Outsourcing usług IT

Na początku ubiegłego roku kilka tysięcy polskich klientów bezpowrotnie straciło swoje dane. W dobie rosnącego znaczenia chmury obliczeniowej, Big Data oraz cyberprzestępczości pojawia się pytanie: Jakiego stopnia ochrony swoich danych potrzebuje użytkownik?

W marcu 2016 r. rynek zmroziły informacje o problemach klientów 2be. pl, jednego z dostawców hostingu obsługującego ponad 2 tys. domen. Zaczęło się od drobnej, wydawałoby się, awarii, niewłaściwa polityka bezpieczeństwa i oszczędności sprawiły jednak, że klienci stracili dostęp nie tylko do własnej strony internetowej i poczty e mail, lecz także baz danych. Problemy nie omijają również największych. Cztery lata temu awaria systemów zasilania w centrum danych Beyond.pl doprowadziła do największej awarii chmury obliczeniowej w Polsce, mimo posiadania przez nie najwyższego certyfikatu dostępności Tier IV. Problemy z dostępem do danych dotknęły m.in. takie witryny jak Wykop.pl, NaTemat.pl, PayU i Money.pl. Eksperci nie mają wątpliwości: awarie były, są i będą, bo zawodzi nie tylko technologia, lecz także człowiek. Istotna staje się natomiast odpowiedź na pytanie, jak zminimalizować ich ryzyko i jakie kryteria powinny być kluczowe przy wyborze serwerowni.

Cztery poziomy bezpieczeństwa

Na rynku data center jednym z najistotniejszych kryteriów jest Tier. To popularna klasyfikacja ośrodków gromadzenia i przetwarzania danych, która definiuje standard „opieki” nad zasobami IT. Choć wciąż pojawia się wiele niejasności co do jej interpretowania, to jednak wciąż jest ona pewnym standardem, do którego odnosi się rynek. Standaryzacja Tier została opracowana przez amerykański Uptime Institute w połowie lat 90. ubiegłego wieku i uwzględnia cztery poziomy. Tier I, najniższy z nich, oznacza dostępność na poziomie 99,67 proc., co przekłada się na 28,8 godziny przerw w dostępie rocznie. Obiekty Tier Ito zwykłe serwerownie, które w przypadku awarii nie mają zapasowych serwerów, łączy ani dostępu do niezależnego źródła energii elektrycznej. W przypadku Tier II gwarantowana dostępność wynosi 99,75 proc., co przekłada się na maksymalnie 22 godziny przerw w dostępie rocznie i oznacza, że serwerownie mają częściową redundancję w obszarze chłodzenia i zasilania. To standardy wystarczające dla wielu klientów centrów danych, choćby blogerów i niewielkich firm, wśród których wskazać można małe e-sklepy. Do większych firm i instytucji jest skierowany poziom Tier III, który oznacza dostępność 99,982 proc., przerwy w dostępie nie dłuższe niż 1,6 godziny w ciągu roku oraz redundancję zasilania, która pozwoli na utrzymanie działania infrastruktury do 72 godzin w przypadku jej nieplanowanej awarii. Tier IV, wymagający największych nakładów ze strony operatorów, a także najdroższy z punktu widzenia klienta, charakteryzuje się dostępnością równą 99,995 proc., co oznacza przerwę w dostępie nie dłuższą niż 26 minut rocznie, przy infrastrukturze, która odcięta od zasilania jest w stanie „wytrzymać” nawet 96 godzin.

Tier III czy Tier IV

Najwyższy poziom certyfikacji wydaje się najlepszym rozwiązaniem dla instytucji i firm, których działalność uzależniona jest od nieprzerwanego dostępu do danych, ale nie wszyscy dostawcy usług zgadzają się z tym poglądem. Co więcej, sam Uptime Institute już jakiś czas temu wycofał się z przyznawania centrom danych określonych poziomów Tier na bazie przerw w dostępie do zasobów.

– Rzeczywista jakość usług centrów danych jest wypadkową znacznie większej liczby czynników, a praktyczne różnice między ostatnimi poziomami Tier, po uwzględnieniu kosztów dla klientów końcowych, mogą okazać się niezauważalne. „Przerabiałem” ten temat wielokrotnie, choćby przy okazji budowania infrastruktury serwerowej w największym polskim punkcie wymiany ruchu PLIX, gdzie nie zdecydowaliśmy się na wyśrubowaną certyfikację – tłumaczy Sylwester Biernacki, twórca PLIX, a obecnie prezes firmy ATM.

Co ciekawe, do tej pory żaden z klientów firmy, a obsługuje ona m.in. największe banki działające na terenie Polski, nie zasygnalizował potrzeby uzyskania formalnej gwarancji tak wysokiej dostępności, jaką daje certyfikat Tier IV. Dlaczego? Sylwester Biernacki wyjaśnia:

– Stwierdzenie, że w naszych ośrodkach wdrożyliśmy jedynie zalecenia Tier III, jest ogromnym uproszczeniem. Jest coś, czego nie da się sklasyfikować, a co często decyduje o sukcesie lub porażce. To doświadczenie, wiedza pracowników, a także rozwiązania technologiczne, które wychodzą daleko poza zwykłą klasyfikację. Raouf Abdel, COO firmy Equinix zarządzającej ponad 100 centrami danych na całym świecie, zwraca uwagę, że świadomi klienci zwykle nie przywiązują większej wagi do klasyfikacji Tier.

– Przede wszystkim chcą zapoznać się ze specyfikacjami mocy obliczeniowej, doświadczeniem rynkowym operatora i standardami utrzymania swojej infrastruktury przez specjalistów, które przecież dla każdej spółki z sektora centrów danych mogą być inne – przekonuje.

 Eksperci ze spółki ESDS Software Solution, ocenionej przez „The Economic Times” jako najlepszy pracodawca branży operatorów centrów danych w Indiach, zaobserwowali, że klienci często nie są świadomi rzeczywistej różnicy między certyfikatami Tier III i Tier IV, a część graczy na rynku data center wykorzystuje to zamieszanie do przedstawienia swoich usług jako najlepszych. Nie sposób nie odmówić temu rozumowaniu słuszności. Co najmniej dwa centra danych w Polsce chwalą się oficjalnie, że spełniają wymagania Tier IV, jednak próżno szukać ich na liście Uptime Institute.

W poszukiwaniu złotego środka

Centra danych czasami celowo nie ubiegają się o certyfikację, choć ich infrastruktura mogłaby spełnić wyśrubowane wymagania. Dzieje się to z bardzo prozaicznego powodu: wysokich kosztów. Najpierw trzeba je ponieść po to, by spełnić wymagania techniczne, a następnie ponieść kolejne, przechodząc całą ścieżkę certyfikacji. Koszty musi pokryć klient, a ten czyni to zwykle niechętnie. Być może jest to jeden z powodów, dlaa  których centrów danych zgodnych z Tier IV jest relatywnie niewiele. Nie ma ich ani w Czechach, ani w Niemczech, ani w Holandii, a we Francji jest tylko jedno, należące do Crédit Agricole. Po jednym centrum danych spełniającym normy Tier IV ma Rosja i Wielka Brytania.

– Wydatki, jakie należy ponieść w związku ze wszystkimi aspektami budowy centrum danych w standardzie Tier IV, są – moim zdaniem – nieadekwatne do osiąganych korzyści. Z doświadczenia wiem, że w konsultacji ze specjalistami rynku data center można zbudować dopracowaną infrastrukturę typu Tier III+, która będzie bardziej niezawodna niż „zwykły” obiekt spełniający wymagania Tier IV – twierdzi Carlos Garcia de la Noceda, IT manager w Vodafone. Dzieje się tak głównie dlatego, że sama certyfikacja odnosi się głównie do projektu i budowy centrum danych.

– Tymczasem pod uwagę należy wziąć więcej czynników, choćby niezawodność i jakość instalowanego sprzętu, systemów obsługi technicznej, szkolenia personelu, procedury bezpieczeństwa – każdy z nich, poza certyfikacją Tier, ma wpływ na niezawodność dostępu do danych – dodaje Noceda.

Trzeba przy tym pamiętać o wzajemnej zależności wszystkich elementów infrastruktury data center. Jeśli znajdą się w niej solidne i odporne na uszkodzenia instalacje elektryczne stosowane w obiektach Tier IV, ale wykorzystywany tam będzie mechanizm zasilania poziomu Tier II, to finalna dostępność będzie równa gwarancjom tego drugiego standardu. Parametry oceny obiektów przechowywania i gromadzenia danych przyjęte przez Uptime Institute akcentują głównie topologię i sposób zaprojektowania centrów danych, nie uwzględniając czynników mających bezpośredni wpływ na bezpieczeństwo. Stąd zdarza się, że klienci są mylnie przekonani, iż obiekt spełniający najwyższą normę ma kompleksowy monitoring CCTV, prawidłowo zabezpieczony dostęp fizyczny, np. bramkami weryfikacyjnymi, i zapewnia skuteczne rozwiązania z zakresu ochrony przed cyberprzestępcami.

Certyfikacyjne bariery

Klienci zdają sobie sprawę z tego, co chcą otrzymać i ile mogą za to zapłacić. Dla banku wyższy Tier jest koniecznością, z kolei dla mniejszych graczy jest zbędnym, wyśrubowanym standardem, którego zwyczajnie nie zamierzają finansować. Ci ostatni zresztą nieraz potrzebują niedrogiego środowiska, w którym mogą zdobyć pierwsze doświadczenia, protestować czy wręcz poeksperymentować z IaaS, by w miarę rozwoju skierować się w stronę zaawansowanych usług data center.

Dlatego na rynku powinno być – i jest – miejsce dla dostawców usług z obszaru data center w różnych standardach. Certyfikacja Tier nie powinna być nadrzędnym parametrem, od którego uzależnia się wybór operatora. Postrzeganie jej w taki właśnie sposób oznacza stawianie sztucznych barier, utrudniających w praktyce trafny dobór usług do bieżących potrzeb przedsiębiorstwa. Podsumowuje to Rahul Shewale, konsultant Capgemini. Jego zdaniem wybór między Tier III a Tier IV sprowadza się w zasadzie wyłącznie do tego, czy potrzebujemy bardzo wysokiej niezawodności i czy jesteśmy w stanie za to zapłacić.

– Jeśli szukamy niezawodnego i odpornego na czynniki zewnętrzne i wewnętrzne centrum danych, to Tier IV jest koniecznością. Jednak jeśli szukamy złotego środka między wydajnością a kosztami, to Tier III jest znacznie lepszym wyborem – przekonuje.

 

POWIĄZANE ARTYKUŁYWIĘCEJ OD AUTORA