Европа в Облаках. Как гибкое сделать надежным
При поддержке Де Ново
В предыдущей статье мы начали живописать практику внедрения стратегии Cloud First в ЕС. Европейский педантизм позволил запустить работу, несмотря на немыслимый уровень согласований и достижения требуемого компромисса между странами-участницами. Завершим нашу короткую экскурсию в мир ответственных профессионалов, где здравый смысл и общие интересы побеждают популизм и хуторянство.
Облачная Европа, которой можно доверять
Детальные рамки использования облачных вычислений в госсекторе были обозначены в ходе разработки концепций Trusted Cloud Europe (ECP) и Cloud-for-Europe (C4E), которые являются самостоятельными частями общей программы European Cloud Partnership.
В своем базовом виде ECP представляет собой «каркас» (framework), в рамках которого предлагаются различные варианты содействия государственным и частным европейским организациям в вопросе приобретения и продажи сервисов, а также рассматриваются механизмы обеспечения безопасной и надежной работы облачных инфраструктур.
Схема концепции (framework) Trusted Cloud Europe. Источник: финальный отчет Establishing a Trusted Cloud Europe, подготовленный для Европейской комиссии в 2014 году
В свою очередь инициатива C4E ориентирована сугубо на госструктуры. Одна из ее основных задач - определить условия тендеров на закупку облачных услуг для организаций ЕС. Отметим, что все упомянутые программы и концепции — ECP, TCE, C4E — в том или ином виде были официально утверждены и запущены в период 2012-2014 гг.
От пилотного проекта к практической реализации
Очевидно, что эти инициативы носят скорее концептуальный характер, чем вид конкретных рекомендаций. Это объясняется тем, что разработчикам первых версий облачной стратегии приходилось работать в условиях большой неопределенности в отношении не только будущего, но и настоящего. Поэтому базовая версия документа получилась сугубо программной — т.е. максимально абстрактной и всеобъемлющей. Но по мере реализации идей, заложенных в стратегии, стало всплывать все больше насущных вопросов, ответы на которые появлялись в новых версиях документа.
В декабре 2014 года под контролем DIGIT был проведен пробный тендер (Cloud1) по выбору облачных поставщиков. Полученный опыт был использован во время внедрения новых сервисов и выбора облачных операторов для других официальных структур Евросоюза.
Развитие практик в данном вопросе постоянно отслеживается со стороны DIGIT, по результатам использования сервисов публикуются регулярные отчеты.
Важно: в специальном отчете Еврокомисии за 2018 год отмечено, что облачные вычисления показали значительные преимущества, в частности, за счет сокращения затрат, уменьшения времени, необходимого для внедрения новых сервисов, повышения гибкости, доступность масштабируемости IT-инфраструктур. Там же рекомендовано дальнейшее углубление использования облачных технологий, например, за счет создания большего количества сервисов для IT-профессионалов (в т.ч. разработчиков программного обеспечения).
Еврооблако 2019
Посмотрим на результат, достигнутый в «облачном вопросе» на данный момент. Надо сказать, что это далеко не окончательный итог, поскольку технологии развиваются, в результате чего корректируется и программа действий. Наиболее свежие данные о состоянии дел в области общеевропейской облачной стратегии можно получить из обновленной версии документа European Cloud Strategy, вышедшей в 2019 году. Здесь отражен целый ряд принципиальных моментов, описывающих эволюцию идеи облачных моделей в европейском IT-сообществе.
С одной стороны, вопросы экономической эффективности, безопасности данных и энергоэффективности все также ставятся во главу угла. Но, вместе с тем появилось немало новых аспектов. Так сделан вывод о том, что госзаказчикам необязательно привязываться к одному поставщику. Вместо этого рекомендуется развивать мультиоблачный подход, выбирая оптимальное решение для каждой конкретной задачи.
Отдельное внимание уделено направлению микросервисов, в использовании которых видится наибольший потенциал развития облаков на ближайшие годы. Соответственно, в этих условиях DIGIT работает над разработкой рекомендаций по оркестрации подобной среды. При этом настоятельно рекомендуется там, где это уместно, отдавать предпочтение стандартным или типовым решениям и услугами. Кроме того, IT-отделам рекомендуется перейти к использованию в разработке ПО гибких облачных методологий, таких как DevSecOps с ориентацией на микросервисы.
Вместе с тем, для госструктур, которые не могут отказаться от локальных IT-платформ, рекомендуется максимально использовать потенциал гибридных облаков, сочетающих частные и публичные площадки.
В сфере обеспечения кибербезопасности разрабатывается и частично внедряется специальная программа GovSec, в рамках которой осуществляется практическая поддержка процессов управления рисками для облачных систем. Для оценки рисков в данном случае используется методология ITSRM2, каталог которой все время расширяется, учитывая появление новых видов угроз безопасности.
Также активно реализуется идея «цифрового рабочего места» (Digital Workplace), в рамках которой все большее количество сотрудников вне зависимости от своего местоположения, может получать доступ к самым современным IT-сервисам по модели SaaS. В числе наиболее востребованных типов приложений называют электронную почту, календари, унифицированные коммуникации и средства удаленной коллективной работы (Unified Communication & Collaboration tools).
Отметим и усиление роли DIGIT, который берет на себя все больше функций — этот департамент за прошедшие годы существенно нарастил компетенции, что позволяет ему не только содействовать госструктурам в вопросе выбора поставщика, но и осуществлять более глубокую техническую экспертизу. Например, на DIGIT возложена задача создания детальных руководств, эталонных архитектур и шаблонов, помогающих в построении различных облачных ландшафтов (в т.ч. на основе лучших мировых практик). Данная структура также отвечает за накопление и эффективное использование отраслевого опыта в сфере кибербезопасности и управления облаками. Более того, согласно нынешним планам, DIGIT вскоре будет играть роль единого межинституционального посредника в сфере облачных сервисов для госсектора на уровне ЕС (эту миссию департамент Еврокомиссии выполняет с 2015 года, но лишь для ограниченного круга заказчиков).
Работа над ошибками или выученные уроки
Каждая новая версия европейской облачной стратегии, кроме всего прочего, содержит специальный раздел, в котором разбираются сложности, с которым пришлось столкнуться за последнее время, а также то, какие действия предприняты для их преодоления. Он так и называется - Lessons Learned («Выученные Уроки»). В документе за 2019 год упомянуто полтора десятка таких уроков. Коротко рассмотрим лишь некоторые, наиболее общие, из них.
Например, выяснилось, что несмотря на активное внедрение облачных приложений в работе государственных и коммерческих предприятий, пользователи далеко не всегда активно ими пользуются, предпочитая сторонние инструменты — такие как внешние сервисы хранения файлов (Dropbox), мессенджеры (WhatsApp) и др. Для этого явления даже был введен термин «теневые IT». Проблема здесь видится в том, что общедоступные сервисы зачастую нарушают корпоративный периметр безопасности являются потенциальной точкой утечек информации и проникновения киберугроз. Решать эту потенциальную проблему предлагается не путем запретов, а за счет внедрения приложений и сервисов, которые были бы удобны для пользователей — благо, на рынке есть из чего выбрать.
Еще один «урок» связан с тем, что в случае IT-систем Еврокомиссии, не лучшим образом показал себя условно гибридный подход off-premise private cloud, при котором виртуализированная инфраструктура, принадлежащая предприятию, просто размещается у внешнего оператора. Главной проблемой здесь стал вопрос интеграции между облачными и внутренними (on-premise) мощностями ЕК. Интеграция оказалась чрезвычайно сложной и громоздкой, настолько, что сейчас рассматривается вопрос миграции на мощности публичных площадок. Но здесь, в свою очередь, возникает вопрос обеспечения безопасности данных. В общем, есть над чем подумать.
Также было отмечено, что несмотря на преимущества облачных технологий, их потенциал полностью раскрывается только с использованием приложений, изначально ориентированных именно на эту среду (т.н. Cloud Native). Традиционнее ПО тоже хорошо работает, но все же не столь эффективно.
Например, EurLex — официальный сайт европейского законодательства — пытался перенести свои нагрузки в облако, но столкнулся с тем, что подходящая платформа не поддерживает ядро их продуктивной системы. Пришлось оперативно адаптировать большие фрагменты устаревшего ПО к современным реалиям. В противоположность этому случаю, Европейское агентство по безопасности на море (European Maritime Safety Agency, EMSA) при переносе нескольких основных IT-систем с внутренней площадки в облако изначально создала для них новую программную Cloud Native среду. Следствием этого стало не только повышение эффективности работы, но и сокращение объема кода на 95%, по сравнению с устаревшей версией программного обеспечения.
Важный вывод был сделан на основе детального изучения и накопления практического опыта в вопросе обеспечения облачной киберзащиты. Оказалось, что вопреки распространенному мнению, использование общедоступных облачных ресурсов, при их квалифицированном применении, повышает уровень безопасности IT-инфраструктуры организации. Это связано с тем, что непрофильной организации крайне сложно обеспечить эффективный внутренний аудит безопасности, а для облачных операторов — это часть повседневной работы. К тому же, опыт Еврокомиссии показал, что использование общедоступных облачных сервисов киберзащиты позволил снизить количество атак на электронную почту организации (особенно докучал «фишинг») на 80%.
Более того, публичные облака оказались способны существенно повысить отказоустойчивость государственных IT-инфраструктур. В этом сама Еврокомиссия смогла убедиться в начале 2018 г., когда произошел инцидент, получивший имя Skyfall. В какой-то момент скрытая ошибка в системе управления IT-инфраструктурой спровоцировала одновременную перезарузку множества серверов, находящихся в собственных дата-центрах ЕК. В результате на длительное время был потерян доступ к целому ряду важных рабочих инструментов — электронной почте, мессенджерам и т.д. Частично спас ситуацию оперативный переход на доверенные облачные сервисы, развернутые в публичных облаках. В ходе расследования инцидента комиссия пришла к выводу, что настоящей причиной сбоя стала слишком высокая сложность собственных IT-систем, которые десятилетиями развивались в различных дата-центрах. Как следствие в них присутствуют т.н. скрытые единичные точки отказа (Hidden Single Points of Failure), которые чрезвычайно трудно выявить. При этом современные облачные инфраструктуры лишены такого «тяжелого наследия».
Сейчас особое внимание уделяется технологиям работы с большими данными (Big Data) и алгоритмам машинного обучения, которые, как считается, смогут существенно повысить эффективность использования облачных сред.
Насущные организационные и юридические вопросы треубют гармонизации европейского и американского законодательств в сфере обработки и хранения персональных данных. С одной стороны ЕС стремится к глобальному облачному партнерству, открывающему новые возможности, но с другой, действующее законодательство США противоречит требованиям Евросоюза в вопросах обработки и хранения персональных данных граждан содружества.
Опыт Cloud First в мире. Зачем это Украине?
Краткий анализ историй по реализации облачных стратегий в развитых странах говорит не столько о праве на жизнь концепции Cloud First, сколько о доказанной необходимости ее внедрения всеми, кто отстает. Иначе этот разрыв между лидерами и аутсайдерами станет непреодолимым.
В Украине законопроект №2655, описывающий наш вариант Cloud First, может быть вынесен на голосование в Раду этой весной. Предвкушая вал аргументов против облачной трансформации, я призываю любителей традиций и старины не позориться. Опыт соседей не подтверждает ни одно их ваших опасений и пугалок.
Я утверждал много раз: уникальность нынешнего положения Украины в том, что с позиции отстающего можно видеть и в полной мере использовать успешный опыт лидеров, учитывая при этом ошибки, допущенные первопроходцами.
Облачные истории Великобритании и стран ЕС говорят об одном им том же: только систематическая работа по стратегированию, интенсивные коммуникации, проектирование действий и постоянный анализ результатов могут привести к желаемому результату.
В существующей комбинации правил, инструкций, в самой расстановке ведомственных сил наш гос. аппарат не сможет реализовать никакую трансформационную инициативу. А изобретение украинского «облачного велосипеда» поглотит любой объем выделенной энергии с нулевым результатом.
Если же мы все напряжемся и, одолжив рабочие конспекты у соседей, повторим хотя бы половину их работы, то через несколько лет IT-ландшафт Украины будет выглядеть совсем иначе, а при слове «IT» мы будем думать не о ФОП-разработчиках для других, а о сервисных операторах для себя. И экономика подтвердит это цифрами.
Автор - Максим Агеев, CEO Де Ново