Риски использования облачных сервисов: оценка угроз и рекомендации по выбору провайдера
Изображение: recraft
Облака для бизнеса парадоксальны. С одной стороны они обеспечивают чуть ли не мгновенное масштабирование, доступ к сервисам из любой точки мира, оплату только за используемые ресурсы. С другой — таят в себе риски: от санкционных ловушек до аварий в дата-центрах. Вместе с директором облачной платформы Astra Cloud (входит в «Группу Астра») Константином Анисимовым рассмотрим, как свести к минимуму потенциальные проблемы при выборе облачного провайдера.
Неочевидные угрозы облачных платформ
Облачные технологии предлагают компаниям неоспоримые преимущества. Облака помогают запускать проекты в кратчайшие сроки, гибко настраивать ресурсы и здорово экономить на инфраструктуре. Тем не менее, важно помнить о нюансах, которые могут обернуться проблемами, а не пользой.
Юридические ловушки
Облачные провайдеры порой используют юридические формулировки, которые могут серьезно ограничить ответственность за сбои и создать неожиданные проблемы для клиентов. Особого внимания заслуживают два ключевых аспекта: определение форс-мажора и условия выхода из договора. Обычно они прописываются в SLA (Service Level Agreement), соглашении об уровне качества обслуживания.
Так, например, в некоторых SLA раздел о форс-мажоре трактуется максимально широко. Под это понятие могут подпадать не только стихийные бедствия, но и технические сбои, проблемы у субподрядчиков или даже действия регуляторов. На практике это означает, что при аварии в дата-центре провайдер может отказаться от компенсации, ссылаясь на непреодолимые обстоятельства.
Что касается расторжения договора, то переход к другому провайдеру может сопровождаться препятствиями. Так, например, в договоре могут встречаться условия о длительных сроках возврата данных, дополнительной оплате за экспорт информации или даже требование удалить резервные копии.
Проверяйте договор с облачным провайдером не только на предмет технических параметров, но и с точки зрения гибкости условий сотрудничества. Уделите особое внимание процедурам выхода и переноса данных, а также уточните понятие форс-мажора в SLA и причины простоев, за которые полагается компенсация. Эти меры помогут сохранить контроль над своими активами и избежать неприятных сюрпризов при изменении облачной стратегии.
Технические «слепые зоны»
Облачные технологии обещают масштабируемость и гибкость, но за кажущейся простотой скрываются технические риски, которые часто остаются за пределами первоначальной оценки. Вот три ключевые угрозы, на которые важно обращать внимание.
API-шлюзы как «дыры» для утечек
API — это «кровеносная система» облака, доступ к которой открыт «снаружи». Так, незащищенный API может привести к утечке особо чувствительных данных.
Среди типичных ошибок можно выделить следующее:
- Открытые endpoints без rate-limiting.
- Устаревшие версии OAuth.
- Хранение ключей в коде GitHub.
Защититься можно с помощью внедрения надежных межсетевых экранов, регулярного сканирования, обязательного шифрования всех передаваемых данных на всех уровнях.
Риски мультиоблачной архитектуры
Стратегия использования нескольких провайдеров снижает зависимость от одного вендора, но может обернуться проблемами. Чаще всего можно столкнуться с конфликтом настроек шифрования между разными провайдерами и сложностью отслеживания DDoS-атак. Решить проблему помогут единые инструменты оркестрации и регулярные кросс-аудиты облаков.
Проблемы совместимости legacy-систем
Еще одна возможная причина сбоев работы виртуальной инфраструктуры — перенос систем в облако без адаптации. Так, например, можно столкнуться с простоем при миграции из-за несовместимости форматов обмена данными с API провайдера. Можно выделить главные «болевые точки»:
- Устаревшие протоколы (SOAP вместо REST).
- Жесткая привязка к специфическому железу.
- Неподдерживаемое ПО (например, Java 6).
Решить эту проблему можно путем создания «прослойки» из контейнеров или виртуальных машин с эмуляцией legacy-окружения.
Фантомные расходы
Многие компании недооценивают, как «мелкие» облачные операции влияют на бюджет. Каждый вызов API, неиспользуемые виртуальные машины, «висящие» хранилища, скачок нагрузки на ресурсы с последующим автоматическим масштабированием — все это стоит денег.
Кроме того, некоторые провайдеры ради привлечения клиентов обещают довольно низкую базовую стоимость аренды облака, но «зарабатывают» при этом на важных дополнительных услугах. Например, на трафике, балансировщике нагрузки, файрволе. В результате на старте вместо реальной стоимости компания очаровывается «выгодным» предложением, а после сталкивается с возросшим в 1,5-2 раза бюджетом на облако.
Как защититься:
- Уточняйте заранее у провайдера полную стоимость аренды облака с учетом всех дополнительных услуг, которые могут потребоваться.
- Настройте лимиты и алерты на нестандартную активность.
- Регулярно проводите аудиты облачных логов.
Санкционные риски и геолокация серверов
Согласно законодательству, необходимо хранить персональные данные пользователей на территории России, что уже вносит ряд ограничений при выборе облачного провайдера. Ситуация осложняется санкциями, которые показали, к чему приводит зависимость от зарубежных технологий: некоторые компании потеряли важные данные и столкнулись с блокировкой части бизнес-процессов.
Чтобы себя обезопасить, выбирайте российских провайдеров и запросите при этом официальное подтверждение о расположении серверов на территории России.
Если компании важно работать с зарубежными провайдерами, то выбирайте гибридный подход: критическую инфраструктуру и персональные данные держите в российских облаках, а нейтральные сервисы — в облаках «дружественной» юрисдикции. Например, в Сербии или ОАЭ, хотя в этом случае важно помнить о зыбкости любых «дружественных» и «партнерских» договоренностей, неустанно делать бэкапы и быть готовыми к любым форс-мажорам.
Главные выводы
Облачные технологии открывают бизнесу новые возможности, но требуют взвешенного подхода. Ключевые риски кроются не в самой технологии, а в деталях: юридических формулировках, технических нюансах и финансовых подводных камнях.
Краткий чек-лист при выборе провайдера:
- Тщательно проверяйте SLA, а также уделите особое внимание трактовке форс-мажора и условиям выхода из договора.
- Запросите официальное подтверждение локализации данных на территории России.
- Заранее уточните полную стоимость аренды облака с учетом всех дополнительных услуг, которые могут потребоваться.
- Настройте четкий мониторинг расходов.
- Помните о важности контроля доступа к облачным ресурсам, в частности, к API, и заранее позаботьтесь об усиленной защите этой зоны.
Помните, что лучший облачный провайдер — не самый дешевый или технологичный, а тот, чьи условия и возможности полностью соответствуют вашей бизнес-модели и толерантности к рискам.
Автор: Константин Анисимов, директор облачной платформы Astra Cloud
