Artykuł pochodzi z wydania: Luty 2020
Wydawałoby się, że wszyscy już rozumieją, czym jest publiczna chmura obliczeniowa. Kiedy jednak przechodzimy do konkretów na temat jej wdrożenia, pojawiają się wątpliwości, które powodują, że niekiedy trzeba zaczynać od samej definicji.
W artykule spróbujemy zestawić najczęściej poruszane tematy „chmurowe”, zwłaszcza że chmura chmurze nierówna, zaś zagadnienia znane z IT na własnej infrastrukturze także czasem wymagają przemyślenia na nowo. Opracowań przywołujących zalety chmury można znaleźć w internecie setki: począwszy od walorów biznesowych, przez kosztowe, kadrowe, a kończąc na opisach technicznych i cyberbezpieczeństwie. Poniższa lista – choć oczywiście mogłaby być dłuższa – ma mieć wymiar praktyczny dla IT w sektorze publicznym. Ma służyć temu, by dobrze ocenić swoje potrzeby, możliwości i przygotować się do wdrożenia.
Samoobsługa na żądanie
Jedną z czterech fundamentalnych cech chmury jest samoobsługa. Pojawia się w kanonicznej amerykańskiej definicji NIST (National Institute of Standards and Technology), a także w tej zamieszczonej w uchwale Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy „Wspólna Infrastruktura Informatyczna Państwa” (MP z 2019 r., poz. 862; dalej: uchwała WIIP). Samoobsługa oznacza, że to usługobiorca wykonuje wszystkie czynności z zakresu uruchomienia i eksploatacji zasobu chmurowego, korzystając z katalogu usług/produktów oraz wszelkich innych dokumentów, narzędzi i informacji przygotowanych przez dostawcę. Dokumenty mogą obejmować umowę korzystania z zasobu chmurowego, umowę powierzenia danych wraz z jej warunkami, cennik czy faktury. Narzędzia pozwalają na konfigurację wykorzystywanego zasobu, ale także na zarządzanie, monitorowanie czy dokumentowanie procesów. Dodatkowe informacje mogą być związane z bezpieczeństwem przetwarzania, certyfikatami, informacją o podprzetwarzających itp. Wszystko to jest dostępne, ale bez interakcji z osobami fizycznymi po stronie dostawcy. Dodatkowo dostawcy chmury zazwyczaj nie biorą udziału w postępowaniach w sektorze publicznym, stąd też w praktyce ofertę chmurową przygotowują lokalne firmy (wykonawcy w rozumieniu prawa zamówień publicznych; dalej: pzp) w oparciu o ofertę dostawców. Wykonawcy biorą wtedy na siebie część zadań, np. pomoc we wdrożeniu, proces płatności, pierwszą linię wsparcia itd.
Podobnych sytuacji samoobsługi mamy wokół siebie bardzo wiele – wystandaryzowaną ofertę mają dla nas telekomy, banki, ubezpieczenia czy restauracje. Fundamentalnie chmura przypomina oprogramowanie z półki – typowe, standardowe, konfigurowalne (ale już nie modyfikowalne!), na jednolitej licencji. Dlatego też podejście do zasobów chmurowych powinno być dokładnie takie samo, jak do takiego rodzaju oprogramowania: jeśli uważamy, że spełnione są warunki prawne, organizacyjne i techniczne, by korzystać z chmury, to zaczynamy działać, i to samodzielnie, bez asysty ze strony dostawcy, ale często z lokalnym wykonawcą.
Katalog usług
Przyglądając się katalogowi usług, najłatwiej zobaczyć, czym różni się chmura od outsourcingu. Chmura to katalog produktów oferowanych na jednolitych warunkach i w formie samoobsługi. Outsourcing zaś jest jak oprogramowanie pisane na zamówienie – można modyfikować i umawiać się na wszystko, na zakres usługi, na treść umowy, na zobowiązania stron, na sposób wyliczenia kar umownych itd. Różnicę widać w zamówieniach publicznych, gdyż outsourcing powinno się zamawiać jak usługę, natomiast usługę chmurową – jak dostawę produktów. Słowo „usługa” może być tutaj mylące, ale znowu warto pamiętać, że wystandaryzowane usługi otaczają nas wszędzie, od myjni samochodowej po kredyty bankowe.
Lokalizacja danych
„Dane znajdujące się na terenie RP są jakoby bezpieczniejsze” – to zdanie jest najczęściej wypowiadane na jednym oddechu ze stwierdzeniem, że cyberzagrożenia są globalne. Gdyby rzeczywiście Polska była odcięta od światowej Sieci, a urzędy od internetu, zapewne byłaby to prawda, bo zagrożeniem dla danych byłby szeroki zagon tanków i sołdaci ładujący na ciężarówki zdobyczne dyski. Jednak rozmawiamy o środkach bezpieczeństwa informatycznego, więc musimy rozważyć, co daje większe możliwości ochrony danych – chmura czy własna infrastruktura. A w większości przypadków ta pierwsza oferuje wyższe bezpieczeństwo. I będzie je dalej oferowała także wtedy, kiedy zagrożenia będą rosnąć, bo dostawcy zawsze mają większe możliwości zatrudniania lepiej opłacanych kadr i dysponowania szerszą wiedzą techniczną. W przypadku wyboru dostawcy chmurowego należy sprawdzić, jakie daje on narzędzia do zapewnienia i zarządzania bezpieczeństwem, jakie są warunki szyfrowania danych, usuwania danych, niszczenia pamięci masowych, zasady dostępu, zasady ochrony fizycznej centrów przetwarzania danych, dostępne certyfikaty i raporty audytowe. Tego typu informacje są publikowane przez dostawców, a jakość dostawcy ocenimy po tym, że można je łatwo znaleźć. Warto je porównać z rzeczywistym stanem bezpieczeństwa we własnej infrastrukturze oraz możliwościami dalszego jego powiększania.
[…]
Michał Jaworski
Autor jest wieloletnim pracownikiem Microsoftu, wiceprzewodniczącym Rady Polskiej Izby Informatyki i Telekomunikacji.
