Cloud-Checkliste oder wie der Kunde uns beurteilt hat


    Ein großes ausländisches Unternehmen musste aufgrund des Gesetzes über personenbezogene Daten in unsere Cloud einsteigen. Da sie sich selbst mit der Prüfung anderer Unternehmen befassen, haben sie sich gewohnheitsmäßig der Frage gestellt: Sie haben den Markt untersucht, eine Liste mit Anforderungen für die Cloud erstellt und geprüft, wer ihr entspricht und wie.

    Übertragen aller Systeme: Testumgebungen, Test + Prod, Preprod, alle virtuellen Maschinen, virtuellen Server sowie alle Systeme der virtuellen Infrastruktur. Sogar ihre Unterstützung erschien in Russland. Von uns - mieten Sie nur Ressourcen.

    Sie haben uns insbesondere im Maßstab geprüft: eine fast vollständige Überprüfung des Rechenzentrums. Sie haben sich jedoch nicht hauptsächlich mit den Hardware- und technischen Merkmalen befasst, sondern darauf, wie die Informationssicherheitsprozesse aufgebaut sind und wie unterschiedliche SLAs beobachtet werden. Aus ihrer Sicht sind es die SLA-Stabilitätsprozesse, die die Qualität der Arbeit des Unternehmens belegen. Und wir haben ihnen ausführlich von den einzelnen Komponenten erzählt.

    Ich möchte eine Liste mit Kriterien zur Überprüfung freigeben. Weil zumindest eine Art von Methodik aufgetaucht ist, weil zuvor nur wenige Kunden so systematisch an das Thema herangegangen sind.

    Allgemeine Optionen


    Die Hauptanforderungen waren etwa zwei Dutzend. Dazu gehören grundlegende Funktionen wie das Platzieren der Plattform in zwei Rechenzentren, die Verfügbarkeit einer Konsole für das Ressourcenmanagement, die Möglichkeit, die API zu bearbeiten, die Bezahlung von Services bei Nutzung mit einer Granularität von nicht mehr als einer Stunde, die Verfügbarkeit von Automatisierungstools, z. Andere Anforderungen sind nicht zu sagen, dass wir sehr überrascht waren, sie sind einfach alle die Kunden nicht machen. Zu diesen Anforderungen gehört die Notwendigkeit, das Gebäude zu besitzen, in dem das Cloud-Rechenzentrum betrieben wird.

    Aber hier ist im Allgemeinen alles klar. Dieser Kunde hat offenbar auch die Geschichte des russischen Kollokationsmarktes gelesen. Oder jemand von seinen Kunden hat irgendwo im Ausland festgefahren. Alles andere ist in der Regel Standard. Die Anforderung des Rechenzentrums in Moskau (dies stand auch auf der Liste) ist die Möglichkeit, zum Administrator zu gelangen, und für die Geschwindigkeit von Replikationsanforderungen. Der wichtigste Punkt nach zwei Rechenzentren sind detaillierte SLA-Metriken. Wie gesagt, machte es ihnen am meisten Sorgen um jeden Artikel.


    Personalanforderungen


    Dies war einer der schwierigsten Blöcke, da der Kunde, der über große Erfahrung mit Projektaktivitäten verfügt (Hunderte von Industrie- und Einzelhandelskunden auf der ganzen Welt), die IT etwas verlagert hat. Im Allgemeinen ist dies ein solider Ansatz, aber die Anforderungen stellten sich als "schwer" heraus.

    Dafür wurden wir geprüft:
    • Das Vorhandensein von drei Ebenen des technischen Supports für die Plattform: die erste Zeile - Lösung von Vorfällen auf Plattformebene (HW, Virtualisierung), die zweite Linie - Lösung von Problemen in der Infrastruktur der Kunden auf der Cloud-Plattform (Betriebssystemebene, DBMS und andere Anwendungssoftware). Entwickler und / oder Anbieter von Cloud-Anbieterplattformen, um Probleme zu lösen.
    • Technischer Support rund um die Uhr rund um die Uhr.
    • Pflichtkenntnisse der russischen und englischen Sprache von Spezialisten auf allen Supportebenen.
    • Möglichkeit, Anträge für den Vorfall per E-Mail oder telefonisch beim technischen Support zu stellen.
    • Die Möglichkeit, Anfragen zu einem Vorfall an den technischen Support zu richten.
    • Die Reaktionszeit von Spezialisten für technischen Support auf einen Vorfall beträgt je nach Priorität der Anforderung 10 bis 15 Minuten (der Lieferant ist verpflichtet, eine detaillierte Beschreibung der Prioritäten des Vorfalls im Servicevertrag aufzuzeichnen).
    • Die Zeit für die Behebung eines Vorfalls beträgt je nach Priorität der Anforderung 90 bis 240 Minuten (der Lieferant ist verpflichtet, eine detaillierte Beschreibung der Prioritäten der Vorfälle im Servicevertrag aufzuzeichnen).
    • Die obligatorische Anwesenheit eines dedizierten Projektteams, das Folgendes umfasst: Account Manager, Projektmanager, technischer Architekt, Ingenieure.
    • Die Möglichkeit, verschiedene Kommunikationsmittel zwischen dem Lieferantenteam und dem Kundenteam zu verwenden, um Probleme schneller zu lösen (z. B. mithilfe von Telegramm, WhatsApp usw.).
    • Festlegung der Liste des Projektteams in einem unterzeichneten Vertrag für Cloud-Plattformdienste. Die Liste sollte den vollständigen Namen, Kontakttelefonnummern und E-Mail-Adressen aller an der Aktivität beteiligten Kunden und Lieferanten enthalten.
    Hier war einer der wichtigsten Punkte für den Kunden, dass er genau drei Supportlinien zur Verfügung stellte. Die erste Linie ist immer da und überhaupt, die zweite Linie der Unterstützung ist normalerweise da, aber die Anforderungen dafür sind bereits ziemlich verschwommen. Es gibt aber auch einen dritten, der verschiedene Chips schneidet. Und das Outsourcing ist nicht gegeben, wie es kleine Anbieter manchmal tun. An dem Projekt waren nur ihre Mitarbeiter beteiligt. Für ein großes Kundenprojekt ist kein Serviceteam vorgesehen, sondern ein separates Projektteam, das in den Dokumenten festgehalten wird.

    Engagiertes Projektteam - ein separater wichtiger Punkt. In einem normalen Cloud-Service-Provider ist dies normalerweise in irgendeiner Form im Service enthalten. Aber auch hier gibt es keine explizite Anforderung und es gibt keine Standards. Im Allgemeinen gibt es Personen, die direkt an der Wartung des Kunden beteiligt sind, es gibt eine Person, die ein bestimmtes Projekt verwaltet, es gibt Ingenieure. Es ist teuer, diesen Personen Zeit für den Kunden zuzuweisen, dies ist jedoch notwendig, da in den meisten Fällen die Lösung für ziemlich komplizierte Aufgaben außerhalb von "nur Hosting" erforderlich ist. Oder einfach, aber schnell und das erste Mal. Daher sind diese Teammitglieder rund um die Uhr aktiv, immer in Kontakt und bereit zu helfen. Mit jeder Art von Kommunikation, die für den Kunden praktisch ist. Dies ist ein Service, der normalerweise "geliebten" Kunden angeboten wird, aber bei uns allen. Und es ist dokumentiert.

    Kommunikation: Es ist sehr wichtig, dass in verschiedenen Notfallsituationen persönliche Telefone zur Verfügung stehen. In seriösen Projekten wird die Kommunikation durch Instant Messenger beschleunigt (vor einigen Jahren war dies nicht der Fall, alle wurden in der Mail kommuniziert). Der Verkaufsleiter gab eine persönliche Nummer an, die sich nachts und im Urlaub nicht ausschaltet - das ist die Norm. Aber das kann nicht jeder sagen.

    Nun etwas ausführlicher - über die Anforderungen an die einzelnen Subsysteme und Prozesse.

    Zertifizierungsanforderungen


    Ansicht
    • Das Abrechnungssystem für die verbrauchten Ressourcen muss den festgelegten Anforderungen der „Regeln für die Anwendung automatisierter Berechnungssysteme“ entsprechen. Erlass des russischen Ministeriums für Informationstechnologien und Kommunikation 02.07.2007 Nr. 73 ".
    • Провайдер должен обладать актуальным сертификатом соответствия Систем управления информационной безопасности компании требованиям стандарта ISO/IEC 27001:2013 в отношении предоставления услуг аутсорсинга ЦОД и Виртуального ЦОД.
    • Наличие актуального сертификата на облачную платформу PCI DSS v3.2.
    • Аттестат соответствия PCI DSS 3.2 должен включать в себя ИТ-поддержку, физическую безопасность, безопасность системных сервисов, физическое оборудование, сети, хранилище.
    • Сертификаты ЦОД Tier III Design, ЦОД Tier III Facility, ЦОД Tier III Operational sustainability.


    Es gibt keine Überraschungen: PCI DSS für Finanzdaten und T-III für drei Zertifikate. Dies ist wichtig für das Geschäft des Kunden. Für Ihr Unternehmen müssen Sie eine eigene Zertifizierungsliste erstellen. Der erste Punkt verdient jedoch besondere Aufmerksamkeit. Es stellte sich heraus, dass es für den Kunden wichtig war, ein Dokument vorzulegen, das die kompetente Arbeit unseres Abrechnungssystems belegt. Zum Glück für uns waren wir nur etwa ein Jahr, bevor es vom Ministerium für Kommunikation zertifiziert wurde.

    Nachfolgend finden Sie eine Liste mit Anforderungen für die Hauptelemente einer Cloud-Plattform. Da wir zuvor sehr eng mit ausländischen Kunden zusammengearbeitet haben, gab es bereits eine ähnliche, jedoch stark verkürzte Liste. Auf die eine oder andere Weise wurden die Informationen im SLA und in anderen Dokumenten angegeben. Auf Wunsch eines Unternehmensberaters schaufelten wir alles, was wir hatten, zusammengestellt und zusammengestellt. Als Ergebnis erhielten wir ein ziemlich solides Dokument, das wir anderen Kunden anbieten können.
    Was genau in den Checklisten zu den technischen Parametern der Plattform angegeben ist.

    Rechenressourcen


    Ansicht
    • Выделение вычислительных ресурсов (виртуальные ядра, оперативная память) должно осуществляться гарантированным образом, исключающим возможность взаимного влияния виртуальных серверов заказчика, размещённых на одном физическом узле, друг на друга.
    • Облачная платформа должна предоставлять возможность изменения объёма вычислительных ресурсов без пересоздания ВМ.
    • Возможность гарантированного размещения ВМ на разных физических узлах.
    • Облачная платформа должна предоставлять выбор кластера (ДЦ) при запуске ВМ.



    Scheiben


    Ansicht
    • Облачная платформа должна предоставлять возможность создания виртуальных дисков разной производительности (IOPS) через веб-интерфейс управления и API.
    • Облачная платформа должна предоставлять возможность изменения производительности дисков «на лету».
    • Дисковые ресурсы должны быть доступны с гарантиями производительности, измеряемой количеством IOPS на диск.
    • Гарантии производительности дисков должны распространяться до 100 000 IOPS.
    • Облачная платформа должна предоставлять возможность миграции данных между дисковыми ресурсами разной производительности «на лету» без остановки в предоставлении сервиса.



    Netzwerk


    Ansicht
    • Облачная платформа должна позволять организовывать изолированные сетевые окружения, недоступные для других заказчиков облачной платформы.
    • Изолированные сетевые окружения облачной платформы должны позволять управлять сетевой адресацией и маршрутизацией ИТ-инфраструктуры заказчика.
    • Облачная платформа должна обладать функциональностью по подключению внешних выделенных каналов связи заказчиков.
    • Должно быть обеспечено назначение или удаление внешних IP-адресов виртуальным серверам при помощи облачной платформы.
    • Облачная платформа должна обеспечивать внешнее отказоустойчивое подключение на скорости не менее 40 Гбит/с.
    • Облачная платформа должна иметь встроенные DNS и DHCP-сервисы.
    • Облачная платформа должна обеспечивать IPSec VPN-соединения.
    • Облачная платформа должна обеспечивать отказоустойчивый доступ в сеть Интернет, не зависящий от провайдера, и агрегировать не менее четырёх провайдеров.
    • Пропускная способность между ВМ в пределах одного ЦОДа должна составлять не менее 10 Гбит/с.
    • L2-связность между виртуальными инфраструктурами, развёрнутыми в различных дата-центрах.


    Objektspeicher


    Ansicht
    • Облачная платформа должна иметь файловый сервис, совместимый по программному интерфейсу с Amazon S3.
    • Объектное хранилище должно работать по протоколу, обеспечивающему возможность для хранения и получения любого объёма данных в любое время из любой точки сети Интернет.
    • Система хранения данных в целях отказоустойчивости должна быть распределена как минимум между двумя площадками исполнителя.
    • Система хранения должна иметь возможность расширяться по мере добавления файлов.
    • Объектное хранилище должно поддерживать версионирование.
    • Каждый объект в хранилище должен быть реплицирован между площадками исполнителя. В случае единичного отказа любого из компонент объектного хранилища не должно быть влияния на качество сервиса.
    • Возможность работы с хранилищем через HTTPS.
    • Поддержка access control list (ACL) и Policy.
    • Поддержка политики Object Lifecycle срока жизни объектов.
    • Возможность шифрования на стороне сервера Server side encryption.
    • Поддержка статических web-сайтов и пользовательских имен для web-сайтов типа mysite.ru
    • Уровень отказоустойчивости сервиса хранения — не ниже 99,99 %.


    IB


    Ansicht
    • Должно быть обеспечено разделение информационной среды заказчика в рамках облачной платформы на несколько независимых виртуальных сетей.
    • Управление доступом к виртуальным сетям должно быть реализовано по различным портам и протоколам при помощи бесплатного встроенного межсетевого экрана.
    • Должно быть обеспечено объединение серверов виртуальной платформы в одну виртуальную частную сеть (VPN) с физическими или виртуальными серверами заказчика, расположенными на удалённой площадке или ЦОДе.
    • Доступ к функциям программного управления (API) облачной платформы должен быть предоставлен таким образом, чтобы не была допущена компрометация системы безопасности даже при использовании небезопасных транспортных протоколов.
    • Для доступа к функциям программного управления (API) облачной платформой должен применяться протокол HTTPS. Сертификаты должны быть подписаны доверенными центрами сертификатов.
    • Доступ к виртуальным Linux\UNIX-серверам должен осуществляться посредством протокола SSH с использованием беспарольной аутентификации по ключам. Виртуальная платформа должна предоставлять возможность управления ключами аутентификации (создание и удаление), а также обеспечивать доступный из ВМ механизм для доставки публичных ключей в ВМ в процессе её загрузки.
    • Организация защищённого доступа к серверам ИТ-системы должна осуществляться с использованием IPsec VPN-соединения.
    • В виртуальную платформу должен быть встроен межсетевой экран, настраиваемый отдельно для каждой виртуальной сети, а также для виртуальных сетей изолированных облачных окружений.
    • Наличие результатов теста на проникновение со сроком исполнения не более 1 года.


    Sichern


    Ansicht
    • Управление услугой резервного копирования должно производиться заказчиком самостоятельно через веб-интерфейс управления.
    • Через веб-интерфейс должна быть доступна функциональность по заданию расписания резервного копирования отдельных серверов, а также по их ручному резервному копированию и восстановлению.
    • Услуга по резервному копированию данных должна учитываться и оплачиваться по факту использования, а именно по Гигабайтам защищаемых данных в месяц.
    • Услуга по резервному копированию данных должна предоставлять возможность по резервному копированию распространённого корпоративного системного и прикладного ПО. Программные агенты, устанавливаемые на защищаемые серверы, должны быть бесплатными.
    • Управление резервным копированием — через веб-интерфейс и через программный агент.
    • Использование файлового эластичного S3-хранилища для хранения копий.
    • Использование дедупликации.


    Abrechnung


    Ansicht
    • В облачной платформе должно быть доступно логическое деление ВМ на группы с опцией раздельного биллинга.
    • Оплата только фактически занятого объёма.


    Was endete


    Der Check war für uns wirklich anstrengend, aber wir haben selbst viel gelernt. Zum Beispiel haben wir uns auf ausländische Kollegen konzentriert und verschiedene Verfahren durchgearbeitet und alle Dokumente in Ordnung gebracht. Eigentlich haben wir einige Zeit weitergearbeitet und dann eine strategische Partnerschaft vorgeschlagen. Denn dieses Unternehmen hat auch viele Kunden in Russland. Jetzt ist alles in der Diskussion, aber die Überprüfungsmethode ist bereits erschienen. Natürlich geben die Checklisten kein vollständiges Bild von dem, was die Unternehmensberater angesehen haben und wie, aber ich habe versucht, die Hauptsache zu entladen, mit der Sie die Überprüfungsmethode selbst erstellen können. Hier gibt es natürlich etwas Verschlagenheit, weil wir diesen Test bestanden haben und gewonnen haben, das heißt, die Checklisten sind fast vollständig auf unsere Cloud anwendbar. Weil unsere Plattform ihrem großen Projekt entsprach. Ich hoffe, Sie nutzen Ihren gesunden Menschenverstand und verstehen, was Ihr Projekt von der Plattform aus benötigt, und ändern entsprechend die Anforderungen.

    Wenn es plötzlich Fragen gab, nicht für Kommentare - meine E-Mail ist NiVasilev@croc.ru

    Jetzt auch beliebt: