Firmowe dane potrzebują ochrony

14-12-2016, 22:00

W dobie rosnącego znaczenia chmury obliczeniowej, Big Data i cyberprzestępczości przedsiębiorcy muszą pamiętać o zabezpieczaniu biznesowych informacji

Awaria chmury obliczeniowej to sytuacja, której obawia się każda firma, niezależnie od tego, jak jest duża. Na początku 2016 r. kilka tysięcy przedsiębiorców bezpowrotnie straciło swoje dane, a rynek zmroziły informacje o problemach 2be. pl, jednego z dostawców hostingu obsługującego ponad 2 tys. domen.

Problem nie ominął również największych — 4 lata temu awaria systemów zasilania w jednym z rodzimych centrów danych doprowadziła do największej awarii chmury obliczeniowej w Polsce. Problemy z dostępem do danych dotknęły m.in. takie witryny, jak Wykop.pl, Natemat.pl, PayU czy Money.pl.

Na czterech poziomach

Jedno jest pewne — nieprawidłowości będą się zdarzać. Pozostaje jednak pytanie, jak zminimalizować ich ryzyko i jakie kryteria powinny być kluczowe przy wyborze serwerowni. Na rynku data center jednym z najistotniejszych jest TIER. To popularna klasyfikacja ośrodków gromadzenia i przetwarzania danych, która definiuje standard „opieki” nad zasobami IT. To właśnie ona jest podstawą do zdefiniowania jakości przechowywania oraz przetwarzania informacji dla klientów i pewnym standardem, do którego odnosi się rynek. Klasyfikacja została opracowana przez amerykański Uptime Institute. Uwzględnia cztery poziomy. Najniższy, TIER I, to dostępność na poziomie 99,67 proc., co oznacza, że możliwy okres przerw w dostępie do danych może wynieść 28,8 godz. rocznie.

Certyfikat dostają zwykłe serwerownie, które w przypadku awarii nie mają zapasowych serwerów, łączy czy dostępu do niezależnego źródła energii. W przypadku TIER II gwarantowana dostępność wynosi 99,75 proc., a maksymalny możliwy okres przerw na przestrzeni roku równa się 22 godzinom.

W tym przypadku serwerownie posiadają częściową nadwyżkę w obszarze chłodzenia i zasilania. TIER III oznacza, że dzięki dostępności wynoszącej 99,982 proc. klient nie doświadczy dłuższej przerwy w dostępie do swoich zasobów niż 1,6 godz. w ciągu roku, a nadwyżka zasilania pozwoli na utrzymanie działania infrastruktury do 72 godz. w przypadku jej nieplanowanej awarii. Natomiast TIER IV, najdroższy z punktu widzenia klienta, charakteryzuje się dostępnością równą 99,995 proc., najdłuższa możliwa przerwa to 26 min, a infrastruktura odcięta od zasilania będzie sprawna nawet do 96 godz.

— Rzeczywista jakość usług centrów danych jest wypadkową znacznie większej ilości czynników, a praktyczne różnice między ostatnimi poziomami TIER, po uwzględnieniu kosztów dla klientów końcowych, mogą okazać się niezauważalne. Zmierzyłem się z tym tematem wielokrotnie, choćby przy okazji budowania infrastruktury serwerowej w największym polskim punkcie wymiany ruchu — PLIX-ie, gdzie nie zdecydowaliśmy się na wyśrubowaną certyfikację — opowiada Sylwester Biernacki, twórca PLIX, a obecnie prezes Atmana. Warto zauważyć, że przedsiębiorcy często nie są świadomi rzeczywistej różnicy między certyfikatami TIER III a TIER IV.

— Przede wszystkim chcą zapoznać się ze specyfikacjami mocy obliczeniowej, doświadczeniem rynkowym operatora czy standardami utrzymania swojej infrastruktury przez specjalistów, które przecież dla każdej spółki z sektora centrów danych mogą być inne — komentuje Raouf Abdel, dyrektor operacyjny firmy Equinix Inc., zarządzającej ponad stoma centrami danych na całym świecie.

Z tego powodu część graczy na rynku data center wykorzystuje niewiedzę potencjalnych klientów i przedstawia swoje usługi jako najlepsze — co najmniej dwa centra danych w Polsce twierdzą, że spełniają wymagania TIER IV, jednak nie ma ich na liście Uptime Institute.

Certyfikat nie taki ważny

Zdarza się również, że centra danych celowo nie ubiegają się o certyfikację, choć ich infrastruktura spełniałaby wszystkie wyznaczniki.

— Wydatki, jakie należy ponieść w związku z wszystkimi aspektami budowy centrum danych w standardzie TIER IV, są moim zdaniem nieadekwatne do osiąganych korzyści. Z doświadczenia wiem, że w konsultacji ze specjalistami rynku data center można zbudować dopracowaną infrastrukturę typu TIER III+, która będzie bardziej niezawodna niż „zwykły” obiekt spełniający wymagania TIER IV — twierdzi Carlos Garcia de la Noceda, menedżer IT z Vodafone’a.

Dzieje się tak zwykle dlatego, że sama certyfikacja odnosi się głównie do projektu i budowy obiektów przechowywania i gromadzenia danych.

— Tymczasem pod uwagę należy wziąć więcej czynników, jak choćby niezawodność i jakość instalowanego sprzętu, systemów obsługi technicznej, szkolenia personelu, procedury bezpieczeństwa — każdy z nich, poza certyfikacją TIER, ma wpływ na niezawodność dostępu do danych — dodaje Carlos Garcia de la Noceda. Należy wyjaśnić, że parametry oceny centrów danych przyjęte przez Uptime Institute dotyczą przede wszystkim topologii oraz sposobu zaprojektowania obiektów. Nie są tu uwzględniane chociażby czynniki mające bezpośredni wpływ na bezpieczeństwo.

— Certyfikat TIER jest pewnym wyznacznikiem jakości świadczonych usług i potwierdzeniem zdobytego przez operatora doświadczenia, jednak nie należy przewartościowywać jego znaczenia, zwłaszcza na polskim rynku, gdzie klienci w związku z ograniczaniem budżetów IT skrupulatnie liczą pieniądze i nie zamierzają przepłacać za funkcjonalności, które nie mają wymiernego wpływu na ich biznes. Wiem to z doświadczenia — zdarzało nam się analizować z klientem potrzebę wybudowania fragmentu infrastruktury TIER IV. Nasz obiekt jest do tego przystosowany, jednak biorąc pod uwagę potrzeby firm i tzw. portfel polskiego klienta, posiadany przez nas standard TIER III+ jest w zupełności wystarczający. Jego podwyższenie oznaczałoby konieczność podniesienia cen naszych usług bez większej korzyści dla klientów — zauważa Sylwester Biernacki.

Dostosować do potrzeb

Ponadto należy zaznaczyć, że obecnie na polskim rynku nie ma zapotrzebowania na takie usługi, a przedsiębiorca stojący przed decyzją o wyborze serwerowni powinien przede wszystkim skupić się nie tyle na certyfikacji, ile na doświadczeniu dostawcy, opiniach i recenzjach.

— Niezależnie od tego, jakim poziomem certyfikacji może pochwalić się data center, każdy menedżer powinien złożyć wizytę w centrum danych oraz zobaczyć, jak ono działa w praktyce. I przekalkulować ryzyko oraz swój budżet. Dostosować TIER do swoich potrzeb, a nigdy odwrotnie — podpowiada Sylwester Biernacki.

Mimo wszystko na rynku znajdzie się miejsce dla dostawców usług z obszaru data center w różnych standardach. Dla banku wyższy TIER jest koniecznością, dla mniejszych graczy — zbędnym, wyśrubowanym standardem, którego nie zamierzają finansować. Warto zapamiętać, że certyfikacja nie powinna być nadrzędnym parametrem, od którego należy uzależniać wybór danego operatora.

4 Godziny — tyle średnio zajmuje hakerowi uzyskanie nieautoryzowanego dostępu do systemu i danych (wg badania „W obronie cyfrowych granic” PwC).

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Paulina Kostro

Najważniejsze dzisiaj

Polecane

Inspiracje Pulsu Biznesu

Tematy

Puls Biznesu

Inne / Firmowe dane potrzebują ochrony