Облачные решения: практика использования

19 октября 2020

GlobalCIO|DigitalExperts при поддержке Mail.ru Cloud Solutions провел круглый стол «Практика использования облачных решений». Какова экономическая выгода при использовании облаков по сравнению с развитием собственной инфраструктуры, как защитить информацию в облаке, вопросы хранения персональных данных - эти и другие вопросы мы обсуждали в рамках круглого стола. Модератором мероприятия выступил независимый эксперт Александр Парамонов.

Как пандемия повлияла на подходы к цифровизации бизнеса в целом и применение облачных решений?

Евгений Михалев, корпоративный ИКТ-директор «Май-Фудс»: Если говорить о жизни после пандемии, я думаю, что уже какой-то коренной перелом совершился. Сейчас даже традиционные бизнесы идут в электронную коммерцию, в маркет-плейсы. Второй момент, это тенденция перехода на удаленку и сокращение офисных платежей. Это один из факторов, который будет стимулировать рост интернет-торговли.

Виктор Коваленко, начальник отдела поддержки инфраструктуры, телекоммуникаций и информационной безопасности ДИТ ООО УК «Росводоканал»: У нас достаточно консервативная отрасль: водоснабжение и водоотведение, поэтому большая часть инвестиций идет именно на модернизацию инфраструктуры. Мы сейчас активно идем в сторону онлайн-взаимодействия с потребителями: развиваем сайт, мобильные приложения и т.д. Также еще до пандемии мы взяли курс на цифровизацию водоканалов – при помощи умных датчиков отслеживаем движение буквально каждого литра воды, создали «мобильные бригады», которые позволяют оперативно устранять неполадки, так как население очень остро реагирует на любую аварию.

Что касается применения облачных решений, то у нас практически вся инфраструктура, не относящаяся к технологической, остается в сервисной среде. Сервисы размещены в облаках. Сейчас пришла вторая волна заболеваемости, очередной выход на дистанционку. И только из-за облаков у нас это произошло весьма рутинно. Никто не заметил особых перемен, сотрудники взяли ноутбуки или компьютеры, и отправились работать домой.

Леонид Аникин, директор по развитию бизнеса Mail.ru Cloud Solutions: Для нашей компании с наступлением пандемии кардинально ничего не изменилось: как и раньше, мы предоставляем компаниям доступ к облачной инфраструктуре. В то же время многие бизнесы начали искать варианты, как собирать больше денег, пробовать другие модели бизнеса, новые каналы продаж. Многие обратили внимание на облачную инфраструктуру, так как в ней не только   можно разместить классические системы, но и быстрее построить различные новые ИТ-приложения. Если для бизнеса важна скорость, быстрота разработки и вывода в эксплуатацию, то облачные решения для этого очень хорошо подходят.

Антон Исанин, директор по разработке «Альфа-Страхование»: За последние годы мы пережили своего рода эволюцию взгляда на облака. Несколько лет назад они воспринимались, как дорогостоящий сервис. Сейчас же у нас очень востребованы услуги SaaA   и PaaS, а также решения на Kubernetes в облаке. Благодаря этому время вывода на рынок любого приложения сократилось до нескольких дней. Такая скорость дает шанс очень многим бизнесам серьезно продвинуться вперед.

Дмитрий Голубев, руководитель Службы технического заказчика «Федеральное агентство связи»: Пандемия дала достаточно большой толчок цифровизации, в том числе, в госсекторе, несмотря на то, что эта сфера считается консервативной. В период самоизоляции большая нагрузка легла на ИТ-департамент, сотрудников нужно было обеспечивать рабочими местами дома без ущерба для выполнения функциональной деятельности. С этим мы прекрасно справились. Многие коллеги сейчас вернулись на работу, но при этом возможность работать из дома у них сохраняется.

Второй момент - это цифровизация непосредственно осуществляемой деятельности и самих госуслуг. Есть ряд запросов правительства по скорейшей цифровизации тех вещей, которые на протяжении десятков лет выполнялись только на бумаге. Если мы говорим о «Россвязи», то две из трёх наших ключевых государственных услуг к концу следующего года мы планируем предоставлять на 100% без участия человека. Я считаю, что это огромный рывок вперед.

Когда идет речь об облачных сервисах, многие говорят об экономии. Есть очевидные вещи – экономия за счет отказа от покупки ПО и оборудования. А есть еще параметры экономии, которые не настолько очевидны, но имеют место быть?

Евгений Михалев: В настоящий момент у нас в облаке размещены ИТ-инфраструктура, почта, телефония. Если сравнивать только стоимость оборудования – собственное или в облаке, и брать в расчете на пять лет, то, наверное, речь об экономии не идет: по стоимости получается примерно одинаково. Но есть другой фактор: это обучение персонала. Благодаря облачным решениям у нас нет необходимости держать большой штат администраторов. Мы можем взять их с рынка, у поставщиков. При обновлении версии оборудования мы получаем обновлённые компетенции специалистов. При этом уровень сервиса остаётся прежним.

Антон Исанин: Наша стратегия закупки облачных услуг предусматривает, что затраты компании на облако должны быть эквивалентны амортизации собственных ресурсов за три года. Однако наша практика показывает, что в облаке можно найти источники дополнительной экономии, которые мы изначально не закладывали. Когда мы наладили эффективную работу в облаке, у нас неожиданно осталось еще 30% бюджета. То есть экономический эффект в деньгах, по нашему опыту, есть. Конечно, нужно следить, чтобы не было избыточного потребления ресурсов, чтобы мы укладывались в квоты. Но если это получается, в облаках можно нормально «жить».

Виктор Коваленко: У нас в этом году произошёл крупный рост потребления мощностей в облаке. Мы рассчитали ТСО в облаке и при сопоставлении с обычной инфраструктурой в разрезе 3, 5, 8 лет. В принципе, по самой оптимистичной модели мы укладывались в сопоставимые параметры по стоимости. Но сейчас мы видим, что возможно будем модифицировать наши облака: у облачного провайдера будет стоять больше оборудования, чем мы изначально рассчитывали. При этом у нас хорошие условия использования облака.

Дмитрий Голубев: Мы просчитывали сервисную модель, но оказалось, что стоимость перевода в облако всего нашего функционала в четыре раза превышает наш ИТ-бюджет. То есть на данном этапе перевести текущую деятельность из своего ЦОДа в облака – это достаточно дорогостоящее удовольствие для Российской Федерации. Но если мы говорим о строительстве инфраструктуры с нуля, то облако может быть более выгодным решением.

Каковы особенности перехода в «облако» крупных компаний, у которых уже есть своя инфраструктура – большой парк оборудования и т.д.?

Сергей Самоукин, руководитель направления по работе с корпоративными клиентами Mail.ru Cloud Solutions: Есть два основных типа клиентов облачных провайдеров. Первые идут в облака с целью разработки, создания новой ИТ системы. Перед ними открывается масса возможностей, как мы уже говорили, в облаке инфраструктуру можно выстроить значительно быстрее. Сейчас даже полностью закрытые компании, которые обычно все делают только в своих ЦОД, новые ИТ системы разрабатывают именно в облаках, потому что осознают эти преимущества.

Вторая категория – когда клиенту необходим перенос базовой инфраструктуры в облако. Да, здесь необходимо посчитать ТСО. И в зависимости от исходных условий, все принимают разные решения. Например, как сказал только что Дмитрий Голубев, когда Россвязь сравнила ТСО, то приняла решение остаться в своем ЦОДе. Но есть компании, у которых другая бизнес модель, и для которых перенос в облако будет выгодным.

Подчеркну один важный момент, о котором часто забывают клиенты, когда рассчитывают ТСО. Это стоимость денег во времени. Чаще всего заказчики закладывают текущую стоимость закупки оборудования, покупки лицензий, стоимость техподдержки и так далее на весь период расчетов. Но это не совсем верно. Например, вы оцениваете стоимость инфраструктуры на 5 лет, при этом закупка оборудования идет с поддержкой на 3 года, далее вам необходимо продление технической поддержки. Но ее стоимость может вырасти, так как есть инфляция, валютные риски и множество других факторов. То есть средства, которые мы закладываем в бюджет, необходимо продисконтировать на соответствующий временной интервал.

Второй момент - деньги имеют стоимость, которую можно определить по кредитной ставке: можно взять банковскую, можно посчитать свою. Переходя на облачную модель и пользуясь тем же бюджетом, можно реально экономить за счет инвестирования денежных средств. Например, ваш бюджет – 5 млн руб., 100 тысяч в месяц вы платите за облако, то есть начиная со второго месяца у вас остается 4, 9 млн руб. для инвестирования. В результате инвестиций через 5 лет вы получаете 8 млн руб. дохода.

Инвестирование практически никто не применяет при модели ТСО, а это очень важно. Я сделал подобный расчет для одного нашего клиента. Стоимость On-premise инфраструктуры составляла 90 млн руб. за 5 лет, стоимость облака на такой же период – 150 млн руб. Казалось бы, зачем платить больше? Но применив ставку дисконтирования, заложив расширение инфраструктуры, продление поддержки и так далее, плюс рассчитав стоимость денег и реинвестирование, экономия на облаке за пять лет получилась 12 млн руб. Существенная сумма!

Мы в Mail.ru разработали специальный калькулятор. Им может воспользоваться любой ИТ-специалист, чтобы корректно рассчитать ТСО, учитывая, в том числе, такие неочевидные параметры, как дисконтирование или стоимость денег. 

В чем еще заключается ценность сервисного подхода, помимо экономии денежных средств?

Сергей Самоукин: Большое количество наших заказчиков приходят к нам не только за облачной инфраструктурой, но  и за экспертизой. Мы предлагаем инструменты, как решить ту или иную задачу бизнеса. Кроме того, клиенты понимают ценность облака как совокупности элементов. Они приходят за комплексной услугой, в том числе за администрированием, поддержкой и так далее. За счет этого себестоимость одного рабочего места сильно падает, примерно в два раза. А качество услуги, наоборот, растет.

Другими словами, заказчик у нас покупает не облака, он покупает у нас бизнес процесс. Поэтому выбор и оценку облачного провайдера он должен делать по бизнес процессу, а не по инфраструктуре. Я всегда говорю клиентам: ТСО - это процессы, давайте описывать не просто покупку железа, а всю совокупность процесса. Уверяю вас, при таком подходе мы зачастую получаем серьезную экономию в 20-30%, а иногда и в 50%.

В конце 90-х ИТ- инфраструктура любой организации представляла собой замкнутый контур: работа с внешними клиентами, партнерами осуществлялась только через человека. Сейчас ИТ-контур размывается, и на передний план выходят вопросы безопасности и защиты данных. Как этот вопрос решается в Ваших компаниях?

Евгений Михалев: Для себя мы видим два пути решения. Во-первых, это автоматические средства защиты, такие как защита периметра, антивирусы, антифишинги, DLP-системы. Во-вторых, повышение культуры работы пользователей с данными. Необходимо проводить разъяснительные работы, организовывать внутренние и внешние аудиты безопасности. С учетом нынешнего уровня развития технологий, закрыть весь периметр могут себе позволить очень немногие крупные компании. Большинство компаний должны противодействовать злоумышленникам с помощью средств социальной инженерии, и одновременно защищать наиболее критичные активы.

Если говорить о безопасности, в контексте взаимодействия с облачным провайдером, то нам важна в первую очередь непрерывность процесса. То есть сервис должен быть обеспечен функцией отказоустойчивости, должен выдерживать атаки извне. Также у нас есть определённые требования к шифрованию.

Антон Исанин: Мы очень серьезно подходим к вопросам обеспечения безопасности. С точки зрения penetration test, мы применяем гибридный подход. Есть специалисты в штате, в информационной безопасности, которые этим занимаются, и есть внешние специалисты. Мы вкладываем серьезные средства в мониторинг, построение файерволов и т.д.

С другой стороны, чем более сложные процессы безопасности вы накручиваете, тем более они становятся громоздкими, и в какой-то момент они начинают мешать работе с облаком. Поэтому мы для себя сделали разделение. Есть тестовая среда, без данных, без паролей, она может быть слабо защищена, но она не будет иметь доступ в наши контуры. То, что имеет доступ в наш контур, обладает очень хорошей защитой.

Подчеркну еще один момент: даже при условии хорошей защиты, всегда можно украсть данные, если у человека есть такая задача. Но наша задача – обладать достаточными компетенциями и техническими возможностями, чтобы провести внутреннее расследование и найти человека, который их украл. Каждый инцидент, связанный с безопасностью, должен попадать на пульт сотруднику безопасности. Это касается и облачных провайдеров, мы обязательно сотрудничаем со службами безопасности в облаке.

Виктор Коваленко: В нашей компании есть два специалиста по безопасности, сейчас пробуем передать часть этих функций внешнему провайдеру. Для нас в первую очередь важна скорость реакции на инциденты, так как рабочий день наших специалистов – 12 часов, а злоумышленники работают круглые сутки.

Дмитрий Голубев: Если мы говорим об анализе защищенности внутреннего периметра, то у нас есть соответствующий специалист, который этим занимается. Но я считаю, что обязательно с какой-то периодичностью должен происходить внешний анализ. Сторонняя компания может под другим углом взглянуть на нашу инфраструктуру и как мы ее защищаем, дать нам серьёзную пищу для размышлений.

Все госорганы находятся под крылом соответствующих ведомств. ФСО, ФСБ – эти структуры за нами пристально наблюдают, нас защищают, и нас проверяют, в том числе. У нас в этом году была проверка, которую мы выдержали, нарушений не было. Такие проверки проходят периодически и они являются для нас тем самым внешним взглядом. Но мы можем привлекать и частные компании для этих целей, это также допустимо.

Леонид Аникин: Соглашусь с коллегами, что основные проблемы безопасности лежат в сфере социальной инженерии, внутренних регламентов и других несложных инструментов. Например, мы регулярно анализируем трафик, проводим сканирование инфраструктуры клиентов и сообщаем им об уязвимостях в их системах безопасности. Но если дальше сам клиент, его ИТ безопасность, получив эти данные, не сделает выводы, то эта работа будет абсолютно бессмысленной. Также согласен с тем, что необходимо проводить анализ инцидентов. Например, в интернете можно купить базы клиентов очень многих крупных организаций. И эти базы не в облаке, они в собственной инфраструктуре компании. По идее, должно быть понятно, кто за них отвечает, кто несет ответственность за утечку. Но почему-то мы не слышим, чтобы кого-то из сотрудников такой компании привлекли к ответственности. Между тем у любого ИТ-директора должно быть понимание, что проблемы безопасности могут стать огромной головной болью для компании.

Сергей Самоукин: Пандемия привела к появлению большого количества кибер-атак. Сейчас мы наблюдаем увеличение спроса среди наших заказчиков на услуги защиты от хакерских атак, хотя до пандемии спрос на данные сервисы был не очень большой. При общении с заказчиками мы обязательно обсуждаем процессы безопасности: Как вы будете подключаться к облаку, для чего его используете, какую антивирусную защиту устанавливаете?” Задавая эти вопросы, мы помогает нашим клиентам более пристальное внимание уделить этому направлению. Все-таки облако становится дополнительной инфраструктурой клиента и необходимо уметь с ней работать. У нас есть некий чек-лист, который мы прорабатываем с клиентом. Если мы видим, что на вопросы о безопасности клиент отвечает не очень уверенно, предлагаем провести дополнительный аудит. И это становится важным инструментом, который показывает клиенту, чего именно ему не хватает с точки зрения защиты.

Кстати, мы не стесняемся публично озвучивать, что Mail.ru платит деньги за то, чтобы любой человек попробовал взломать нашу инфраструктуру. Но когда вы строите инфраструктуру в нашем облаке, вам надо предусмотреть свои процессы при взаимодействии с облачным провайдером. Этот стек бывает неочевиден очень многим, и это серьезный предмет для обсуждения. Он особенно важен в свете требований законодательства по защите персональных данных, 152 ФЗ. Мы предупреждаем клиентов, что даже если в компаниях уже внедрены определенные регламенты по работе с ПНД, но вы сейчас рассматриваете вынос инфраструктуры в облако, то эти документы необходимо расширять. Также мы смотрим на отрасль, в которой работает заказчик. Если это электронная коммерция, то мы настаиваем на покупке защиты от хакерских атак, потому что во время пандемии произошел всплеск атак на инфраструктуру.

Как заказчикам правильно делать закупку услуг облачного провайдера в условиях 44 и 223 ФЗ?

Евгений Михалев: У нас есть процедура организации тендерных закупок. Перед тендером мы формируем ТЗ с нашими специалистами по информационной безопасности, прописываем все ограничения, необходимые функциональные требования к решению. В тендере рассматриваем только те заявки, которые соответствуют ТЗ, и только те компании, которые имеют соответствующие сертификаты.

Антон Исанин: Направление закупки облачных услуг у нас находится в стадии становления. Например, изначально ТЗ больше было проработано под IaaS , а в итоге больше используем другие функции. Безусловно, будем совершенствовать механизм закупок.

Дмитрий Голубев: У нас все услуги закупаются на конкурсной основе, по-другому и быть не может, так как мы госорган. Если честно, порой это является проблемой, когда результат работы победившей компании нас не удовлетворяет. Панацеи от этого нет, единственное, что можно сделать, это максимально хорошо подготовить ТЗ.

Сергей Самоукин: К сожалению, конкурсы нивелируют основное преимущество облачного подхода – скорость. На эту процедуру нужно много времени. Поэтому классический подход, когда компания закупает облако и уже через несколько дней может получить результаты, здесь не работает.

Что касается вопросов ценовой конкуренции, когда какая-то компания в конкурсе предлагает демпинговую цену, и за счет этого побеждает, то с этим можно бороться только одним способом: общаться с заказчиком, чтобы он четко понимал, какой уровень сервиса ему нужен, что он хочет купить. Мы помогаем клиенту правильно составить ТЗ, чтобы в конкурс не прошли те компании, которые в реальности не обеспечат необходимый уровень качества, не имеют должной квалификации, лицензии и так далее.

Поделитесь мнением, в каком направлении рынок облачных услуг будет расти дальше?

Евгений Михалев: Мне нравится подход Mail.ru, так как фактически они занимаются аутсорсингом процессов. Думаю, именно за этим направлением – будущее облачных услуг.

Дмитрий Голубев: Все тренды на рынке задаются частными компаниями, государство, к сожалению, всегда опаздывает. Но думаю, что со временем все-таки возникнет какое-то государственное облако, которое позволит упростить многие процессы и уменьшить разрозненность между ведомствами.

Виктор Коваленко: Однозначно будет рост этого направления, скорее всего, на рынке появится больше провайдеров облачных услуг. Недавно услышал, что в «Роскосмосе» запустили собственное облако, и даже его продают, это интересная практика. Сейчас облака - удобная технология, отвечающая требованиям времени.

    



546
Поделиться

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

Предметная область
Отрасль
Управление