Geekly articles weekly

Cloud check list, atau bagaimana pelanggan mengevaluasi kami


Perusahaan asing besar perlu masuk ke cloud kami karena undang-undang tentang data pribadi. Karena mereka sendiri terlibat dalam audit perusahaan lain, mereka mendekati pertanyaan seperti biasa: mereka mempelajari pasar, menyusun daftar persyaratan untuk cloud dan mulai memeriksa siapa dan bagaimana berkorespondensi dengannya.

Ditransfer semua sistem: lingkungan uji, uji + prod, preprod, semua mesin virtual, server virtual plus semua sistem infrastruktur virtual. Bahkan dukungan mereka muncul di Rusia. Dari kami - hanya menyewa sumber daya.

Mereka memeriksa kami secara khusus, dalam hal skala: audit pusat data yang hampir lengkap. Tetapi mereka tidak melihat spesifikasi perangkat keras dan teknis secara umum, tetapi tentang bagaimana proses IB dibangun dan bagaimana perbedaan SLA diamati. Dari sudut pandang mereka, itu adalah proses stabilitas SLA yang menunjukkan kualitas perusahaan. Dan kami memberi tahu mereka tentang masing-masing komponen secara terperinci.

Saya ingin berbagi daftar kriteria untuk verifikasi. Karena setidaknya ada semacam metodologi, karena sebelumnya hanya sedikit pelanggan yang memiliki pendekatan sistematis terhadap masalah ini.

Opsi umum


Persyaratan utama sekitar dua lusin. Diantaranya adalah yang mendasar seperti menempatkan platform pada dua pusat data, memiliki konsol untuk mengelola sumber daya, kemampuan untuk bekerja melalui API, membayar layanan berdasarkan penggunaan dengan rincian tidak lebih dari satu jam, dan ketersediaan alat otomatisasi, misalnya, Terraform. Persyaratan lain tidak untuk mengatakan bahwa kami sangat terkejut, mereka tidak menunjukkan semuanya tanpa kecuali. Di antara persyaratan seperti itu adalah kebutuhan untuk memiliki gedung tempat pusat data cloud beroperasi.

Tapi di sini semuanya jelas secara umum. Pelanggan ini rupanya juga membaca sejarah pasar kolokasi Rusia. Atau beberapa klien mereka telah bertemu di suatu tempat di luar negeri. Semuanya standar pada umumnya. Persyaratan pusat data ada di Moskow (ini juga ada dalam daftar) - ini adalah kesempatan untuk datang ke administrator dan untuk kecepatan panggilan selama replikasi. Poin paling penting setelah dua pusat data adalah metrik terperinci dalam SLA. Seperti yang saya katakan, ini yang paling membuat mereka khawatir tentang setiap item.


Persyaratan staf


Ini adalah salah satu blok paling sulit, karena pelanggan, yang memiliki pengalaman luas dalam kegiatan proyek (mereka memiliki ratusan pelanggan produksi dan ritel di seluruh dunia), mentransfernya sampai batas tertentu pada TI. Secara umum, ini adalah pendekatan yang bagus, tetapi persyaratannya ternyata β€œberat”.

Inilah yang kami uji:
  • Kehadiran tiga tingkat dukungan teknis untuk platform: baris pertama adalah solusi dari insiden di tingkat platform (HW, virtualisasi), baris kedua adalah solusi masalah dalam infrastruktur pelanggan yang terletak di platform cloud (OS, DBMS, dan level perangkat lunak aplikasi lainnya), baris ketiga adalah koneksi pengembang platform cloud vendor dan / atau vendor untuk memecahkan masalah.
  • Mode operasi 24x7x365 dari baris pertama dukungan teknis.
  • Pengetahuan wajib tentang bahasa Rusia dan Inggris oleh spesialis dari semua tingkatan dukungan.
  • Kemampuan untuk mengajukan aplikasi untuk kejadian tersebut melalui email atau dengan menghubungi layanan dukungan teknis.
  • Kemungkinan mengajukan aplikasi untuk suatu insiden dengan menghubungi layanan dukungan teknis.
  • Waktu reaksi spesialis dukungan teknis untuk suatu insiden adalah dari 10 hingga 15 menit tergantung pada prioritas aplikasi (pemasok harus mencatat deskripsi rinci tentang prioritas insiden dalam kontrak layanan).
  • Waktu untuk menyelesaikan insiden adalah dari 90 hingga 240 menit, tergantung pada prioritas aplikasi (pemasok diharuskan mencatat uraian rinci tentang prioritas insiden dalam kontrak layanan).
  • Kehadiran wajib tim proyek khusus, yang meliputi: manajer akun, manajer proyek, arsitek teknis, insinyur.
  • Kemampuan untuk menggunakan berbagai alat komunikasi antara tim pemasok dan tim pelanggan untuk lebih cepat menyelesaikan masalah (misalnya, menggunakan Telegram, WhatsApp, dan messenger lainnya).
  • Memperbaiki daftar tim proyek dalam kontrak yang ditandatangani untuk penyediaan layanan platform cloud. Daftar tersebut harus mencakup nama lengkap, nomor kontak ponsel, alamat email semua orang yang terlibat dalam aktivitas pelanggan dan pemasok.
Di sini, salah satu poin terpenting bagi pelanggan adalah bahwa mereka menyediakan tepat tiga jalur dukungan. Setiap orang selalu memiliki baris pertama, dukungan kedua biasanya ada, tetapi persyaratan untuk itu sudah cukup buram. Tapi ada juga yang ketiga, yang notabene melihat berbagai chip. Dan tidak ada yang outsourcing, seperti yang terkadang dilakukan penyedia kecil. Proyek ini hanya berurusan dengan karyawannya. Bukan tim layanan yang dialokasikan untuk proyek pelanggan besar, tetapi tim proyek terpisah, dan ini dicatat dalam dokumen.

Tim proyek yang berdedikasi adalah poin penting yang terpisah. Untuk penyedia layanan cloud biasa, ini biasanya semua datang dalam beberapa bentuk layanan. Tetapi sekali lagi, tidak ada persyaratan eksplisit langsung untuk ini, dan tidak ada standar. Secara umum, ada orang yang terlibat langsung dalam mendukung klien, ada orang yang mengelola proyek tertentu, ada insinyur. Mahal bagi pelanggan untuk menyisihkan waktu untuk orang-orang ini, tetapi itu perlu, karena dalam kebanyakan kasus di luar "hanya hosting" Anda perlu menyelesaikan masalah yang cukup rumit. Atau sederhana, tetapi cepat dan pertama kali. Karenanya, orang-orang tim ini akan aktif 24x7, selalu berhubungan dan siap membantu. Dengan segala jenis komunikasi yang nyaman bagi klien. Ini adalah layanan yang biasanya diberikan kepada pelanggan "tercinta", tetapi bersama kami - untuk semua orang. Dan itu didokumentasikan.

Tentang komunikasi: sangat penting untuk memiliki telepon pribadi dalam kontak jika keadaan daruratnya berbeda. Dalam proyek-proyek serius, komunikasi melalui kurir untuk mempercepat (beberapa tahun yang lalu tidak seperti itu, semua orang berkomunikasi melalui pos). Direktur penjualan memberikan nomor pribadi yang tidak mati di malam hari dan berlibur - ini adalah norma. Tetapi tidak semua orang bisa mengatakan ini.

Sekarang sedikit lebih detail - tentang persyaratan untuk masing-masing subsistem dan proses.

Persyaratan sertifikasi


Lihat
  • Sistem akuntansi untuk sumber daya yang dikonsumsi harus mematuhi persyaratan yang ditetapkan dari "Aturan untuk penggunaan sistem pembayaran otomatis, disetujui. Orde Kementerian Informasi dan Komunikasi Rusia 02.07.2007 No. 73. "
  • Penyedia harus memiliki sertifikat kepatuhan terbaru dari sistem manajemen keamanan informasi perusahaan dengan persyaratan standar ISO / IEC 27001: 2013 sehubungan dengan penyediaan layanan outsourcing untuk pusat data dan pusat data virtual.
  • Ketersediaan sertifikat saat ini untuk platform cloud PCI DSS v3.2.
  • Sertifikat kesesuaian PCI DSS 3.2 harus mencakup dukungan TI, keamanan fisik, keamanan layanan sistem, peralatan fisik, jaringan, penyimpanan.
  • Sertifikat pusat data Desain Tier III, pusat data Fasilitas Tier III, pusat data keberlanjutan Operasional Tier III.


Tidak ada kejutan di sini: PCI DSS untuk data keuangan dan T-III untuk tiga sertifikat. Ini penting untuk bisnis pelanggan. Untuk perusahaan Anda, Anda perlu membuat daftar sertifikasi Anda sendiri. Tetapi poin pertama patut mendapat perhatian khusus. Ternyata, penting bagi pelanggan bahwa kami memberikan dokumen yang menunjukkan pekerjaan kompeten dari sistem penagihan kami. Untungnya bagi kami, hanya sekitar setahun sebelum itu, kami mengesahkannya di Kementerian Komunikasi.

Di bawah ini adalah daftar persyaratan untuk elemen-elemen utama platform cloud. Karena kami sebelumnya bekerja cukup erat dengan pelanggan asing, daftar yang serupa, tetapi dalam bentuk yang sangat berkurang, sudah ada. Pada tingkat tertentu, informasi tersebut ditunjukkan dalam SLA dan dokumen lainnya. Atas permintaan konsultan bisnis, kami menyekop semua yang kami miliki, atur, dan perbarui. Sebagai hasilnya, kami menerima dokumen dalam volume yang cukup solid, yang dapat kami tawarkan untuk pengenalan kepada pelanggan lain.
Jadi, apa yang secara khusus ditunjukkan dalam daftar periksa mengenai parameter teknis platform.

Sumber daya komputasi


Lihat
  • Alokasi sumber daya komputasi (core virtual, RAM) harus dijamin, tidak termasuk kemungkinan saling pengaruh dari server virtual pelanggan yang terletak di satu simpul fisik satu sama lain.
  • Platform cloud harus menyediakan kemampuan untuk mengubah jumlah sumber daya komputasi tanpa menciptakan kembali VM.
  • Kemungkinan penyebaran VMs dijamin pada node fisik yang berbeda.
  • Platform cloud harus menyediakan pilihan cluster (DC) saat memulai VM.



Disk


Lihat
  • Platform cloud harus menyediakan kemampuan untuk membuat disk virtual dengan kinerja berbeda (IOPS) melalui antarmuka manajemen berbasis web dan API.
  • Platform cloud harus menyediakan kemampuan untuk mengubah kinerja disk dengan cepat.
  • Sumber daya disk harus tersedia dengan jaminan kinerja yang diukur dengan jumlah IOPS per disk.
  • Jaminan kinerja disk harus mencakup hingga 100.000 IOPS.
  • Platform cloud harus menyediakan kemampuan untuk memigrasikan data antara sumber daya disk dengan kinerja berbeda "on the fly" tanpa menghentikan layanan.



Jaringan


Lihat
  • Platform cloud harus memungkinkan Anda untuk mengatur lingkungan jaringan terisolasi yang tidak tersedia untuk pelanggan platform cloud lainnya.
  • Lingkungan jaringan yang terisolasi dari platform cloud harus memungkinkan mengelola pengalamatan jaringan dan perutean infrastruktur TI pelanggan.
  • Platform cloud harus memiliki fungsi untuk menghubungkan saluran komunikasi khusus pelanggan eksternal.
  • Penugasan atau penghapusan alamat IP eksternal ke server virtual menggunakan platform cloud harus dipastikan.
  • Platform cloud harus menyediakan koneksi gagal-eksternal eksternal dengan kecepatan minimal 40 Gb / s.
  • Platform cloud harus memiliki layanan DNS dan DHCP bawaan.
  • Platform cloud harus menyediakan koneksi IPSec VPN.
  • Platform cloud harus menyediakan akses gagal-aman ke Internet, independen dari penyedia, dan mengumpulkan setidaknya empat penyedia.
  • Bandwidth antara VMs dalam pusat data yang sama harus setidaknya 10 Gb / s.
  • Konektivitas L2 antara infrastruktur virtual yang digunakan di berbagai pusat data.


Penyimpanan objek


Lihat
  • Platform cloud harus memiliki layanan file yang kompatibel dengan antarmuka perangkat lunak Amazon S3.
  • Penyimpanan objek harus bekerja sesuai dengan protokol yang menyediakan kemampuan untuk menyimpan dan menerima sejumlah data setiap saat dari mana saja di Internet.
  • Sistem penyimpanan data untuk toleransi kesalahan harus didistribusikan antara setidaknya dua situs kontraktor.
  • Sistem penyimpanan harus dapat berkembang saat file ditambahkan.
  • Penyimpanan objek harus mendukung versi.
  • Setiap objek dalam repositori harus direplikasi antara situs kontraktor. Dalam hal terjadi kegagalan tunggal dari salah satu komponen penyimpanan objek, seharusnya tidak ada dampak pada kualitas layanan.
  • Kemampuan untuk bekerja dengan penyimpanan melalui HTTPS.
  • Dukungan untuk daftar kontrol akses (ACL) dan Kebijakan.
  • Dukungan untuk kebijakan Siklus Hidup Objek.
  • Enkripsi sisi server.
  • Dukungan untuk situs web statis dan nama pengguna untuk situs web seperti mysite.ru
  • Level toleransi kesalahan dari layanan penyimpanan setidaknya 99,99%.


IB


Lihat
  • Pemisahan lingkungan informasi pelanggan dalam platform cloud menjadi beberapa jaringan virtual independen harus dipastikan.
  • Manajemen akses ke jaringan virtual harus diimplementasikan pada berbagai port dan protokol menggunakan firewall bawaan yang gratis.
  • Harus dipastikan bahwa server platform virtual digabungkan menjadi satu jaringan pribadi virtual (VPN) dengan server fisik atau virtual pelanggan yang terletak di situs jarak jauh atau pusat data.
  • Akses ke fungsi manajemen perangkat lunak platform cloud (API) harus disediakan sedemikian rupa sehingga keamanan tidak terganggu bahkan ketika menggunakan protokol transportasi yang tidak aman.
  • Protokol HTTPS harus digunakan untuk mengakses fungsi manajemen perangkat lunak platform cloud (API). Sertifikat harus ditandatangani oleh otoritas sertifikat tepercaya.
  • Server Virtual Linux \ UNIX harus diakses menggunakan protokol SSH menggunakan otentikasi kunci tanpa kata sandi. Platform virtual harus menyediakan kemampuan untuk mengelola kunci otentikasi (pembuatan dan penghapusan), serta menyediakan mekanisme yang dapat diakses dari VM untuk pengiriman kunci publik ke VM selama pemuatannya.
  • Organisasi akses aman ke server sistem TI harus dilakukan menggunakan koneksi VPN IPsec.
  • Platform virtual harus memiliki firewall terintegrasi, yang dikonfigurasi secara terpisah untuk setiap jaringan virtual, serta untuk jaringan virtual lingkungan cloud yang terisolasi.
  • Kehadiran hasil uji penetrasi dengan batas waktu tidak lebih dari 1 tahun.


Cadangkan


Lihat
  • Layanan cadangan harus dikelola oleh pelanggan secara mandiri melalui antarmuka manajemen berbasis web.
  • Melalui antarmuka web, fungsionalitas harus tersedia untuk mengatur jadwal cadangan untuk masing-masing server, serta membuat cadangan dan memulihkannya secara manual.
  • Layanan pencadangan data harus diperhitungkan dan dibayar berdasarkan fakta penggunaan, yaitu, Gigabytes data yang dilindungi per bulan.
  • Layanan pencadangan data harus menyediakan kemampuan untuk mencadangkan sistem aplikasi dan perangkat lunak perusahaan yang umum. Agen perangkat lunak yang diinstal pada server yang dilindungi harus bebas.
  • Manajemen cadangan - melalui antarmuka web dan melalui agen perangkat lunak.
  • Menggunakan penyimpanan S3 elastis berbasis file untuk menyimpan salinan.
  • Penggunaan deduplikasi.


Tagihan


Lihat
  • Dalam platform cloud, pembagian logis VM menjadi grup dengan opsi penagihan terpisah harus tersedia.
  • Pembayaran hanya untuk volume yang benar-benar ditempati.


Apa yang berakhir


Tes ini benar-benar melelahkan bagi kami, tetapi berkat itu kami sendiri belajar banyak. Misalnya, dengan fokus pada rekan-rekan asing, mereka mengerjakan beberapa prosedur, membawa semua dokumen dalam urutan penuh. Sebenarnya, kami bekerja selama beberapa waktu, dan kemudian mengusulkan kemitraan strategis. Karena perusahaan ini juga memiliki banyak pelanggan di Rusia. Sekarang semua ini sedang dibahas, tetapi metodologi verifikasi telah muncul. Tentu saja, daftar periksa tidak memberikan gambaran lengkap tentang apa dan bagaimana konsultan bisnis terlihat, tetapi saya mencoba untuk membongkar yang utama, yang akan memungkinkan Anda untuk membangun metodologi verifikasi sendiri. Di sini, tentu saja, ada beberapa kelicikan di pihak saya, karena kami lulus tes ini dan menang, yaitu, daftar periksa hampir sepenuhnya berlaku untuk cloud kami. Karena platform kami sesuai dengan proyek besar mereka. Saya harap Anda menggunakan akal sehat dan memahami apa yang dibutuhkan proyek Anda dari platform, dan karenanya mengubah persyaratan.

Jika tiba-tiba ada pertanyaan bukan untuk komentar - surat saya adalah NiVasilev@croc.ru

Source: https://habr.com/ru/post/id437194/

More articles:


All Articles