ADG Оставить заявку
Блог Управление и процессы 6 мин чтения

Итоги 2012: частные облака в работе, BYOD как факт и 152-ФЗ без права на отсрочку

Год, когда пилоты по виртуализации и облакам превратились в рабочие проекты, BYOD перестал быть выбором, а регуляторы взялись за ПДн и PCI DSS всерьёз.

Контекст момента

2012 год: массовый интерес к частным облакам, BYOD как корпоративная реальность, ужесточение 152-ФЗ и появление PCI DSS 2.0 в практике российских компаний

Декабрь. Проекты закрываются, счета выставлены, команда смотрит на список задач за год с некоторым удивлением от его длины. Попробуем честно разобрать, что перешло из «интересно, надо попробовать» в реальную работу, что провалилось или зависло, и с чем мы входим в 2013-й.

Частные облака: из пилота в production - с оговорками

Год назад мы писали, что облака для большинства клиентов остаются темой разговоров. В 2012-м ситуация сдвинулась - но не так, как рисовали вендоры.

Публичные облака вроде AWS и Azure приходят к клиентам с конкретным вопросом: где физически лежат данные? Для тех, у кого в базах персональные данные граждан РФ, ответ «в дата-центре Амазона в Ирландии» закрывает разговор. Поэтому реальный интерес сосредоточился на частных облаках - IaaS-платформах на собственном или арендованном железе.

Мы сделали три таких проекта. Один на OpenStack Essex, два на vSphere с vCloud Director. Результаты неоднородные.

OpenStack Essex. Пилот в мае оказался показательным: платформа работает, самообслуживание через Horizon удобно разработчикам, но операционная нагрузка выше, чем казалось. Каждое обновление компонентов - отдельная история. У клиента нет своего инженера, который знает OpenStack изнутри, и это чувствуется. Проект живёт, но назвать его «просто летит» нельзя.

vCloud Director. Здесь порог вхождения другой - лицензии дорогие, зависимость от VMware полная. Зато операционно предсказуемо: у двух клиентов это работает стабильно с лета, инциденты единичные. Для тех, кто уже на vSphere и не хочет осваивать новый стек - разумный выбор.

Что провалилось: попытка продать частное облако клиенту с небольшим парком серверов (20-30 VM). Инфраструктура для IaaS-платформы требует минимального масштаба - иначе overhead на управление съедает выгоду. Мы потратили месяц на переговоры и проектирование, после чего вместе с клиентом пришли к выводу, что ему нужна не облачная платформа, а нормально настроенный vSphere с автоматизацией. Сделали это. Всем лучше.

BYOD: перестали спрашивать, можно ли

В феврале мы написали про первые BYOD-регламенты. С тех пор запросы не прекращались - только формулировка изменилась. Раньше клиенты спрашивали «нам нужна политика для смартфонов». Теперь они говорят «у нас уже всё подключено, надо это как-то упорядочить».

Три проекта по MDM за год - Exchange ActiveSync для простых случаев, полноценный MDM для тех, где нужно удалённое стирание и разграничение корпоративных и личных данных. Технически это решается. Труднее всего - убедить сотрудников, что MDM-профиль на личном телефоне не означает, что IT читает их переписку. Этот разговор мы провели, наверное, раз двадцать в разных вариациях.

iOS предсказуем. Android - нет: три разных версии ОС в одной компании, у каждого производителя свои модификации, часть функций MDM работает по-разному или не работает вообще. Samsung с их Knox-расширениями - отдельная история, которую мы только начали разбирать.

В сентябре добавилось MDM как отдельный проект с выбором платформы - про это написали отдельный материал. Рынок ещё не устоялся: Microsoft Intune, Citrix XenMobile, MobileIron - у каждого свои сильные стороны и провалы. Единственного правильного ответа нет.

152-ФЗ: отсрочки закончились

Весной мы разобрали новые требования по защите персональных данных. К осени это из темы «надо бы разобраться» превратилось в «проверки уже идут».

Пять проектов по 152-ФЗ за год - и везде одна и та же картина: технические меры в целом выполнимы, организационная документация - больная точка. Модель угроз, политика обработки ПДн, инструкции для операторов - это несколько месяцев работы с юристами и техническими специалистами клиента одновременно. У многих не хватает ни тех, ни других в нужном количестве.

Один кейс запомнился: ритейлер с несколькими тысячами карточек клиентов в базе. Технически всё было неплохо - шифрование, разграничение доступа. Но когда мы начали составлять реестр ИСПДн, выяснилось, что часть данных вообще не учтена: старая CRM на отдельном сервере, которую «никто уже не использует», но данные в ней есть и доступ к ним не ограничен. Такие сюрпризы - норма.

PCI DSS 2.0: теперь это не только для банков

В июле мы разбирали первый аудит по PCI DSS 2.0. К концу года таких запросов стало заметно больше - стандарт добрался до ритейлеров и сервисных компаний, которые принимают карточные платежи напрямую.

Ключевой вывод: основной объём работ - не технический. Сегментация сети, шифрование данных держателей карт, мониторинг доступа - это решается. Труднее всего - инвентаризация всех мест, где карточные данные вообще присутствуют. Не только в платёжных системах: бывает, что номера карт осели в Excel-файлах у бухгалтерии или в переписке по электронной почте. Убрать это труднее, чем настроить файрвол.

Что не взлетело

Hadoop. В октябре мы запустили первый пилот с MapReduce. Пилот работает, данные обрабатываются. Но это пока лабораторная история - в реальной задаче клиента объём данных не такой, чтобы оправдать сложность эксплуатации кластера. Лежит на полке как опыт.

IPv6 в production. Написали про итоги World IPv6 Launch в июне - провели пробные внедрения с двойным стеком. Ни один клиент не перешёл на IPv6 как основной протокол. Понятно почему: IPv4-адресов хватает, приложения работают, мотивации торопиться нет. Настроили двойной стек у двух клиентов, на этом пока остановились.

Windows 8 в корпоративной среде. В ноябре разобрали его как корпоративный инструмент. Интерес был, попыток внедрить - ноль. Metro-интерфейс не для рабочих станций с мышью и двадцатью открытыми окнами. Клиенты смотрят, не торопятся.

Что несём в 2013-й

Частные облака останутся темой, но с отрезвлением: это не «поднял платформу и всё само». Это инфраструктурный проект с полноценным операционным циклом.

152-ФЗ продолжает давить - проверки будут, и клиенты это понимают. BYOD никуда не денется, объём устройств только растёт. Windows Server 2012 у нас уже в нескольких пилотах - ReFS, Storage Spaces, улучшенный Hyper-V. Здесь есть что рассказать в следующем году.

В целом 2012-й - год, когда мы перестали объяснять клиентам, что такое виртуализация и зачем нужна защита персональных данных. Теперь объясняем, как с этим жить без боли. Это другой разговор, и он интереснее.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.