Fenomen chmury stanowi prostota i wygoda tego modelu dla użytkownika. Zamiast kupować na stałe pakiety oprogramowania i serwery, odbiorca kupuje funkcje, których w danym momencie potrzebuje. Nie musi samodzielnie niczego instalować, nie potrzebuje wykwalifikowanego personelu, który będzie wdrażał aktualizacje i dbał o ciągłość działania systemu. W dowolnym momencie może zrezygnować z części usługi lub zwiększyć jej zakres. A przecież większość firm działa w trybie sezonowym – branża handlowa prowadzi wielką mobilizację przed okresami świątecznymi, dla firm turystycznych lub ubezpieczeniowych gorącym okresem są tygodnie wakacyjne. W modelu chmury firma może dopasować ilość zasobów informatycznych do aktualnych potrzeb i płacić tylko za funkcje, których w danym momencie potrzebuje. W dłuższej perspektywie pozwala to osiągnąć spore oszczędności.

Jednak cloud computing budzi również wśród odbiorców wiele pytań i obaw. Niełatwo jest postawić pierwszy krok w chmurze. Przekazując odpowiedzialność za zarządzanie naszymi zasobami IT na barki dostawcy musimy mieć pewność, że potrafi on zagwarantować bezpieczeństwo składowanych w chmurze danych i wysoką ciągłość dostarczania usługi. W jaki sposób prowadzić rozmowy z dostawcami, aby wybrać pewnego i zaufanego partnera? Przedstawię kilka rad dla przedsiębiorców, którzy przygotowują się do wdrożenia usługi chmurowej w firmie.

Gwarancja ciągłości realizacji usługi

Zaufany dostawca usługi chmurowej jest w stanie podpisać z nami umowę SLA, gwarantującą czas działania usługi na poziomie 99,999 proc. Praktycznie rzecz biorąc mamy w tym wypadku większą gwarancję stabilności działania systemu, niż w razie tradycyjnego zakupu licencji i wdrożenia systemu w siedzibie firmy.

Każdy przedsiębiorca posiadający w firmie platformy ERP czy CRM wie, że oprogramowanie doskonałe nie istnieje – wprowadzanie aktualizacji czy dodatkowych integracji często skutkuje tzw. „wysypaniem” się całości systemu, rozpaczliwymi telefonami do działu wsparcia dostawcy i mozolnymi próbami zidentyfikowania błędu. Wdrażając oprogramowanie w chmurze, przenosimy problem na dostawcę usługi. Możliwość wystąpienia błędów w czasie aktualizacji systemu? To nas nie interesuje. Dostawca gwarantuje poziom usługi, a my rozliczymy go z efektu.

Podczas podpisywania umowy z wysokim poziomem SLA warto jednak sprawdzić, czy nasz partner poważnie podchodzi do podjętego zobowiązania. System musi być w pełni redundantny i posiadać funkcję back-upu danych w czasie rzeczywistym. Serwer oprogramowania powinien zawsze być zdublowany w innej, oddalonej geograficznie lokalizacji, co zapewni niezależność od katastrof naturalnych czy ataków terrorystycznych. Aktywny serwer zapasowy stanowi lustrzany obraz serwera podstawowego i na bieżąco monitoruje jego działanie. W chwili wykrycia jakiegokolwiek problemu, serwer zapasowy natychmiast przejmuje całość funkcji – w sposób praktycznie nieodczuwalny dla odbiorcy usługi. Wszystkie dane są na bieżąco replikowane między dwoma serwerami, natomiast długoterminowe obrazy systemu zostają dodatkowo zapisywane na zewnętrznym nośniku lub w chmurze.

Bezpieczeństwo fizyczne

Bezpieczne, zduplikowane centra danych to fundament, na którym opiera się całe przetwarzanie w modelu chmury. To najważniejszy fragment w układance elementów, które zapewniają dobrą współpracę między dostawcą a użytkownikiem usługi. Dlatego przed podpisaniem umowy chmurowej warto osobiście wybrać się do data center, aby dokładnie zapoznać się ze wszystkimi stosowanymi tam procedurami bezpieczeństwa. Jeśli nie ma możliwości fizycznej wizytacji, poprośmy dostawcę o oprowadzenie wirtualne – dzięki technologii wideo możemy przecież „zwiedzić” każde miejsce na świecie, bez konieczności wielogodzinnych podróży.

Podstawą bezpieczeństwa każdego obiektu jest kontrola dostępu i bezpieczeństwo fizyczne. Budynek data center nie może być otwarty dla osób z zewnątrz. Całodobowy monitoring wideo obiektu, umieszczenie serwerów w zamkniętych stalowych szafach, podwójna autoryzacja pracowników za pomocą kart elektronicznych oraz skanerów siatkówki oka to procedury, które powinno posiadać każde profesjonalne centrum danych dla usług w chmurze. Warto sprawdzić, czy systemy zasilania, chłodzenia oraz wewnętrzna infrastruktura sieciowa zostały zduplikowane na wypadek awarii.

Czasami proste zdarzenie, na przykład zerwanie kabla w czasie prac budowlanych prowadzonych w pobliżu data center, może zablokować dostarczanie usługi, zatem warto zapewnić połączenie kilkoma kablami do kilku operatorów. Warto zatem zwrócić uwagę, czy w centrach danych znajdują się przykładowo podwójne generatory prądu i zbiorniki paliwa zapewniające ciągłość usług w razie wielodniowej przerwy w dostawie energii – wówczas żadna katastrofa nie przeszkodzi w dostarczaniu klientom funkcji zgodnie z umową.
koniec_str_1#

Bezpieczeństwo danych

Przekazanie danych zewnętrznemu partnerowi rodzi zwykle największy opór i obawy przedsiębiorców. Często są to dane wrażliwe, przykładowo dane osobowe klientów firmy. Wystarczy, że przypadkowo, przez jeden mały ludzki błąd, wyciekną do konkurencji – a przecież dostawca systemu obsługuje wiele firm z danej branży – a klient poniesie stratę trudną do zrekompensowania. Jednak istnieją procedury, które gwarantują zachowanie bezpieczeństwa danych wrażliwych przechowywanych w chmurze.

Przede wszystkim należy upewnić się, że system oferowany w chmurze jest w pełni zwirtualizowany i udostępniany w architekturze multi-instant, która umożliwia tworzenie na serwerze systemowym odrębnej instancji dla każdego odbiorcy usługi chmurowej. Obniża to koszty współpracy i zwiększa bezpieczeństwo przechowywania danych. W przypadku mniej zaawansowanej technologicznie architektury multi-tenant pojedynczy system jest wykorzystywany dla wielu różnych klientów. Taka struktura rodzi problemy integracyjne i administracyjne – nie jest również polecana klientom o restrykcyjnych wymaganiach w zakresie bezpieczeństwa.

Nie każda profesjonalna firma musi posiadać certyfikacje dla swoich produktów i usług, ale certyfikaty oznaczają gwarancję spełniania pewnych standardów, a zatem dodatkowy argument za podjęciem współpracy z danym partnerem. ISO 9001 to podstawowa norma określająca wymagania, które powinien spełniać system zarządzania jakością w organizacji. Wartościowym certyfikatem określającym procedury wewnętrznej kontroli dla organizacji usługowych, przetwarzających poufne dane swoich klientów – takich jak firmy outsourcingowe lub dostawcy cloud computingu – jest amerykański certyfikat SSAE-16. Bardzo ważny dla usług chmurowych jest też PN-ISO/IEC 27001-2007, określający normy dla zarządzania bezpieczeństwem informacji.

W przypadku usługi Communication-as-a-Service, czyli udostępniania w chmurze systemu telekomunikacyjnego, zalecaną praktyką jest szyfrowanie wiadomości za pomocą TLS (Transport Layer Security) oraz SRTP (Real-time Transport Protocol). Dostawcy zaawansowanego oprogramowania telekomunikacyjnego bazują na standardzie AES 256. To jeden z najsilniejszych kluczy szyfrowania, który jest potwierdzonym i zalecanym standardem bezpieczeństwa przez wiele międzynarodowych instytucji i departamentów bezpieczeństwa. Dodatkowo wszystkie protokoły nie będące aktualnie w użyciu są automatycznie blokowane za pomocą firewalla. System jest stale monitorowany pod kątem ewentualnych włamań, co zapobiega próbom kradzieży danych.

Elastyczność wdrożenia

W modelu chmury publicznej, przetwarzanie i składowanie informacji w całości odbywa się w całości w data center dostawcy. Na stacjach roboczych klienta zostają zainstalowane jedynie niezbędne końcówki do zarządzania poszczególnymi funkcjami systemu. Dla odbiorcy usługi jest to najwygodniejszy model, zdejmujący z jego barków konieczność inwestycji w sprzęt i administracji oprogramowania.

To idealne rozwiązanie dla firm z sektora MSP, które nie posiadają rozbudowanych działów IT i nie chcą też angażować się w procesy wdrożenia i utrzymania systemu. Jednak duże korporacje z sektora finansowego czy telekomunikacyjnego mogą postrzegać chmurę publiczną jako krok zbyt radykalny, ciężki do przeprowadzenia także ze względu na restrykcyjne wymagania prawne w zakresie zapewnienia bezpieczeństwa danych.
W przypadku wdrożenia systemów telekomunikacyjnych w chmurze rekomenduję tzw. model chmury prywatnej, łączący zalety zdalnego dostarczania usługi z kontrolą na poziomie lokalnym. W tym wypadku wszystkie dane wrażliwe, np. nagrania rozmów czy dane klientów firmy, pozostają w sieci wewnętrznej odbiorcy usługi. Wiele firm rozpoczyna swoją przygodę z chmurą właśnie od tego modelu, gwarantującego zachowanie kontroli nad informacjami kluczowymi dla prowadzenia biznesu.

Podejście jest proste – warto zarekomendować klientowi utrzymanie dotychczasowego dostawcy telekomunikacyjnego; podłączyć linie telefoniczne do bramek VoIP osadzonych w sieci klienta, zainstalować lokalne urządzenie zarządzające telefonami (LCM) w sieci klienta oraz wdrożyć połączenia MPLS lub VPN między siecią klienta a data center. W końcowym etapie rekomendujemy zdrożenie telefonów VoIP.

W tego typu konfiguracji urządzenia BCM działają jako instancja awaryjna. Jeśli z jakichkolwiek powodów data center i serwer systemowy stanie się niedostępny, klient cały czas może prowadzić rozmowy. W rzeczywistości można nawet kolejkować i kierować do konsultantów rozmowy przychodzące, chociaż w mniej wyrafinowany sposób niż w przypadku dostępności serwera. LCM pozwala utrzymywać w sytuacji kryzysowej komunikację ze światem.
Moim zdaniem druga fala spowolnienia gospodarczego przyczyni się do rozwoju rynku cloud computingu. Kryzys weryfikuje rynek i strategie IT przedsiębiorców, zachęca też do szukania nowych metod zwiększenia zysków. A rozwiązania w chmurze to idealna odpowiedź na trudne czasy. Brak bariery inwestycyjnej, redukcja kosztów CAPEX i kontrola OPEX, bezpośrednie powiązanie wykorzystywanych funkcjonalności z aktualnymi potrzebami biznesowymi – w chwili, gdy firmy zaciskają pasa, takie rzeczy są na wagę złota.

Marcin Grygielski, dyrektor regionalny na rynek Europy ¦rodkowej i Wschodniej, Interactive Intelligence