Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Деньги
Крипто
Маркетинг
Сервисы
Путешествия
Право
Личный опыт
Маркетплейсы
Мнения
Карьера
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Игорь Мительман
Сервисы

Пять советов по выбору поставщика облачных услуг

Рассказываем, как безопасно перенести свои данные на виртуальные серверы: почему важно узнать, какое ПО использует поставщик, где он хранит информацию и на что еще обратить внимание.

Пять советов по выбору поставщика облачных услуг

Бизнес все активнее переносит свои данные в облака. В 2019 году, по прогнозам Gartner, мировой рынок облачных услуг вырастет на 17,5%. Его размер достигнет $214 млрд. Самый быстрорастущий сегмент — IaaS, предоставление облачной инфраструктуры вроде серверов и удаленных рабочих столов.

Этим занимается израильско-швейцарская компания Swissinfocloud, в которой я работаю ИТ-консультантом. В основном мы работаем с клиентами из России и СНГ и видим, что их волнует вопрос выбора надежного поставщика облачных услуг. Поэтому, ни за кого не агитируя, мы решили рассказать, на что стоит обратить внимание при выборе.

Проверьте, где хранят данные

В основном поставщики облачных услуг хранят данные в больших центрах обработки данных (ЦОД). Прежде чем обратить внимание на конкретные ЦОДы, нужно понять инфраструктуру в целом: сколько дата-центров использует провайдер облачных услуг и где они находятся. Идеальный вариант (то, что называется best practice) — это когда данные:

  • Держатся в трех разных дата-центрах. Это помогает диверсифицировать риски — если в одном из центров что-то пойдет не так, ваши данные и вся работа перейдут в другие)
  • Дата-центры находятся на расстоянии минимум 100 км друг от друга. Это правило появилось из-за хоть и маловероятной, но реальной опасности ядерной войны. Радиус поражения бомбы — менее 100 км.
  • Дата-центры находятся еще и в трех разных странах. Когда в одной из стран что-то повлияет на их безопасность, останутся два других места хранения данных. (Но, например, мы пренебрегли этой рекомендацией, потому что наши сервера находятся в Швейцарии — страной, которая держит нейтралитет несколько сотен лет и не участвует в войнах и конфликтах). Для самых опасливых есть еще один совет — оценить защищенность данных от местных органов власти и от иностранных структур.

Изучите, кто хранит данные

Теперь время изучить сами ЦОДы более пристально. У них есть свои рекомендации оборудования по best practice, которые охватывают множество деталей: от поставки электричества (нужно три поставщика и несколько систем резервной генерации) до толщины медного кабеля.

Вдаваться во все подробности необязательно, главное — обратить внимание на надежность дата-центра. Самая популярная система оценки — от Uptime Institute. Согласно их системе, существует четыре уровня ЦОДа:

  • Tier I — базовая инфраструктура без резервирования и избыточных ресурсов; в год может простаивать до 28,8 часов
  • Tier II — инфраструктура с резервными мощностями, дополнительными элементами охлаждения и энергоснабжения; время простоя в год до 22 часов
  • Tier III — инфраструктура, поддерживающая резервирование, параллельный ремонт и распределенное электропитание и охлаждение; время простоя в год не больше 1,6 часов
  • Tier IV — самый защищенный вариант; время простоя в год не превышает 24 минуты

Исходя из своих потребностей, выбирайте нужный уровень — он зависит от того, насколько для вас критично время простоя.

1562 дата-центра по всему миру имеют сертификат от ​Uptime Institute. <a href="https://uptimeinstitute.com/uptime-institute-awards/" rel="nofollow noreferrer noopener" target="_blank">Здесь</a> можно проверить каждую локацию Uptime Institute
1562 дата-центра по всему миру имеют сертификат от ​Uptime Institute. Здесь можно проверить каждую локацию Uptime Institute

Узнайте, есть ли политики безопасности у поставщика

Главное уязвимое звено любой организации — это сотрудники. Какой бы продвинутой ни была система защиты, один невнимательный сотрудник во всей цепочке (в самой компании, у поставщика услуг или в ЦОДЕ) может кликнуть на ссылку в письме и пустить злоумышленников в систему. Чтобы свести такой риск к минимуму, нужен специальный документ, определяющий политики безопасности компании. Обычно его составляет человек с должностью Chief Information Security Officer (CISO). Что есть в этом документе?

Например, в политиках безопасности определены уровни доступа разных сотрудников — какую информацию они могут получить и какими программами пользоваться. То есть, лучше, чтобы тот человек, который администрирует файловый сервер, не знал, кому принадлежат сами файлы и не имеет доступа к CRM-системе. А тот, кто может работать в CRM-системе, не должен знать, где хранятся файлы. Тогда для кражи данных клиентов каждому сотруднику придется войти в сговор с одним или двумя коллегами.

Также в документе обычно содержатся правила смены пароля (обычно раз в несколько месяцев) и порядок двухфакторной аутентификации — это когда помимо логина и пароля для входа требуется дополнительный пароль или ключ, который хранится на физическом устройстве.

В политиках безопасности должен быть описан любой рабочий процесс — от того, как часто делаются бэкапы и проверки, до того, какие сотрудники не могут одновременно уходить в отпуск.

Понятно, что никакой поставщик облачных услуг не предоставит вам изучить его политики безопасности. Но вы можете узнать, существуют ли они вообще: есть ли в компании CISO или пользовались ли его услугами. Некоторые компании даже предлагают составление политик безопасности для клиентов.

Кстати, еще один важный документ, про который можно спросить и который стоит завести себе — disaster recovery plan, собранная воедино информация на случай аварийного восстановления. Это подробный план, в котором написаны все ответственные лица и порядок действий.

Ознакомьтесь с софтом, который использует поставщик

На железе и безопасности все не заканчивается — важны программы, которые поставщик использует и предоставляет своим клиентам. Главная из них — программа виртуализации. Сейчас существует множество бесплатных решений вроде Openstack, но пока они не настолько функциональны как решения лидера рынка VMware. Иногда экономия поставщика на программах может привести к проблемам у клиентов.

В целом не помешает выяснить, лицензионный ли софт у вашего поставщика — если все в порядке, ему не затруднит прислать вам подтверждающие документы (контракты на покупку или аренду ПО).

Некоторые наши клиенты настолько дотошны, что пытаются выяснить, действительно ли офис компании находится там, где сказано. Так что не бойтесь показаться параноиком.

Протестируйте уровень сервиса

Когда вы уверены, что все данные в безопасности, а поставщик прекрасно оборудован, важно совершить последнюю проверку. Иначе все преимущества сойдут на нет, потому что вы потратите слишком много времени на общение с техподдержкой. Перед тем, как заказывать услугу, лучше пообщаться с компанией в течение пробного периода и выяснить, как быстро ее специалисты отвечают клиенту и идут ли навстречу его нестандартным запросам.

Например, помогут ли вам установить на удаленный рабочий стол программу, которой у вас нет, потому что вы пользуетесь Linux, а она встроена в Windows? Через сколько времени ответят на вопрос, заданный ночью? Будут ли готовы предоставить документы о деятельности компании (те же лицензионные соглашения, о которых мы говорили выше)? Станут ли передавать ваш вопрос от сотрудника к сотруднику?

Любые сомнения — повод еще раз задуматься, готовы ли вы доверить хранение своих данных этому поставщику облачных услуг.

Чек-лист для безопасного выбора поставщика

Итак, нужно проверить:

  • В каких ЦОДах хранятся данные и где находятся эти центры.
  • Какой уровень надежности у ЦОДов, в которых хранятся данные.
  • Какие политики безопасности внедрены у поставщика облачных услуг.
  • Какие программы для виртуализации использует поставщик.
  • Насколько быстро и эффективно поставщик реагирует на нестандартные запросы.

А на что еще вы обращали внимание, когда переносили данные своей компании в облака?

33
Начать дискуссию