Выбираем облачного провайдера

Советы от экспертов IBS DataFort
Главная БлогВыбираем облачного провайдера

Верните мне мой 2007! Именно тогда начинался первый этап «обживания» облачных вычислений на рынке. Первопроходцы, убеждённые в перспективе этого ИТ-инструмента, шли на риски. Уже 2012 году — массовое распространение, предложение превышает спрос, как следствие, начинается консолидация рынка. В 2015 на рынке сформированы ключевые поставщики, которые имеют возможность предлагать рынку свои технологии в качестве стандартов де-факто. К 2020 ситуация изменилась: значимость облачных сервисов выросла во всех отраслях, увеличился спектр использования облачных решений, усилилась конкуренция провайдеров.

Все аналитики говорят о бурном росте как минимум в течение ближайших двух-трех лет. Некоторые прогнозы кажутся весьма положительными: например, IKS Consulting прогнозирует увеличение сегмента к концу 2022 года до 155 млрд рублей — то есть в 2,5 раза. Хочется отметить, что и состав, и количество игроков за эти годы изменились. В дополнение к поставщикам услуг ЦОДов пришли крупные ИТ-компании и телеком-провайдеры. У каждых есть свои преимущества: весомая технологическая экспертиза, компетенции по разработке, опыт и широкий канал продаж.

Но как выбрать тех, кому можно довериться?

Эксперты ДатаФорт расскажут, на что нужно обращать внимание при выборе облачного провайдера.



Как не запутаться в коммерческих предложениях

В первую очередь нужно качественно проработать техзадание. Посмотреть провайдеров на рынке, понять, что они предлагают и составить перечень сервисов. Изучить ядро услуги IaaS: vCPU, RAM, диски, виртуальные устройства, сервисы бэкапа, средства мониторинга и т.д. Понять, что требуется именно вам.

Обязательно в ТЗ определить SLA (service-level agreement). Смотрим, к примеру, что на рынке vCPU характеризуется такими параметрами, как переподписка соотношения виртуального ядра к физическому, CPU Ready, частота процессора. Необходимо определить для себя эти параметры и зафиксировать их в ТЗ. Например: платформа виртуализации содержит переподписку соотношения виртуального ядра к физическому не более 1 к 3, частота процессора должна быть 2,6 Ггц и более, CPU Ready на всей платформе не более 1%. Т.е. каждый параметр разложить по качественным характеристиками и в каждой характеристике выставить приемлемые для себя метрики.

Если в облако переносится уже имеющаяся система, и она успешно работает, нужно зафиксировать ее параметры, а затем внести значения характеристик этой системы в ТЗ.

Если система новая, стоит обратиться к разработчикам и уточнить, какие параметры вам лучше выставить. Важно понимать: если не предоставить параметры, провайдер определит их по умолчанию – зачастую с учетом самой низкой цены. В итоге система переедет в облако с недостаточными характеристиками и будет плохо функционировать. Именно поэтому нельзя пренебрегать четким SLA.

Когда SLA определен, следует оформить ТЗ в виде таблицы и разослать поставщикам. Каждый поставщик, исходя из ТЗ, предоставит свой расчет. Расчеты поставщиков загружаем в Excel и выбираем оптимальные предложения. Теперь составляем шорт-лист провайдеров, которые полностью соответствуют вашему SLA.

Критерии, которые помогут выбрать вам поставщика:

  • На этапе конкурса необходимо подробно ознакомиться с именами провайдеров. В случае с малоизвестными компаниями возможен демпинг, некачественные услуги, проблемы с дальнейшим техобслуживанием и т.д. Проведите анализ: как долго провайдер присутствует на рынке, из каких кейсов состоит его портфолио.
  • Важен и спектр услуг провайдера, поскольку у хорошего поставщика клиент со временем начинает расширяться: ему требуются большие мощности, дополнительные услуги. Нужно предусмотреть, чтобы была возможность такого масштабирования.
  • Обратите внимание на нормативный момент. Если провайдер оказывает криптографические услуги, у него обязательно должна быть лицензия ФСБ, без нее эти услуги нелегитимны. Вторая лицензия — ФСТЭК, для защиты конфиденциальной информации, если ваша компания с ней работает. Для зарубежных компаний необходим сертификат ISO, поскольку это международный стандарт. Для банковского сектора (работа с картами клиентов) — сертификат PCI DSS.
  • Если вы работает с персональными данными, изучите, есть ли у провайдера услуга Облако ФЗ-152. Следует обращать внимание на уровни защищенности: 3-4 уровни достаточно простые для многих провайдеров; 1-2 уровни — уже для серьезных информационных систем с чувствительными данными (речь, например, о медицинских компаниях). Соответствующие аттестаты подтверждают, что провайдер может размещать такие данные. Если вы размещаете ГИС, также надо смотреть на наличие у провайдера необходимого сертификата.
  • Желательно наличие у провайдера более одной площадки, т.к. одна площадка рано или поздно внесет свои ограничения. Например, в связи с тем, что закончились юниты, стойки или питание, повысились цены.
  • В матрицу принятия решения полезно внести такой параметр, как «сроки поставки услуги» — если у одного провайдера это пять дней, а у другого два дня, то при прочих равных и при необходимости быстрого переезда в облако, это поможет вам сделать выбор.

Учитывая все вышесказанное, определяем лучшего (в т.ч. по цене) провайдера в рамках удовлетворительных для нас параметров.

Поскольку пока что провайдер представляет свои характеристики только на бумаге, обязательно предусмотрите этап тестирования. Озаботиться этим стоит в рамках конкурса, либо внутреннего принятия решения. Укажите в ТЗ или обговорите с поставщиком, что нужно будет проверить характеристики в тесте.

Специалистов своей компании попросите составить план теста: подготовить обезличенную базу, тестовую систему, синтетические или реальные тесты.

Итак, мы сравнили провайдеров, составили шорт-лист, выбрали из него оптимальные варианты, а параллельно с этим подготовились к тесту. Если проверка тестом успешно пройдена, можно въезжать на площадку провайдера.


На чем можно сэкономить, чем лучше не пренебрегать?

Наш опыт показывает, что лучше не пренебрегать опциями информационной безопасности, поскольку факт взлома может привести к многомиллионным убыткам. При ограниченном бюджете можно попросить провайдера помочь выбрать базовые ИБ-услуги. Поставщик для удобства проранжирует для вас сервисы: «это необходимо, это было бы хорошо, без этого можно обойтись» и т.д.

Безопасность — важнейший компонент облака. По утверждению Fortinet, эффективные решения безопасности должны защищать не только связи между данными и пользователями, но и обеспечивать защиту буквально каждого подключения к каждому физическому или виртуальному устройству в распределенной инфраструктуре. Особенно это актуально в современных реалиях, где вирус диктует правила, когда компаниям было важно обеспечить корпоративную безопасность, массово переходя на удаленный режим работы. По прогнозам Positive Technologies , в мире будет нарастать число атак на удаленные рабочие места сотрудников, в ближайшее время компании могут столкнуться с ростом попыток взлома корпоративных учетных записей и с эксплуатацией уязвимостей в системах удаленного доступа.

По статистике в I квартале 2020 года было зафиксировано на 22,5% больше атак, чем в последнем квартале 2019 года.

Обязателен сервис бэкапа, чтобы не потерять ваши данные.

Важна система мониторинга — для понимания того, что происходит в системе. Плюс, современные системы мониторинга могут прогнозировать последствия вроде отказа какого-либо из сервисов.

Проранжируйте все свои системы тремя категориями: mission critical (когда при проблемах в системе компания теряет деньги в реальном времени), business critical (компания не теряет деньги, но то или иное приложение начинает плохо работать) и generic (дополнительные сервисы, без которых можно обойтись – например, доступ с мобильных устройств к почте). Чтобы сэкономить, системы разных рангов распределяем в разные облака — в случае с продуктами IBS DataFort, системы mission critical в частное облако DF Premium, business critical в DF Cloud с гарантированнымым пулом ресурсов, а generic-сервисы — в DF Cloud On Demand (облако для некритичных систем и приложений). Это поможет оптимизировать структуру затрат.

С точки зрения экономии средств важно ответственно подойти к лицензиям. На этапе ТЗ нужно уточнить у провайдера наличие лицензий (аренда, перепродажа и т.д.), затем провести у себя инвентаризацию и посмотреть, какие лицензии у вас уже есть. Лицензионную политику тщательно проработать с поставщиком, иными словами – оптимизировать лицензионную нагрузку. Обсудить, как совместить имеющиеся у вас ресурсы с ресурсами провайдера. При этом нельзя экономить на лицензионном ПО, т.к. всегда есть вероятность аудита в вашей организации.

Запросите варианты у провайдера по оборудованию и размещению. Например, уточните, почему предлагают именно этот маршрутизатор, есть ли вариант дешевле. Определите самые дорогие позиции в чеке и попросите предложить альтернативу: замену либо отсроченную замену, если нужной модели у провайдера сейчас нет, но будет спустя какое-то время. Обращайте внимание на то, сертифицировано ли оборудование по отечественным требованиям или нет. Провайдер может подсказать, где можно обойтись без сертифицированного оборудования и сэкономить, так что важен постоянный плотный контакт заказчика и провайдера.

Возможен и вариант с альтернативной структурой расходов. Например, изначальный большой платеж по CAPEX (скажем, 500 000р.), а ежемесячный OPEX всего по 5 000 р. Или наоборот – если у клиента нет денег в CAPEX, провайдер может повысить платежи OPEX.

Что касается затрат на соблюдение требований регуляторов, многие из них дают возможность нейтрализовать угрозы за счет т.н. организационных мер. Орг. меры всегда дешевле, чем технические. Можно, например, не устанавливать дорогие средства криптозащиты, если провайдер с помощью орг. мер (в виде документации) опишет, почему они не нужны. В итоге клиент остается в рамках правового поля, при этом провайдер понижает ему чек.

Подытоживая: запрашиваем альтернативы дорогих продуктов, разбираемся с лицензиями, ранжируем системы на три контура облаков (дешево, средне, дорого). В постоянном взаимодействии с провайдером в разумных пределах стараемся оптимизировать расходы.

   К списку

Поделиться