Отсутствие взаимодействия между ИТ-компаниями смежных рынков приводит к замедлению развития рынка виртуальных вычислений в России
В центре внимания лидеров рынка ИТ – вопросы, связанные с большими объемами данных. Что с ними делать, как обрабатывать в сложных ИТ-системах, чтобы научиться извлекать полезную для компании информацию, как облегчить онлайн-общение и бизнес в интернете – эти проблемы все чаще обсуждают участники ИТ-рынка на международных площадках.
Ответ на вопрос, как лучше хранить вал информации, уже найден. Сегодня развитие систем хранения данных выстроено вокруг виртуальных операционных систем, способных преобразовать физические серверы в образы серверов и тем самым позволяющих по максимуму использовать возможности «железа». В устах производителей оборудования слово «виртуализация» звучит постоянно, а новые линейки продуктов оцениваются по тому, как они отвечают требованиям виртуальных платформ. Аналитическая компания IDC еще три года назад констатировала, что в развитых странах виртуальные серверы стремительно вытесняют реальные (в 2009-м общее количество виртуальных серверов превысило число реальных).
Россия, судя по отчетам IDC, остается страной с большим потенциалом, который пока не реализуется. В том числе потому, что большинство компаний сомневаются в надежности виртуальной среды. Что настораживает российских пользователей и как в реальности обстоят дела в этой сфере, эксперты рынка обсуждали на круглом столе журнала «Эксперт Северо-Запад» «Информационная безопасность 2012: реальные решения на виртуальном поле». Поиск причин, тормозящих развитие данного направления, оказался нетривиальной задачей.
Тупиковая ветвь
Большинство компаний предпочитают не хранить и не обрабатывать информацию, которая относится к персональным данным и коммерческой тайне, – высказал мнение немногочисленного пула компаний, предоставляющих сервис аренды виртуальной инфраструктуры, директор проекта Clodo.ru Максим Дюбарев. «Информацию можно разделить на рабочую и ту, что представляет тайну. Последнюю могут брать только узкоспециализированные компании, точнее дата-центры, которые способны обеспечить выполнение всех требований законодательства», – говорит он.
В силу высоких требований к защите персональных данных многие проекты по организации виртуальной инфраструктуры – это гибридные решения, когда в облако выводится резервирование данных. В нынешнем правовом поле ни одна компания, которая берет на аутсорсинг хранение информации, не имеет возможности поступать по-другому и вынуждена оставлять персональные данные у себя, подчеркивает заместитель генерального директора по информационной безопасности компании «Технологии Безопасности» Вадим Кропотов. По его словам, если ты отдаешь персональные данные на хранение третьей стороне, по закону надо заключить договор, что она берет на себя все риски, в том числе коммерческие. «Насколько я знаю, пока ни одна третья сторона такого договора не подписала. Надо выполнить очень приличный по объему и финансовым затратам перечень работ по защите данных, чтобы иметь право взять на хранение информацию ограниченного доступа, в частности персональные данные», – отмечает Кропотов.
Конечно, информацию можно обезличить и представить как сумму систем данных. Однако современные ИТ-решения по оптимизации внутренних процессов компании или взаимоотношениям с клиентом сложно и неэффективно разбивать внутри этих систем на относящиеся к коммерческой тайне (которые необходимо хранить отдельно) и другие, объясняет эксперт по защите информации группы компаний «АйТи» Сергей Петренко. Такой же позиции придерживается генеральный директор компании «Вэлл-Сервис» Владимир Подзоров. «Если у клиента есть единая система, где хранятся все данные, и она существует не первый год, то в ней уже скопился значительный объем информации. Разбить такую систему – непростая задача. По уровню трудозатрат она сравнима с внедрением новой информационной системы», – считает он. При существующем уровне требований к аренде виртуальных серверов то, что предлагают сегодня сервисные компании, не может привести к активному использованию их услуг. «Это тупиковая ветвь», – уверен Подзоров.
Кому доступны облака
Для российского бизнеса плюсы и минусы от использования услуг по хранению данных, основанные на виртуальных платформах, те же, что и для компаний с развитых рынков. «Пока государство не подкорректирует свои требования по защите персональных данных, не приблизит их к действующим в мире (на которые ориентируются производители оборудования), рынок будет развиваться очень медленно», – убежден Владимир Подзоров.
Однако все не так трагично. В то время как компании или дата-центры, которые развивают услугу аренды виртуальных серверов, оказываются не в состоянии выполнить требования по безопасности, крупный бизнес в индивидуальном порядке внедряет виртуальные средства, организуя защиту в соответствии со всеми требованиями.
Как рассказал заместитель руководителя направления «Инфраструктурные проекты» Digital Design Алексей Семенов, недавно его компания закончила проект с РЖД по виртуализации ее серверных мощностей. Все данные, хранимые на более чем 3 тыс. физических серверов по всей России, ушли в облако, которое живет в трех главных ЦОДах РЖД. «Понятно, что когда такое количество информации сосредоточено, условно говоря, на одной территории, задачи контроля и управления доступом приобретают особое значение. Но они решаемы», – замечает Семенов.
Другой яркий пример привел технический директор центра защиты информации компании «Конфидент» Валерий Безгузиков. Он участвовал в аудите и аттестации нового дата-центра «Газпрома», где вся информация хранится на виртуальных серверах. Аттестация прошла быстро и успешно, и это при том, что у «Газпрома» в облаке была не только коммерческая тайна, но и государственная. «Были привлечены высокие специалисты, которые разработали способ обеспечения безопасности, отвечающий всем требованиям по защите данных», – комментирует Безгузиков.
Таким образом, есть как минимум два примера, когда компании добились от государства и регулятора понимания специфики и признания виртуальных сред, которые позволяют предоставлять сервисы.
По словам Сергея Петренко, в банковской сфере и телекоме понимание того, каким требованиям должны отвечать виртуальные системы хранения данных, уже сложилось. Крупные софтверные компании лидируют в области использования виртуальных машин, при этом они хранят и обрабатывают самое дорогое, что имеют, – свои программы, дополняет Вадим Кропотов. Они не боятся виртуальных вычислений, так как знают, что с помощью виртуальных платформ можно гибко управлять всеми информационными мощностями: сегодня основные ресурсы бросают на то, чтобы писать программы, а завтра – на их тестирование. Такая гибкость побуждает и крупные проектные организации использовать облака: они также прекрасно знают, чем может обернуться потеря информации, и вопросам безопасности уделяют особое внимание.
Свой сервер ближе
Есть одна очень важная деталь: в настоящее время виртуальные решения воплощаются в основном во внутренних облаках. «Есть две большие разницы – виртуальные вычисления сами по себе и аутсорсинг облачных ресурсов. Если говорить об использовании систем виртуализации, в банках виртуальные серверы внедряются и будут внедряться дальше – это позволяет экономить на покупке новых серверов, электричестве, площадях. Но облачные платформы мы, как и другие банки, ставим на свои серверы. Поскольку мы обрабатываем и храним банковскую и коммерческую тайны, отдать хранение данных куда-то вовне сегодня невозможно», – признает директор департамента информационной безопасности и охраны СПб Инвестиционного банка КИТ Финанс Алексей Булгаков.
В свою очередь, в теории эволюция в сторону использования возможностей дата-центров и выноса своего облака вовне естественна. «Это логично: сделал виртуализацию у себя, следующий шаг – отдать свои серверы под крышу дата-центров, где уровень физической защищенности явно выше. А потом можно задуматься и о работе со специализированными компаниями, создающими и поддерживающими виртуальную инфраструктуру, – рассуждает Булгаков. – Но для совершения даже первого шага нужно, чтобы дата-центры показали, что они в состоянии поддерживать тот уровень конфиденциальности, целостности и доступности данных, который я обеспечиваю сам».
Таким образом, главная проблема – ЦОДы и сервис-провайдеры: вместе и по отдельности они пока не готовы предоставлять и гарантировать конфиденциальность, целостность и доступность. «Мы как оператор связи находимся посередине между клиентами и теми, кто предлагает удаленное хранение данных, и на самом деле участвуем в услуге, поскольку обеспечиваем доступ. Мы видим, что есть серьезный сдерживающий фактор: никто не может доказать клиенту, что отдать информацию в виртуальный сервер ЦОДа – это действительно безопасно», – поделился технический директор петербургского филиала компании «Сумма Телеком» Сергей Аксенов.
Перепалка
И очевидно, что основная проблема здесь не столько в обеспечении защиты и доступности, сколько в отсутствии взаимодействия между участниками разных рынков. «Говорят, что ЦОДы могли бы как-то активнее рекламировать возможности размещения данных на виртуальных мощностях, – поясняет Максим Дюбарев. – Но это все ерунда по сравнению с тем, что нам, корпоративным клиентам, дата-центры в большинстве случаев не могут оказывать сложные услуги по управлению ресурсами центра. Например, защиту от DDOS-атак и возможность управлять внутренними сетями».
Услуги дата-центров по предоставлению условий для хранения данных и услуги по хранению данных в виртуальном пространстве – это совершенно разные виды бизнеса, со своими спецификой и требованиями, подчеркивает генеральный директор компании «Миран» Игорь Ситников. ЦОДы готовы гарантировать бесперебойность питания, температурный режим – то, что традиционно просят клиенты, но они не должны разбираться в чужом бизнесе. «Если компания готова платить за защиту от DDOS-атак, мы можем ее предоставить, но таких запросов нет», – замечает Ситников.
В целом похожий диалог состоялся по вопросам информационной безопасности. «Услуга, которую покупает клиент, – это аренда информационных ресурсов, но что он на них хранит и как защищает – это проблемы самого клиента», – утверждает директор департамента информационных технологий компании «Северен-Телеком» Алексей Мартынов. Коллегу поддерживает коммерческий директор компании «Селектел» Федор Русаков: «За все время, что я работаю со средним и мелким бизнесом, размещающим данные у нас, не было ни одного запроса от клиентов по вопросам информационной безопасности, никто никогда не упоминал ФЗ №152 „О защите персональных данных“».
С такой позицией не согласен Владимир Подзоров: «Специалисты дата-центров говорят: клиенты нас ни разу не спрашивали о соблюдении безопасности, так зачем нам им объяснять ее необходимость? За этим, по-моему, дата-центры скрывают представление о том, что специалисты по ИТ-безопасности – некие нахлебники». Требования к защите персональных данных возникли, и полное игнорирование вопросов безопасности приводит к тому, что клиенты и ЦОДы, что хранят персональные данные третьих лиц, в случае проверки окажутся оштрафованы, потому что сегодня на рынке фактически нет защищенных по всем стандартам дата-центров.
Сами себе спасители
Понятно, что причина взаимных претензий – не в отсталости представителей отдельных рынков, а в отсутствии совместных проектов. «К специалистам из сферы ИТ-безопасности у нас тоже есть претензии, потому что решения, ориентированного на сервис-провайдеров услуг виртуальных систем хранения данных, которое мы могли бы купить и легко перенести по кусочкам на своих клиентов, нет», – констатирует Максим Дюбарев. Безусловно, на рынке не хватает консенсуса между держателями облаков, ЦОДами и специалистами ИТ-безопасности и наконец между всеми упомянутыми и операторами по передаче данных, считает Сергей Аксенов. Для ускоренного развития новых услуг очень не хватает развития принципа «одного окна», чтобы, обратившись к оператору, можно было получить услугу по хранению данных в ЦОДе или на виртуальной платформе и, наоборот, клиент ЦОДа мог выбирать между предложениями операторов связи.
Для развития виртуальных сервисов очень важны (может быть, больше, чем что-то иное) совместные действия специалистов службы информационной безопасности и разработчиков софта, уверен Сергей Петренко. Очевидно, что похожую встречную эволюцию при реализации сложных виртуальных решений проделывают и программисты.
Важно отметить мысль, которая стала рефреном на круглом столе: внешняя среда, общий информационный фон в целом способствуют принятию технологий виртуализации. «Это нормально – люди так устроены, что все новое поначалу вызывает опасения, – размышляет руководитель отдела обслуживания компании „ОБИТ“ Михаил Телегин. – Но в сфере популяризации виртуальных вычислений многое сделано благодаря общим тенденциям рынка ИТ, распространению IPhone или онлайн-сервисов от Google. Для многих виртуализация – это модно». Поэтому когда компания вдруг осознает, что сервер, который обслуживает внутреннюю сеть, устарел и надо покупать новый, то приходит понимание необходимости воспользоваться услугами провайдера и поместить данные на виртуальный сервер. «Опыт личного общения с клиентами говорит о том, что сегодня у них нет боязни размещения данных в облаке. При смене своего оборудования многие компании рассматривают варианты прихода в дата-центры и размещения данных во внешнем облаке, многие первые шаги в этом направлении уже совершили – некие малозначительные данные уже вынесли», – рассказывает директор по развитию продуктов и услуг СПб филиала «ВЕСТ КОЛЛ» Вероника Балашова.
Фактор влияния внешней среды побуждает смотреть на государственные инициативы шире – не только с позиции сложности выполнения закона о персональных данных. Сегодня в центре внимания находится программа по развитию электронных госуслуг, и если бизнес увидит эффективность системы электронных услуг, то очевидным образом улучшится и отношение к удаленному хранению данных, полагает Вадим Кропотов. По мнению Валерия Безгузикова, то, что российское законодательство мешает развиваться рынку ИТ, – это миф. Многие еще долго не задумывались бы о защите персональных данных клиентов, если бы не закон, побуждающий их это делать, поэтому 152-й федеральный закон – очень важный этап в развитии отрасли.
Подобный взгляд на принуждение к безопасности не так узконаправлен, как может показаться. Можно провести очевидную параллель, например, с историей рынка страхования. Сегодня страховая культура, по оценкам специалистов, лучше развита у автомобилистов, и в основе этого – принудительное страхование ответственности водителя. Информационная безопасность в чем-то очень похожа на страхование, и третьи лица страдают от несоблюдения безопасности не реже, чем в случае с несоблюдением мер предосторожности, например, водителями. Повышение общей культуры информационной безопасности явно пойдет на благо всем заинтересованным в развитии рынка ИТ. А в деле развития виртуальных способов хранения данных всем компаниям лучше, как говорится, начать с себя – с разрешения проблем взаимодействия.