28 июня 2019

Бурное развитие облачных сервисов вносит серьезные коррективы в корпоративные ИТ-ландшафты. Если раньше компании могли создавать и поддерживать необходимую инфраструктуру сами или с некоторой помощью системных интеграторов, сейчас делать это стало куда сложнее. Программное обеспечение как сервис, платформа как сервис — куда ни глянь, кругом одни сервисы и условный «сферический» бизнес вынужден как-то выживать в этом «вакууме». Использование услуг облачных провайдеров при грамотном подходе позволяет снизить капитальные затраты на ИТ, но управлять зоопарком разнообразных сервисов становится затруднительно. Сегодня мы расскажем про облачных брокеров (Cloud Brokers): какие они бывают, где водятся и зачем нужны.

Shadow IT и проблемы безопасности

Потребители услуг часто считают, будто облачные провайдеры сами обеспечивают клиентам необходимый уровень безопасности и доступности сервисов. Даже вынося значительную часть своей ИТ-инфраструктуры в облако, корпоративные заказчики пытаются жить в рамках привычных схем организации работы. Это огромная ошибка — такие схемы применимы только в замкнутом пространстве локальной сети, когда вся инфраструктура находится буквально под рукой. В этом случае у ИТ-департамента есть необходимые средства контроля доступа к ресурсам, а самое главное — есть понимание, кто с каким оборудованием и с каким программным обеспечением работает. Если компания уходит в облака, этот контроль теряется. Далеко за примерами ходить не надо, достаточно вспомнить случай, когда поисковые роботы Яндекса проиндексировали кучу доступных публично документов Google и в них обнаружилось море приватной информации. Маркетинговые планы, сметы, пароли для доступа и другие интересные потенциальному злоумышленнику данные оказались доступны любому желающему.

Больше всего вопросов вызывает работа с публичными или гибридными облаками. Хотим мы того или нет, сотрудники многих компаний начинают активно использовать широко распространенные сервисы. Это может быть Office 365, Google Docs, Dropbox, различные планировщики задач или, к примеру, редакторы диаграмм — есть множество служб, позволяющих решать повседневные задачи лучше локального ПО и облегчающих совместную работу. Для подключения к ним достаточно доступа в интернет, поэтому администраторы сети просто не успевают за всем следить. Возникает явление, которое в специализированной литературе назвали метким термином Shadow IT: компания уже не знает, какие данные хранятся на внешних ресурсах, какие каналы VPN уходят из локальной сети, куда они ведут и какие бизнес-процессы автоматизированы с помощью сторонних сервисов.

Доступ к внешним ресурсам можно ограничить, можно даже запретить все, кроме входящих в белые списки сайтов, но такой подход крайне непродуктивен. Пользователи не просто так уходят на облачные службы, с их помощью многие вещи делаются гораздо быстрее и с меньшими трудозатратами. К тому же схема оплаты только за фактически используемые ресурсы весьма привлекательна для ИТ-бюджета, так что процесс миграции в облака будет продолжаться. Вместо попыток запретить все подряд лучше начать контролировать процесс, но при этом возникает потребность в специализированном посреднике, который мог бы закрыть образовавшуюся в периметре безопасности дыру. Таких посредников назвали Cloud Access Security Broker (CASB) и это направление облачной интеграции весьма популярно на мировом рынке.

Брокер царствует над хаосом.

Многие компании используют не просто какой-то один сервис или небольшой их набор, в облака переносят значительную часть корпоративной ИТ-инфраструктуры. Офисные приложения, электронная почта, документооборот, системы управления бизнес-процессами, а также виртуальные серверы, хранилища данных и бог знает что ещё — часто одна организация работает со множеством разнообразных провайдеров услуг. Департаменту исследований и разработок могут потребоваться дешевые виртуальные машины, а для бизнес-критических приложений — более надёжные и дорогие.

По мере усложнения системы, контроль над ней теряется не только с точки обеспечения безопасности, но и с точки зрения расходования средств. Непонятно, кто куда тратит деньги и как эти затраты оптимизировать. Даже администрирование лоскутной инфраструктуры становится непростой задачей — в локальной сети обычно есть строгая иерархия полномочий, а здесь сисадминам верхнего уровня очень сложно влезть в огород более мелкой административной единицы и ничего там не испортить.

Естественным образом на горизонте возникла еще одна идея для поставщиков брокерских услуг — Cloud Service Broker (CSB). Такие компании позволяют с помощью одного интерфейса управлять инфраструктурой и сервисами, развёрнутыми на площадках различных облачных провайдеров. Частично функции CSB пересекаются с функциями CASB, потому что контроль неразрывно связан с обеспечением безопасности, но всё-таки CSB больше сосредоточены на управлении внешними сервисами, мониторинге их работоспособности, различной аналитике и оптимизации затрат.

Как это работает?

Существуют разные варианты технической реализации услуг облачного брокера, но среди всего многообразия решений можно выделить два основных подхода: прокси и API (Application Programming Interface). В первом случае трафик проходит через некий программно-аппаратный комплекс, одна часть которого устанавливается на стороне заказчика, а другая может располагаться в облаке поставщика брокерских услуг. На конечные устройства, при этом, также может устанавливаться специальное агентское ПО.

Комплекс интегрируется с системами безопасности заказчика и позволяет управлять всем проходящим через него потоком данных. Можно получать отчёты и аналитику, настраивать пользователям доступ к внешним облачным ресурсам, создавать политики безопасности и решать другие подобные задачи. Второй вариант — работа через API — не предполагает установки у заказчика прокси-сервера, все функции управления доступом реализованы на стороне брокера. На рынке представлено довольно много подобных решений и чаще всего они представляют собой гибрид обоих подходов — для разных конечных устройств и приложений могут применяться различные их комбинации.

Источник: vc.ru