Chmura prywatna: bezpieczeństwo i elastyczność w jednym

chmura
chmura prywatna
Data Space
03.12.2019 Data Space

Mija właśnie pierwsza dekada wielkich triumfów chmury obliczeniowej. Nie ma wątpliwości, że cechy, które kategoria ta wprowadziła do świata IT – dostępność, elastyczność i łatwość zarządzania – na zawsze odmieniły całą naszą branżę. 

Jest jednak jedna rzecz odnosząca się do cloud computingu, która do dziś budzi niemałe kontrowersje: bezpieczeństwo danych przechowywanych w chmurze publicznej. Czy da się więc ochronić swoje zasoby przed dostępem do nich osób trzecich, jednocześnie wykorzystując wszystkie szanse, które otwiera przed nami chmura? Okazuje się, że tak – wystarczy postawić na chmurę prywatną.

Dlaczego chmura?

Przypomnijmy na początku, dlaczego firmy wykorzystujące intensywnie zasoby obliczeniowe stawiają obecnie na cloud computing. Dzieje się tak przede wszystkim dlatego, że chmura umożliwia traktowanie infrastruktury jako usługi, a więc zwalnia przedsiębiorców z konieczności budowania własnego zaplecza obliczeniowego. Nie musimy już szukać miejsca, w którym umieścimy nasze serwery, nie musimy ich kupować i instalować, wreszcie nie musimy nimi na bieżąco zarządzać.

Wszystkie te czynności spadają na barki dostawcy chmury, co rodzi dla nas ponadprzeciętne oszczędności i pozwala na skupienie uwagi na istocie naszego biznesu. Co więcej, dostawca chmury udostępnia nam online’owy panel administracyjny, z poziomu którego możemy zarządzać naszą pulą zasobów: samymi maszynami, storage’em i konfiguracją sieciową. Na koniec dnia możemy więc łatwo i samodzielnie uruchomić dowolną aplikację biznesową – bez wychodzenia z biura, bez wizyt w centrum danych i bez dużych nakładów finansowych.

Taka architektura dostarczania infrastruktury obliczeniowej stała się możliwa dzięki wirtualizacji. Jest to mechanizm działający pomiędzy warstwą sprzętową a warstwą systemu operacyjnego, który pozwala tworzyć tzw. wirtualne maszyny (zwane często VM, ang. Virtual Machines). Dzięki niemu na jednym fizycznym serwerze może powstać i działać kilka wirtualnych maszyn, mających wszystkie cechy klasycznego serwera, a więc możliwość instalacji na nich systemów operacyjnych, a następnie samych aplikacji.

Maszyna wirtualna ma kilka niesamowitych przewag nad serwerem dedykowanym.

Pierwszą jest możliwość jej szybkiego uruchomienia. Wystarczy zalogować się do panelu administracyjnego chmury i określić, jaki typ maszyny chcemy uruchomić – ile potrzebujemy rdzeni, jak dużo RAM, jak mają być skonfigurowane interfejsy sieciowe etc. W kilka minut będziemy mieli gotową do pracy instancję obliczeniową. 

Drugą przewagą takiej maszyny jest jej logiczny (a nie fizyczny) charakter, z czego wynika, że bardzo łatwo możemy ją przenieść, sklonować, zrobić snapshot lub zmienić parametry nawet w trakcie jej działania. Dostępność na żądanie i elastyczność maszyny wirtualnej sprawiają, że chmura stała się dziś standardem w korzystaniu z zasobów obliczeniowych.

Ograniczenia chmury publicznej

Powszechnym sposobem korzystania z chmury obliczeniowej jest sytuacja, w której jeden dostawca inwestuje w centrum danych (budynek, jego zabezpieczenia, systemy przeciwpożarowe), fizyczny sprzęt (serwery, storage, urządzenia sieciowe), a następnie wirtualizuje  takie zasoby i udostępnia je za pomocą publicznych interfejsów – może to być panel administracyjny lub API. Mówimy wtedy o tzw. chmurze publicznej. Dzięki niej każdy, kto posiada konto, może uruchomić jedną lub wiele maszyn wirtualnych znajdujących się w homogenicznej puli zasobów. 

Scenariusz ten zakłada zgodę użytkownika na kilka rozwiązań związanych z architekturą, których powinniśmy być świadomi.

  1. Dostawca buduje jedną pulę zasobów, które nie są od siebie fizycznie odizolowane. Oznacza to, że w jednym centrum danych i w puli tych samych serwerów fizycznych funkcjonują środowiska różnych użytkowników.
  2. Izolacja środowisk uruchomieniowych różnych użytkowników odbywa się na poziomie warstwy wirtualizacji, do której de facto użytkownicy też nie mają dostępu, a więc nie sprawują nad nią kontroli.
  3. Kontrola nad sprzętem i jego konfiguracją, kontrola nad warstwą aplikacyjną, a także sposoby autentykacji, autoryzacji i kontroli dostępu do zasobów znajdują się w całości w rękach dostawcy.
  4. Często regulaminy funkcjonowania chmur publicznych zawierają klauzule, które sprawiają, że kwestia własności przechowywanych w nich danych staje się niejednoznaczna. W skrajnym wypadku może powodować nawet interpretację, która przypisuje własność danych do dostawcy chmury.

Rozumienie powyższych ograniczeń jest kluczowe przy podejmowaniu decyzji o wyborze chmury publicznej. To swego rodzaju kompromis, w którym za łatwość zarządzania zasobami oraz oszczędności na poziomie CAPEX (https://pl.wikipedia.org/wiki/CAPEX) godzimy się na częściową utratę kontroli nad naszym środowiskiem. O ile takie rozwiązanie jest korzystne w wypadku biznesów, które nie pracują z danymi wrażliwymi, a także mogą sobie pozwolić na ewentualne ograniczenia lub przestoje w działaniu ich systemów IT, o tyle w wypadku firm, dla których systemy informatyczne i przetwarzane w nich dane stanowią krytyczną wartość dla procesów biznesowych, powinniśmy poszukać innego rozwiązania.

Chmura prywatna. Jak to działa?

Czy istnieje zatem rozwiązanie, które sprawia, że firmy mogą korzystać z zalet cloud computingu, przy jednoczesnym zachowaniu kontroli nad zasobami i danymi? Okazuje się, że tak – jest nim chmura prywatna. Ponieważ na rynku istnieje kilka sposobów definiowania tego, czym jest takie podejście, spróbujmy na początku uściślić nasze rozumienie takiej architektury.

W najprostszym ujęciu chmurą prywatną będziemy nazywali taką konfigurację infrastruktury i oprogramowania, która pozwala użytkownikowi na korzystanie z zasobów obliczeniowych jako usługi, tj. z wykorzystaniem mechanizmów wirtualizacji i panelu administracyjnego, ale w ramach izolowanej, prywatnej puli zasobów fizycznych. Obrazowo możemy opisać tę sytuację za pomocą warstw.

1. Warstwa centrum danych

W ramach chmury prywatnej dostawca zapewnia użytkownikowi dostęp do przestrzeni w jego centrum danych wraz ze wszystkimi mechanizmami pozwalającymi na ochronę fizyczną zasobów. 

2. Warstwa serwerów fizycznych

Dostawca chmury prywatnej dostarcza klientowi serwery fizyczne, które są ulokowane w określonym miejscu centrum danych. Klient może mieć wpływ na to, jakie to są serwery i jak zostaną skonfigurowane, co pozwala na zaspokojenie jego potrzeb w zakresie personalizacji usługi. Warstwa serwerów fizycznych jest całkowicie odizolowana od serwerów innych użytkowników w centrum danych.

3. Warstwa sieci

Dostawca chmury prywatnej dostarcza klientowi urządzenia sieciowe oraz łącza, które umożliwiają wewnętrzną i zewnętrzną komunikację jego infrastruktury. Klient może również mieć tutaj wpływ na to, jakie urządzenia i o jakich parametrach mają obsługiwać jego ruch. Warstwa sieci jest również odizolowana od przyłączy innych użytkowników.

4. Warstwa wirtualizacji

Dostawca chmury prywatnej na życzenie klienta instaluje hiperwizor, który pozwala na zwirtualizowanie przygotowanych wcześniej zasobów (warstwy 1 – 3). Znów klient może wybrać, z jakiego rodzaju hiperwizora chce korzystać (np. KVM, Hyper-V, Xen, vSphere), a dostawca chmury prywatnej zainstaluje mu odpowiednie środowisko. Klient może dostarczyć swoją licencję na hiperwizor, zamówić zakup licencji u dostawcy, albo poprosić o wykorzystanie oprogramowania typu open source.

5. Warstwa zarządzania

To zestaw aplikacji, które pozwalają użytkownikowi na samodzielne zarządzanie swoją infrastrukturą z poziomu aplikacji zarządczych. Aplikacje te pozwalają na zakładanie kont użytkowników oraz dostęp do panelu administracyjnego, w ramach którego klient samodzielnie uruchamia maszyny wirtualne, konfiguruje usługi i aplikacje. Przykładem takiego zestawu narzędzi może być OpenStack lub vCloud.

Główne różnice między chmurą publiczną a chmurą prywatną polegają na dostępie do zasobów obliczeniowych. Chmura prywatna ogranicza ten dostęp tylko do puli wskazanych użytkowników (często tylko z jednej organizacji). Co więcej, same zasoby są odizolowane i odpowiednio zabezpieczone na wszystkich warstwach: centrum danych, serwerów fizycznych oraz sieci.

Chmura prywatna: kontrola, bezpieczeństwo i… prawie wszystkie zalety chmury

Co wynika z takiego podejścia? Przede wszystkim użytkownik korzystający z chmury prywatnej odzyskuje kontrolę nad tym, z jakiego sprzętu, aplikacji i jakiej konfiguracji całego środowiska korzysta. W ten sposób może je łatwo dostosować do swoich potrzeb oraz możliwości budżetowych. Odzyskanie kontroli pozwala także na dowolne zdefiniowanie polityki bezpieczeństwa, metod autoryzacji oraz kontroli dostępu. Cała chmura prywatna jest przeznaczona tylko dla jednej organizacji, a więc może być w każdym aspekcie dostosowana tylko do jej oczekiwań.

Drugą bardzo ważną konsekwencją tak zbudowanego środowiska jest jego bezpieczeństwo. Użytkownicy chmury prywatnej mają gwarancję izolacji ich zasobów obliczeniowych na poziomie fizycznym, a także pewność, że ich maszyny wirtualne są uruchamiane tylko i wyłącznie na wskazanych przez nich zasobach. Dodatkowo, ruch sieciowy przechodzi przez dedykowane łącza. Wszystko to sprawia, że wszelkie rozwiązania IT, które wytwarza, lub z których korzysta organizacja, mogą być testowane i uruchamiane w całkowicie zabezpieczonym środowisku uruchomieniowym. 

Najważniejsze jednak jest to, że użytkownicy chmury prywatnej zyskują w ten sposób niemal wszystkie zalety chmury obliczeniowej w ogóle. Po pierwsze, mogą uruchamiać usługi i aplikacje w trybie na żądanie, a więc wtedy, gdy faktycznie zachodzi taka potrzeba. W sposób znaczący skraca to czas, jaki upływa od podjęcia decyzji o wdrożeniu do posiadania gotowego środowiska. Co więcej, takie środowiska pracują tylko wówczas, gdy są faktycznie wykorzystywane – maszyny wirtualne mogą być włączane i wyłączane zgodnie z bieżącym zapotrzebowaniem, a to generuje duże oszczędności i pozwala na precyzyjne monitorowanie wykorzystywanych zasobów.

Po drugie, w sposób znaczący zmniejszają się również nakłady potrzebne na obsługę chmury prywatnej. Teraz zdecydowaną większość działań administracyjnych można wykonać za pomocą panelu administracyjnego: możemy zmieniać konfigurację maszyn i usług bez konieczności odwiedzania centrum danych, co ostatecznie pozwoli na zatrudnienie mniejszej liczby osób związanych z działaniami administracyjnymi.

Finalnie, zwróćmy uwagę na elastyczność takiego rozwiązania. Dzięki chmurze prywatnej możemy zdefiniować pulę zasobów fizycznych, gotową do obsługi naszych zadań, i w jej ramach skalować zakres aktualnie wykorzystywanych zasobów wirtualnych. Jeśli zapotrzebowanie na zasoby wzrośnie, z łatwością włączymy kolejne maszyny, tak by obsłużyć ruch, a kiedy takie zapotrzebowanie zmaleje, maszyny te mogą być wyłączone. Co więcej, dostawca chmury prywatnej może zapewnić nam usługę łatwego skalowania na żądanie naszej puli fizycznej, a więc nawet nagłe i bardzo duże zapotrzebowanie na zasoby może w ten sposób być zaspokojone.

Kto i kiedy sięga po chmurę prywatną?

Wśród użytkowników chmury prywatnej znajdziemy głównie te organizacje, których zapotrzebowanie na zasoby obliczeniowe jest stosunkowo duże i które mają świadomość znaczenia ochrony przetwarzanych przez siebie informacji. W pierwszej kolejności znajdziemy tutaj więc instytucje finansowe, ubezpieczeniowe czy też podmioty, które przetwarzają dane medyczne. 

Kolejnymi przedsiębiorstwami sięgające po chmurę prywatną są firmy, które same świadczą usługi dla wielu klientów. Tutaj znajdziemy przede wszystkim dostawców hostingu współdzielonego (dla nich możliwość szybkiego uruchamiania nowych maszyn wirtualnych jest zbawienna) czy też agencje marketingowe – te zaś cenią sobie możliwość łatwego uruchomienia strony internetowej, landing page lub całej kampanii online.

Chmura prywatna będzie także dobrym rozwiązaniem dla firm, które potrzebują skalowalnych rozwiązań związanych z trudnym do przewidzenia ruchem pochodzącym z internetu. Możliwość szybkiej reakcji na duże obciążenie infrastruktury poprzez uruchomienie nowych maszyn wirtualnych i wykorzystanie np. load balancingu (https://pl.wikipedia.org/wiki/R%C3%B3wnowa%C5%BCenie_obci%C4%85%C5%BCenia) docenią bez wątpienia sklepy internetowe lub dostawcy oprogramowania w modelu SaaS (Software-as-a-Service).

Jak zacząć korzystać z chmury prywatnej?

Jednym z powodów, dla których firmy sięgają po chmurę prywatną, jest chęć wykorzystania jej w formie usługi, a co za tym idzie, przerzucenie pracy związanej z jej uruchomieniem na zewnętrznego dostawcę. Stąd też najważniejszym krokiem, który musimy wykonać jako klient, jest wybór właściwego dostawcy. Na co zwrócić uwagę? 

Przede wszystkim, sprawdźmy specyfikację centrum danych, którym dysponuje dostawca – powinno ono spełniać wymogi standardu Tier III+ (więcej o standardach przeczytasz tutaj: https://sicd.pl/klasyfikacja-tier-centrum-danych/). Co więcej, dostawca powinien również móc przedstawić nam certyfikaty ISO 9001 oraz ISO 27001, które potwierdzają, że firma wypełnia wymogi procedur związanych z zarządzaniem bezpieczeństwem danych.

Warto też zwrócić uwagę na oferowany poziom SLA (gwarancję dostępności usług), który nie powinien być mniejszy niż 99,95% czasu w miesiącu. Finalnie sprawdźmy opinie o dostawcy i przejrzyjmy portfolio jego klientów. 

Jeśli wszystko będzie w porządku, skontaktujmy się z dostawcą, który na pewno przeprowadzi nas przez proces uruchomienia naszej pierwszej chmury prywatnej. Jeśli chciałbyś zacząć ten proces już teraz, odwiedź naszą stronę https://dataspace.pl/chmura-prywatna/ i zobacz dostępne tam gotowe pakiety, lub skontaktuj się z nami poprzez umieszczony tam formularz.

Data Space
Data Space kontakt@dataspace.pl Naszą misją jest być najlepszym wyborem dla firm, które muszą być online bez względu na wszystko, przez 24 godziny, 7 dni w tygodniu, 365 dni w roku. Dostarczamy im platformę składającą się z najbardziej zaawansowanych rozwiązań z zakresu infrastruktury IT.
Newsy
Za czym stoi ta kolejka? Po adres IP!
Poradniki
Chmura prywatna: bezpieczeństwo i elastyczność w jednym