Світовий досвід: стандарт відмовостійкості хмарних провайдерів
Наскільки важливою є надійність завжди усвідомлювали DevOps-інженери, зокрема наші колеги з NetForce Ukraine. Врешті-решт, зрозуміли це й уряди США, Великої Британії та ЄС.
Усі три керівні органи прагнуть розробити або розширити чинне законодавство, щоб стандартизувати відмовостійкість клауд-платформи. Про це повідомляє Information Week.
Для цього вони використовують різні (і в деяких випадках сумнівні) підходи. Які саме — дізнаєтеся у матеріалі.
Що таке відмовостійкість хмарних провайдерів?
Відмовостійкість — параметр, від якого залежить безперебійний доступ до інфраструктури та збереження даних у разі несправностей. У хмарах надійних провайдерів використовується резервування компонентів, проте також важливо звернути увагу на параметри дата-центру, де розміщується хмара.
Зазвичай вони класифікуються за чотирма класами у порядку зростання відмовостійкості — рівень I, II, III та IV. Ми рекомендуємо вибрати провайдера, який розміщує хмару у дата-центрах класу III та вище.
А навіщо тут треба якісь стандарти?
Міф про небезпеку віртуальної інфраструктури розвіявся ще до того, як встиг вкорінитися. У хмару переходить не тільки приватний бізнес, а й державні послуги, банки та системно важливі підприємства, що відповідають за критичну інфраструктуру.
Водночас ринок хмарних послуг у Європі ділять чотири великі постачальники. Тут регулятори й вбачають певні ризики та намагаються їх мінімізувати.
Типові договори та SLA постачальників відрізняються для приватних та державних організацій, що викликає плутанину. Законодавці розраховують, що нове регулювання дасть змогу уніфікувати бізнес-процеси хмарних платформ.
Єдині стандарти безпеки, у тому числі для компаній, які відповідають за критичну інфраструктуру, дозволять підвищити загальну стійкість до відмови.
Або ні.
Досвід Європейського Союзу
У травні 2022 року президент Ради ЄС та Європарламент попередньо узгодили Закон про цифрову операційну стійкість (DORA). Він гарантує, що фінансовий сектор у Європі зможе підтримувати стійкість операцій у разі серйозних операційних збоїв. Серед основних тез:
- Всі фірми повинні переконатися, що вони можуть протистояти, реагувати та відновлюватися після всіх типів збоїв і загроз, пов’язаних з ІКТ.
- Провайдери з інших країн, які працюють на території ЄС, повинні відкривати дочірні компанії та філії. Це потрібно, щоб спростити нагляд за їхньою роботою.
Згідно з попереднім пунктом, DORA вимагатиме від постачальників за межами союзу (AWS, IBM, Microsoft, AliBaba тощо) створювати дочірні компанії у ЄС. А це потенційно може змінити положення цих організацій у всьому світі.
Передумови. Комісія Європарламенту виступила із законопроєктом DORA ще у вересні 2020 року. Ще вони подали цілий пакет пропозицій, що усуває прогалини в законодавстві ЄС.
У листопаді 2021 року Рада вирішила провести переговори щодо DORA. Законодавчі тріалоги розпочалися у січні 2022 року та завершилися попередньою угодою, про яку ми згадали на початку.
Перспективи. Можуть знадобитися роки, перш ніж DORA остаточно оформлять як закон. Це пов’язано з комплексним характером пропозиції.
Щоб дізнатися про роль FinOps в оптимізації витрат на хмару — тисніть сюди.
Досвід Великої Британії
У червні 2022 року Міністерство фінансів Великобританії запропонувало розробити нові стандарти для хмарних провайдерів. Їх хочуть зобов’язати розкривати механізми обробки інформації та проводити тести на відмовостійкість під наглядом регуляторів. Серед основних пунктів:
- Органи регулювання встановлюватимуть мінімальні стандарти стійкості, яким мають відповідати провайдери, що співпрацюють з фінансовим сектором ВБ.
- Регулятори зможуть оцінювати, чи дотримуються провайдери стандартів стійкості та забороняти їм надавати послуги.
Передумови. У щорічному огляді Національного центру кібербезпеки (NCSC) йдеться, що у 2021 році кількість кіберінцидентів у ВБ зросла. Тут же NCSC прогнозувало у 2022 році підвищення ризику кіберзагроз через геополітичні проблеми.
Зрештою, вони й запропонували вищезгаданий документ, щоб контролювати роботу хмарних провайдерів.
Перспективи. Загальна ідея законопроєкту важлива, тому стандартизація прозорості даних вже діє у багатьох хмарних провайдерів. І це без впровадження подібних законів.
До того ж певні провайдери й так надають усю необхідну інформацію своїм клієнтам, ще й у режимі реального часу. Імовірно, цей проєкт вступить у дію раніше, ніж подібні в інших країнах.
Досвід США
Зараз на розгляді у конгресі знаходиться документ під назвою The Federal Secure Cloud Improvement and Jobs Act. Його завдання — запровадити стандартизований підхід до оцінки надійності хмарних середовищ. Нові вимоги вирішили розвивати на основі програми управління ризиками та авторизацією FedRAMP.
Передумови. У 2019 році представниці конгресу звернулися до Ради з нагляду за фінансовою стабільністю при Міністерстві фінансів з вимогою, щоб «хмарне сховище у фінансовій індустрії вважалося системно важливими (SIFMU)». Це сталося невдовзі після зламу банку Capital One, розміщеному на AWS.
Такий крок дозволить «встановлювати стандарти управління ризиками» та «проводити перевірки» хмарних провайдерів.
Перспективи. Здається, що цей законопроєкт більше про «знайти винних в простої банків», а не про надійність. Потенційно небезпечно покладати на AWS/Azure/GCP відповідальність за безпеку клієнтських систем. Бо найбільші загрози походять від того, як архітектурно побудовані банківські системи та як керується доступ до них.
Такий підхід може походити від простого нерозуміння можновладцями, як працює клауд. Тому їм знадобиться час, щоб зрозуміти ази та допрацювати проєкт.
Не будьте як конгресмени США. Пройдіть курс Адміністрування хмарних провайдерів, щоб перейти «на ти» з AWS, GCP, Azure та DigitalOcean ☁️
Чи може держава регулювати хмарні технології?
За словами CEO Metrist Джеффа Мартенса, і США, і Великобританія хочуть забезпечити стабільність фінансових ринків та інституцій. Але тоді, як ВБ хоче вимагати та стандартизувати прозорість даних. США, схоже, хочуть покласти провину за помилки надійності безпосередньо на третю сторону.
Банки та інші установи також несуть відповідальність за максимізацію власної надійності — це не лише турбота стороннього постачальника.
— зазначає Мартенс.
Тут спадає на думку аналогія. Законодавство забезпечує надійність електропостачання. Однак чи несе відповідальність постачальник електроенергії за те:
- що російська ракета знищила їх інфраструктуру та позбавила вас світла?
- що в будинку зникла електрика, але через несправну електропроводку, яку крутив ще ваш дід?
У постачальників хмарних послуг трапляються збої, але велика трійка досить надійна. Тож, можливо, можновладцям слід регулювати те, як банки та критична інфраструктура використовують свої системи? А не регулювати самі хмарні платформи?
До тих пір, поки усі ці законопроєкти не діють: безпека в хмарі — це суто бізнес. А добре це чи погано, пишіть у коментарях 👇