ЦОД: строим свой или отдаем на аутсорсинг?

Вопрос исключительно оценки рисков. На первый взгляд может показаться, что передача на аутсорсинг такого стратегически важного ресурса бизнеса, как безопасность, является чрезвычайно рискованным шагом и может привести к информационной катастрофе. Однако более внимательный анализ ситуации показывает, что апокалиптическая картина развала бизнеса в случае утечки информации часто иллюзорна, а вот расходы, связанные с содержанием собственной локальной инфраструктуры ИБ, вполне реальны.

Сегодня отдел ИБ является неотъемлемой частью большинства организаций и занимает важное место в статье расходов, со временем, по мере накопления опыта и понимания рисков, ИБ вполне может оказаться за периметром штата. Сегодня это является главной тенденцией.

В схеме, обеспечивающей передачу защищенных данных в ЦОД, присутствуют три участника процесса: заказчик, владелец и оператор связи, обеспечивающий доступ. В том случае, если услуги ЦОД предоставляются оператором связи, второй и третий игрок – одно юридическое лицо. Все системы хранения, обработки и передачи данных должны проходить обязательную сертификацию на соответствие требованиям, предъявляемым к системам, работающим с ПДн. В случае утечки, потери или искажении данных должна быть проведена проверка на соответствие всех систем нормативных актов и наличие сертификатов. И если в ходе "разбора полетов" выяснится, что кто-то не соблюдал правила, то наиболее вероятно, именно он окажется виновным. Если же все системы (и персонал!) вели себя безупречно, но тем не менее утечка данных произошла, определить виновного сможет только специальное информационно-полицейское расследование. Правда, сегодня этот вариант выглядит несколько утопичным. В любом случае, основа определения ответственной стороны закладывается в договоре.

1. Специфика организации ИБ в ЦОД определяется использованием технологий виртуализации, которые далеко не безупречны с точки зрения защиты информации. Например, получение контроля над гипервизором делает бесполезными антивирусы, МсЭ и другие средства защиты, установленные в виртуальных машинах. Кроме того, всегда сохраняется угроза целенаправленных атак, в том числе при участии инсайдера. И хотя поставщики услуг и решений в области ЦОД предпринимают активные шаги для обеспечения высокого уровня ИБ (как технические, так и организационные), вероятность возникновения инцидентов ИБ остается на высоком уровне. По этой причине говорить о возросшей безопасности ЦОД я бы не стал.

2. Собственный ЦОД актуален, если затраты на его строительство и содержание оказываются меньше, чем ущерб от компрометации или потери данных. Таким образом, строительство собственных дата-центров актуально для финансовых институтов, крупных холдингов, телекоммуникационных компаний и провайдеров, так как для них эта инфраструктура является ключевым фактором, определяющим устойчивость, качество предоставляемых услуг и эффективность операционной деятельности. Для этих организаций простои ЦОД могут причинить несоразмерно высокие убытки.

3. В первую очередь необходимо обеспечить резервирование всех ключевых систем ЦОД (кондиционирования, электроснабжения, охранно-пожарной сигнализации, систем пожаротушения), иначе банальный ремонт дороги рядом с ЦОД может привести к остановке его работы (например, если экскаватор случайно задел питающий кабель). Кроме того, необходимо уделять должное внимание сетевой инфраструктуре. Если у организации нет собственного ЦОД, то можно посоветовать пользоваться услугами дата-центров с уровнем надежности не ниже Tier 2.

1. С одной стороны, современные ЦОД значительно лучше защищены от внешних и внутренних угроз, однако вместе с тем растет их комплексность и количество потенциальных уязвимостей, с другой же стороны, техническая оснащенность и опыт злоумышленников растут схожими темпами.

На практике ЦОД может иметь любой необходимый и достаточный уровень безопасности, определяемый в зависимости от типа обрабатываемых данных, законодательных требований, корпоративных политик и используемых сервисов. Возросший уровень доверия к использованию ЦОД можно объяснить прежде всего прозрачностью принципов их работы и возможностью выбора заказчиком достаточного для него уровня безопасности. Этот вопрос можно свести к двум принципиальным аспектам: какие данные шифровать и как управлять ключами шифрования.

2. Несмотря на возможность практически полностью исключить риски компрометации информации при использовании сервисов аутсорсинговых ЦОД, ряду компаний целесообразнее и удобнее строить и использовать собственные. Вопрос касается прежде всего персональной ответственности за безопасность данных и централизации их защиты и управления. Прежде всего, это актуально для финансовых организаций и госучреждений, то есть компаний, несущих всю полноту юридической и материальной ответственности за обрабатываемые конфиденциальные данные. К примеру, кража данных о кредитных картах для банка может нанести непоправимый ущерб, ведущий к банкротству. Технически защиту этих данных вполне безопасно доверить сторонней организации, и для мелких банков это может быть единственная возможность, однако всегда остается вопрос человеческого фактора и доверия.

3. Безопасность ЦОД не должна быть абсолютной, она должна быть достаточной и целесообразной, соответствующей ценности защищаемых данных. Ключевым вопросом, определяющим уровень безопасности, здесь является: шифровать ли данные? Если шифровать, то делать ли это с помощью аппаратных модулей безопасности (HSM)? И каков должен быть регламент работы с ключами шифрования? В случае применения мировых практик, которые, к слову, являются обязательными для финансовых учреждений (например, стандарты PCI DSS и PCI HSM), можно достичь безопасности, близкой к абсолютной. В этом случае данные в ЦОД будут полностью защищены как от внешних, так и от внутренних инсайдерских угроз, что достигается лишь при использовании аппаратных криптографических средств и предписанных регламентов работы с ними.

Аутсорсинг в массы?

Отдать IТ и ИБ на аутсорсинг, использовать внешний ЦОД в нашей стране готовы позволить себе два типа компаний:

1) те, кто способен точно сформулировать требования к необходимой инфраструктуре (причем не только на текущий момент, но, желательно, и на ближайшую перспективу) и провайдеру соответствующей услуги и не питает иллюзий относительно быстрой и простой реализации задуманного;

2) те, кто не может, не хочет и живет не на заработанное лично.

Готовы – не значит, что собираются это сделать.

Те, кто может сформулировать требования, обычно способны и определить зачем. Не вообще зачем, а зачем это нам, здесь и сейчас. То есть какие преимущества будут получены и в какие сроки.

Процесс ответа на перечисленные вопросы имеет существенное значение (и чем больше инфраструктура, переводимая в ЦОД, тем важнее).

Один из побудительных мотивов – передача рисков, ведь, как известно, всегда приятно и зачастую полезно свалить ответственность на кого-то другого. При этом необходима очень точная юридическая проработка договора и сопутствующих документов. В них, в частности, должны быть прописаны меры, которые провайдер услуги обязан принять для защиты информации, критерии и параметры надежности функционирования систем, время восстановления в случае сбоя (перерыва в работе), порядок и процедуры контроля со стороны заказчика.

Не стоит забывать, что клиент компании в случае сбоя придет с претензией в эту компанию, а не в ЦОД. Стало быть, необходимо продумать дополнительные меры на своей стороне. Например, хранение и передачу всех данных в зашифрованном виде. При этом скорее всего придется оставить у себя некую инфраструктуру работы с ключами (мало ведь найдется желающих хранить деньги в банковском сейфе, а ключи от него отдать малознакомому человеку).

Кто все это будет делать, вопрос скорее вкуса и здравого смысла. Если IТ создается "с нуля", то, может быть, лучше сразу поделиться "головной болью" с теми, для кого это стандартная работа. Если просто захотелось преобразований – стоит подумать и посчитать.

В маленьких компаниях (а для них преимущества аутсорсинга рекламируют активнее всего) по причине отсутствия денег, специалистов, опыта и т.д. выработать внятные требования, договориться с аутсорсером и контролировать исполнение бывает сложнее.

При этом следует помнить, что чем больше информации сосредоточено в одном месте, тем выше стоимость вероятных потерь.

Для тех кому все равно, нужно требовать хотя бы гарантий, что за их деньги "все это" будет хоть как-то работать и ждите "жареного петуха" (он придет рано или поздно и скорее всего совершенно неожиданно)!

Коротко

• В любом случае нужны специалисты, а свои или чужие – дело не первой важности.
• Уровень доверия к специалистам (своим или чужим) определяется здравым смыслом и опытом.
• Неразрешимых проблем не бывает – бывает разная стоимость решений.

1. Не могу согласиться с утверждением, что уровень доверия к ЦОД повышается, особенно с ростом их количества. Их количество действительно растет, но мотивация для строительства нового дата-центра не всегда бывает прозрачной.

Я бы структурировал понятие "безопасность" применительно к ЦОД и выделил бы две составляющие: защищенность данных от НСД и их сохранность. Их нужно рассматривать отдельно, не подменяя одно другим и не замалчивая что-то из них.

В последнее время появились ЦОД, которые сертифицированы по высоким классам надежности – третьему и четвертому. Конечно, безопасность хранения данных в этих дата-центрах весьма высока.

Однако существует и другой подход: не один сверхнадежный ЦОД, а система недорогих дата-центров с распределенным доступом и дублированием данных. Сегодня это более рациональный путь. Их услуги существенно доступнее и не менее надежны.

Что касается защищенности, то примеров ЦОД с правильно и хорошо защищенными данными пока немного, хотя они уже есть. Для того чтобы защищенность была не только на бумаге, проект подсистемы ИБ должен быть сделан профессионально. Главное здесь – комплексность: от старта и загрузки до защиты виртуальных машин в процессе функционирования и миграции.

2. ЦОД – это отдельный бизнес. Их строят для того, чтобы зарабатывать деньги, а не для того, чтобы сохранить собственные данные. Если ЦОД – это непрофильный бизнес, то строить их не нужно. Их нужно использовать.

3. Все эти вопросы рассматриваются и анализируются при проектировании ЦОД. На этапе эксплуатации нужно перестать выдумывать и улучшать, а следует только точно выполнять разработанные регламенты.

1. Сам по себе рост числа дата-центров не может быть свидетельством того, что они стали лучше защищены. Скорее, это говорит о том, что использование ЦОД (как своего, так и стороннего) стало экономически более эффективным. Если же говорить о безопасности, то рост рынка, а тем более быстрый, означает не только рост качества и объема внедрений у лидеров, но и появление на рынке новых игроков, среди которых, очевидно, не все обладают достаточными компетенциями для построения защищенного ЦОД. Тем не менее, безусловно, существуют компании, которые трепетно относятся к вопросу защиты ЦОД и тщательно анализируют опыт своих прошлых внедрений. С каждым годом их уровень компетенции растет, и вместе с ним растет качество реализации проектов, в том числе и с точки зрения безопасности.

2. Как правило, реализация такого масштабного проекта, как строительство собственного ЦОД, под силу только государству или крупному бизнесу. Очевидно, что ключевым является вопрос экономической эффективности. Сколько стоит информация компании и ее восстановление? Сколько будет стоить день простоя бизнеса в краткосрочной и долгосрочной перспективе? В каком состоянии находится текущая IТ-инфраструктура компании? Эти и многие другие вопросы нужно тщательно проработать до того момента, как принимать решение о строительстве собственного ЦОД. Главное – понимать, что ЦОД мало построить, необходимо создать отказоустойчивую, защищенную систему хранения и обработки данных.

3. Хотелось бы отметить один важный момент: ни одна из систем не должна работать на пределе возможностей. Всегда необходим некоторый запас прочности. И практически неважно, о чем идет речь, – это справедливо как для инженерных систем обеспечения работоспособности ЦОД, так и для систем передачи и хранения данных, а также систем сетевой безопасности. Многочисленный и обычно печальный опыт подтверждает, что работа любой системы в режиме более 90% от пиковых возможностей выходит экономически невыгодной в долгосрочной перспективе.

1. Однозначно можно сказать, что опыт в строительстве ЦОД накапливается и у интеграторов, и у заказчиков. Осваиваются новые технологии, применяются более сложные технические решения. И как следствие этого: с одной стороны, повышается уровень безопасности в техническом плане, а с другой – растет информированность заказчиков о выполненных проектах и соответственно повышается уровень доверия к поставщикам ЦОД.

2. Все зависит от отношения владельцев бизнеса к этому вопросу. В России по-прежнему бытует устойчивое мнение, что размещение информационных ресурсов компании на арендуемой площадке несет в себе риск утечки либо потери корпоративных информационных данных. И надо сказать, эти опасения небезосновательны. У нас в стране еще многое нужно сделать, для того чтобы коммерческим дата-центрам стали доверять безоговорочно, это касается и правовой, и технической составляющей. Но перевес в будущем в сторону коммерческих дата-центров неизбежен. По этому пути идет более развитый западный рынок, и мы обязательно догоним его и будем использовать лучшие мировые практики в российских реалиях.

3. Подобную службу для вновь построенного ЦОД заказчик, как правило, создает на базе уже существующей службы эксплуатации (зданий, фабрик, заводов, в которых размещается ЦОД). Но специфика обслуживания современных инженерных систем дата-центров может серьезно отличаться от систем жизнеобеспечения зданий, зачастую морально устаревших. Низкая компетенция обслуживающего персонала приводит к сбоям в работе инженерной инфраструктуры, а в худшем – к полной остановке дата-центра. Выходом из этой ситуации могут быть заключение сервисных контрактов на обслуживание либо, как вариант, размещение дата-центра на коммерческой площадке с круглосуточной эксплуатационной службой.

1. ЦОД должен соответствовать усиливающимся требованиям безопасности. Предложение надежной и защищенной инфраструктуры в дополнение к привлекательным ценам является критерием выбора ЦОД. Для поддержки привлекательности своего предложения операторы обязаны удовлетворять требования заказчиков. Причем неважно, что является источником этих требований – государственные регуляторы, отраслевые стандарты или внутренние нормативные документы конкретного заказчика.

ЦОД стал безопаснее. И связано это именно с необходимостью повышения уровня доверия к своим услугам и привлечением новых клиентов.

2. С точки зрения бизнеса строительство ЦОД – это достаточно весомые как капитальные, так и операционные затраты, связанные не только с поддержанием инженерной и IТ-инфраструктуры, но и с обеспечением возможности их квалифицированной эксплуатации. Для того чтобы оправдать эти расходы, риски потерь данных и простоев должны быть сопоставимыми по величине вложениям в инфраструктуру.

Многие компании из Топ-10 в вышеперечисленных областях уже сегодня имеют собственные ЦОД или работают над их созданием.

3. Можно выделить общие рекомендации, касающиеся организации процесса эксплуатации:

• наличие круглосуточной смены инженеров эксплуатации, осуществляющих мониторинг критичных систем;
• документированный и отлаженный процесс действий в штатных и нештатных ситуациях, описывающий по приоритетам шаги по устранению той или иной проблемы;
• регулярное проведение учебных тренировок и аудитов с целью выявления готовности персонала и актуальности разработанных планов.

Также не исключено привлечение на всех этапах эксплуатации внешних организаций, осуществляющих аудит корректности организованного процесса.

1. Финансовые потрясения 2008 г. заставили строителей ЦОД в корпоративном сегменте более щепетильно подходить к инвестированию, перенося максимум затрат из CAPEX в OPEX. Соответственно стала четче грань, отделяющая компании, для которых IТ имеют статус business-critical, от организаций, не считающих остановку IТ-сервисов критичной, которые ориентированы на поиск аутсорсинговых, облачных или colocation-решений.

В результате действительно наблюдается всплеск интереса к коммерческим ЦОД. Но он обусловлен экономическими показателями, а не повышением уровня доверия - пересмотрены бюджеты и финансовые подходы к IТ в целом и к строительству ЦОД в частности, что заставляет организации искать альтернативные решения и обращаться в коммерческие ЦОД.

Пока большая часть colocation-провайдеров не обеспечивает должный уровень безопасности своих ЦОД. Поэтому искать прямую зависимость между числом ЦОД и уровнем доверия к ним не вполне верно – все дело в росте объемов обрабатываемых данных и потребности в увеличении мощностей.

2. С точки зрения строительства ЦОД рынок Enterprise делится на два сектора: компании, которым необходим собственный ЦОД, и готовые доверить свои данные сторонним организациям. К числу первых относятся те, чей бизнес напрямую зависит от сохранности обрабатываемых данных. Для них характерно стремление обеспечить абсолютно прозрачную и безопасную схему работы с данными.

3. Актуальный ранее принцип максимальной избыточности при создании инженерной инфраструктуры ЦОД сменился сегодня принципом роста по мере необходимости. Это касается и серверного оборудования, и инженерно-технического. Механизмы наращивания ЦОД case-by-case изменили подход к его строительству: на начальном этапе выстраиваются надежная структура и регламентное обеспечение эксплуатации под малую инфраструктуру, которые наращиваются пошагово. В результате схема контроля процессов эксплуатации становится более прозрачной и лучше контролируется с точки зрения надежности.

1. Российский рынок ЦОД переходит на новую стадию зрелости, появляются оптовые предложения по аренде площадей. На сегодняшний день три построенных в России ЦОД сертифицированы на уровень Tier 3, и в 2014 г. их число должно стать больше десяти. Это тенденция. В целом российские ЦОД стали безопаснее, но отдельные случаи свидетельствуют о необходимости по настоящему бескомпромиссного подхода к вопросам безопасности.

2. Этот вопрос в первую очередь связан со зрелостью бизнеса, его пониманием задач IТ и горизонтом планирования. Самым лучшим примером являются банки и другие финансовые организации. При аренде коммерческих ЦОД присутствуют неустранимые риски со стороны владельцев и соседей-арендаторов. В то же время собственное строительство требует значительно большего времени. В этой связи наиболее гибкой является комбинированная модель, при которой в качестве основного используется собственный ЦОД, а резервные мощности размещаются на арендованных площадях. А в перспективе, через шесть лет и более, собственный ЦОД оказывается выгоднее арендованного.

Для телеком-операторов ЦОД и каналы связи – это неотъемлемая часть инфраструктуры, на которой базируются услуги предоставления мобильного контента и облачных приложений. Этот рынок сейчас растет опережающими темпами.

Предприятия оборонно-промышленного комплекса и силовые структуры не имеют другой возможности, кроме как строить собственные ЦОД. В настоящее время актуальна централизация обработки данных в рамках холдингов или концернов и создание основных и резервных дата-центров, что дает существенный экономический эффект.

3. Хороший метод предлагает Uptime Institute в своей программе сертификации операционной надежности ЦОД. Соблюдая подход и требования экспертов к управлению дата-центром, можно гарантировать отказоустойчивость на этапе эксплуатации и при желании выполнить независимую сертификацию ЦОД на один из трех уровней.