PaaS как драйвер развития облачных технологий

«Сегодня PaaS – самые интересные из облачных сервисов. Они уменьшают сложность использования стандартных платформ, позволяя без глубокой собственной экспертизы в этой области, но с опорой на экспертизу провайдера быстро запускать собственные сервисы», – отметил на организованной «ИКС-Медиа» конференции Cloud & Digital Transformation Михаил Соловьев, директор по развитию продуктов компании DataLine (входит в ГК «Ростелеком – Центры обработки данных»). 

 

 

Экосистема платформенных сервисов упрощает выбор инструментов. «В облаке задача выбора идеального инструмента решается быстро и дешево. Можно одновременно создать несколько решений, в онлайне сравнить их работу, выявить преимущества и недостатки и сделать оптимальный выбор», – пояснил руководитель направления по работе с корпоративными клиентами SberCloud Петр Предтеченский. К тому же клиент платит только за фактическое потребление вычислительных ресурсов – не надо покупать лицензии и нанимать дорогих специалистов узкого профиля.

 

Сервисы PaaS дают пользователю уровень кастомизации, недоступный для сервисов SaaS, которые являются, по сути, законченным решением. Это особенно важно для крупных корпоративных клиентов, занимающихся разработкой кастомизированных решений, в том числе на основе методологии DevOps. «В вертикальных PaaS, к которым относятся и существующие более 10 лет коммуникационные платформы, облачные сервисы позволяют ускорить и стандартизировать создание решений, нанизываемых на платформу. Поддержка DevOps обеспечивает воспроизводимость кода и снижает избыточность, появляющуюся при разработке на разных инфраструктурах. Мы сами пользуемся облачной платформой и ее же отдаем клиентам», – рассказал руководитель по стратегии Интернета вещей МТС Антон Салов.

 

По данным недавно проведенного консалтинговым агентством iKS-Consulting исследования, компании, использующие сервисы PaaS более года, отмечают, что нагрузка на ИТ-специалистов снижается на 50–60%. При этом освобождается время ИТ-специалистов, ускоряются запуск пилотных проектов и вывод продуктов на рынок.

 

Сервисы PaaS интересны и самим облачным провайдерам, поскольку они, по выражению Антона Салова, «обеспечивают якорность клиентов», т.е. привязывают их к провайдеру, причем сильнее, чем это происходит в случае стандартных сервисов IaaS. Существенно выше будет и цена миграции. Другой отмеченный экспертом момент: облачные компании, имеющие собственные PaaS, привлекательны для инвесторов, так как сегмент облачных платформенных сервисов растет значительно быстрее рынка. 

 

Управление в мультикластерах и гибридных средах

 

Большой вклад в развитие PaaS внесла контейнерная виртуализация, которая решила основную проблему разработчиков – привязку к платформе разработки. В контейнере автономно исполняемый фрагмент программного кода получает всё что нужно для запуска: собственно код, среду выполнения, системные инструменты, библиотеки, установочные файлы. Такой подход «отвязывает» разработчика от конкретной облачной платформы и упрощает миграцию решений между облаками.

 

 

«Среда становится все более сложной и разнородной, а требования бизнеса к ИТ ужесточаются. Приложения надо развертывать, обслуживать и распространять очень быстро. Возникает проблема управления мультисредой, когда множество разнообразных кластеров работают в разных средах», – обозначил проблему управляющий директор SUSE Владимир Главчев. SUSE приобрела open source-компанию Rancher Lab, сфокусированную на разработках в сфере управления Kubernetes, наиболее популярной системой оркестровки контейнеризированных приложений.

 

Kubernetes позволяет развернуть единую вычислительную платформу на любых инфраструктурах – на персональных компьютерах разработчиков, в облаках, в edge-ЦОДах, на базовых станциях сети 5G. Решения Rancher разворачивают кластер Kubernetes на «голом железе», осуществляют управление этими кластерами в любой среде, даже в устройствах интернета вещей, обеспечивают согласованность нескольких кластеров в разных средах, выполняют централизованную аутентификацию с контролем доступа.

 

Нет жизни без бэкапа

 

Согласно исследованию, проведенному осенью 2020 года компанией Veritas, 63% российских компаний хранят данные или приложения в облаке. При этом 62% топ-менеджеров ИТ-отрасли отметили, что средства безопасности не поспевают за темпами развития облаков, 43% компаний сталкивались с атаками шифровальщиков, причем 35% российских компаний признались, что заплатили вымогателям выкуп. 

 

Одним из путей снижения рисков директор по развитию бизнеса компании КРОК Сергей Зинкевич назвал использование мультиклаудной модели. Этот подход обеспечивает непрерывность работы бизнес-систем не только в случае атаки на одно из облаков, но и в случае прекращения облачным провайдером предоставления нужных сервисов. Кроме того, подчеркнул эксперт, мультиклауд дает и другие преимущества: поддержку команд разработчиков, ориентированных на разные программные продукты и облачные сервисы, возможность использования сильных сторон разных облачных провайдеров и оптимизацию расходов.

 

Однако самый простой способ защиты – резервное копирование. Так, в случае атаки шифровальщика компания восстанавливает данные по сохраненному варианту. К сожалению, на практике резервному копированию не уделяется достаточного внимания. Только 15% компаний следуют известному правилу «3-2-1 » (для надежного бэкапа нужны три копии, физически находящиеся в разных местах, на двух типах носителей, причем одна копия должна храниться вне офиса).

Обеспечить резервное копирование и восстановление в гибридных и мультиоблачных средах поможет единая платформа для защиты данных Veritas Enterprise Data Services Platform. «Мы предлагаем объединить бэкап для всех данных компании в локальных и облачных средах и за счет дедупликаци и оптимизации хранения в резервных копиях снизить расходы на инфраструктуру», – пояснил технический специалист компании Veritas Алексей Казем. Резервные копии защищены от повторной записи, и хакеры не смогут их зашифровать, как это произошло, например, при атаке  шифровальщика на крупную больницу в немецком Дюссельдорфе. Услугу резервного копирования Veritas по подписке предлагает компания КРОК.

 

Защита облаков и в облаках

 

Шифровальщики – самая распространенная, но далеко не единственная угроза. Нашумевшая атака на компанию SolarWinds была реализована с использованием уязвимостей в процессе создания обновлений ПО. «Разработчики все больше влияют на процесс развертывания новых версий рабочих систем, так как бизнесу важно реализовать новую функцию как можно быстрее», – отметил консультант по информационной безопасности компании Check Point Валерий Денисов. Однако о безопасности при этом часто забывают, хотя уязвимость новых облачных решений только растет. На смену локальным решениям с bare metal, защищенность которых обеспечивала классическими методами ИБ-служба предприятия, приходят более эффективные, но и более уязвимые виртуальные машины, контейнеры и бессерверные приложения, работающие в условиях постоянно размывающегося периметра безопасности.

 

Дополнительную сложность вносит использование моделей непрерывной интеграции и непрерывного развертывания.

 

Модель защиты облаков «4С» включает четыре линии защиты – облачного периметра, ресурсов внутри облака, контейнеров (приложений) и самого кода приложений. Получается своего рода пирамида, в который каждый следующий уровень усиливает общую защиту.

 

На уровне защиты периметра нельзя допускать, чтобы пользователь входил в систему с правами администратора без многофакторной аутентификации. Если ее нет, пользователь будет взломан. Затем надо проверить, что в кластере Kubernetes нет активных незакрытых снаружи уязвимостей, а его API защищен. На следующем уровне нужно убедиться, что развернутые контейнеры тоже безопасны и не несут угрозы продукту. И последний слой – защита кода. Здесь проверяется, что код приложения не несет угроз, не обращается к взломанным IP-адресам, а к приложению не подключаются вредоносные библиотеки. 

 

Для охвата всех векторов атак модели «4С» CheckPoint предлагает средство облачной безопасности CloudGuard Native, которое подключается к кластеру Kubernetes, ищет в публичном облаке базы данных c административным доступом извне, сообщает о необходимости исправлений, выявляет хранилища данных S3, в которых выключено шифрование и нет двухфакторной аутентификации. Затем проводятся поиск уязвимостей и слишком широких прав доступа, анализ трафика в публичном облаке и кластере Kubernetes, сканирование кода и проверка собранных контейнеров.

 

Почтальоны интернета

 

Из-за введенного в прошлом году локдауна медийный трафик интернета вырос на 30%. Раньше 80% трафика приходилось на Москву и Санкт-Петербург, но с массовым переходом на удаленную работу произошло перераспределение нагрузки в пользу регионов.

 

Инфраструктура многих домашних провайдеров оказалась не готова к изменениям. Сеансы видеоконференцсвязи проходили с перебоями, страдало качество звука и видео. Снизить задержки помогает CDN (Content Delivery Network) – географически распределенная сетевая инфраструктура, оптимизирующая доставку и дистрибуцию контента конечным пользователям. Например, у компании CDNVideo, как пояснил ее директор по облачным технологиям Андрей Листопад, есть глобальный балансировщик, благодаря которому ускоряется доставка контента конечному пользователю в любой момент времени, из любой точки мира и на любое устройство. Для клиента подобная инфраструктура становится единой точкой входа, и он может не думать о том, где находятся его пользователи.

 

Импортозамещение в PaaS

 

В соответствии с политикой импортозамещения государственные компании переходят на российское программное обеспечение. В качестве такового зачастую выступают адаптированные локальными разработчиками продукты open source. Проявляют к ним интерес и коммерческие компании – отечественные продукты зачастую дешевле, стоимость номинирована в рублях, да и санкционные риски ниже.

 

Но запрос рынка отвечают облачные провайдеры. В частности, свои экосистемы на базе облачной платформы OpenStack и решений open source предлагают Mail.ru Group и «Ростелеком». Так, входящая в «Ростелеком» компания «Тионикс» построила облачную экосистему импортозамещения на продуктах, входящих в реестр российского ПО. Не комментируя перспективы использования Tionix Cloud Platform в качестве основы для построения Государственной единой облачной платформы, продакт-менеджер «Тионикс» Владимир Ливинский отметил, что технически это возможно, поскольку управление облачной платформой поддерживает работу с системами, виртуализацию в которых осуществляют решения VMware (vSphere) или Microsoft (Hyper-V).

 

Лидеры популярности

 

Какие же PaaS-сервисы сегодня наиболее востребованы пользователями? По словам Петра Предтеченского, у клиентов SberCloud самым популярным является сервис KaaS (Kubernetes as a Service). Также он выделил Database as a Service – в первую очередь реляционные и резидентные базы данных. Большим спросом пользуются нереляционное хранилище данных Elasticsearch и распределенный брокер сообщений Kafka.

 

Михаил Соловьев сообщил, что перечисленные сервисы популярны и у клиентов DataLine. Но эксперт подчеркнул, что по спросу их в разы опережают платформенные сервисы информационной безопасности, например, межсетевой экран веб-приложений (web application firewall). Также Михаил Соловьев констатировал, что в пандемию повысился спрос на системы аварийного восстановления (Disaster recovery as a service, DRaaS). 

 

У «Ростелекома» наиболее востребованным платформенным сервисом стала Единая система идентификации и аутентификации, а у МТС – платформенные сервисы интернета вещей.

 

Антон Салов не согласился с включением Kubernetes as a Service в категорию PaaS, он рассматривает услугу как инфраструктурную. Возражение вызвало и отнесение к PaaS сервисов резервного копирования. 

 

Границы PaaS все еще не устоялись. Одни эксперты считают KaaS, CDN и SECaaS (Security as a Service) PaaS-сервисами, другие – IaaS или SaaS. Облака развиваются как конструктор, в котором сервисы взаимосвязаны, а их классификация часто зависит от деталей использования. Да и так ли важно их позиционирование? Главное – облачных инфраструктурных и платформенных сервисов на российском рынке становится все больше и от этого выигрывают как облачные провайдеры, так и их клиенты.