Облако — это не только инфраструктура

Когда говорят об облаке, в первую очередь имеют в виду IaaS (инфраструктуру как услугу) и PaaS (платформу как услугу): виртуальные серверы, диски, сети, базы данных, объектные хранилища. Именно за ними пользователи и приходят к провайдеру. Однако сводить облако только к этому — всё равно что называть город набором зданий и дорог. За видимой инфраструктурной «верхушкой» скрывается гораздо более сложный и ценный слой, который и превращает разрозненные компоненты в работающую экосистему.

Этот слой — платформенные сервисы, или сервисы базовой платформы. О них говорят редко, они остаются за кадром, но именно они создают фундамент. Без них облако — просто груда «железа» и гипервизоров, а с ними — гибкая, управляемая среда, где клиенту уже не важно, где работают его ресурсы: в публичном облаке, в частном или на выделенных серверах.

Платформенные сервисы превращают набор компонентов в экосистему. Именно они создают единую ресурсную модель: обеспечивают сквозную аутентификацию и авторизацию, унифицированный биллинг, систему аудита и мониторинга, а главное — единый пользовательский опыт. Благодаря им клиент работает не с «зоопарком» из виртуальных машин, дисков и сетей, а с целостной средой, где все компоненты согласованы и предсказуемы.

Гибридные облака стали одним из драйверов развития платформенных сервисов. Крупный бизнес, где проникновение облачных технологий уже достигает 95%, выбирает не чисто публичные, а частные и гибридные модели. Например, у «Рег.облака» за последние два года количество пользователей гибридных облаков выросло на 30%. Гибридная среда всегда включает разнородные ресурсы: публичное облако, частное облако, выделенные серверы. Клиенту нужно управлять всеми этими типами ресурсов централизованно, с одинаковыми правилами и интерфейсами. Без единого слоя управления гибридное облако превращается в хаотическое нагромождение разных консолей, логинов и счетов.

Рассмотрим шесть обязательных компонентов современной платформы, без которых переход от инфраструктуры к сервису невозможен.

Единая ресурсная модель. Управление гибридным облаком начинается с того, что все ресурсы — виртуальные машины, диски, сети, контейнеры, выделенные серверы — описываются в виде единой ресурсной модели. Это означает четко определенный жизненный цикл каждого ресурса, прозрачные зависимости между ними и понятные правила наследования политик. Без такой модели клиент не сможет единообразно управлять гетерогенной средой: публичное облако, частное облако и выделенные серверы продолжают существовать в параллельных вселенных со своей логикой. Единая ресурсная модель — это первый шаг к тому, чтобы гибридная инфраструктура заговорила на одном языке.

Единая система управления идентификацией и доступом (IAM, Identity and Access Management) становится критическим элементом платформенного слоя. В аутентификации наблюдается четкий тренд: отказ от статических реквизитов в пользу динамических методов. Логины и пароли уходят в прошлое, им на смену приходят многофакторная аутентификация и наиболее безопасный метод — FIDO2, где приватный ключ клиента при аутентификации вообще не передается по сети. Особое внимание сегодня требуется уделять сервисным аккаунтам, так как они часто не имеют единого владельца и передаются от сотрудника к сотруднику.

Что касается авторизации, классическая ролевая модель перестает быть достаточной. На смену приходят более тонкие методы: атрибутный доступ (ABAC), контекстный доступ, а также временный доступ, когда административные права выдаются на короткий промежуток времени и автоматически отзываются. Все эти методы направлены на реализацию принципа наименьших привилегий — пользователь получает ровно тот объем прав, который необходим для его повседневных задач.

Единый биллинг. Традиционно биллинг в облаках строится на модели оплаты по мере использования (pay-as-you-go), но способы расчета различаются: публичные облака чаще всего берут плату за время использования ресурсов, частные — фиксированную помесячную плату. В гибридной среде клиенту необходимо единое представление о затратах независимо от того, где находятся его ресурсы. 

Однако сегодня формируется новый тренд: переход от повременной оплаты к оплате за фактическое потребление, например за токены. Драйвер этого перехода — все более широкое использование искусственного интеллекта и особенно агентных систем. Графические процессоры очень дороги, и платить за время их простоя в ожидании запросов экономически невыгодно. 

Единые глобальные политики безопасности. В гибридном облаке ресурсы физически находятся в разных средах: часть в публичном облаке провайдера, часть на выделенных серверах в ЦОДе клиента или провайдера. Однако для службы безопасности не имеет значения, где именно находится ресурс. Ей нужны единые политики доступа, которые применяются централизованно, без настраивания каждого фрагмента инфраструктуры в отдельности. Это включает в себя политики доступа, ресурсные политики, политики сетевой безопасности, политики хранения данных, политики шифрования и политики управления уязвимостями. Только централизованное управление позволяет обеспечить соответствие регуляторным требованиям и избежать человеческих ошибок при разнесении политик по разным средам.

Единая система аудита и мониторинга. Для департамента информационной безопасности или ИТ-контроля не имеет значения, где именно произошел тот или иной инцидент. Им нужна единая картина всех событий и единый аудиторский след. Без этого невозможно ни выполнение регуляторных требований, ни оперативное выявление инцидентов. Система мониторинга должна собирать метрики и логи из всех сегментов гибридной среды — от виртуальных машин в публичном облаке до физических серверов в частном контуре. А система аудита должна фиксировать каждое действие: кто, когда, к какому ресурсу обращался и какие изменения вносил. В случае инцидента наличие единого и непротиворечивого аудиторского следа становится главным условием расследования.

Единые интерфейсы управления. Стандарт индустрии уже сложился: клиент ожидает получить как графический интерфейс (личный кабинет, консоль в браузере), так и программные интерфейсы — API, командную строку, инструменты для разработчиков на разных языках и поддержку Terraform. Всё это должно быть единым для всех типов ресурсов. Через единый API и единый личный кабинет должно быть возможно одинаково управлять выделенными серверами, облачными серверами, сетевыми дисками и базами данных. Интерфейсы унифицированы, и пользовательский опыт один и тот же независимо от того, с каким типом инфраструктуры работает клиент. Единый пользовательский интерфейс — это не конкурентное преимущество, а обязательное условие современного облака. Без него гибридная среда остается набором разрозненных инструментов, а не целостной платформой.

***

Платформенные сервисы существовали всегда, но их роль сегодня растет. Развитие ИИ, увеличение проникновения облаков, в том числе гибридных, повысившаяся роль кибербезопасности и рост количества ИБ-инцидентов создают замкнутый цикл: новые требования к управляемости и безопасности подтягивают развитие IAM, биллинга и аудита, а те, в свою очередь, открывают возможности для дальнейшего расширения облачных моделей. Платформенные сервисы перестали быть вспомогательными и превратились в один из главных факторов, определяющих ценность облака как продукта.

Современное облако — это гетерогенная среда, где важно единообразное, гибкое и безопасное управление с едиными интерфейсами, единой моделью доступа и единым биллингом. Облако давно не просто набор IaaS и PaaS-сервисов с базовым администрированием, а платформенная среда, где инфраструктура — лишь один из многих элементов. Те, кто продолжает думать об облаке только как о «виртуалках и дисках», упускают суть: ценность сегодня создается не «железом», а платформой, которая делает это «железо» гибким и удобным инструментом для решения в первую очередь бизнес-задач.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!