Mějte data v cloudu pod kontrolou

5. 7. 2018

Sdílet

 Autor: Fotolia © Vladislav Kochelaevs
Přinášíme rady expertů, jak správně administrovat data umístěná v cloudových řešeních.

Není pochyb o tom, že se cloud stává nedílnou součástí informačních a datových prostředí mnoha organizací. Nedávný průzkum společnosti IDC ukázal, že rostoucí počet organizací integruje data do hybridních prostředí a do prostředí výhradně cloudových namísto uchovávání dat výhradně ve vlastní infrastruktuře, uvádí Stewart Bond, ředitel výzkumu softwaru pro integraci dat ve společnosti IDC.

Data v cloudu mohou být v aplikaci SaaS (platforma jako služba), v systému PaaS (platforma jako služba) nebo mohou být obsažena v databázích a souborových serverech implementovaných v nabídkách IaaS (infrastruktura jako služba), popisuje Bond.

Přístup k datům v aplikacích SaaS často vyžaduje použití rozhraní API. Využívání webových služeb pro přístup k datům se velmi liší od použití skriptu SQL vůči aplikaci relační databáze, vysvětluje Bond.

Podle něj v prostředích PaaS bude implementace určovat, zda je nutné rozhraní API pro webové služby, nebo jestli lze použít pro přístup k datům metody SQL či NoSQL.

K datům umístěným v prostředích IaaS je možné pravděpodobně přistupovat pomocí programových konstrukcí, které by také pracovaly při použití datových zdrojů v interní infrastruktuře, ale tento přístup bude muset probíhat přes zabezpečený komunikační kanál.

V každém případě pomáhá technologie master managementu dat sjednotit různá oddělená sila dat, dodává Bond.

 

Data jsou daleko

Když onkologové ve zdravotnické organizaci CHS přicházejí před kontrolou komise pro nádory prodiskutovat případy pacientů, hledají zpětnou vazbu v léčebných plánech a klinických pokusech.

Během svých prezentací předkládají lékaři genetické údaje, patologické zprávy, výsledky laboratoří a poznámky dalších lékařů – vše mají na dosah ruky, protože je to uloženo v cloudu Hadoop na platformě Microsoft Azure.

Je to první velké využití cloudu touto neziskovou nemocniční sítí a vyžádalo si to pečlivé uvážení způsobu, jakým CHS chrání a spravuje svá data mimo svou infrastrukturu.

Dvě velké oblasti, které CHS potřebovala zvládnout, byly problémy se sítí a se správou, popisuje Chris Danzi, viceprezident pro informační a analytické služby v CHS. Nemocniční systém má více než 62 tisíc zaměstnanců a provozuje 39 nemocnic a 900 dalších zdravotnických zařízení.

Jeden zjevný rozdíl mezi správou dat interně a externě je, že v cloudu se mohou data uchovávat stovky kilometrů daleko. „Mluvíme o přesunu dat na velkou vzdálenost,“ uvádí Danzi, „takže musíte mít okruh a zabezpečenou síť, která vás k němu připojí.“

Každonoční přesuny gigabajtů dat k poskytovateli cloudu vyžadovaly, aby zdravotnická síť uzavřela smlouvu s telekomunikačním operátorem a koupila si bezpečnou vyhrazenou linku.

Od doby, kdy migrovala data do cloudu, CHS používala síť VPN, kterou se nyní chystá nahradit privátním připojením ke službě Azure. To umožní zdravotní síti využívat tuto linku také pro její systém Office 365.

„Další věcí, kterou musíte uvážit, je nejen pořízení vhodné komunikační linky pro získání vyšší rychlosti, ale musíte ji segmentovat pro oddělení interaktivních uživatelů, kteří chtějí přístup v reálném čase, od hromadných přenosů velkých objemů dat,“ vysvětluje Danzi.

Správa dat v cloudu se liší od správy údajů ve vlastní infrastruktuře, pokud jde o potřebné dovednosti zaměstnanců, o způsob nastavení vašeho programu pro správu dat a o způsob zpřístupnění části vaší technologické infrastruktury.

„Tyto oblasti je potřeba zcela přehodnotit z perspektivy někoho, kdo by se snažil vaše data ukrást,“ popisuje Danzi. „V interní infrastruktuře jsme to zvládali velmi dobře a nyní přenášíme data a ukládáme je na různých místech, takže musíme vše znovu promýšlet. Neustále. Musíte to kontinuálně přehodnocovat, protože každý den slyšíte o nových a chytrých způsobech krádeží dat. Ale vyplatí se to.“

Podobně jako Danzi také Erez Yarkoni, prezident rady TBM (Technology Business Management), prohlašuje, že při zvažování způsobů správy cloudových dat je nejdůležitější velmi pečlivě plánovat kapacitu sítě.

„Mění se zjevné věci, které jsme považovali za samozřejmé, když byla naše data v našem datovém centru. V podstatě rozšiřujete svou síť, takže musíte být při návrhu velmi opatrní,“ upozorňuje Yarkoni, který dříve pracoval jako šéf IT ve společnostech Telstra nebo T-Mobile.

To podle něj přináší další prvek, „který by mohl být velmi nákladný, pokud pečlivě neplánujete odchozí a příchozí přenosy z vašeho prostředí a do samotného cloudu, a také způsoby, jak lidé interagují s vašimi informacemi uloženými v cloudu.“

Když pracoval jako šéf IT a podílel se na návrhu svých datových prostředí, snažil se Yarkoni vyhýbat přesunům velkých množství dat do cloudu, kdykoli to bylo možné, a pokud to bylo nutné, dělo se to jen v určitou denní dobu.

„Pokud přenášíte informace z datového centra do cloudu a chcete získat nějaké záruky kvality služeb, musíte zaručit propojení mezi těmito lokalitami.“

Produkty, jako jsou Microsoft ExpressRoute pro Azure nebo Amazon Direct Connect, nabízejí vyhrazené síťové spoje mezi prostředím vlastní infrastruktury a cloudem.

Jakmile jsou data v cloudu, nejsou již nadále potřebné nástroje správy databází, protože časově náročný proces správy databázového výkonu, vyladění a konfiguraci zajišťuje samotný poskytovatel cloudu, uvádí Donna Burbank, šéfka pro správu informací v poradenské společnosti Global Data Strategy.

„Porozumění svým datům, znalost, kde se nacházejí, a jejich ochrana jsou důležité, ale velká část jejich každodenní správy mizí,“ vysvětluje Burbank. Poskytovatel cloudu nyní dohlíží na úlohy, jako je zajištění a ladění výkonu, a kontroluje, zda servery fungují a probíhá zálohování.

 

Zabezpečení dat

Správa dat v cloudu se liší od správy v interní infrastruktuře, zejména pokud jde o zacházení s citlivými údaji, například s informacemi o zákaznících, poznamenává Burbank. Pokud má jiný subjekt kontrolu nad osobními údaji, doporučuje se používat standard PCI Data Security Standard a tokenizační klíče.

Pokud společnosti využívají výhodu efektivity, kterou cloud nabízí, „existuje u toho velké množství předpokládané důvěry, ale stále nemáte kontrolu,“ vysvětluje Burbank.

Heidi Shey, hlavní analytička společnosti Forrester, souhlasí, že bezpečnostní tokeny jsou jedním ze způsobů, jak lze data chránit, ale upozorňuje, že by měly organizace dojednat, kdo je drží.

„Některá řešení zabezpečení budou mít šifrování jako jeden z těchto kontrolních prvků a je otázk, kdo bude držet klíče.Některé společnosti chtějí mít kontrolu samy a jiné budou důvěřovat poskytovateli,“ vysvětluje Shey.

Nejlepší volbou je samozřejmě kontrola nad vlastními klíči. „To ale přidává další vrstvu složitosti, protože jste tím, kdo je spravuje,“ vysvětluje Shey.

Kromě zajištění toho, aby byla data uložená v cloudu v bezpečí, je také nutné dodržet, aby byla data zabezpečená i během přenosů, připomíná Bond. To může vyžadovat připojení VPN, HTTPS, SFTP/FTPS a další bezpečné metody komunikace, popisuje.

Výše zmíněný průzkum IDC také ukázal, že „s rostoucí distribuovaností v cloudu roste obtížnost udržení důvěry. Hlavní data – data o lidech, místech a věcech, na kterých organizaci záleží – jsou nejvíce distribuovaná, protože nějaká jejich podoba musí existovat v každé aplikaci,“ uvádí zpráva.

Jen třetina respondentů z letošního průzkumu společnosti Forrester vykonaného mezi 150 odborníky na zabezpečení dat, uvádí, že klasifikuje podniková data v cloudu podle jejich citlivosti. Dále průzkum zjistil, že rovněž jen asi třetina odborníků na bezpečnost dat ví, kde se jejich podniková data v cloudu fyzicky nacházejí.

Je také nutné uvážit procesy řízení cloudového zabezpečení a přizpůsobení požadavků podnikového zabezpečení s ohledem na dodržování předpisů, zejména pokud jde o osobní údaje, připomíná Shey z Forresteru.

Protože je CHS zdravotnickou organizací, zjišťuje, že je v cloudu složitější zajistit odpovídající zabezpečení. Velké množství prostředí Hadoop, které lidé v cloudu používají, je méně vyzrálé než prostředí strukturovaných relačních databází, vysvětluje Danzi z CHS.

CHS využívá HDInsight od Apache, jež nabízí produkty jako Apache Ranger, což je bezpečnostní vrstva pro Enterprise Hadoop, která umožňuje správu přístupu na úrovni uživatele.

Microsoft Azure zase podporuje dvě verze implementací Hadoop – plně spravovanou verzi HDInsight, která zatím nepodporuje Ranger, a IaaS verzi HDP, která tuto podporu nabízí.

„HDInsight ale nemá funkce hlubokého zabezpečení na uživatelské úrovni jako Ranger, takže je potřeba přístup omezovat,“ vysvětluje Danzi. To bylo důležité ponaučení, jaké společnost CHS brzy získala: Je nutné zajistit, aby cloudový dodavatel podporoval verzi softwaru, kterou firma používá nebo použít chce.

„Neměli byste předpokládat, že se nabízejí všechny bezpečnostní protokoly a ochranu, na jaké jste zvyklí,“ vysvětluje. „Naštěstí se tady někdo zeptal a bylo to ponaučení.Navíc jsme věděli, že námi používaná verze Hadoopu je vše, nebo nic z hlediska získání přístupu.“

CHS však chtěla, aby její správci informačních a analytických služeb (IAS) měli přístup k tomuto prostředí. V důsledku toho pak CHS vytvořila bezpečnou aplikaci na platformě Microsoft SharePoint, která poskytuje přístup k informacím pacientů jen vybraným lékařům.

Dalšími důležitými aspekty správy dat v cloudu jsou geografická poloha dat a přenosy, dodává Shey.

„Pokud máte zákaznické údaje o osobách z určité země nebo oblasti ... budete muset dodržovat například Obecné nařízení o ochraně osobních údajů (GDPR), ale konkrétní země mohou mít navíc své vlastní požadavky na geografické umístění, kde mohou určovat, abyste data ukládali jen na jejich území,“ vysvětluje.

„Potřebujete vědět, kde se data fyzicky nacházejí, protože zákony se v různých zemích liší,“ souhlasí Burbank z Global Data Strategy. „Evropa má přísnější pravidla pro ochranu osobních údajů o zákaznících než jiné regiony.“

 

Další aspekty správy cloudu

Zálohování dat a jejich obnovu je potřeba výslovně uvádět ve smlouvách o úrovni poskytovaných služeb (SLA) uzavřených s poskytovateli cloudu, což je jedna z klíčových výhod, které by měli nabízet, doporučuje Burbank.

Tyto SLA by měly obsahovat informace o tom, zda má poskytovatel náhradní provozovnu pro případ selhání a kde se tato provozovna nachází. „Další věcí, nad kterou je nutné se zamyslet, je, zda si můžete vybrat, které tyto provozovny pro případy selhání se využijí,“ vysvětluje.

Organizace by také měly uvažovat o formátu v cloudu spravovaných dat. Může to být v relační databázi, v prostém (plochém) databázovém souboru či v e-mailu. Pokud máte zákaznické údaje uložené ve velkoobjemovém datovém skladu, musíte se také zamyslet nad tím, zda ho jejich interní personál dokáže spravovat, upozorňuje Burbank.

„Pokud s daty vykonáváte hodně čistících a správcovských úkonů, je potřeba na to pamatovat, protože mnoho cloudových technologií takové možnosti nenabízí v potřebném rozsahu,“ poznamenává Burbank. „Jestliže však máte surová data, která lze snadno škálovat a migrovat, potom se pro cloud dobře hodí, protože obvykle nekladou vysoké nároky na svou správu.“

Schopnosti potřebné pro správu dat v cloudu může být těžké zajistit, protože je tato technologie poměrně nová. Budou záviset na tom, zda se data nacházejí v modelu SaaS, PaaS nebo IaaS, uvádí Bond z IDC.

Na technické úrovni může IT personál potřebovat znalosti internetových technologií, jako jsou webové služby, SSL, zabezpečené FTP a RESTful API. Mohou také být potřeba znalosti konstrukcí architektury IaaS, jako jsou virtuální stroje, úložiště objektů, zóny dostupnosti a podsítě.

„Na podnikové úrovni si uživatelé musejí být vědomi zásad, které určují, kde se data zadávají a ukládají a jaké jsou problémy s latencí při replikaci dat mezi více systémy,“ dodává Bond.

 

Plán pro neočekávané

Danzi z CHZ přirovnává cloudové prostředí ke golfovému turnaji Masters: Webová stránka může být prakticky nepoužívaná po dobu deseti měsíců a pak jeden měsíc „vzroste využití neuvěřitelným způsobem“.

Uvádí, že podobně zjistil, že někteří „dychtiví datoví vědci“ z CHS právě začali používat programovací jazyk R ke psaní modelů pro studium rizika opětovného přijímání pacientů. Spouštění těchto modelů ale stojí peníze, a protože „cloud své prostředky ochotně poskytne, měřiče využití se rychle točí“.

Podobně také skupina IAS s pomocí platformy Azure napsala skripty pro vypínání modelů v noci, kdy není výpočetní kapacita potřeba. Danzi upozorňuje, že cloud je „jako balón, který se nafukuje a musíte z něj vzduch také vypouštět. K tomu poskytuje možnost psát skripty pro vypínání serverů. To se nazývá elasticita a vy potřebujete zajistit, aby váš dodavatel cloudu nabízel elasticitu obousměrnou,“ abyste platili za prostředky, jen když je využíváte.

Radí také regulovaným organizacím, aby měly někoho s dobrými právními znalostmi. „Musíte zajistit, abyste plnili veškeré zákonné povinnosti a měli uzavřené dobré smlouvy s nezávislými poskytovateli služeb.“

Mnoho cloudových dodavatelů nabízí produkty jako analytiku a poskytuje potenciálním zákazníkům testovací analýzy, takže Danzi radí, abyste si zajistili, že tito dodavatelé budou mít jen vaše anonymizovaná data, která by případně mohli prezentovat dalším zákazníkům ve vašem oboru, aby nebylo zřejmé, odkud pocházejí.

Další záležitostí, kterou organizace někdy nepromyslí dostatečně, je, zda při psaní algoritmu na platformě Azure lze chránit duševní vlastnictví tohoto algoritmu, tak aby ho nemohli využívat další zákazníci cloudu, upozorňuje.

„Vytváříte algoritmus ve společných nástrojích a běžné technologii založené na cloudu tam, kde ostatní, takže můžete potřebovat zajistit ochranu svého duševního vlastnictví.“

Danzi se domnívá, že za 15 let už budou veškerá data uložena v cloudu. Přestože správa cloudových dat vyžaduje velké úsilí, prohlašuje, že se to vyplatí.

„Přestože nové prostředí vyžaduje více neustálé ostražitosti, vynaložené úsilí se vyplatí, protože získáte přístup k této naprosto úžasné technologii, která se rozšiřuje zároveň s vaším růstem, vypíná se, když ji nevyužíváte a poskytuje řadu pokročilých funkcí,“ uzavírá Danzi.

 

 

bitcoin_skoleni

Tento příspěvek vyšel v Computerworldu 6/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.