“Chmurofobia” to próba obrony starego porządku. Ale biznes chce zmiany

Czy to XIX-wieczni luddyści, czy dzisiejsze rekiny biznesu - wszyscy czujemy delikatną rezerwę wobec nieznanych wcześniej pomysłów, i to niezależnie od tego, jakie korzyści mogą one dla nas oznaczać. Niewystarczające rozeznanie w kwestii nowych technologii, aspektów wdrożenia, a także niepewny bilans zysków i strat generuje obawę przed wyciągnięciem ręki po „nowe”. Czy słusznie? Dziś spróbuję przeanalizować ten problem na przykładzie chmury obliczeniowej.

Dla porządku przypomnę, że chmura jest modelem przetwarzania danych opartym na zasobach infrastrukturalnych udostępnianych przez firmą trzecią. Zgodnie z definicją NIST, żeby dana usługa mogła być nazwana chmurą, musi spełniać pięć warunków.

1. Dostępność na żądanie i możliwość samodzielnego uruchomienia (i zarządzania). Oznacza ona, że klient bez pośrednictwa i w wybranym przez siebie momencie może uruchomić tak dużą infrastrukturę, na jaką ma akurat zapotrzebowanie.

2. Możliwość dostępu przez Internet.

3. Dynamiczna alokacja zasobów infrastrukturalnych. Oznacza ona, że zasoby klienta nie są trwale związane z konkretnym sprzętem i mogą być w sposób ciągły “rozmieszczane” pomiędzy różnymi maszynami, klastrami, a nawet regionami geograficznymi.

4. Elastyczność na żądanie. Oznacza zdolność do natychmiastowego powiększenia lub zmniejszenia parametrów jakościowych lub ilościowych infrastruktury albo samodzielnie przez klienta z wykorzystaniem panelu administracyjnego lub mechanizmów chmury (np. Autoskalera).

5. Pełna mierzalność parametrów. Oznacza, że dostawca chmury jest w stanie przedstawić klientowi pełen wykaz zużytych zasobów infrastrukturalnych, np. przestrzeni dyskowej, mocy obliczeniowej, transferu etc.

Zgodnie z powyższym usługi chmury świadczy np. AWS czy Oktawave, chmurami nie są zaś: hosting współdzielony, VPS-y, serwery dedykowane, serwery pod biurkiem, a często nawet własne serwerownie.

To ważne rozróżnienie, ponieważ niewłaściwe rozumienie chmury realnie utrudnia jej adopcję.

Z chmury mogą korzystać przedsiębiorstwa o dowolnej skali – od potężnych korporacji po niewielkie firmy. Wszystkie oszczędzają na inwestycjach w uruchomienie i utrzymanie własnych systemów infrastrukturalnych, a w zamian otrzymują rozwiązanie klasy enterprise, którego nie tylko sam zakup, ale również późniejsze utrzymanie kosztuje niemało.
Jednak, jak pokazują statystyki, ponad połowa firm w USA i w Polsce nie korzysta z usług w chmurze, mimo że oznaczałoby to dla nich oszczędności. Dlaczego tak jest? Odpowiedź zazwyczaj jest jedna: obawa przed usługami tego rodzaju.

Bezpieczeństwo to uniwersalny klucz do wielu drzwi. Tematy z nim związane są zawsze łakomym kąskiem dla mediów, które ochoczo relacjonują spektakularne wycieki danych: od upublicznienia nieskromnych zdjęć celebrytów lub filmów przed ich premierą po kradzieże firmowych danych. Tymczasem dla 90% CIO bezpieczeństwo w Sieci jest kluczowym argumentem przy decyzji o migracji do chmury.

Warto zatem zadać sobie pytanie, w jakim stopniu strach przed wykorzystaniem chmury jest racjonalnie uzasadniony, a w jakim jest wynikiem marketingu szeptanego firm, które na transferze do chmury mogą stracić. Przyjrzyjmy się zatem przyczynom strachu przed usługami w chmurze, o jakich mówią przedsiębiorcy i specjaliści związani z sektorem IT.
Ktoś inny zajmuje się naszymi danymi?

„Wadą takiego (chmury – przyp. red.) rozwiązania jest to, że oddajemy komuś innemu odpowiedzialność za nasze dane. Ktoś inny ma do nich dostęp i jest odpowiedzialny za ich bezpieczeństwo” – mówi Steve Santorelli, były pracownik Scotland Yardu, a obecnie analityk bezpieczeństwa w Sieci. Jego opinia wcale nie dziwi – jako analityk wykonuje komercyjne badania bezpieczeństwa, więc konsekwentne nakręcanie spirali obaw sprzyja popytowi na usługi związane z ich analizą. Podobne lęki podsycają producenci sprzętu i oprogramowania, których przychody ze sprzedaży kurczą się z roku na rok.

Często zwraca się uwagę na to, że do końca „nie mamy wiedzy, gdzie są przetwarzane dane”, ale to też nie jest prawdą. Każda konkretna chmura, z jakiej chcielibyśmy skorzystać, to fizyczne miejsce, gdzie znajduje się sprzęt informatyczny i gdzie zredukowano ryzyko niepowołanego dostępu do danych, m.in. przez złożone systemy monitoringu i ścisłą politykę dostępu do centrów danych. Dodatkowo placówki te wyposażone są w rozbudowane systemy przeciwpożarowe, UPS-y, agregaty prądotwórcze i inne rozwiązania mające na celu bezpieczne i nieprzerwane dostarczanie usług.

Przykładowo centrum danych Oktawave, polskiej chmury obliczeniowej, spełnia standard Tier-3.

Złożone rozwiązania dotyczące bezpieczeństwa są także zapewniane u profesjonalnych dostawców od strony informatycznej. Wszystkie operacje, jakie prowadzone są w chmurze, szyfrowane są z wykorzystaniem algorytmów SSL, a wielopoziomowa autentykacja podczas logowania zabezpiecza przed niepowołanym dostępem czy phishingiem. Jeśli macie wątpliwości odnośnie do tego, ile dostawcy chmury wkładają pracy w zabezpieczenie danych, zachęcam do zapoznania się z tym materiałem: LINK

Kolejną pozycją w katalogu strachów stanowią wątpliwości dotyczące regulacji prawnych w odniesieniu do rozwiązań wykorzystujących chmurę. Tymczasem prawo w Polsce precyzyjnie definiuje sposób zabezpieczenia danych przechowywanych w systemach outsource’owanych. To oznacza, że jeśli korzystamy z usług polskich dostawców z centrum danych w kraju, nie musimy obawiać się problemów prawnych, gdyż zapewniają oni pełną zgodność z polską i europejską jurysdykcją (w tym regulacjami GIODO).

Warto dodać, że polskie prawo, jeśli chodzi o bezpieczeństwo przetwarzania danych osobowych, jest bardziej restrykcyjne niż przepisy w UE czy za Oceanem, a na przykład Oktawave podpisuje z klientami umowy o powierzaniu danych osobowych.

Co więcej, już w roku 2013 Komisja Nadzoru Finansowego opublikowała Rekomendację D, w której stwierdza jednoznacznie, że cloud computing może być stosowany przy przetwarzaniu danych o wysokim stopniu poufności lub istotności nawet przez podmioty z sektora finansowego (np. banki) przy spełnieniu określonych warunków.

Źródła związane m.in. z producentami oprogramowania i sprzętu, a także dostawcami dedykowanych serwerów często zwracają uwagę na te dwie kwestie w kontekście chmury. Propagują oni stanowisko, że brak standaryzacji zabezpieczeń usług w chmurze przekłada się na niższy poziom zabezpieczeń niż w przypadku np. serwerów dedykowanych. Znowu nie jest to prawdą, za to oznacza potrzebę porównania poziomu zabezpieczeń u danego dostawcy chmury na tle konkurencji, tak jak w wypadku analizy ofert dostawców samochodów. Dlatego też warto korzystać z usług sprawdzonych i polecanych firm.

Wykorzystanie usług sprawdzonych dostawców ma także istotną zaletę w postaci dostępu do najlepszej klasy wsparcia. Biura obsługi takich podmiotów czynne są 24 godziny na dobę, 7 dni w tygodniu i oferują pomoc przy rozwiązywaniu skomplikowanych problemów.

Czy zatem strach przed chmurą jest uzasadniony? Prawda jest taka, że wielu grupom naprawdę zależy, abyśmy nie przestawali się bać chmury. Ich działania, napędzające chmurofobię, podyktowane są czysto ekonomicznymi przesłankami. Obawy przedsiębiorców będą przecież skutecznie napędzać zapotrzebowanie na analizy zagrożeń i certyfikaty bezpieczeństwa oraz usługi prawników związanych z bezpieczeństwem w Sieci.

Osobnymi grupami, zyskującymi na zniechęcaniu do usług w chmurze, są często producenci sprzętu, którzy pragną zachowania rynkowego status quo, a także dostawcy dedykowanych serwerów, w których interesie nie leży migracja potencjalnych klientów.

Popularyzacji modelu chmury sprzyjają trzy czynniki: edukacja, edukacja i jeszcze raz edukacja.

Aby propagować model chmury, należy konsekwentnie szerzyć wiedzę na jej temat. A także wskazywać na korzyści związane z większą elastycznością, zwinnością, bezpieczeństwem i oszczędnościami, które przedsiębiorstwom oferuje chmura, a które dzięki niej są dostępne dla wszystkich podmiotów bez względu na ich rozmiar.

Ważne jest też rzetelne informowanie w zakresie bezpieczeństwa sieciowego, co powinno być zapewniane bezpośrednio przez dostawców i - najlepiej - podmioty niezwiązane komercyjnie z monitorowaniem bezpieczeństwa w Sieci.

Podsumowując, to, co najważniejsze zarówno dla mniejszych przedsiębiorców, a także tych dużych graczy, to weryfikacja korzyści oraz rewizja obaw i przesądów. Wybierając znanego i polecanego dostawcę usług w chmurowych, naprawdę nie ma się czego bać, a z pewnością wiele zyskamy.

Czytaj również:

Autorem artykułu jest Dariusz Nawojczyk, CMO w Oktawave