Для посещения конференции по облачным вычислениям Cloud Slam 2009 (cloudslam09.com) не было необходимости садиться в самолет, но «подняться» в облака участникам все же пришлось – конференция была виртуальной. «Принимая такое решение, мы учитывали непростую экономическую ситуацию, – отметил председатель Cloud Slam 2009 Хазрет Сапенов (Khazret Sapenov). – Однако облачный формат вполне естествен для тематики конференции». Среди выступавших и участников этого мероприятия были специалисты из Америки, Австралии, Африки, Европы, России, Тайваня и других стран. Большая часть материалов конференции была посвящена анализу текущего состояния облачных технологий, но в облаках также витал и вопрос о будущем этого направления развития ИТ.
Каждому предприятию – по облаку
Самый реалистичный прогноз ближайшего будущего cloud computing – это дальнейшее развитие внутренних или частных облаков. Как показывает практика, корпоративные клиенты пока еще не готовы передать информацию предприятия за пределы собственных стен. Сегодня многие руководители рассматривают такой шаг как непродуманный прыжок в неизведанное. Однако преимущества облачных вычислений могут быть использованы и в рамках одной отдельно взятой организации, поэтому и возникает переходное компромиссное решение, в которое уже давно начали вносить свой вклад провайдеры средств виртуализации: Citrix, HP и VMware.
Внутренние облака приходят к корпоративным потребителям в виде решений по требованию. Это, например, отличный способ аутсорсинга ИТ-инфраструктуры, ведь за стенами предприятий уже давно имеется огромное количество готовых приложений, что является реальным потенциалом для уменьшения затрат на ИТ. Только за счет аутсорсинга облака позволяют уменьшить затраты на разработку по крайней мере в 2-3 раза. Кроме того, капитальные затраты (CapEX) при этом превращаются в оперативные (OpEX), а в США, в отличие от России, это означает существенные преимущества при налогообложении. Не надо забывать еще и о том, что пользователи не хотят знать, как внутри устроено ИТ-хозяйство, им важен результат – надежное день за днем обеспечение их работы в соответствии с бизнес-процессами предприятия. Если те же самые функции могут быть воплощены с помощью облачных вычислений, причем это обойдется дешевле, то почему бы и нет?
Практичность ли всему виной или сегодня мы имеем дело с тем, что уже стало реальностью, но факт остается фактом – если руководитель еще не согласен подняться в облака, то они сами спускаются к нему офис. Участники и организаторы конференции Cloud Slam 2009 пришли выводу от том, что свои внутренние облачные структуры будут неминуемо вновь и вновь появляться на предприятиях.
Каждому президенту – по облаку
Еще одно перспективное направление, которое сегодня начинает набирать силу во всем мире, – это применение облаков в государственных организациях. Поддержка традиционных ИТ-структур, развернутых в правительственных учреждениях, все дороже обходится налогоплательщикам. Прекрасным примером может послужить налоговая служба США (IRS) или любое другое ведомство, заведующее налогообложением. Такие службы на полную мощность используют свои ресурсы только в течение налогового сезона – всего лишь 2-3 месяца в году, но государству приходится содержать и обслуживать всю ИТ-инфраструктуру круглый год. Облака в этом случае позволили бы эксплуатировать необходимые мощности только в течение необходимого периода, а в остальное время структура могла бы передаваться для решения других задач других ведомств или компаний. Как оказалось, такое простое решение сулит 70% экономии бюджетных средств.
Облако, работающее на государственные организации, может быть внешним и защищенным от доступа извне, или внутренним. Но, несмотря на яркие примеры использования вычислений в облаках, убедить руководителя организации сменить технологию пока непросто. Не секрет, что правительства всех стран очень консервативны, в их кабинетах редко что изменяется, и служащие из года в год работают по накатанному пути, не желая корректировать устоявшийся уклад. Тем не менее медленно, но верно, правительственные структуры начинают создавать отдельные службы на основе облачных вычислений с первоначальной поддержкой, предоставляемой различными консалтинговыми компаниями, такими, например, как Cloudcor, разрабатывающими стратегию перехода к облачным вычислениям.
В рамках проекта под руководством главного ИТ-директора американского Белого дома Вивека Кундры предполагается создать единую «федеральную» облачную структуру, обеспечивающую обмен данными между федеральными ведомствами, правительствами штатов и местными властями, что, без сомнений, повысит эффективность работы всей структуры. По мнению Кундры, единое облачное пространство позволит сократить расходы на государственные ИТ-службы и исключит ситуацию, когда ведомства дублируют разработку одинаковых локальных приложений. Попутно облачная структура решает также задачи межведомственной стандартизации – все участники процесса имеют доступ к одним и тем же данным и пользуются одними и теми же средствами. Несмотря на то что защите данных в такой структуре будет уделяться особое внимание, ИТ- директор Белого дома предполагает особенно осторожно относиться к конфиденциальным данным на федеральном уровне и комбинировать федеральные (глобальные) облака с ведомственными, которые в этом случае будут являться внутренними для этого ведомства. Разнообразные государственные службы США двигаются в этом же направлении, и сегодня руководители многих отделов уже запрашивают квоты от провайдеров облачных вычислений, хотя в большинстве случаев пока еще не предусматривается финансовых обязательств – происходит сбор информации.
Интересно, что японские разработки в этой области сегодня намного опережают проекты государственных структур США – японское правительство использует приватную облачную структуру, названную Kasumigaseki Cloud, которая является частью национального проекта «Создание цифровой Японии» (Digital Japan Creation Project). Такая инфраструктура внедряется поэтапно согласно плану, рассчитанному до 2015 года. Цель проекта – объединить все правительственные ИТ-системы в одно целое, сократив затраты и повысив эффективность работы правительства. Разные министерства Японии будут использовать одно и то же оборудование для хранения данных и для решения задач на основе одних и тех же приложений. Любопытно, что японцы уже сегодня ставят задачу перехода к электронному документообороту на государственном уровне с целью вскоре полностью отказаться от бумажного делопроизводства. Такая инициатива позволит не только сократить расходы на бумагу, чернила и принтеры, но и продемонстрировать экологическую позицию на уровне государства, а главное – унифицировать данные, предназначенные для правительственного и для публичного доступа. Кстати, одной из ключевых целей всего проекта является создание спроса на новые технологии внутри страны, что будет способствовать повышению ее конкурентоспособности на международной арене. Например, в течение ближайших трех лет только в правительственном секторе планируется создать 300-400 тыс. новых рабочих мест для профессионалов в области высоких технологий.
Каждому – по железной двери?
Одна из основных причин медлительности корпоративных клиентов при переходе к вычислениям в облаках – сомнения в том, что можно обеспечить такой же уровень защиты, как и в случае традиционной ИТ-структуры. В облаках нет ни службы безопасности, ни железных дверей, поэтому руководители не готовы выпустить из своих рук инфраструктуру. Такой переход невозможно себе позволить до тех пор, пока он не будет восприниматься как безопасный. К тому же облака сегодня не всегда соответствуют действующему законодательству, которое обязывает обеспечить необходимую информацию в определенном формате. Например, американские предприятия, осуществляющие операции с недвижимостью, не имеют права хранить данные о своих клиентах у третьих юридических или физических лиц. Другой пример – закон о последствиях стихийного бедствия, согласно которому план по восстановлению деятельности предприятия должен находиться внутри его стен. Это является своеобразной страховкой на случай, если провайдер, у которого хранился бы такой документ, становится недоступен или вовсе разоряется. Однако данный закон не отражает обстоятельств, когда что-то происходит с помещением самой компании, как это случилось со многими офисами 11 сентября 2001 года. Тем не менее провайдеры услуг вычислений в облаках помогают подстраховаться и на этот случай, предлагая хранение архивов с документацией организаций на своей территории. Существует множество и других вопросов, по которым корпоративные заказчики будут требовать от провайдеров облачных вычислений соответствия определенным стандартам. Шаг за шагом разработчики в США уже двигаются в направлении удовлетворения как законодательных требований, так и требований клиентов по защите.
Например, предоставляя хостинг высокопроизводительных вычислений в нише «Инфраструктура как сервис», компания-прoвайдер HostLabs отдельно оговаривает вопросы, связанные с отчетностью. Клиентам предоставляется возможность архивирования облачных данных раз в неделю или ежедневно, а архивы HostLabs хранятся отдельно от основного ЦОД, что позволяет подстраховаться на случай непредвиденных обстоятельств. Кроме того, клиент может хранить архивы и в стенах своей организации. Такое положение соответствует не только закону о восстановлении данных компании после стихийного бедствия, но и закону о защите персональной информации, связанной со здоровьем (Health Insurance Portability and Accountability Act, HIPAA).
Каждом уровню – по замку
Деннис Мореа, технический директор компании Configuresoft, считает, что вместе с облаками и повторным использованием ресурсов мы сталкиваемся с новыми требованиями в отношении безопасности и соответствия законодательству. Несмотря на многочисленные преимущества, вычисления в облаках привносят новые, ранее не существовавшие проблемы защиты и идентификации. Появляются задачи соответствия обобщенного облачного пространства конкретной корпоративной политике и законодательству.
Инфраструктура облаков представляет собой сбалансированную систему, работающую на основе изолированных единиц оборудования, формирующих пул многократно используемых одних и тех же ресурсов, объединенный с помощью постоянно обновляющейся технологии виртуализации. Изоляция влечет за собой ограничение доступа к настройкам защиты каждого из уровней этой структуры, и если в традиционной вычислительной среде необходимо привести в соответствие лишь конфигурации самого приложения и операционной системы, то облако вводит в игру настройки таких уровней, как сервер приложения, гостевая ОС, виртуальная машина, виртуальный жесткий диск и виртуальное хранилище данных. Все они должны соответствовать друг другу. Если правила защиты не совпадают, то возможны ситуации, когда пользователь, работая с одним объектом данных, соответствующим его уровню доступа, опосредованно через этот объект может получить доступ к чужим данным. Это может произойти, когда, например, агент или программа, а не сам пользователь запрашивает данные более высокого доступа. Каждый уровень облака по-своему уязвим и имеет свои требования к защите и исправлению связанных с ней проблем, что выдвигает новые требования как к уровню защиты, так и к необходимости доступа к настройкам.
При вычислениях в облаках становится необходимо более детально отслеживать возможные слабые места в защите, да и контроль за ней становится более сложным, чем в традиционной вычислительной среде. Например, Amazon EC2 добавляет немало специфических рекомендаций к установкам защиты, которые появляются только при работе со средой вычислительных облаков, в частности такие:
-
на уровне ОС хостинга администратор должен иметь возможность доступа к операционной системе сервера;
-
на уровне гостевой ОС операционная система виртуальной машины находится под полным контролем пользователя, однако, чтобы получать доступ к непривилегированным ресурсам, пользователь должен выключить идентификацию на основе пароля и вместо этого использовать электронные сертификаты;
-
на уровне межсетевого экрана входящий трафик запрещен по умолчанию, и пользователь должен сам открыть необходимые ему порты, причем трафик может быть ограничен по протоколу, порту сервиса или по IP-адресу (возможно, например, введение доступа к порту только из корпоративной сети, и здесь рекомендуется использовать двух разных администраторов: для хоста и облака в целом, чтобы работало правило защиты «двух человек», когда ключ находится у одного, а чемоданчик – у другого);
-
на уровне API рекомендуется использовать только защищенные SSL API звонки.
Каждый сервер – в учетную базу данных
Неудивительно, что в облаках работа по конфигурации и установке соответствия взаимных настроек увеличивается, и если администратор что-то изменяет, то необходимо проверить, что несет это изменение для других настроек и, что еще важнее, не открывает ли оно брешь в другом месте. Часто это равносильно тому, что при изменении необходимо практически повторить всю работу по конфигурации еще раз. Сегодня существует огромное количество руководств по конфигурациям, что еще раз доказывает – не все так просто. Поэтому на рынке появляются продукты, помогающие решить эту сложную задачу. В качестве иллюстрации можно назвать разработанный компанией Configuresoft менеджер конфигураций ECM (Enterprise Configuration Manager). Этот продукт собирает воедино десятки тысяч настроек оборудования, защиты и конфигураций для Windows, Unix, Linux и Mac OS X, обеспечивая поддержку платформ виртуализации VMware и ESX . Все настройки хранятся в централизованной базе данных конфигураций (Configuration Management database, CMDB). Однажды собрав все в одну структуру, система с помощью агентов, работающих в разных операционных системах, позволяет следить за тем, чтобы в защите не возникло «дыр», а в случае обнаружения опасности администратор получает уведомление.
Каждому администратору – спокойных снов
Хорошей иллюстрацией работы средств слежения за установками защиты является ИТ-инфраструктура NCCI (National Council on Compensation Insurance) – некоммерческой организации, занимающейся статистикой по компенсациям и несчастным случаям на предприятиях США. Около 900 страховых компаний и 40 администраций различных штатов используют данные NCCI, 59 тыс. посетителей заглядывают на Web-сайт компании каждый месяц. Пользователи, как внутренние, так и внешние, оперируют персональной информацией по компенсациям работникам, а в соответствии с законодательством эти сведения являются строго конфиденциальными. Для такой структуры, без сомнения, имеется опасность утечек вследствие ошибок из-за «человеческого фактора»: некорректные настройки защиты, нерегулярные и несогласованные обновления и т.п. Внедрение средств от Configuresoft позволило NCCI избавиться от разночтений, увеличить производительность и снизить затраты. Всего лишь один компонент этой системы, отвечающий за установку патчей, сэкономил NCCI 20 тыс. долл. «Самое главное в этом решении – надежность, – отмечает системный архитектор NCCI Лиллиана Кваинтеро. – Анализ нашей ИТ-среды происходит автоматически, и теперь мы ничего не пропустим ни при внедрении, ни при обновлении. Теперь я смогу спокойно спать по ночам».
А каждому участнику – по докладу
Случай нарушения защиты произошел и на самой конференции Cloud Slam 2009 –один из докладчиков пожаловался организаторам, что вместо своей презентации он видит перед собой совершенно другую информацию. Оказалось, что два человека виртуально столкнулись лбами –случай привел на конференцию двух докладчиков с одинаковыми фамилиями и сходными именами, и, несмотря на то что имена их все же отличались на одну букву, система приняла их за одно и то же лицо. Таким образом, сама жизнь в реальном времени продемонстрировала важность новых подходов к защите среды вычислительных облаков.
Ольга Топровер (olga.toprover@mail.ru) – независимый обозреватель (Лос-Анджелес, шт. Калифорния, США).
Почти все в мире ИТ было изобретено еще в прошлом веке, включая и сloud сomputing, но почему только сейчас возник бум вокруг давно существующего в индустрии набора возможностей?
Готовы ли вычислительные облака к выходу в массы?
Несмотря на то что для вычислений в облаке до сих пор остаются нерешенными ряд серьезных проблем, многие производители и аналитики отрасли предсказывают данной технологии яркое будущее.
От динамических ЦОД к внутренним облакам
Виток спирали компьютерной эволюции привел к тому, что сегодня снова на первый план вышел централизованный подход, но на этот раз не на мэйнфреймах, а на облаках.
Базы данных управления конфигурациями, позволяющие создавать упорядоченное описание объектов технологической инфраструктуры, необходимы сегодня практически каждой организации, однако подчас непросто разобраться в назначении, архитектуре и функциональных возможностях соответствующих решений, имеющихся на рынке.
