Bezpieczny dostawca usług chmurowych

Cloud computing, czyli usługowy model udostępniania i korzystania z zasobów informatycznych, realizowany za pomocą połączenia sieciowego, to zjawisko, które może całkowicie zmienić świat nowych technologii. Fenomen chmury stanowi prostota i wygoda tego modelu dla użytkownika. Zamiast kupować na stałe pakiety oprogramowania i serwery, odbiorca kupuje funkcje, których w danym momencie potrzebuje. Nie musi samodzielnie niczego instalować, nie potrzebuje wykwalifikowanego personelu, który będzie wdrażał aktualizacje i dbał o ciągłość działania systemu. W dowolnym momencie może zrezygnować z części usługi lub zwiększyć jej zakres. A przecież większość firm działa w trybie sezonowym – branża handlowa prowadzi wielką mobilizację przed okresami świątecznymi, dla firm turystycznych lub ubezpieczeniowych gorącym okresem są tygodnie wakacyjne. W modelu chmury firma może dopasować ilość zasobów informatycznych do aktualnych potrzeb i płacić tylko za funkcje, których w danym momencie potrzebuje. W dłuższej perspektywie pozwala to osiągnąć spore oszczędności.

Spis treści

Jak wybrać bezpiecznego dostawcę usług chmurowych

Jednak cloud computing budzi również wśród odbiorców wiele pytań i obaw. Niełatwo jest postawić pierwszy krok w chmurze. Przekazując odpowiedzialność za zarządzanie naszymi zasobami IT na barki dostawcy musimy mieć pewność, że potrafi on zagwarantować bezpieczeństwo składowanych w chmurze danych i wysoką ciągłość dostarczania usługi. W jaki sposób prowadzić rozmowy z dostawcami, aby wybrać pewnego i zaufanego partnera? Poniżej przedstawiamy kilka rad dla przedsiębiorców, którzy przygotowują się do wdrożenia usługi chmurowej w firmie.

Gwarancja ciągłości realizacji usługi

Zaufany dostawca usługi chmurowej jest w stanie podpisać z nami umowę SLA gwarantującą czas działania usługi na poziomie 99,999%. Praktycznie rzecz biorąc mamy w tym wypadku większą gwarancję stabilności działania systemu, niż w wypadku tradycyjnego zakupu licencji i wdrożenia systemu w siedzibie firmy. Każdy przedsiębiorca posiadający w firmie platformy ERP czy CRM wie, że oprogramowanie doskonałe nie istnieje – wprowadzanie aktualizacji czy dodatkowych integracji często skutkuje tzw. „wysypaniem” się całości systemu, rozpaczliwymi telefonami do działu wsparcia dostawcy i mozolnymi próbami zidentyfikowania błędu. Wdrażając oprogramowanie w chmurze, przenosimy problem na dostawcę usługi. Możliwość wystąpienia błędów w czasie aktualizacji systemu? To nas nie interesuje. Dostawca gwarantuje poziom usługi; rozliczamy go z efektu.

Podczas podpisywania umowy z wysokim poziomem SLA warto jednak sprawdzić, czy nasz partner poważnie podchodzi do podjętego zobowiązania. System musi być w pełni redundantny i posiadać funkcję back-upu danych w czasie rzeczywistym. Serwer oprogramowania powinien zawsze być zdublowany w innej, oddalonej geograficznie lokalizacji, co zapewni niezależność od katastrof naturalnych czy ataków terrorystycznych. Aktywny serwer zapasowy stanowi lustrzany obraz serwera podstawowego i na bieżąco monitoruje jego działanie. W chwili wykrycia jakiegokolwiek problemu, serwer zapasowy natychmiast przejmuje całość funkcji - w sposób praktycznie nieodczuwalny dla odbiorcy usługi. Wszystkie dane są na bieżąco replikowane pomiędzy dwoma serwerami, natomiast długoterminowe obrazy systemu zostają dodatkowo zapisywane na zewnętrznym nośniku lub w chmurze.

Bezpieczeństwo fizyczne

Bezpieczne zduplikowane centra danych to fundament, na którym opiera się całe przetwarzanie w modelu chmury. To najważniejszy fragment w układance elementów, które zapewniają dobrą współpracę pomiędzy dostawcą a użytkownikiem usługi. Dlatego przed podpisaniem umowy chmurowej warto osobiście wybrać się do data center, aby dokładnie zapoznać się z wszystkimi stosowanymi tam procedurami bezpieczeństwa. Jeśli nie ma możliwości fizycznej wizytacji, poprośmy dostawcę o oprowadzenie wirtualne – dzięki technologii wideo możemy przecież „zwiedzić” każde miejsce na świecie bez konieczności wielogodzinnych podróży.

Podstawą bezpieczeństwa każdego obiektu jest kontrola dostępu i bezpieczeństwo fizyczne. Budynek data center nie może być otwarty dla osób z zewnątrz. Całodobowy monitoring wideo obiektu, umieszczenie serwerów w zamkniętych stalowych szafach, podwójna autoryzacja pracowników za pomocą kart elektronicznych oraz skanerów siatkówki oka to procedury, które powinno posiadać każde profesjonalne centrum danych dla usług w chmurze. Warto sprawdzić, czy systemy zasilania, chłodzenia oraz wewnętrzna infrastruktura sieciowa zostały zduplikowane na wypadek awarii. Czasami prosty przypadek, na przykład zerwanie kabla w czasie prac budowlanych prowadzonych w pobliżu data center, może zablokować dostarczanie usługi, zatem warto zapewnić połączenie kilkoma kablami do kilku operatorów. We wszystkich centrach danych Interactive Intelligence znajdują się nawet podwójne generatory prądu i zbiorniki paliwa zapewniające ciągłość usług w przypadku wielodniowej przerwy w dostawie energii – żadna katastrofa nie przeszkodzi nam w dostarczaniu klientom funkcji call center zgodnie z umową!

Bezpieczeństwo danych

Przekazanie danych zewnętrznemu partnerowi rodzi zazwyczaj największy opór i obawy przedsiębiorców. Często są to dane wrażliwe, na przykład dane osobowe klientów firmy. Wystarczy, że przypadkowo, przez jeden mały błąd ludzki, wyciekną do konkurencji – a przecież dostawca systemu obsługuje wiele firm z danej branży – a klient poniesie stratę trudną do zrekompensowania. Jednak istnieją procedury, które gwarantują zachowanie bezpieczeństwa danych wrażliwych przechowywanych w chmurze.

Przede wszystkim należy upewnić się, że system oferowany w chmurze jest w pełni zwirtualizowany i udostępniany w architekturze multi-instant, która umożliwia tworzenie na serwerze systemowym odrębnej instancji dla każdego odbiorcy usługi chmurowej. Obniża to koszty współpracy oraz zwiększa bezpieczeństwo przechowywania danych. W przypadku mniej zaawansowanej technologicznie architektury multi-tenant pojedynczy system jest wykorzystywany dla wielu różnych klientów. Taka struktura rodzi problemy integracyjne i administracyjne; nie jest również polecana klientom o restrykcyjnych wymaganiach w zakresie bezpieczeństwa.

Nie każda profesjonalna firma musi posiadać certyfikacje dla swoich produktów i usług, ale certyfikaty oznaczają gwarancję spełniania pewnych standardów, a zatem dodatkowy argument za podjęciem współpracy z danym partnerem. ISO 9001 to podstawowa norma, określająca wymagania, które powinien spełniać system zarządzania jakością w organizacji. Wartościowym certyfikatem określającym procedury wewnętrznej kontroli dla organizacji usługowych, przetwarzających poufne dane swoich klientów - takich jak firmy outsourcingowe lub dostawcy cloud computingu - jest amerykański certyfikat SSAE-16. Bardzo ważny dla usług chmurowych jest także PN-ISO/IEC 27001-2007, określający normy dla zarządzania bezpieczeństwem informacji.

W przypadku usługi Communication-as-a-Service, czyli udostępniania w chmurze systemu telekomunikacyjnego, zalecaną praktyką jest szyfrowanie wiadomości za pomocą TLS (Transport Layer Security) oraz SRTP (Real-time Transport Protocol). Dostawcy zaawansowanego oprogramowania telekomunikacyjnego bazują na standardzie AES 256. Jest to jeden z najsilniejszych kluczy szyfrowania, który jest potwierdzonym i zalecanym standardem bezpieczeństwa przez wiele międzynarodowych instytucji oraz departamentów bezpieczeństwa. Dodatkowo wszystkie protokoły nie będące aktualnie w użyciu są automatycznie blokowane za pomocą firewalla. System jest stale monitorowany pod kątem ewentualnych włamań, co zapobiega próbom kradzieży danych.

Elastyczność wdrożenia

W modelu chmury publicznej, przetwarzanie i składowanie informacji w całości odbywa się w całości w data center dostawcy; na stacjach roboczych klienta zostają zainstalowane jedynie niezbędne końcówki do zarządzania poszczególnymi funkcjami systemu. Dla odbiorcy usługi jest to najwygodniejszy model, zdejmujący z jego barków konieczność inwestycji w sprzęt i administracji oprogramowania. To idealne rozwiązanie dla firm z sektora MSP, nie posiadających rozbudowanych działów IT i nie chcących angażować się w procesy wdrożenia i utrzymania systemu. Jednak duże korporacje z sektora finansowego czy telekomunikacyjnego mogą postrzegać chmurę publiczną jako krok zbyt radykalny, ciężki do przeprowadzenia również ze względu na restrykcyjne wymagania prawne w zakresie zapewnienia bezpieczeństwa danych.

W przypadku wdrożenia systemów telekomunikacyjnych w chmurze, najczęściej rekomendujemy klientom tzw. model chmury prywatnej, łączący zalety zdalnego dostarczania usługi z kontrolą na poziomie lokalnym. W tym wypadku wszystkie dane wrażliwe, np. nagrania rozmów czy dane klientów firmy, pozostają w sieci wewnętrznej odbiorcy usługi. Wiele firm rozpoczyna swoją przygodę z chmurą właśnie od tego modelu, gwarantującego zachowanie kontroli nad informacjami kluczowymi dla prowadzenia biznesu.Nasze podejście jest proste. Po pierwsze, rekomendujemy klientowi utrzymanie dotychczasowego dostawcy telekomunikacyjnego. Podłączamy linie telefoniczne do bramek VoIP osadzonych w sieci klienta. Instalujemy lokalne urządzenie zarządzające telefonami (LCM) w sieci klienta oraz wdrażamy połączenia MPLS lub VPN pomiędzy siecią klienta a data center Interactive Intelligence. W końcowym etapie wdrażamy telefony VoIP.

W tego typu konfiguracji Urządzenia LCM działają jako instancja awaryjna. Jeśli z jakichkolwiek powodów data center oraz serwer systemowy stanie się niedostępny, klient cały czas może prowadzić rozmowy. W rzeczywistości można nawet kolejkować i kierować do konsultantów rozmowy przychodzące, choć w mniej wyrafinowany sposób niż w przypadku dostępności serwera. LCM pozwala utrzymywać w sytuacji kryzysowej komunikację ze światem.

Moim zdaniem druga fala spowolnienia gospodarczego przyczyni się do rozwoju rynku cloud computingu. Kryzys weryfikuje rynek oraz strategie IT przedsiębiorców do ponownego zachęca do szukania nowych metod zwiększenia zysków. A rozwiązania w chmurze to idealna odpowiedź na trudne czasy. Brak bariery inwestycyjnej, redukcja kosztów CAPEX i kontrola OPEX, bezpośrednie powiązanie wykorzystywanych funkcjonalności z aktualnymi potrzebami biznesowymi – w chwili, gdy firmy zaciskają pasa, takie rzeczy są na wagę złota.