключей виртуальная машина получит небольшой диск для хранения ключа BitLocker.

Вообще, шифрование жестких дисков виртуальных машин относится к зоне смежной ответственности клиента и провайдера. С одной стороны, шифрование дает клиенту уверенность, что данные на диске закрыты шифром. С другой, для запуска виртуальной машины гипервизор, обслуживаемый провайдером, должен иметь загруженные ключи расшифровки.

Золотая середина

Бизнес очень по-разному видит информационную безопасность в облаке. В одних компаниях специалисты по ИБ не готовы принимать тот факт, что теряют доступ к большинству рычагов контроля безопасности. В других рассчитывают, что с переходом в облака задачи по поддержанию безопасной IT-инфраструктуры полностью лягут на облачного провайдера.

Истина где-то рядом. В рамках моделей IaaS, PaaS, SaaS и XaaS мы руководствуемся базовой логикой распределения зон ответственности, но гибко подходим к оценке смежных зон и технических решений для усиления ИБ. Всегда готовы идти навстречу и корректировать условия сотрудничества. Напишите или позвоните нам: подберем дополнительные услуги, поможем с выбором альтернативных схем и экономически целесообразных решений под конкретные задачи обеспечения информационной безопасности облака.

Преимущества облачных технологий

По данным SAP Cloud за 2021 г 92% организаций в той или иной форме используют облачные технологии, а 59% планируют в течение 1-2 лет вынести в облака большую часть или все процессы компании.

Почему облака так быстро стали новой нормой для бизнеса? Потому что это выгодно: компания не покупает сервера, а арендует. Не нанимает штат IT-специалистов, а передает администрирование провайдеру. Экономия денег и ресурсов — главное преимущество использования облачных технологий. Главное, но не единственное.

Ключевые преимущества облачных технологий

Меньше риск потери данных

В облаке риски аварий и сбоев компенсируются различными сценариями аварийного восстановления:

• классическая система бэкапов,
• катастрофоустойчивая инфраструктура,
• синхронная и асинхронная репликация.

Выбор сценария определяет баланс стоимости и эффективности аварийного восстановления. Одним компаниям достаточно регулярного автоматического копирования на дублирующую площадку. Другим критична полноценная резервная инфраструктура с синхронным копированием данных с основной платформы. Подробно про модели и решения Disaster Recovery мы уже рассказывали в статье "Disaster Recovery (DR) - аварийное восстановление как услуга для бизнеса".

Ресурсы по требованию, без капитальных затрат

Бизнесу на этапе запуска, с неоднородным спросом или экспоненциальным ростом критично увеличивать объем ресурсов без привлечения дополнительного финансирования и потери чистого денежного потока.

С IaaS, PaaS и другими вариациям облачных технологий необходимые мощности предоставляются по модели on demand (по потребности), то есть компания платит за ресурсы, которые нужны здесь и сейчас. Не приходится вытаскивать деньги из оборота и вкладывать их в инфраструктуру, которая окупится через год, два или три. Или не окупится совсем.

Сокращение кадровой нагрузки

Если не нужно разворачивать сервера, можно частично или полностью отказаться от собственного IT-подразделения. Сократить время и ресурсы на найм, проверку компетенций, адаптацию, рабочие места сотрудников, меньше отчислять страховых, медицинских и социальных взносов.

Глубина оптимизации кадровой нагрузки зависит от модели облачных технологий. С IaaS у компании есть доступ к данным, приложениям, базам данных и операционной системе. Это позволяет разгрузить IT-отдел, но требует определенной внутренней экспертизы в области информационной безопасности и управления виртуальными мощностями.

С услугами PaaS и SaaS управление гипервизорами, виртуализацией серверов, настройку и поддержку облачных баз данных берет на себя провайдер. В этом формате бизнес может практически полностью переложить вопросы развертывания и управления инфраструктурой на подрядчика.

Ускоренный запуск цифровых двойников, новых проектов или MVP

В проектах с высокой долей неопределенности ускоренное развертывание цифровых решений дает ощутимую фору. Особенно при запуске новых услуг на высококонкурентном рынке или выпуске принципиально новой продукции, когда важно быстро занять пустующую нишу.

Облачные технологии позволяют стартапам с минимумом затрат тестировать бизнес-гипотезы, разработчикам — быстро выпускать MVP, компаниям в процессе цифровой трансформации — моделировать сложные процессы и создавать цифровых двойников объектов, не наращивая физические мощности.

Нужно день-два, чтобы арендовать вычислительные ресурсы в облаке с нуля и буквально несколько минут, если облако уже есть и его возможности нужно расширить. Например, в облаке на VMware виртуальные машины с требуемым объемом ядер создаются прямо из панели управления Cloud Director, там же подключаются SATA, SAS, SSD диски. В несколько кликов.

Более предметно о преимущества облачных технологий на базе VMware

Облачные среды разворачиваются на платформе виртуализации. В случае с VMware — на платформе VMware vSphere с набором программных компонентов. Основные компоненты:

• VMware vSphere ESXi — гипервизор для развертывания виртуальных машин (ВМ) на мощностях физического сервера.
• VMware NSX — платформа виртуализации сети для работы с физической сетью как с пулом логических ресурсов, используя и перераспределяя их по мере необходимости.
• vSAN — программная система хранения данных, которая позволяет использовать локальные диски серверов виртуализации как общее хранилище кластера.
• Cloud Director — консоль управления виртуальными машинами, сетями и сетевым взаимодействием.

Платформа является основой для построения классического виртуального ЦОДа, публичного и гибридного облака VMware. Она позволяет уплотнить нагрузку на сервера, эффективно использовать их ресурсы и управлять виртуальными машинами, создавая гибкую, устойчивую к перегрузкам IT-инфраструктуру. Из конкретных преимуществ стоит отметить:

• Высокую производительность, которую обеспечивает vSAN-архитектура и комбинации SATA, SAS и SSD дисков.
• Широкие возможности для интеграции с другими сервисами, в том числе и при виртуализации разнородной инфраструктуры.
• Возможность подключать и использовать дополнительные инструменты для поддержки всех типов протоколов, настройки пулов IP, мониторинга нагрузок приложений.
• Функционал NSX для микросегментации, автоматизации и аварийного восстановления систем. Микросегментация в данном случае закрывает проблему сетевой безопасности. Автоматизация позволяет быстро открыть новый сегмент сети и обеспечить его ресурсами с прикрепленными политиками безопасности. В разрезе аварийного восстановление NSX пусть и на вторых ролях, но в сочетании с Site Recovery Manager применяется для репликации хранилища, управления и тестирования планов DR.

В целом, облако на VMware быстрее выдает виртуальные ресурсы и легче их масштабирует. На практике это выливается в сокращенные сроки миграции, быстрое развертывание терминальных серверов и оперативную переконфигурацию инфраструктуры. Сегодня это одно из самых гибких решений для практически мгновенного расширения мощностей на пиковых нагрузках.

Наши клиенты используют его для организации собственного виртуального ЦОДа и создания гибридной инфраструктуры с устойчивой связностью облака и физического оборудования. Переносят в облачные среды VMware высоконагруженные сервисы, запускают тестовое окружение, формируют резервную инфраструктуру для повышения отказоустойчивости систем. При подключении дополнительных инструментов облако на VMware позволяет решать и другие, более узкоспециализированные, нетривиальные задачи. По ним вас проконсультируют наши специалисты — опишите задачу и уточните детали, чтобы инженеры Nubes помогли определиться с конфигурацией и параметрами облака для вашего бизнеса.

Рассказываем, как передовые практики DevOps решают задачи продуктовой разработки и сервисной поддержки.

DevOps как услуга

DevOps как услуга появилась в ответ на растущую потребность в ускорении выпуска приложений и улучшения качества релизов. В результате чего возникла потребность в квалифицированных DevOps-специалистах.

В 2020 г DevOps-инженера искали в среднем около двух месяцев, а зарплатные ожидания специалиста уровня системного архитектора перевалили за отметку 300 тыс. рублей. В 2021 г спрос на DevOps-специалистов превысил предложение, и в 2022 году ситуация не изменится. Потому что с каждым витком развития IT инфраструктура усложняется, бизнес-процессы ускоряются, а требования к доступности сервисов становятся более жесткими. В этих условиях DevOps-культура перестает быть опциональным преимуществом и становится жизненной необходимостью.

Методология DevOps: как это работает

Сервис DevOps — аутсорс DevOps-инженера и, при необходимости, других специалистов, которые фокусируются на решении технологических задач и достижении бизнес-целей, мягко и постепенно переводят производственный процесс в режим максимальной эффективности.

Разработка, тестирование, развертывание, мониторинг превращаются в непрерывный конвейер:

1. Для разработчиков разворачивается централизованное облачное хранилище, куда идут все версии кода.

2. Для тестировщиков настраивается автоматизированное тестирование с отчетами по каждой итерации.

3. На этапе интеграции автоматически собирается и тестируется новая версия кода.

4. Функционал после тестирования попадает на боевой сервер.

5. На каждом этапе отслеживаются изменения, логируются данные и исправляются ошибки. Не дожидаясь, пока дефекты накопятся и попадут в пользовательскую версию продукта.

Чем DevOps как сервис отличается от DevOps внутренней команды

При найме DevOps-специалиста в штат бизнес сталкивается с двумя проблемами.

Первая — сложность оценки компетенций. Профессия новая, с очень широким функционалом и еще более широким набором навыков. Четкие требования к знаниям, уровню компетенций DevOps’а есть у крупных компаний и отраслевых гигантов типа Google, Airbnb, Netflix. У HR среднего, а тем более малого бизнеса, пока нет понимания, что входит в обязанности DevOps-специалиста, какой уровень квалификации и практического опыта нужен под проект. Чаще всего, вместо самостоятельного DevOps’а, который сразу начнет показывать результат, бизнес видит сотрудника, на ходу осваивающего основные технологии и инструменты.

С сервисом DevOps компания получает инженера с концентрацией на технологических и бизнес-целях, высоким уровнем квалификации, большим опытом развития и поддержки DevOps процессов.

Вторая проблема — перегретый рынок труда. Когда DevOps необходим как воздух, компании делают все, чтобы удержать своего специалиста или переманить другого. Сильные бренды предлагают беспрецедентно привлекательные условия найма, а начинающим командам в погоне за хорошим инженером приходится выходить за рамки зарплатного бюджета. Что не может не сказаться на рентабельности проекта.

В сервисной модели DevOps стоимость услуги определяет сложность проекта, а не зарплатные ожидания конкретного специалиста. Нет текучки кадров, нет затрат на поиск, найм и привлекательные офферы.

Многим IT-компаниям, онлайн-ритейлерам, образовательным и производственным сервисам DevOps-специалист на постоянной основе вообще не нужен. Он нужен на проект, временно:

• внедрить новые технологии и инструменты DevOps;

• выстроить качественный CI/CD-конвейер, который потом нужно будет поддерживать;

• сфокусироваться на достижении конкретных бизнес-метрик, например, улучшить показатели time-to-market в N раз, сократить количество сбоев на этапе выкатки в продакшн в X раз;

• разработать технические решения для проекта.

Форматы услуги DevOps

Методология DevOps предполагает гибкое управление проектами. Именно поэтому для каждого процесса разработки мы предлагаем индивидуальный набор практик и сервисов. Они зависят от состава и сложности проекта, объемов данных, размеров, сложности инфраструктуры, интенсивности инцидентов и обращений.

В стандартном формате — это DevOps с аудитом, подбором методологии, консультацией и отладкой процесса разработки, техподдержкой на всех стадиях цикла. Расширенный сервис DevOps дополнительно включает составление требований к конвейеру сборки и тестирования, формирование среды разработки в необходимом масштабе. В этом формате продуктовые и сервисные компании получают стабильно работающую инфраструктуру, а их специалисты учатся быстро реагировать на изменения рынка, двигаться к общей цели и выпускать продукты, соответствующие ожиданиям потребителей здесь и сейчас.

DevOps как сервис и внедрение методологии силами внутренней команды роднит сложность погружения в концепцию. Менять устоявшиеся процессы и привычные паттерны всегда непросто. Приходится добиваться прозрачности, улучшения коммуникации и тесного сотрудничества команд, но в результате вы получаете несоизмеримо больше: релизы выпускаются без задержек, снижается объем незапланированных доработок, обеспечивается безопасность, сохранность кода.

Мы знаем, как это добиться и готовы предложить поддержку DevOps-инженера на всех стадиях жизненного цикла вашего IT-продукта. Он быстро погрузится в новые задачи, усилит вашу команду и поможет оптимизировать сроки и эффективность разработки.

Практика использования DBaaS для небольших IT-команд, проектов под жестким контролем регуляторов 152-ФЗ и циклическими нагрузками.

Три сценария использования DBaaS

В этой статье мы рассмотрим три сценария использования баз данных в облаке (DBaaS). На самом деле DBaaS решает гораздо более широкий круг задач, но именно к этим трем сценариям чаще всего обращаются технологические стартапы, госструктуры и компании финансового, e-commerce сектора.

Выполнение требований регуляторов

Отечественные компании, работающие с персональными данными россиян, при хранении и обработке ПДн должны соблюдать требования закона 152-ФЗ.

В формате on-premise на создание и аттестацию защищенного IT-контура нужны ресурсы, компетенции, штат специалистов. И время, много времени, потому что даже с серьезным бюджетом и толковой командой за 1-2 дня физически невозможно развернуть инфраструктуру, аттестованную по 152-ФЗ.

С сервисом DBaaS база данных в аттестованном облаке запускается буквально за один день, без затрат на локальную/облачную инфраструктуру и мероприятий по ее приведению в соответствие с требованиями 152-ФЗ. И не только 152-ФЗ, кстати. По требованию 242-ФЗ от 21 июля 2014 г иностранные компании, работающие в России, обязаны хранить персданные российских граждан на территории Российской Федерации. И если базы данных с ПДн клиентов и сотрудников развернуты на серверах в РФ, требование считается выполненным.

В нашем случае сервера под DBaaS находятся в Москве, а набор СЗИ и СКЗИ соответствует требованиям к защите ГИС 3-го класса со 2-м, 3-м, 4-м уровнями защищенности. Это значит, что российские и зарубежные клиенты Nubes могут использовать облачные базы данных для хранения ПДн, размещения региональных и объектовых государственных информационных систем межведомственного взаимодействия, централизованного управления и пр.

Усиление компетенций

Цифровые технологии развиваются настолько быстро, что администраторы баз данных госструктур, образовательных, торговых и медицинских компаний не успевают актуализировать знания и получать релевантный опыт. Большая часть их работы ограничивается обслуживанием корпоративных БД. Зачастую устаревших, с унаследованными противоречиями и разнородным парком технологий. И у них нет ни времени, ни компетенций для построения отказоустойчивой системы, оптимизации, поддержки высокой доступности и масштабирования баз данных.

Квалифицированных специалистов, свободно владеющих набором современных технологий, на рынке мало. Их не только мало — они дороги. Собрать команду с хорошей экспертизой под продуктовую разработку, поддержку и развитие новых сервисов под силу только крупным предприятиям. Но и они стремятся сокращать прямые затраты, оптимизируя расходы на сотрудников с релевантным опытом.

DBaaS решает обе проблемы:

1. Усиливает компетенции команды. Провайдер берет на себя экспертизу, администрирование баз данных, помощь с миграцией, мониторинг, резервное копирование и круглосуточную техническую поддержку. Бизнес перестает ощущать недостаток компетенций и ресурсов, необходимых для управления сложными, масштабными и глубоко оцифрованными проектами.

2. Сокращает непрофильные расходы. Если перенести в DBaaS внутренние проекты со стабильно высокой нагрузкой, можно снять с администраторов рутину и перевести на более важные задачи. Или сократить штат сотрудников, занятых на базовых процессах. Для фонда зарплат это ощутимо.

Регулярные пиковые и разовые стихийные нагрузки

В варианте с регулярными пиковыми нагрузками у компании есть отработанный производственный цикл, например, разработки и тестирования мобильных приложений. На этапе тестирования QA-инженеры создают и удаляют несколько десятков баз данных так, что в моменте потребность в мощностях возрастает в разы. На on-premise решениях это требует дополнительных серверов. Причем они задействованы, когда специалисты разворачивают test-среды. И простаивают, когда функциональное/нагрузочное тестирование завершено.

С DBaaS все проще: инстансы по запросу запускаются в облаке. Сколько необходимо, столько и запустили. Не нужно закладывать запас под рост нагрузки, покупать или арендовать локальную инфраструктуру. Тестировщики могут настраивать и удалять БД по мере надобности. Такой уровень гибкости ощутимо ускоряет работу с Dev- и Test-средами, сокращает расходы на вывод продукта на рынок.

Во втором сценарии бизнес сталкивается с неожиданным ростом нагрузки. Допустим, при работе над масштабным заказным продуктом, формировании годовой финансовой отчетности инвестору или оценки аналитического среза с использованием массивов Big data. Сценарий другой — решение то же: базы данных запускаются в облаке как сервис. В той конфигурации и в том объеме, которые необходимы для задачи. По завершении работы достаточно отключить сервис и оплатить фактическое использование ресурсов.

Расширенные сценарии использования DBaaS

С DBaaS все прямо или косвенно сводится к экономии. Прямая экономия очевидна — облачные базы снижают капитальные затраты на физическую инфраструктуру и ее поддержку. Косвенно на оптимизацию расходов влияют сразу несколько моментов:

• Автоматизация репликации и резервного копирования снижает риск потери данных. Это вероятные, потенциальные убытки, но в стратегии риск-менеджмента их нельзя сбрасывать со счетов.
• Гибкость управления ресурсами ускоряет создание продукта в организациях с циклом разработки и тестирования. Быстрый старт новых сервисов и запуск продуктов, попадающих в ожидания рынка, отражается на маржинальности проекта.
• В сервисах DBaaS можно выбрать платформу под задачи и потребности бизнеса. Текущие и планируемые, разовые и периодические, в том числе и требующие узкого стека технологий. Это снимает вопрос неудобных компромиссов между текущими компетенциями и перспективами развития.

По сути, любой сценарий использования DBaaS можно увязать с коммерческими задачами компании. Тем более, что наш опыт позволяет адаптировать услугу под специфические требования к настройке, репликации и мониторингу. Опишите задачу и уточните детали — DBA-инженеры Nubes помогут определиться с архитектурой, параметрами и нюансами миграции баз данных.

Чем еще, кроме снижения затрат на ИТ, облачные сервисы IaaS могут быть интересны бизнесу и госструктурам? Разбираем альтернативные сценарии использования IaaS.

Облачные сервисы IaaS: в первом приближении

Интерес к инфраструктуре как услуге стабильно растет со стороны бизнеса и госсектора. По данным исследования «Потенциал облачных технологий в России» Accenture Technology 2021 г 50% респондентов используют облачные решения для классических бизнес-процессов, а 40% переводят в облака системы управления процессами, сервисы обработки платежей, программное обеспечение и BI-системы. Однако, большинство до сих пор стереотипно рассматривает IaaS только как инструмент снижения ИТ-затрат. В этой статье мы хотим рассмотреть альтернативные сценарии использования IaaS.

Определение IaaS

Infrastructure as a Service в аббревиатуре IaaS — услуга по аренде виртуальных мощностей. Ближайшая аналогия IaaS — аренда склада или офиса. Когда компания пользуется квадратными метрами, коммуникациями и подъездными путями, но самостоятельно обставляет помещение, подключает оргтехнику, налаживает рабочий процесс.

С IaaS очень похоже: клиент получает готовую к работе облачную инфраструктуру — вычислительные ресурсы, сети, программную часть, хранилища и прочие сервисы. Ему остается только запустить виртуальные машины, установить операционную систему, приложения и дать доступы сотрудникам.

Сценарии использования облачных технологий IaaS

Прикладную значимость Infrastructure as a Service проще показать на практических примерах. Даже навскидку мы насчитали 5-7 вариантов использования IaaS в среднем и крупном бизнесе разных отраслей, но пока ограничимся тремя сценариями.

Обработка big data

Если обрабатывать Big Data на собственных программно-аппаратных решениях, основными сложностями становятся:

• Слабая эластичность. При запуске проекта сложно предсказать, какой будет нагрузка через полгода, год или полтора. Возможно, уже через несколько месяцев придется закупать дополнительный объем ИТ-оборудования и срочно масштабировать ресурсы. Вариант купить «на вырост» — тоже не выход. Если потребности упадут ниже запланированных, придется содержать простаивающие серверы.
• Высокая стоимость. Для модели on-premise нужно не только оборудование. В капитальные расходы входит аренда/покупка и оборудование площадки, приобретение ПО.

IaaS снимает оба вопроса. Мощности можно добавить по требованию, буквально в несколько кликов, а расходы переходят в операционные и регулируются через гибкую модель оплаты.

Для обработки big data в облаках компании либо переносят на платформу IaaS реляционные базы данных, либо разворачивают в IaaS-инфраструктуре BI-системы. При этом необязательно виртуализировать все процессы.

Облачные решения можно использовать для хранения или резервного копирования больших данных. Можно разворачивать рабочие приложений big data из любой точки мира. Или вынести в облако бизнес-аналитику, пакетную и потоковую обработку, нейросети и работу с технологиями искусственного интеллекта. В любом из вариантов компания получает высокопроизводительные и одновременно гибко масштабируемые ресурсы.

Конечно, под обработку больших данных подходят не все облачные решения. Архитектура сервиса для big data строится на серверах для работы с высокопроизводительными вычислениями, обязательно включает высокоскоростной интерконнект, мощные виртуальные процессоры, ускорители процесса обработки и отказоустойчивые диски для сверхбыстрого доступа.

Критичные бизнес-процессы

В банковской сфере и ритейле сбой системы или падение сервера несет прямые финансовые и репутационные потери. В определенной степени эту проблему решает резервирование физической инфраструктуры на дублирующей площадке, однако ручной переход на резервную копию занимает несколько часов. Два-три часа простоя для ритейла или банка — это потеря тысяч транзакций и миллионов рублей.

Облачные сервисы IaaS решают эту задачу через катастрофоустойчивое облако. Это тот же IaaS, что и в предыдущем примере, но сервис разворачивается на оборудовании двух ЦОД с синхронной репликацией. Информация пишется одновременно на основную и резервную СХД, а при сбое на одной площадке на другой продолжают работать виртуальные машины. Нагрузка переключается автоматически, и время недоступности системы из-за аварии не превышает 2,5 минут. При таком подходе критичный бизнес-процесс не только дублирован и зарезервирован, но и автоматизирован, что исключает человеческий фактор.

Соответствие требованиям регуляторов

Усложним задачу и представим, что IaaS решает одновременно две задачи — безопасное размещение персональных данных (ПДн) и соблюдение требований безопасности платежных систем.

У закона 152-ФЗ и стандарта PCI DSS есть ряд требований к информационной безопасности: ограничить физический доступ к данным, обеспечить идентификацию и аутентификацию доступа к системным компонентам, организовать шифрование данных и их защиту от вредоносного ПО и пр. Реализовать все это при модели on-premise сложно и дорого. Тем более, если компания не хочет развивать внутренние компетенции по защите ПДн. Дешевле и быстрей подключить облачные услуги IaaS, соответствующие требованиям регуляторов. При этом необязательно переносить в облако всю инфраструктуру. Можно вынести только виртуальные сервисы, для которых критичны соответствие 152-ФЗ и поддержка PCI DSS.

В этом сценарии провайдер с сертификацией PCI DSS v. 3.2 и аттестованным по 152-ФЗ облаком может взять на себя контроль допуска к оборудованию, ограничение доступа к сетевым ресурсам, межсетевое экранирование, а также гарантировать использование сертифицированных СЗИ и СКЗИ. Плюс необходимые дополнительные услуги, допустим антивирус, защиту от DDoS-атак и WAF. В итоге бизнес получит требуемый уровень безопасности, не тратя ресурсы на самые трудоемкие процедуры ИБ — покупку, защиту и администрирование оборудования. В зоне ответственности компании останется контроль и управление виртуальными машинами, ОС, ПО и доступом сотрудников. То, что можно делать без подключения специальных компетенций.

У облаков, конечно, есть свои минусы и ограничения. Есть и ситуации, когда не стоит использовать IaaS и целесообразней выбрать платформу как сервис или собрать комплекс из отдельных услуг. Но это частные случаи и совсем другая история.

Как отбить серьезную атаку, чтобы клиенты ничего не заметили?

Защита бизнеса от DDoS-атак c использованием искусственного интеллекта поможет отразить самые мощные DDoS-атаки. Мы запускаем новый Сервис комплексной защиты от DDoS, который включает в себя три этапа фильтрации:

Выступая в качестве безопасного прокси, наша система маскирует IP-адрес вашего веб-сервера и постоянно анализирует входящий трафик, блокируя DDoS-атаки, пропуская только легитимный трафик.

Ваши клиенты будут без проблем получать услуги on-line сервиса, а все боты будут отфильтрованы!

УЗНАЙТЕ ПОДРОБНЕЕ:

• От каких киберугроз защищает наша система безопасности.
• Как работает трехфазная система фильтрации.
• Преимущество применения алгоритмов machine learning.
• Как работает проверка трафика искусственным интеллектом.
• А также, узнаете ответы на популярные вопросы.