Нормативная документация

К вопросу об облачных стандартах

22 сентября 2014 г. | Категория: Нормативная документация

Если в мировой индустрии дата-центров ситуация со стандартами относительно зрелая, то в сфере облачных услуг процесс формирования стандартов переживает чрезвычайно активный этап становления. Игроков, которые участвуют в процессе стандартизации, много. Ситуацию комментирует Дмитрий Мариничев, недавно вступивший в должность интернет-омбудсмена.

Интернет и облако — это почти синонимы. И все-таки, в чем, на Ваш взгляд, связь между разработкой облачных стандартов и развитием Интернета?

— Интернет, если задуматься, это гораздо больше, чем возможность зайти и что-то посмотреть-поискать. Это не только среда, в которой происходит обмен информацией, но и пространство взаимодействия и предоставления услуг в самом широком смысле этого слова. Если сегодня наиболее важными коммерческими сегментами Интернета являются реклама и маркетинг, электронная торговля и платежи, рынки доменов и хостинга, онлайн-игры, то завтра весь вектор развития переместится в сегмент инвестиций в стартапы, который будет ветвиться, делясь на предоставление услуг в образовании, в здравоохранении, в транспорте, в энергетике, в промышленности и т. д. Посмотрите на сегмент госуслуг — сейчас он у нас развивается опережающими темпами, — и Вы поймете, что будущее за переходом не только государственных, но и всех и всяческих услуг в Интернет. Эти услуги являются не чем иным, как облачными услугами. И, говоря о стандартизации облачных услуг, мы поэтому говорим о важном направлении развития Интернета.

Кому и зачем нужны облачные стандарты?

— Основная цель — способствовать доверию к облачным услугам путем создания общепринятых технических спецификаций. Стандарты работают на развитие отрасли, помогая преодолеть разного рода сомнения по поводу того, стоит или не стоит использовать облачные услуги. По сути, стандартизация — это детальная работа по снятию сомнений и рисков, а облачные стандарты — это договоренности об общепринятых способах исполнения облачных услуг.

Относительно того, кому нужны стандарты: спрос на стандарты предъявляют две группы игроков — покупатели и продавцы облачных сервисов. У каждой группы есть свои резоны хотеть стандартизации. Облачные провайдеры хотят показать, что они соответствуют требованиям — прежде всего требованиям безопасности, поскольку это — основное препятствие на пути использования облачных сервисов. Облачные покупатели со своей стороны видят ценность облачных стандартов в профилактике попадания в зависимость от провайдера услуги и хотят гарантировать себе на будущее свободу маневра. Обратите внимание — опасения по поводу зависимости от провайдера услуг — следующие после опасений по поводу безопасности.

Кто в мире разрабатывает облачные стандарты?

— Модель создания и внедрения облачных стандартов «сверху вниз» не работает. Облачные стандарты сегодня органически вырастают «снизу», — от широкого распространения подходов провайдеров облачных услуг, и сначала появляются облачные стандарты de facto, а потом идет работа по их обобщению, и создаются формальные стандарты. Просто продвигать стандарт (даже если он создан широко признанной организацией — создателем стандартов) — подход, который обречен парализовать дело. Появление инноваций в области облачных услуг идет такими быстрыми темпами, что провайдерам облачных услуг приходится обновлять их предложения ежемесячно, а организациям по разработке стандартов требуется больше времени, чтобы идти следом. Таких организаций на ниве разработки облачных стандартов множество. Есть и организации, которые ставят себе задачу обобщить их наработки. В Европе этим занимается, в частности, ETSI — European Telecommunications Standards Institute.

Учитываются ли как-то потребности компаний, которые внедряют для себя или для заказчиков облачные стандарты, — конечных пользователей облачных стандартов?

— Да, есть организация, которая занимается защитой прав потребителей облачных услуг, — это Совет заказчиков по облачным стандартам (Cloud Standards Customer Council, CSCC). Эта организация создана для того, чтобы расставлять приоритеты в процессе разработки стандартов с точки зрения потребностей заказчиков. CSCC дает возможность конечным потребителям облачных услуг возможность высказать их требования к разработчикам стандартов. В этот совет вошли уже более 400 крупнейших мировых компаний из разных отраслей, — таких как Lockheed Martin, SAP, Citigroup, Fujitsu, State Street and North Carolina State University и др.

Можно ли выделить какие-то категории облачных стандартов?

— К этому вопросу можно подходить по-разному, выделяя разные критерии классификации. Наверное, можно сразу выделить два подхода к классификации — «бизнесовый» и технический. Если посмотреть на стандарты облачных услуг с точки зрения потребностей бизнеса, то их сформулировали в ETSI, выделив несколько соответствующих технологических кластеров.

Если говорить о категориях облачных стандартов с технической точки зрения, то можно выделить в них несколько категорий, и прежде всего — стандарты безопасности (security), со­вместимости (interoperability), переноса данных (data portability) и обратимости (reversibility).

В ноябре 2013 года ETSI опубликовал отчет о координации облачных стандартов, где представил карту облачных стандартов (cloud standards map), представляющую собой серию таблиц, каждая из которых детально прописывает действия заказчика и провайдера облачных услуг по фазам реализации проекта: приобретение (acquisition) облачной услуги, предоставление (operation) облачной услуги, окончание (termination) облачной услуги. Этот подход позволяет выделить в облачных стандартах категории в соответствии с фазой проекта предоставления услуги.

Какие стандарты регулируют безопасность облачных услуг?

— Огромную работу по всесторонней разработке стандартов безопасности выполняет Агентство Европейского союза по сетевой и информационной безопасности (ENISA, European Union Agency for Network and Information Security). В это агентство входят представители всех стран Евросоюза. В область анализа и разработки стандартов ENISA входят такие аспекты облачной безопасности, как угрозы безопасности критической информационной инфраструктуры, механизмы защиты доверенных сервис-провайдеров (TSPs, Trust Service Providers), организация кооперации в случае киберкризисов, государственно-частное партнерство в области кибербезопасности, обеспечение прозрачности расследований инцидентов, укрепление безопасности государственных облаков, распространение лучших практик и т. д. По всем этим вопросам выработаны стандарты, их обзор можно посмотреть в годовом отчете ENISA 2013.

Альянс облачной безопасности (CSA, Cloud Security Alliance) является организацией, которая объединяет компании для совместной выработки лучших практик в области облачной безопасности. Эти лучшие практики становятся стандартами de facto. CSA разработал матрицу контроля безопасности (Cloud Controls Matrix, CCM), которая является стандартом для внедрения лучших практик облачной безопасности в дата-центрах.

Какие стандарты регулируют перенос (portability) облачных услуг? Перенос чего и куда надо обеспечить?

— Возможность переноса облачных услуг (portability) — это очень важное требование, которое закрепляется стандартами. В идеале стандарты возможностей переноса облачных услуг должны обеспечить возможность переноса приложений и данных от одного провайдера к другому. Есть три составляющих portability: возможность переноса данных, конфигураций и имиджей. Что касается услуг SaaS, то, например, у заказчика может возникнуть сомнение, можно ли экспортировать данные и конфигурации от провайдера или нет, и сможет ли альтернативный провайдер импортировать данные. Если да, то насколько это будет быстро и просто. Что касается услуг IaaS, то провайдеры IaaS по определению занимаются переносом данных, и весь вопрос в том, насколько сложен этот процесс.

Какие стандарты обеспечивают совместимость (interoperability) в облаке? Что с чем важно совмещать?

— Стандарты совместимости (intero­perability) обеспечивают возможность распределять облачные услуги по разным средам — таким как корпоративный дата-центр, частное облако, среда необлачных услуг, например, Colocation. Наиболее жесткие стандарты Interoperability — в области управления идентичностью и доступом (Identity and Access Management, IAM). Есть три облачных стандарта IAM. Организация OASIS разработала стандарт Security Assertion Markup Language, который позволяет облачным приложениям использовать тот подход к аутентификации, который использует обычно компания. Компании Google, WebEx и Salesforce разработали стандарт System for Cross-Domain Identity Management, который теперь продвигает IETF, — этот стандарт позволяет облачным приложениям использовать информацию компании, чтобы ­обеспечить информацию о правах пользователей и пользовательских групп для облачного приложения. Компании Twitter и Google разработали стандарт OAuth, который теперь продвигает IETF, — этот стандарт позволяет пользователям облачных услуг распространить доступ к ресурсам, которые они контролируют, на другие облачные услуги. Например, вы можете дать LinkedIn’у доступ к Вашему аккаунту в Twitter’е, чтобы LinkedIn мог твиттить за вас.

Есть также стандарты, которые обеспечивают совместимость (interoperability) систем управления облаком между провайдером и заказчиком или интегратором облачных услуг. Так, Группа управления распределенными средами (DMTF, Distributed Management Task Force), точнее, ее подгруппа по управлению облачными услугами (CMWG, Cloud Management Working Group), разработала стандарт для управления облачной инфраструктурой (Cloud Infrastructure Management Interface, CIMI). Стандарт CIMI обеспечивает совместимость (interoperability) в области управления облаком для совместной работы провайдера облачных услуг и потребителя или разработчика.

Есть еще стандарты Сonnectivity, которые обеспечивают сетевую совместимость.

Есть ли специальные стандарты ISO для облачных услуг?

— Да, ISO занимается разработкой облачных стандартов зонтичного типа. Ввиду того, что их список довольно внушительный, не буду перечислять все. Скажу лишь, что в 2014 году ожидается публикация стандартов ISO/IEC CD 17788 «Информационные технологии — Распределенные прикладные платформы и сервисы — Облачные вычисления — Общие положения и словарь»; ISO/IEC WD 17789 «Информационные технологии — Облачные вычисления — Эталонная архитектура» (Information Technology — Cloud Computing — Reference Architecture).

Как насчет стандартов для облачных услуг, которые можно условно назвать Интернетом будущего? Думают ли об этом уже сейчас?

— The European Telecommunications Standards Institute (ETSI) разработал программу под названием ETSI’s Vision of a Connected World. У программы слоган «Строим будущее», который соответствует их фокусу внимания. ETSI уделяет много внимания стандартам для технологий, которые только возникают, например, Интернету вещей (M2M). Они работают над стандартами и в других областях, которые для них обозначила Еврокомиссия, в том числе в области создания и защиты профилей пользователей в мобильных и распределенных системах. Начали работу над стандартом для мобильных сетей 5G, над техническими спецификациями для новейших зарождающихся сетевых технологий — таких как Autonomic Network Engineering для самоуправляемого будущего Интернета (Autonomic network engineering for the self-managing Future Internet (AFI)). Готовят второй релиз стандартов для «умного транспорта» (Intelligent Transport Systems). В области здравоохранения работают над стандартами для телемедицины.

Какова сейчас ситуация в России с облачными стандартами?

— Грустно, что Россия пока остается сторонним наблюдателем происходящих в Европе и США процессов стандартизации облачных услуг. Ситуация с облачными стандартами, на мой взгляд, отличается от ситуации со стандартами в области создания ЦОД. Интернет можно скорее сравнить с железными дорогами: до войны в России ввели стандарт по ширине колеи, чтобы вероятный противник не смог быстро передвигаться по нашей территории. Времена меняются. Сейчас, на мой взгляд, нам выгоднее быстро изучить созданные к настоящему моменту облачные стандарты, возможно, ввести спецкурс по облачным стандартам в профильных вузах, чтобы развивать отрасль в соответствии с мировыми стандартами.

Теги: Дмитрий Мариничев, интернет-омбудсмен, стандарты