close

Вход

Забыли?

вход по аккаунту

код для вставкиСкачать
Оптимизация государственных ИТ на
базе Республиканской платформы и
облачных технологий
Михаил Козлов
Консультант по развитию облачных вычислений
СОДЕРЖАНИЕ
1. Развитие государственной политики в области ИКТ и
рост роли облачных вычислений
2. Республиканская платформа (РП), действующая на базе
технологий облачных вычислений
3. Как РП решает задачи ИТ-руководителя
государственной организации
4. Приложения (экономика и безопасность)
1. Развитие государственной
политики в области ИКТ
Возрастающая роль облачных вычислений
Ситуация
Высокая стоимость внедрения государственных ИТ-систем
Снижение курса национальной валюты
Сокращение государственных ИТ бюджетов
Дорогое и медленное развитие государственных ИТ
Непредсказуемо меняющийся спрос на ИТ-ресурсы
Долгое внедрение новых ИТ-систем в традиционной модели
Соответствие требованиям регуляторов и обеспечение безопасности
Государству
требуется
больше ИТ-услуг
при меньшем
бюджете
Решение
Снижение стоимости ИТ-инфраструктуры
Уменьшение зависимости от импорта оборудования
Развитие при сокращении финансирования
Оптимизация развития государственных ИТ
Эластичная поддержка меняющегося спроса на ИТ-ресурсы
Обеспечение необходимой скорости внедрения новых ИТ-систем
Соответствие требованиям, рост надежности и безопасности
Консолидация
государственных
ИТ на базе
облачных
вычислений
УКАЗ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ
23 января 2014 г. N 46
ОБ ИСПОЛЬЗОВАНИИ ГОСУДАРСТВЕННЫМИ
ОРГАНАМИ И ИНЫМИ ГОСУДАРСТВЕННЫМИ
ОРГАНИЗАЦИЯМИ ТЕЛЕКОММУНИКАЦИОННЫХ
ТЕХНОЛОГИЙ (Извлечение)
“
В целях дальнейшего развития в Республике Беларусь информационного общества, совершенствования
инфраструктуры сети передачи данных, а также повышения уровня обслуживания и качества предоставляемых
информационных услуг ПОСТАНОВЛЯЮ:
1. Создать:
республиканскую платформу, действующую на основе технологий облачных вычислений (далее республиканская платформа), для размещения программно-технических средств, информационных ресурсов и
информационных систем государственных органов, иных государственных организаций, а также хозяйственных
обществ, в отношении которых Республика Беларусь либо административно-территориальная единица, обладая
акциями (долями в уставных фондах), может определять решения, принимаемые этими хозяйственными
обществами (далее - государственные органы и организации)…
Источник: etalonline.by/
Как это повлияет на руководителя ИТ
государственной организации?
Появятся следующие новые задачи
Поддерживать
работу ИС в
условиях
сокращения
финансирования
Удерживать,
развивать и
переобучать ИТкадры
Обеспечить
надежный
доступ к АИС в
РП и
соответствие
требованиям
безопасности
Задача №1. Поддерживать работу ИС в условиях
сокращения ИТ-бюджетов
При этом делать столько же или больше!
Ситуация
• Сокращение
финансирования приводит
к невозможности
строительства и/или
обновления ЦОД, АО и ПО
• При этом государственные
АИС должны работать и
развиваться
Решение с РП
• Рост вычислительных
мощностей привел к тому,
что уменьшается
потребность в дата-центрах
• Выгоднее переносить ИТинфраструктуру в РЦОД и
облачную РП
Строить или модернизировать основной и резервный дата-центры для
отдельных организаций дорого и может быть выгодно, только если у нее
используются тысячи серверов!
1x42U стойка = 1000 облачных серверов
(1 ядро CPU / 4 Гб RAM / 200 Гб СХД) *
Быстрее, дешевле и надежнее арендовать виртуальный
облачный ЦОД в РП!
* Пример реальной конфигурации в РП
Фото (cc) Marcel van der Hoek
Если у вас не десятки тысяч
серверов – нет смысла
развивать
ради 1-2 стоек
Задача №2: Удерживать, развивать и
переобучать ИТ-кадры
«Основной проблемой, названной большинством участников исследования, для ИКТ … является
хроническое отсутствие квалифицированных инженерных и других кадров при очень высоком
уровне зарплатных ожиданий»
• PwC, 2014
Облачные
вычисления
меняют
требования к
квалификации
сотрудников УИТ
Меньше задач в
ИТинфраструктуре и
больше в
прикладных АИС
Потребуется
переобучение и
развитие
сотрудников на
основе лучших
практик и обмена
опытом
Задача №3. Перейти на закупки облачной ИТинфраструктуры
ИТ-мощности в традиционной модели всегда в избытке или дефиците
ИТ мощности
Закупка нового оборудования:
недели и месяцы
Дефицит
Предложение
ресурсов
Избыток
Время
Спрос на ИТресурсы
Республиканская платформа
Предложение всегда равно спросу
Возможность глобального масштабирования
за часы и минуты
ИТ мощности
Управление ИТ
государственной организации
Предложение ИТ-ресурсов ~
спросу
Время
Цель beCloud
beCloud является оператором РП и
предлагает руководителям ИТ
государственных предприятий РБ
решение этих и других задач во
исполнение Указа Президента
2. Республиканская платформа
Нормативная база
Действующее законодательство
Закон Республики Беларусь от 10 ноября 2008 года «Об информации, информатизации и
защите информации»
УКАЗ ПРЕЗИДЕНТА РЕСПУБЛИКИ БЕЛАРУСЬ от 23 января 2014 г. N 46 «Об использовании
государственными органами и иными государственными организациями
телекоммуникационных технологий»
Указ Президента Республики Беларусь от 16 апреля 2013 г. № 196 «О некоторых мерах по
совершенствованию защиты информации»
Указ Президента Республики Беларусь от 25 октября 2011 г. № 486 «О некоторых мерах по
обеспечению безопасности критически важных объектов информатизации»
Указ Президента Республики Беларусь от 8 ноября 2011 г. № 515 «О некоторых вопросах
развития информационного общества в Республике Беларусь»
ПРИКАЗ ОПЕРАТИВНО-АНАЛИТИЧЕСКОГО ЦЕНТРА ПРИ ПРЕЗИДЕНТЕ РЕСПУБЛИКИ БЕЛАРУСЬ
от 30 августа 2013 г. № 62: «О некоторых вопросах технической и криптографической защиты
информации» (в редакции Приказа ОАЦ от 16.01.2015 N3)
Нормативная база
Некоторые ГОСТ и СТБ
ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая.
Алгоритм криптографического преобразования»
СТБ П 34.101.43-2009 «Информационные технологии. Методы и средства
безопасности. Профиль защиты технических и программно-аппаратных средств
криптографической защиты информации»
Ш2 СТБ 34.101.31-2011 «Информационные технологии. Защита информации.
Криптографические алгоритмы шифрования и контроля целостности»
СТБ 34.101.27-2011 «Информационные технологии и безопасность. Требования
безопасности к программным средствам криптографической защиты информации»
СТБ П 34.101.50-2012 «Информационные технологии и безопасность. Правила
регистрации объектов информационных технологий»
Оперативно-аналитический центр (ОАЦ) при
Президенте Республики Беларусь
Функции ОАЦ
• Действует в соответствии с Указом
Президента Республики Беларусь N515 "О
некоторых вопросах развития
информационного общества в Республике
Беларусь" от 8 ноября 2011 года
• В качестве "независимого регулятора" ИКТсферы в РБ
ОАЦ фокусируется на:
• Обеспечении успешной работы единой
республиканской сети передачи данных
(ЕРСПД) и рынка информационнокоммуникационных технологий (ИКТ) в
сфере передачи данных
• Содействует привлечению инвестиций в
сферу ИКТ и развитию рынка услуг
электросвязи в части оказания услуг
передачи данных и телефонии по IPпротоколу
• Осуществляет мониторинг рынка услуг
передачи данных и анализ его состояния
• Принимает решения, обязательные к
исполнению операторами электросвязи и
иными участниками рынка услуг передачи
данных
Планируемые цели и результаты перехода на РП
Сокращение затрат и повышение эффективности ИТ
Для государства:
Для организаций:
• Сокращение финансирования на 20-30% с
повышением качества сервиса
• Все гос. информационные системы в РЦОДе
аттестованы и соответствуют требованиям зак-ва
(безопасность и пр.)
• Возможность легализации 100% ПО
• Практическая возможность сокращения затрат на
ИТ на 20-30% с улучшением качества ИТ
• Доступ к экспертной группе по большинству
задач в сфере ИТ, решение проблемы с
отсутствием/дороговизной ИТ-персонала
• Упрощение работы и сокращение
ответственности при реализации ИТ-проектов
(закупки, безопасность, соответствие зак-ву и пр.)
Целевое состояние проекта
Вся серверная
инфраструктура
государственны
х организаций
находится в
ЦОД РП –
серверы, СХД,
сетевое
оборудование…
Все рабочие
станции на
обслуживании и
поддержке в РП
Государственные
организации РБ
передают на
полный
аутсорсинг
обслуживание
всей своей ИТ
инфраструктуры
в РП
Обучение,
сертификация
персонала
предприятий
силами beCloud
Определение облачных вычислений
Источник: http://library.timelesstruths.org/
5 характеристик (А), 3 модели (Б), 4 способа
реализации (В) облачной модели
Самообслуживание /
каталог ИТ-услуг
Доступ через сеть с
разных устройств
Мгновенная
эластичность
Измеримость ИТ-услуг
Многопользовательский (multitenant) общий пул ресурсов
SaaS
• Software as a Service
• «Аренда»
Частное
PaaS
IaaS
• Platform as a Service
• «Разработка»
Коммунальное
• Infrastructure as a Service
• «Эксплуатация»
Гибридное
Публичное
Виртуальное частное облако
Почта, бухгалтерия, ERP,
CRM, документооборот,
серверы, данные, файлы…
Частное облако
государственной
организации
Размещенное
в публичном
облаке РП
ПК, рабочие
места…
Объединяет
преимущества частного и
публичного облака:
• безопасность
• эластичность и
масштабируемость
Среда исполнения
Среда
исполнения
Среда
исполнения
СУБД
СУБД
Безопасность
Безопасность
Виртуализация
Хранение данных
Серверы
Сети
ЦОД
ОС
Виртуализация
Хранение данных
Серверы
Сети
ЦОД
Безопасность
SLA для IaaS (управляет beCloud)
ОС
СУБД
ОС
Виртуализация
Хранение данных
Серверы
Сети
ЦОД
SaaS
Приложения
Приложения
Среда
исполнения
Среда
исполнения
СУБД
Безопасность
ОС
Виртуализация
Хранение данных
Серверы
ПК, рабочие
места…
СУБД
Безопасность
Настройка
(УИТ/Поставщик)
Приложения
PaaS
SLA для SaaS (управляет beCloud)
Приложения
УИТ
Приложения
Почта, бухгалтерия, ERP,
CRM, документооборот,
серверы, данные, файлы…
SLA для PaaS (управляет beCloud)
IaaS
УИТ
Co-location
УИТ
«Старые ИТ»
SLA для ЦОД(beCloud)
Обычно нет SLA
Управляет УИТ*
Отличия облачных моделей РП и
разграничение ответственности
ОС
Виртуализация
Хранение данных
Серверы
Сети
Сети
ЦОД
ЦОД
* – управление информационных технологий
Республиканская платформа как следующий
этап эволюции государственных дата-центров
Эффект 1
Эффект 2
Эффект 3
Эффект 4
Серверная
комната
Дата-центр +
виртуализация
Частное
облако
Республиканская
платформа
Гибридное
облако
КПД ~5%*
Собственный или
арендованный ЦОД
В собственном
динамическом датацентре +
Виртуальное частное
облако на
арендованных у
государства ИТмощностях, эластично
изменяемых по
требованию
(утилизация 50-100%)
Совместное
использование частных,
виртуальных частных и
публичных облаков в
зависимости от
решаемых задач
Высокое энергопотребление
Утилизация ИТресурсов ~50% за счет
виртуализации
Каталог услуг
Самообслуживание
Управление
стоимостью ИТ-услуг
Рост отдачи от ИТ для государства
На каких задачах может сосредоточится УИТ государственной
организации, использующей Республиканскую платформу?
ИТ-стратегия
•
•
Разработка стратегии
развития ИТ
государственного
органа
Возможность быстрой
проверки идей и их
тестирования на
облачных ресурсах
РП
ИТ-услуги
•
•
•
Формирование
каталога облачных
ИТ-услуг
Меньше внимание
ИТ-инфраструктуре и
ее надежности
Больше внимания
прикладным задачам
и развитию
Качество
•
•
Разработка
соглашений об
уровне
предоставляемых ИТуслуг (SLA)
Повышение качества
поддержки
важнейших
государственных
программ и
процессов
Мировой опыт: консолидация
государственных ЦОД в США
Федеральный план США «25-пунктов» включая стратегию “Cloud-First” (Dec 9, 2010)
ЧАСТЬ I: ОПЕРАЦИОННАЯ
ЭФФЕКТИВНОСТЬ
A. Применение «легких» технологий и
общих коммунальных ИТ-решений
1. Консолидировать по меньшей мере
800 государственных дата-центров
к 2015
2. Создать рынок мощностей,
доступных в гос. дата-центрах
3. Перейти к политике «вначале в
облаке»
4. Подготовить договорную основу
для безопасных IaaS решений
5. Подготовить договорную основу
для стандартных ИТ-услуг
6. Разработать стратегию перехода к
общим коммунальным ИТ-услугам
Федеральная облачная стратегия США опубликована 8 февраля 2011
Источник: Richard L. Klobuchar
Стратегия «вначале в облаке» (Cloud First) – 3 основных правила:
Использовать коммерческие облака где применимо
Внедрить государственные частные облака
Использовать региональные облака для федерального и местных
правительств
Опубликовать облачную стратегию
Федеральный CIO опубликует стратегию для ускорения перехода
NIST обеспечит разработку стандартов
Быстрые переход в облака
…определить 3 обязательные для перехода ИТ-услуги и
подготовить проектный план для переноса каждой из них в
облако и отказа от унаследованных систем. 1 из 3 ИТ-услуг
должна быть перенесена в облако за 12 месяцев, остальные за
18.
Мировой опыт: облачные вычисления для
государственных организаций
G-Cloud
(Великобритания)
• Консолидация ЦОД
• Гибридная облачная
модель
• Магазин приложений
для государственных
организаций
• Экономия до £500М в
год (консолидация,
ускорение внедрений
и закупок)
Kasumigaseki Cloud
(Япония)
• Консолидированная
общая облачная ИТинфраструктура
• Гибридная облачная
модель
G-Cloud (Южная Корея)
• Перенос 17
критических
государственных
приложений
• Цель – снижение ИТзатрат государства
3. Как республиканская платформа (РП)
решает задачи руководителя ИТ
государственной организации
Расширяем границы ваших возможностей….
Каталог облачных услуг РП (услуги аренды с
возможностью ежемесячной оплаты)
Дата-центр (ЦОД) как
услуга (Datа Center as a
Service)
• Облачный дата центр
• Аренда серверных
шкафов для
размещения
оборудования
• Аренда отсеков
(юнитов)
Инфраструктура как
услуга (Infrastructure as a
Service)
• Облачный сервер
• Облачная СХД
• Резервное копирование
и восстановление для
серверов и рабочих
станций
• Рабочая станция как
услуга (Desktop as a
Service), в планах
Программное
обеспечение как услуга
(Software as a Service)
• Электронная почта
• Объединенные
коммуникации
• ERP/CRM
• Документооборот
• Облачное хранилище
файлов и средства
работы с документами
• Лицензии на облачное
ПО
РП ускоряет внедрение государственных
ИТ-проектов и АИС
Единственный уполномоченный оператор облачных услуг
Традиционные ИТ
• Тендер по полной процедуре
• Согласование и утверждение
спецификаций по типовым
конфигурациям железа
• Заключение договоров, заказ и
ожидание поставки
• Месяцы
• ТОИР, списания…
В РП
• Закупка из одного источника
• Любые конфигурации облачного
железа по требованию
• Скорость подключения до 120
минут с момента размещения
заявки
• Время создания частной ИТинфраструктуры: минуты
Методика обеспечения ИБ в РП
Общие принципы
1. В процессе подготовки переноса ИТ в РП проводится комплексный
аудит ИТ и ИБ с соблюдением всех мер по обеспечению
конфиденциальности
2. Если по итогам аудита делается вывод об отсутствии СЗИ, то они
создаются, исходя из требований РП
3. Если СЗИ существуют в достаточном объеме, то происходит
интеграция на основе требований РП
Разделение ответственности для SaaS
Общие принципы. Могут меняться в зависимости от требований проекта
Заказчик
•
•
•
•
Соответствие требованиям
законодательства о защите данных и
информации
Обслуживание системы управления
доступом пользователей
Управление системой управления
доступом
Управление платформой
аутентификации (включая политики
паролей и сертификатов)
beCloud
•
•
•
•
•
•
•
Физическая инфраструктура ЦОД
(здания, стойки, питание,
охлаждение, проводка…)
Физическая и/или виртуальная ИТинфраструктура (серверы, СХД, сети…)
Обновления ОС
Конфигурация средств ИБ (правила
МСЭ, настройка IDS/IPS, правила
фильтрации…)
Мониторинг ИТ-систем и средств ИБ
Обслуживание средств ИБ
Сбор и хранение логов
Разделение ответственности для IaaS
Общие принципы. Могут меняться в зависимости от требований проекта
Заказчик
•
•
•
•
•
•
•
•
Обслуживание системы управления
доступом пользователей
Управление системой управления
доступом
Управление платформой
аутентификации (включая политики
паролей и сертификатов)
Обновления ОС
Конфигурация средств ИБ (правила МСЭ,
настройка IDS/IPS, правила
фильтрации…)
Мониторинг систем и средств ИБ
Обслуживание средств ИБ
Сбор и хранение логов
beCloud
•
•
•
Физическая инфраструктура ЦОД
(здания, стойки, питание, охлаждение,
проводка…)
Физическая ИТ-инфраструктура
(серверы, СХД, сети…)
Платформа виртуализации (гипервизор,
виртуальный МСЭ, средства
управления…)
Экономический эффект для государства
Сравнение стоимости владения ИТ-инфраструктурой средней компании (100
сотрудников, 23 сервера) за 5 лет при трех вариантах ее реализации.
Экономия
$277 500
за 5 лет в
виртуальном
частном
облаке для 1
организации
Спасибо за внимание!
СООО «Белорусские
облачные технологии»
Ул. К. Маркса, 29, пом. 2
220030, г. Минск
Республика Беларусь
E-mail: [email protected]
www.becloud.by
Приложение 1. Пример снижения затрат при
переносе ИТ-инфраструктуры средней
организации в РБ на облачную платформу
Облачные вычисления в масштабе государства дают значительный
экономический эффект
ИТ-инфраструктура средней организации
Проектно-ориентированная
организация
• 150 сотрудников (пользователи ИТсистем)
Основные ИТ-приложения:
• средства поддержки групповой работы
• система управления проектной
деятельностью
• офисные системы (ERP, бухгалтерия,
кадры, документоборот)
ИТ-услуги, ресурсы и операционные среды
ИТ-системы
ИТ-приложения
Система управления проектной деятельностью
Корпоративный портал (поддержка групповой работы)
Клиентский портал (средство взаимодействия с Заказчиками в рамках проектной деятельности)
Электронная почта
Файловое хранилище и служба печати
Безопасный доступ к ресурсам Интернет
Офисные приложения
Автоматизация операционной деятельности
Справочник по законодательной базе
Управленческий учет и бизнес-аналитика
ИТ-инфраструктура
Служба каталогов и служба разрешения имен согласно референтной модели MS
Служба управления правами доступа
Центр администрирования информационной системы
Система резервного копирования и восстановления
Разделяемые операционные среды
СУБД
ИТ-ресурсы, системное и прикладное ПО, АО
4 CPU cores 4 GB RAM 30GB HDD (Project Server)
4 CPU cores 8 GB RAM 30GB HDD (SharePoint)
4 CPU cores 4 GB RAM 80GB HDD (SharePoint)
4 CPU cores 6 GB RAM 240GB HDD (Exchange Mailbox)
4 CPU cores 2 GB RAM 20GB HDD (Exchange Edge)
2 CPU cores 1 GB RAM 210GB HDD (Windows Server)
2 CPU cores 2 GB RAM 20GB HDD (ISA)
2 CPU cores 4 GB RAM 60GB HDD (TMG)
1 CPU cores 2 GB RAM 30GB HDD (1C)
1 CPU cores 2 GB RAM 30GB HDD (ЭБДПИ)
4 CPU cores 4 GB RAM 60GB HDD (SQL)
4 x 1 CPU cores 1 GB RAM 40GB HDD (Windows Server)
2 CPU cores 1 GB RAM 30GB HDD (Certificate Authority)
2 CPU cores 2 GB RAM 30GB HDD (RMS)
8 CPU cores 8 GB RAM 40GB HDD (SCSM)
8 CPU cores 4 GB RAM 40GB HDD (SCOM)
4 CPU cores 4 GB RAM 120GB HDD (WSUS)
2 CPU cores 2 GB RAM 140GB HDD (MMC-1)
4 CPU cores 2 GB RAM 60GB HDD (MMC-2)
4 CPU cores 8 GB RAM 3500GB HDD (Backup Exec)
4 CPU cores 8 GB RAM 700GB HDD (SQL)
2 CPU cores 2 GB RAM 40GB HDD (SQL)
8 CPU cores 12 GB RAM 170GB HDD (SQL)
Потребность в ИТ-ресурсах
«Чистая» (без учета резервирования оборудования)
потребность в ИТ-ресурсах:
•
•
•
•
•
23 операционные среды (логические серверы)
84 процессорных ядра
96 GB оперативной памяти
2 340 GB оперативного, и
3 500 GB массового дискового пространства
Варианты реализации целевой ИТинфраструктуры
"Классическая" ИТинфраструктура. Размещение
на физических серверах с
учетом резервов
• Потребуется ~22 сервера (8 x
2 CPU* и 14 x 1 CPU)
• Сетевое оборудование для
серверного сегмента LAN
• Оборудование серверного
помещения (2 серверных
шкафа, ИБП и кондиционер),
на ~15КВт
Виртуальная инфраструктура.
Виртуальные серверы с
учетом обеспечения
отказоустойчивости
• 4 x 2CPU сервера
• дисковый массив с дисками
SAS и NL-SAS
• лицензии на ПО
виртуализации
• сетевое оборудование
LAN/SAN.
• Оборудование серверного
помещения (1 серверный
шкаф, ИБП и кондиционер),
на ~5КВт.
На облачной платформе
• Потребуется
• ~100 GHz-G3 vCPU
• ~100GB vRAM
• 2.5TB vHDD и 3.5TB vStorage
(файловые ресурсы)
• Приобретение оборудования
и ПО, а также оснащение
серверной комнаты не
требуется
Сравнение стоимости для различных моделей
построения ИТ-инфраструктуры
Статья расходов
CAPEX: серверное оборудование и СХД
CAPEX: оборудование LAN/SAN
CAPEX: оснащение серверной комнаты
CAPEX: лицензии на ПО виртуализации
OPEX: сервисное сопровождение АО
OPEX: сервисное сопровождение инженерного
оборудования серверной комнаты (ИБП, конд.)
OPEX: подписка на поддержку ПО виртуализации
OPEX: обслуживание и администрирование
оборудования и виртуальной инфраструктуры (1
ИТ-специалист, з/п + налоги на ФОТ)
OPEX: оплата электроэнергии (с учетом PUE
серверной комнаты)
OPEX: транспорт к виртуальному ЦОД
(выделенный канал 1Gb)
OPEX: арендные платежи
Всего за 5 лет
Классическая
инфраструктура
Виртуальная
инфраструктура
Виртуальное частное
облако
$80K
$10K
$50K
$1K/год
$4K/год
$60K
$20K
$30K
$30K
$1K/год
$2K/год
-
$24K/год
$6K/год
$24K/год
-
$27K/год
$9K/год
$400/месяц
$3 745/месяц
$510K
$430K
$232K
Снижение затрат на 46% в виртуальном частном облаке РП
Сравнение стоимости владения ИТ-инфраструктурой средней компании (100
сотрудников, 23 сервера) за 5 лет при трех вариантах ее реализации.
Экономия
$277 500
за 5 лет в
виртуальном
облаке
Косвенные выгоды для виртуального частного
облака
Характеристика
Уровень доступности ИТ-сервисов
(отказоустойчивость)
Адаптивность при изменении
прикладного ландшафта
Адаптивность к пиковым нагрузкам
(перераспределение ресурсов "на
лету")
Эластичность (быстрое
масштабирование "вверх" и "вниз")
Величина невосполнимых потерь
(неликвидные активы) в случае отказа
от проекта
Финансовая ответственность за
нарушение SLA
Классическая
инфраструктура
Виртуальная
инфраструктура /
частное облако
Виртуальное
частное облако РП
низкая
высокая
высокая
низкая
высокая
высокая
низкая
высокая
высокая
низкая
низкая
высокая
высокая
высокая
нулевая
нет
нет
да
Приложение 2. Обеспечение
безопасности в республиканской
платформы
Ключевые риски* при использовании облаков
(мировой опыт)
Все они присутствуют и в «классических ИТ»
Потеря управляемости ИТ-инфраструктуры и приложений
Привязка к поставщику
Потеря изоляции среды
Компрометация интерфейсов управления
Защита данных
Неполное удаление данных поставщиком
Зловредный инсайдер
Завышенные ожидания от ИБ поставщика
Разрывы в цепи доступности услуг (единые точки отказа)
*) По данным «Cloud Computing Benefits, risks and recommendations for
information security, Rev B», ENISA, декабрь 2012
Риски специфические для облачных вычислений
В сравнении с «классическими ИТ»
2 из 23 рассматриваемых по методике ENISA* риска характерны для
beCloud и не характерны для собственной инфраструктуры заказчика:
Конфликт политик ИБ заказчика и beCloud (решается
организационными мерами как описано далее)
Компрометация платформы beCloud (меры по противодействию
описаны далее)
*) По данным «Cloud Computing Benefits, risks and recommendations for
information security, Rev B», ENISA, декабрь 2012
Частые вопросы
Кто имеет доступ к оборудованию, на котором развернута РП?
• Выделенная группа системных администраторов
Каковы права администраторов?
• Полные в рамках системы управления РП в целом. В рамках
виртуальных серверов или ресурсных пулов клиентов
(арендаторов) администраторы beCloud не имеют никаких прав.
• Такой доступ может быть передан администратору beCloud по
договору в рамках расширенной технической поддержки.
Кто контролирует администраторов?
• Контроль над действиями системных администраторов beCloud
осуществляют Технический директор и служба безопасности
Частые вопросы (2)
Делаются ли резервные копии?
• Резервные копии конфигурации среды виртуализации и БД
управляющих серверов делаются регулярно (1 раз в час).
Резервные копии клиентских виртуальных серверов и данных
делаются клиентами самостоятельно.
Кто имеет доступ к резервным копиям?
• К системным копиям конфигураций системы виртуализации и БД
управляющих серверов имеют доступ администраторы beCloud
• К клиентским резервным копиям доступ имеют – клиенты и
администраторы beCloud в рамках соответствующего договора о
технической поддержке
Частые вопросы (3)
Если по каким-либо причинам действие договора с beCloud прекращено
– что произойдет с данными клиента?
• Если действие договора прекращено, то все данные клиента удаляются
полностью и безвозвратно. В случае, если клиент, без расторжения
контракта, перестал оплачивать услуги beCloud, его аккаунт
блокируется. Через 30 дней, в случае отсутствия средств на счете,
аккаунт вместе со всеми данными удаляется.
Как выстроена изоляция арендаторов при множественной аренде?
• Изоляция арендаторов реализована на базе функционала KVM /
CloudStack и VMware vSphere/vCloud Director.
Кто выдает права администратора арендатора?
• Права администратора арендатора выдаются автоматически при
создании учетной записи клиента.
Частые вопросы (4)
Кто следит за правами администратора арендатора?
• Сами клиенты (арендаторы)
Каковы политики контроля администраторов арендатора?
• Политики контроля действий администраторов арендатора
определяются внутренними регламентами арендатора.
Как контролируется и удостоверяется личность администратора
арендатора?
• Авторизация производится по имени и паролю.
• Возможна двухфакторная авторизация
• Есть возможность ограничить диапазон IP-адресов, с которых
разрешена авторизация.
Выводы по информационной безопасности
При переносе ИТ государственных организаций в РП (beCloud) появляется 2
новых важных риска в дополнение к уже существующим (21 из 23) в
классических ИТ
Меры по противодействию этим рискам хорошо известны и учтены при
проектировании облачной платформы beCloud
Существенное снижение ИТ-затрат при переходе в beCloud позволяет
значительно увеличить финансирование комплекса мер по обеспечению
безопасности для каждой организации-заказчика
1/--страниц
Пожаловаться на содержимое документа