Всё больше коммерческих компаний и учреждений публичного сектора осознают, что главная ценность для них — не основные средства и не остатки на счетах, а информация, которой они располагают: данные клиентов, контрагентов, партнёров. Всё больше отдельных пользователей и целых департаментов начинают получать доступ к таким данным и извлекать из них непосредственно отражающуюся на динамике бизнеса пользу. О том, каким образом разумнее всего организовать повседневную работу с данными, о предназначенной для этого облачной консоли HPE DSCC и о новейших СХД HPE Alletra рассказывают Алексей Казьмин, руководитель направления систем хранения данных HPE и Сергей Тихомиров, руководитель отдела ИТ-инфраструктуры департамента системной интеграции «ИНЛАЙН ГРУП».
Почему для заказчиков сегодня так важно перейти от управления инфраструктурой к управлению данными? Какие выгоды обеспечивает им этот переход, какие вызовы бросает?
Алексей Казьмин: Чтобы данные приносили пользу, важно, чтобы пользователи могли быстро получать к ним доступ, обрабатывать их в безопасной среде и надежно сохранять результаты своего труда. Для этого службы эксплуатации ИТ должны иметь в своем распоряжении новые инструменты управления инфраструктурой. Такие, чтобы можно было заранее настроить роли для пользователей и приложений, привязать к этим ролям политики обслуживания с разрешениями на отдельные операции и на доступ к отдельным группам ресурсов, а также с выставленными приоритетами. Далее при обращении пользователя за ресурсами или данными инфраструктура должна без участия человека, ориентируясь на выстроенную архитектуру и настроенные правила, сама обслужить его запрос. Иными словами, если пользователю или приложению разрешен доступ к данным, они должны иметь возможность работать с ними без всяких преград и задержек.
Сергей Тихомиров: Поскольку обращений к данным становится всё больше, при прежнем подходе это оборачивалось бы непрерывным ростом нагрузки на ИТ-отдел заказчика, и в какой-то момент он просто перестал бы с ней справляться. Автоматизация рутинных процедур и простое, доходчивое представление результатов аналитическими системами ощутимо разгружают ИТ-службу, увеличивают скорость получения информации и за счёт этого повышают эффективность бизнеса.
А. К.: Добавлю, что чем более автоматизирован доступ к данным, тем больше внимания необходимо уделять защите информации, как минимум крайне внимательно относиться к разграничению прав доступа. Также важно, чтобы пользователи не имели возможности воздействовать на работу инфраструктуры, где хранятся запрашиваемые ими данные; чтобы даже теоретически не могли что-либо сломать. И, вот парадокс, контроль за этим необходим также автоматический! Поэтому основной вызов для производителей и поставщиков решений, таких как HPE и «ИНЛАЙН ГРУП» — разработка и внедрение по-настоящему работающих и разгружающих человека средств управления, аудита и контроля доступа к данным и ресурсам для работы с ними.
В чём преимущества и недостатки подходов «перенести ИТ-инфраструктуру в облако» и «сделать локальную инфраструктуру похожей на облако»? Какой из этих подходов ближе HPE, её партнёрам и заказчикам?
А. К.: Мы видим, что всё больше компаний и организаций уже не делают различия между ресурсами, которые находятся на их локальной площадке, размещены в стойках у сервис-провайдера или потребляются из облаков. Самое главное для таких заказчиков — бесперебойное и своевременное решение бизнес-задач, а какими ресурсами эта цель достигается, не так важно. Поэтому и мы в НРЕ, и наши партнёры делаем всё возможное, чтобы наши заказчики могли удобно управлять своей гибридной и даже мультиоблачной инфраструктурой из единого интерфейса, с едиными политиками разграничения доступа, защиты данных, выдачи приоритетов задачам и пользователям и т. д.
Такой подход, собственно, как раз и делает локальную инфраструктуру «похожей на облако»: снабжает её такими же средствами управления, что применяются для облачной инфраструктуры. Но реализация этого подхода у НРЕ имеет важную особенность: управление выстроено изнутри наружу — от локальных ЦОДов в облако, а не наоборот.
Поясню: если подобное решение выстраивает облачный провайдер, то он исходит из того, что основные объёмы хранения и вычислений заказчик уже производит в облаке, а локально ему требуется лишь что-то вроде кэша для ускорения наиболее критичных для бизнеса вычислений. В этой парадигме выстроены такие решения, как Amazon Outpost или Microsoft Azure Stack: они интегрируют локальные ресурсы заказчика в облаке.
HPE же подходит к решению проблемы с другой стороны. Мы понимаем, что сейчас около 80% приложений (это наша внутренняя оценка) российские заказчики всё ещё не готовы переносить в облако по разным причинам. То есть основная инфраструктура наших заказчиков для работы с данными всё ещё расположена локально, но вместе с тем часть приложений они хотят и уже готовы переносить в облака. Вот почему мы движемся к построению единого интерфейса для организации работы со всеми доступными данными, отталкиваясь от тех локальных инструментов, к которым заказчики уже привыкли.
С. Т.: Могу подтвердить, что в России немало заказчиков, которые не готовы, не могут перенести свои задачи в облако, в частности госструктуры, потому что у них есть специальные требования по безопасности и т. д. У ряда заказчиков в принципе нет выхода в Интернет из тех сегментов локальной сети, где размещаются данные (так называемые «тёмные площадки»). Тем не менее даже они начинают испытывать потребность в освоении облаков, пусть даже частных. Если же говорить о заказчиках, у которых подобных ограничений нет, почти все они активно стремятся вынести в облака отдельные приложения, как минимум — резервные копии, не теряя притом, конечно же, связности данных, не поступаясь их доступностью для сотрудников.
Что представляет собой инструмент Data Services Cloud Console (DSCC), предлагаемый HPE в рамках стратегии «всё как услуга»? Как организован этот инструмент и на какой аппаратной базе развёртывается; что делает его единым средством управления данными и инфраструктурой?
А. К.: Название этого инструмента вольно можно перевести как «облачная консоль для управления данными». Он централизует управление как инфраструктурой (локальной, облачной, размещённой на площадке сервис-провайдера), так и данными в плане защиты информации, разграничения прав, аудита доступа и т. п. Вдобавок эта консоль — ещё и своеобразный магазин приложений, в котором НРЕ, а в будущем и наши альянсные партнёры, разработчики ПО, смогут предлагать свои инструменты для решения различных задач заказчика.
В настоящее время пользователям DSCC доступно приложение НРЕ Backup and Recovery Service, позволяющее выполнять резервное копирование в облако НРЕ с оплатой по мере потребления ресурсов. А в ближайшей перспективе там появятся наши сервисы, связанные с глобальным поиском и обеспечением доступности данных. Скажем, недавно HPE приобрёл компанию Zerto, основной продукт которой обеспечивает бесшовную миграцию данных между самыми различными платформами, включая мультиоблачные среды, и соответствующее приложение в DSCC также появится. Наша консоль имеет открытый программный интерфейс (API), что значительно упрощает разработку альянс-партнёрами приложений для неё. Мы рассчитываем, что вскоре там можно будет увидеть приложения от таких компаний, как Veeam и Microsoft.
Пока DSCC, уже сейчас доступный на новейших СХД HPE Alletra, на Nimble и Primera, а в ближайшем будущем и на других наших системах хранения, функционирует полностью в облаке НРЕ и требует защищённого доступа в Интернет для управления аппаратной инфраструктурой. Но в планах на ближайшие полгода-год у нас выпуск такого же инструмента, но работающего в частных облаках — как раз для упомянутых ранее заказчиков с серьёзными ограничениями на выход в Интернет.
Важно подчеркнуть, что даже СХД HPE Alletra, которая сразу поставляется с DSCC, вовсе не обязательно должна управляться только из облачной консоли. Все инструменты для локального администрирования у HPE Alletra имеются; единственное, зачем необходимо подключение к облачной консоли, — ради первоначальной инициализации массива. То есть, по сути, для того, чтобы облако HPE получило сигнал, что данный массив развёрнут, запущен и что для него вступают в силу обязательства по технической поддержке. После этого безо всяких проблем можно закрыть СХД доступ в Интернет, если заказчик намерен эксплуатировать его на «тёмной площадке», и затем управлять ею уже из локальной консоли.
Какими средствами и особенностями архитектуры DSCC обеспечивается неприкосновенность данных заказчика?
А. К.: Хотя консоль управления и называется «облачной», это вовсе не значит, будто какие-то данные заказчика она непременно перемещает в облако, если, конечно, речь не идёт о сознательно запущенном резервном копировании туда. Посредством DSCC производится лишь управление системой, все данные заказчика остаются на месте. С облачной консолью производится обмен только управляющими командами, причём строго через зашифрованный туннель. Каждая СХД НРЕ при отгрузке с фабрики получает подписанный сертификат, который верифицируется и обновляется при каждом подключении к консоли. Взаимодействие с консолью может быть инициировано только со стороны самой СХД. Сама система отправляет по стандартному порту 443 (HTTPS) запрос в облачную консоль, размещенную в домене hpe.com, подкрепляя запрос сертификатом. Консоль сверяет этот сертификат с копией, хранящейся у неё, валидирует запрос и устанавливает защищённый туннель, по которому уже производится собственно обмен командами управления.
Иными словами, заказчик своими собственными средствами контроля трафика настраивает для консоли исключительно исходящее соединение из инфраструктуры. Никаких внешних команд откуда-то извне на неё поступить в принципе не может. Подобная организация работы с облачной консолью соответствует лучшим практикам ИБ, которые были разработаны нами совместно с заказчиками. Для углублённого изучения специалистами мы предлагаем специальный документ с детальным описанием архитектуры безопасности DSCC, предусматривающей, в частности, многофакторную аутентификацию (входа в систему — двухфакторную, для выполнения каких-то критических действий вроде удаления тома — даже трёхфакторную).
С. Т.: Действительно, при работе с наиболее осмотрительными заказчиками чрезвычайно помогает такая организация консоли, при которой следует открывать только исходящие порты, никаких запросов снаружи не предусмотрено, и весь трафик полностью контролируется на стороне клиента.
Насколько востребованы DSCC и совместимые с этим инструментом СХД HPE (в частности, Alletra) в России?
А. К: HPE Alletra в Россию поставляются лишь с ноября 2021 г., и пока у нас нет ещё инсталлированных проектов. Но на текущий год уже запланированы десятки контрактов с заказчиками самого разного масштаба, уверен, что к концу года будет о чём рассказать. При этом сама облачная консоль уже доступна для заказчиков систем Nimble и Primera, инсталлированная база которых в РФ довольно велика.
Сейчас мы видим интерес к облачной консоли в первую очередь от двух групп заказчиков. Первая — крупные корпорации, у которых есть широкая филиальная сеть либо внутренняя сложная организация по отделам, что подразумевает наличие множества пользователей, нуждающихся в доступе к различным корпоративным данным, причём данные эти физически хранятся на разных площадках, частично на внешних. И такие заказчики видят в DSCC прежде всего инструмент для правильной организации доступа к данным, консолидации их в едином интерфейсе с широкими возможностями аудирования доступа. Высоко ценят такие клиенты гибкие настраиваемые политики предоставления доступа в DSCC, удобные и надёжные процедуры удовлетворения/отклонения запросов, воплощённые к тому же в готовом, можно сказать коробочном решении, отлично подходящем для интеграции в имеющуюся ИТ-инфраструктуру.
Другой тип заказчиков, которых интересует DSCC, — это те, кто располагает сравнительно некрупной инфраструктурой, однако прямо сегодня по сути стоит на распутье в плане дальнейшего развития. Взвешивает, стоит ли переносить свои приложения в публичные облака либо к сервис-провайдерам или же лучше оставить всё на своей площадке, расширяя её возможности. Для такого рода клиентов важнее всего удобство управления сервисами из облаков, потому что у них, как правило, отсутствует развитый ИТ-отдел, нет в штате соответствующих узких специалистов. Здесь важно, чтобы основной бизнес шёл без задержек, а как и на чём работает обеспечивающая его ИТ-инфраструктура, — не столь существенно.
Но и такие заказчики понимают, что у облаков есть как плюсы, так и минусы, включая постоянно присутствующий риск обрыва канала, повышенную задержку доступа к данным, не слишком гибкие возможности выстраивания инфраструктуры по сравнению с чисто локальной инсталляцией. В облаках ведь клиентам предлагается своего рода меню ресурсов, из которых надо выбирать. Так вот для таких заказчиков, которые хотят выбирать ресурсы в облачном стиле — удобно, быстро, понятно, но которые притом хотят иметь независимую от связи с облаком рабочую инфраструктуру, мы и предлагаем облачную консоль.
С. Т.: Компания «ИНЛАЙН ГРУП» пока не имеет опыта поставки HPE Alletra. Однако у нас есть заказчики, с которыми мы давно работаем и у которых есть инсталлированная база HPE 3PAR и HPE Primera, они проявляют теперь немалый интерес к HPE Alletra. Так что в нашем портфеле доступных опций по СХД эта система, да и все системы с DSCC займут, я считаю, достойное место.
А. К.: Кстати,
Хочу также ещё раз развеять основную обеспокоенность наших заказчиков, которые считают, будто облачная консоль — это страшно, небезопасно и будто HPE ни с того ни с сего насильно затягивает всех в облака. Мы точно никого никуда не затягиваем: облачная консоль продолжает оставаться лишь опцией. Но опцией уже сейчас чрезвычайно полезной, а в течение даже текущего календарного года она дополнительно усилит свою привлекательность за счёт немалого числа новых сервисов, призванных ещё более расширить круг решаемых DSCC задач. Испробовать этот инструмент и открыть для себя его преимущества могут уже сотни заказчиков HPE в России, располагающих СХД Nimble и Primera, стоит им только захотеть.