Опасность отключения облачных сервисов – как снизить риски

Состояние рынка IT-продуктов нестабильно – еженедельно иностранные поставщики объявляют о прекращении поставок, отечественные вендоры пересматривают свою ценовую политику, а новые и новые риски безопасности не оставляют рядовым потребителям возможности оставаться на месте. Каждая крупная российская компания сейчас вынуждена оценивать новые риски, пересматривать устоявшиеся подходы ко внедрению новых решений и задумываться о замене уже приобретённых.

По прогнозам «Cloud», опубликованным в совместном исследовании с консалтинговой компанией «Технологии Доверия», ожидается, что к 2025 году более 130 тысяч российских компаний будут применять облачные технологии, а в течение текущего года более 37% организаций планируют увеличить расходы по данному направлению. Такие технологии пользуются популярностью среди самых разных предприятий, от монопольных корпораций до малого бизнеса. При этом мотив применения зачастую один – снижение издержек за счёт аутсорса непрофильных активов.

Существует несколько моделей применения облачных технологий: IaaS, PaaS, SaaS, а также локальные вариации. Их самая существенная особенность в разрезе ИБ – это обратное отношение уровня зависимости от поставщика уровню вовлечённости самой организации.

Когда компания использует стороннюю облачную инфраструктуру или даже целые сервисы для обеспечения работы основных бизнес-процессов, это влечёт за собой потерю контроля за надёжностью и безопасностью. Организация попадает в зависимость от поставщика и вынуждена мириться с риском отказа в обслуживании по политическим, экономическим или техническим причинам. Лучшим средством полного митигирования подобных рисков является возврат к локальной инфраструктуре. Если отказаться от подобных услуг нельзя, то единственным средством контроля вероятности внезапного отказа может быть только независимый внешний аудит, который, тем не менее, не повышает конечную надёжность поставщика.

Какие на данный момент существуют стратегии отказа от зарубежных облачных сервисов? Какие проблемы будут решены, а какие новые риски придётся учитывать? Об этом говорится в авторской колонке Федора Музалевского, директора технического департамента RTM Group.

Множество компаний пользуются услугами облачных провайдеров по аренде информационной инфраструктуры. Такой подход снимает с организации ответственность за развёртывание и обслуживание вычислительных мощностей, ускоряет масштабируемость и, зачастую, демонстрирует значительно более высокие показатели безотказности и восстановления после отказов.

Именно такой моделью облачных услуг чаще всего пользуются средние и крупные IT-компании, так часто в последнее время предпочитающие миграцию в облако собственной инфраструктуре. Уже функционирующие сервисы повторно разворачиваются на предоставленных мощностях – правильная реализация позволяет совершить полностью незаметный для пользователя переход. Главный недостаток этого решения (полная зависимость от поставщика) обуславливает сложность, длительность и, в то же время, необходимость его изменения. Внезапный уход зарубежного поставщика создаёт перед организацией масштабные проблемы, ведь перенос существующих данных и программной инфраструктуры в новый ЦОД с сохранением возможности непрерывного предоставления услуг – это длительный и трудоёмкий процесс, который требует чёткого планирования. Продление использования западных решений вполне способно привести к состоянию полного отказа в обслуживании.

Самый очевидный способ отказа от иностранного поставщика – переход к отечественному. После ухода Amazon Web Services, Google Cloud и Microsoft Azure, значительно увеличилось число клиентов Cloud (бывш. SberCloud) и Yandex Cloud. Безусловно, смена одной привязанности на другую не представляет полного решения вопроса, а возможности домашних провайдеров редко соответствуют лучшим мировым стандартам. Главное преимущество такого подхода – избавление от политических рисков при сохранении общей структуры технологии обработки данных.

Любое другое решение связано со взятием на собственные плечи той или иной доли ответственности. Несмотря на это, некоторые компании сочли необходимым переход на локальные сервисы. Использование on-premise подхода подразумевает закупку стороннего решения и его развёртывание в собственной инфраструктуре. Стоит отметить заметное рост безопасности и упрощение системы защиты по сравнению с облачным решением – все процессы предприятия выполняются внутри его сети, а данные не передаются для обработки вне стен организации.

Выбор стратегии in-house означает максимальное вовлечение организации-пользователя в процесс создания информационной системы. Это исключает риски, связанные с поставкой и сторонним сопровождением, превращая их в риски самостоятельной разработки, развёртывания и поддержания работоспособности, ответственность за управление которыми компания несёт единолично. Такая модель решения текущих проблем с иностранными поставщиками – выбор крупных организаций, зрелость внутренних процессов в которых позволяет нести самостоятельную ответственность за функционирование информационной инфраструктуры.

Собственная разработка и проектирование — это не только независимость от поставщиков, это возможность полного контроля продукта на всех этапах его жизненного цикла, позволяющая в максимально возможной степени удовлетворить существующие потребности бизнеса. Значительными препятствиями в реализации такого подхода будут стоимость содержания команды разработки, а также время, необходимое для разработки, первичного тестирования и ввода информационной системы в действие.

Значительная часть рынка облачных услуг приходится на модель SaaS, когда потребитель получает доступ только к конечному сервису и его настройке. Этот сегмент является самым популярным, причиной тому – и простота внедрения, и широкий спектр потребителей (по облачной модели распространяются системы самых разных классов, направленные на компании из разных отраслей). По этим причинам очень большое количество компаний находятся в процессе поиска альтернатив.

Множество малых организаций, которые не могут позволить себе штат IT или нуждаются в широкой доступности и кроссплатформенности решений, выбирают облачные реализации CRM, ERP и прочих решений для управления бизнес-процессами. Среди крупных компаний для решения различных задач пользовались большим спросом продукты Atlassian (Jira, Confluence, Trello), на данный момент уже недоступные.

Значительный риск, который несёт с собой SaaS, заключается в невозможности простой миграции на отечественные серверы. Российские поставщики могут предложить собственные решения, но они далеко не всегда совместимы с устоявшимися международными продуктами. Проблемы могут заключаться и в отсутствии необходимого для реализации бизнес-процессов функционала, и в невозможности оперативного переноса данных, и в сопротивлении пользователей, вынужденных обучаться работе с новым сервисом без отрыва от производства.

Некоторые предприятия, лишившиеся доступа к крупным зарубежным платформам, не планируют переходить на решения отечественных провайдеров, отдавая предпочтение реализации внутри собственной инфраструктуры. Распространённая дилемма – лицензионное решение от отечественного разработчика или свободно распространяемое ПО, поддерживаемое сообществом. Для малого и среднего бизнеса неоспоримым преимуществом российского вендора будет возможность получения поддержки от поставщика. Также стоит отметить, что субъективное отношение сотрудников регуляторных органов часто склоняется в пользу отечественного ПО, хотя это, конечно, не может быть полноценным доводом в сторону местных продуктов. Функционал такого обеспечения может уступать и зарубежным конкурентам, и некоторым Open Source проектам – чаще всего это связано с относительной молодостью компаний-разработчиков, поэтому такого ПО, в новых условиях, характерно ускоренное развитие.

Главным плюсом открытого ПО, безусловно, является возможность его бесплатного использования. Свободное обеспечение отлично поддаётся доработке и модификации, при наличии квалифицированных сотрудников и необходимости такой работы. Open Source определённо является вариантом, достойным рассмотрения, но стоит учесть, что помимо поддержки энтузиастов и собственных сил компании, нет ничего, на что можно было бы рассчитывать в обеспечении его надёжного функционирования. Как и в случае самостоятельной разработки, организация должна учитывать все возможные риски и планировать их решение самостоятельно.

Если ваша организация пользуется услугами иностранных поставщиков, полезно проанализировать текущее положение дел, задав себе следующие вопросы:

Конечно, ответы на эти вопросы в текущей ситуации изменяются каждый месяц, поэтому важно регулярно к ним возвращаться. Когда потери от перехода на одно из новых решений станут ниже, чем риск потери существующего поставщика – пора задуматься о переменах.

Одно известно наверняка – использование иностранных облачных сервисов на данный момент несёт угрозу надёжному функционированию любого предприятия, вне зависимости от его сферы деятельности. Важно заранее оценить зависимость от зарубежных поставщиков и задуматься, есть ли у вашей организации пути для оперативного решения проблемы, которая может оказаться реальной уже завтра.