Cloud computing. Czym jest chmura obliczeniowa?
KNF publikuje Q&A dotyczące chmury obliczeniowej ⭐ Kancelaria radców prawnych Warszawa, Kraków
18 października 2021 r. KNF opublikował zestaw pytań i odpowiedzi dotyczący stosowania Komunikatu UKNF z 23 stycznia 2020 r. dotyczącego przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej.
W Q&A KNF porusza m. in. tematykę
regulowania w umowie z dostawcą zakresu odpowiedzialności za szkody
wymogu zawarcia w umowie informacji dotyczącej źródeł autoryzowanych informacji o planowanych zmianach w standardach świadczonych usług chmurowych.
KNF zajął się także kwestią konieczności posiadania opinii prawnej, iż zawarta umowa spełnia wymagania prawa obowiązujące podmiot nadzorowany w przypadku wyboru prawa właściwego państwa członkowskiego UE. Opinia taka zdaniem KNF nie jest wymagana, podobnie jak nie ma wymogu posiadania opinii prawnej co do spełnienia przez wszystkie postanowienia umowy wymagań Komunikatu.
Q&A rozwiewa wątpliwości co do charakteru przetwarzania informacji prawnie chronionych w chmurze przez biegłego rewidenta lub firmę audytorską. Regulator wyraźnie wskazał, że w przypadku gdy przetwarzanie odbywa się na potrzeby prowadzenia przez takie podmioty badania lub przeglądu sprawozdań finansowych podmiotu nadzorowanego – nie stanowi ono outsourcingu w rozumieniu Komunikatu.
KNF podjął się także wyjaśnienia zakresu obowiązku notyfikacyjnego podmiotów objętych nadzorem. Potwierdził m. in., że nie jest wymagane zgłoszenie do UKNF zaprzestania przetwarzania informacji w chmurze obliczeniowej, ani też zaprzestania wykorzystywania wcześniej zgłoszonej usługi chmury obliczeniowej. Notyfikacja nie jest wymagana również w przypadku zmiany funkcjonalności usługi. Jednocześnie KNF wyraźnie wskazał, że w przypadku zmiany rodzaju lub zakresu informacji planowanych do przetwarzania w chmurze podmiot nadzorowany powinien zawiadomić UKNF.
KNF poruszył ponadto w Q&A temat notyfikowania przetwarzania informacji w chmurze obliczeniowej przez zakłady ubezpieczeń i reasekuracji oraz ich oddziały. Regulator potwierdził, m. in. że oddziały zakładu ubezpieczeń lub zakładu reasekuracji w przypadku tzw. outsourcingu szczególnego chmury obliczeniowej lub przetwarzania informacji prawnie chronionej mają obowiązek informowania KNF o zamiarze przetwarzania lub przetwarzaniu informacji w chmurze obliczeniowej w terminie 14 dni przed rozpoczęciem takiego przetwarzania.
Komunikat UKNF dotyczący przetwarzania informacji w chmurze obliczeniowej
Wskazane w nim wymogi znajdą zastosowanie, jeżeli:
przetwarzane są informacje prawnie chronione (tj. informacje stanowiące tajemnicę zawodową sektora finansowego (bankową, ubezpieczeniową, itd.)) lub przetwarzanie informacji ma charakter outsourcingu szczególnego chmury (tj. m.in. outsourcingu czynności lub funkcji podmiotu nadzorowanego, których brak lub przerwa w realizacji zagrażałyby w sposób istotny wynikom finansowym tego podmiotu, niezawodności lub ciągłości wykonywania działalności nadzorowanej); oraz jeśli przetwarzanie informacji jest realizowane w chmurze obliczeniowej publicznej lub hybrydowej (w zakresie jej części opartej o chmurę obliczeniową publiczną).
Komunikat nie dotyczy przetwarzania w chmurze obliczeniowej prywatnej.
Warto podkreślić, iż Komunikat dopuszcza istnienie łańcucha outsourcingowego, pozwalając na korzystanie z usług podwykonawców pod określonymi warunkami. Wskazuje on wymogi, jakie powinna spełniać umowa z dostawcą usług chmury obliczeniowej, również w zakresie poddostawców (w szczególności – w umowie należy wskazać nazwę, lokalizację, zakres czynności poddostawcy oraz warunki nadawania praw dostępu do informacji przetwarzanych przez podmiot nadzorowany).
Komunikat zawiera szczegółowe wytyczne w zakresie aspektów, jakie powinny być wzięte pod uwagę w procesie szacowania ryzyka.
Cloud computing. Czym jest chmura obliczeniowa?
O zaletach rozwiązań opartych o chmurę przekonaliśmy się w praktyce w czasie pandemii COVID-19, gdy nagle wzrosło zapotrzebowanie na usługi internetowe i e-commerce wystrzelił w górę, a miliony osób rozpoczęło zdalną pracę i naukę. Bezpośrednio dostępne i szybko skalowalne usługi cloud computing umożliwiły płynne wejście w tzw. nową normalność.
Pochodzenie pojęcia cloud
Idea cloud computing, czyli chmury obliczeniowej nawiązuje to wysokopoziomowej struktury internetowej. Internet w praktycznym ujęciu jest siecią sieci. Wielką pajęczyną informacyjną spinającą dziś miliony serwerów i miliardy komputerów oraz smartfonów Informacja biegnie w niej z punktu A do do punktu B przechodząc przez urządzenia od różnych dostawców: telefonię IP, routery, firewalle, urządzenia sieciowe.
Dwie cechy cloud computing
Usługi działają w chmurze, jeśli są spełnione dwa warunki.
Usługi i zasoby są dostępne na życzenie
Oznacza to, że użytkownik korzysta z nich według własnej potrzeby. Kiedy chce i jak długo chce. Rozliczając się według modelu Pay as you go pricing płaci za korzystanie z usługi w cyklach miesięcznych.
Elastyczność (Elasticity)
Oznacza automatyczne skalowanie usługi wówczas, gdy wzrosną potrzeby klienta. Np. sklep internetowy wraz ze wzrostem ruchu automatycznie zwiększa wydajność.
Definicja cloud computing
Przez cloud computing rozumiemy zasoby informatyczne i aplikacje dostarczane przez internet na życzenie (IT resources and applications delivered via internet available on demand pay-as-you-go pricing.)
Definicja cloud computing wg NIST (National Institute of Standards and Technology):
Cloud computing to model umożliwiający wszechobecny, wygodny, dostęp na żądanie do wspólnej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowej, aplikacji i usług), które mogą być szybko dostarczane i udostępniane przy minimalnym wysiłku w zakresie zarządzania lub interakcji z dostawcą usług.
NIST definiuje pięć podstawowych cech chmury obliczeniowej:
On-demand self-service / Samoobsługa na żądanie Broad network access / Szeroki dostęp do sieci Resource pooling / Łączenie zasobów Rapid elasticity or expansion / Szybka rozbudowa Measured service / Mierzalność usługi
Cztery modele użytkowania cloud computing
Modele użytkowania chmury zależą od rodzaju końcowego użytkownika.
Service as a Service SaaS
To gotowe oprogramowanie np. Gmail.
Platform as a Service Paas
Gdy końcowym użytkownikiem jest programista, kod aplikacji, komponenty aplikacji, funkcjonalność.
Infrastructure as a Service IaaS
Osoba, która zajmuje się infrastrukturą teleinformatyczną, serwerami, dyskami, siecią. Chmurą zajmują się informatycy którzy zajmują się utrzymaniem serwerowni.
XaaS - c okolwiek jako usługa.
Do tego modelu należy np. rozwiązanie Serverless (Function as a Service).
Modele wdrożeniowe cloud computing
Z uwagi na charakter i przeznaczenie wyróżniamy cztery modele chmury.
Publiczna (Public)
To chmura dostępna dla wszystkich. W modelu chmury publicznej korzystamy z usług Gmail, Dropbox, GDrive czy aplikacji bankowych.
Prywatna (Private)
Rozwiązanie dla klientów wg określonych potrzeb związanych z planowanym użytkowaniem. Chmurę dostarcza jeden dostawca z jednego data center. Szczególnym przypadkiem jest chmura prywatna w chmurze publicznej na potrzeby jednej firmy.
Chmura branżowa (Community Cloud)
Korzysta z niej określona grupa użytkowników np. urzędy skarbowe, szpitale. Chmura branżowa spełnia dodatkowe wymogi regulacyjne zdefiniowane przez zamawiającego. Odpowiadaj na kwestie regulacyjne, funkcjonalne, wymogi szyfrowania danych, szczegółowe warunki użytkowania. Przykładem Community Cloud jest AWS GovCloud, chmura administracji rządowej w USA.
Hybryda (Hybrid)
To rozwiązanie mieszane, gdy firma buduje chmurę prywatną, a następnie łączy je z chmura publiczną.
Pięć warunków cloud computing
Aby mówić o chmurze musi być spełnionych 5 warunków.
Szeroki dostęp do rozwiązań / Broad Network Access
Dostęp do chmury przez dowolne urządzenie i system operacyjny.
Błyskawiczna elastyczność / Rapid Elasticity
Wydajność chmury - zwiększenie lub zmniejszenie zasobów zmienia się wraz z potrzebą użytkownika.
Opomiarowanie serwisów / Measured Service
Cloud computing to pełna transparentność. Końcowy użytkownik widzi identyczne dane jak dostawca. Ma pełen wgląd w informacje o dostępności usługi.
Samoobsługa na żądania / On-Demand Self-Service
Chmura to usługa samoobsługowa. Od założenia konta po usługi dostepne 24/7. Użytkownik korzysta z zasobów według potrzeb. Jeśli data is new oil, to cloud jest jak stacja paliwowa, a paliwo pełni rolę mocy obliczeniowej.
Współdzielenie zasobów / Resource Pooling
Dziś chmura bywa mylona z wirtualizacją zasobów. Wirtualizacja to technologia umożliwiająca współdzielenie zasobów. Wirtualizacja jest efektem empirycznego prawa Moore'a z początku lat 70., które mówi, że moc procesorów podwaja się co 18 miesięcy (dziś 24 miesiące). W pewnym momencie moc obliczeniowa serwera była większa niż aplikacja potrafiła skonsumować. W lata 90. na jednym serwerze można było już uruchomić kilka serwerów.
Cloud computing jako odpowiedź na kryzys finansowy
Wzrost zapotrzebowania na usługi cloud computing wiąże się z coraz bardziej dynamicznym, często trudnym do przewidzenia otoczeniem biznesowym w jakim działają współczesne przedsiębiorstwa. Ogólnoświatowy kryzys finansowy w latach na przełomie roku 2008/9 zbiega się z wejściem na rynek usług cloud computingu oferowanych przez Amazona. Rynkową odpowiedzią na AWS był usługa We’re all in od Microsoftu. Po rozwiązania chmurowe sięgały wówczas zarządy firm redukując koszty i unikając długoterminowych zobowiązań. Sytuacja na rynku wymuszała konkurencję.
Cloud działa w modelu abonamentowym. Gdy biznes funkcjonuje w warunkach niepewności chmura umożliwia eksperymentowanie bez ponoszenia kosztów i zbędnego ryzyka. Organizacja chcąc zoptymalizować koszty nie musi zamawiać rozwiązań informatycznych na zapas. Może ją dowolnie skalować do potrzeb (Rapid Elasticity). W przypadku start-upu oznacza to komfort i elastyczne podejście w sprzedaży usług. Gdy usługa odniesie sukces i wzrośnie na nią popyt, wówczas łatwo obsłużyć skokowy wzrost klientów.. Relacja handlowa w chmurze sprowadza się do dostawcy i odbiorcy. Cloud przynosi zmianę w funkcjonowaniu IT w tym sensie, że nie ma miejsca na integratorów czy wykonawców usług.
Cloud z racji braku długoterminowych zobowiązań odpowiada na potrzeby w czasach niepewności biznesowej. Pandemia koronawirusa jak w soczewce zebrała wszystkie zagrożenia opisywane w modelu VUCA: Volatility, Uncertainty, Complexity, Ambiguity
Cloud computing a Agile
Rozwój chmury wiąże się zainteresowaniem zwinnymi metodykami pracy jak Lean i Devops. Podejście DevOps jest ściśle powiązane z chmurą. Zwinne zespoły działające w duchu Agile liczą siedem osób plus minus dwie-trzy osoby, tzw. two Pizza Team. Członkowie zespołów posiadają wiedzę o konkretnej dziedzinie i ogólne pojęcie o wszystkim. To model kompetencji T-Shape. Małe kilkuosobowe zespoły z łatwością nawigują w niepewnym środowisku, gdy konieczna jest szybka zmiana kursu. Popularność SAFe for Enterprise to rozwiązanie problemu wdrażania metodyk zwinnych w dużych organizacjach. Tu znajduje swój wyraz koncepcja ciągłego ulepszania i ciągłego dostarczania (Continuous Delivery - Continuous Integration, CI-CD)
Cloud wpływa również na procesy ITIL-owe. Jest to związane z prędkością działania procesów CMDB (Central Management DataBase). W środowisku chmurowym z uwagi na skalę zadań i tempo procesów ludzie nie są w stanie dokonywać zmian. Potrzebne są rozwiązywania automatycznie.
Cloud computing a Przemysł 4.0
Rola chmury nabiera nowego znaczenia w kontekście związanym z 4 rewolucją przemysłową. Do efektywnego działania Przemysł 4.0 potrzebuje spełnienia dwóch warunków:
Powszechna telefonia 5G przesyłająca dane bez opóźnień Szósta wersja protokołu IP
Infrastruktura 5G jest kluczowa dla upowszechnienia autonomicznych pojazdów. Z kolei wadą obecnej czwartej wersji protokołu jest skończona liczba adresów IP. Dzięki wersji szóstej do wykorzystania będzie praktycznie nieograniczona pula adresów. Oznacza to, że każda rzecz może być podłączona do sieci. Powstanie w ten sposób sieć komunikujących się ze sobą w czasie rzeczywistym urządzeń, czyli internet rzeczy (IoT - Internet of Things). W efekcie powstanie tak dużo danych, że tylko aplikacje chmurowe będą w stanie je przetwarzać i analizować.
Czym jest konteneryzacja?
Kolejny obszar rozwoju chmury to konteneryzacja. Oznacza, że na każdym serwerze fizycznym czy wirtualnym aplikacje pakuje się w tzw. kontenery (kubernetes). Najnowsze podejście oferuje rozwiązanie typu serverless architecture. Model bezserwerowy nie oznacza oczywiście, że usługa nie potrzebuje serwerów. To podejście w którym klient końcowy płaci tylko za wykorzystane zasoby zupełnie nie wchodząc w kwestie infrastruktury, oprogramowania czy bezpieczeństwa. Aplikacje seversless rozliczane są co do tysięcznej części sekundy. Takiej precyzji nie da się osiągnąć w świecie realnym, jednak takie będą potrzeby aplikacji i urządzeń wpiętych do internetu rzeczy (IoT).
Praktyczne zastosowanie chmury
Z dobrodziejstw chmury korzysta platforma filmowa Netflix przetwarzając informacje o zachowaniach klientów (204 mln subskrybentów w 2020): preferencje użytkowników, analizy powtarzanych scen, sposób oglądania itd. Dla Netfliksa, którego model biznesowy oparty jest o chmurę bezpieczeństwo jest priorytetem.
Dr Werner Vogels, CTO w Amazon mówi, że w cyfrowym świecie wszystko cały czas się psuje: Everything Fails All the Time. Chce w ten sposób powiedzieć, że każdy system lub aplikacja wcześniej czy później, w końcu ulegnie awarii. Dlatego pytanie brzmi, jak odporny jest system w obliczu awarii? Czy może radzić sobie z awariami bez wpływu na użytkowników?
Przyjęcie tego założenia oznacza konieczność tworzenia rozwiązań bardzo wysokiej jakości. Odpornych na awarie, przygotowanych na czarne scenariusze czy wydarzenia losowe. W Netflix metodą testowanie bezpieczeństwa jest Simian Army, czyli specjalnie zaprojektowane aplikacje i skrypty sprawdzające odporność prawdziwej infrastruktury! Jeśli naprawdę dojdzie do kryzysu, wówczas firma ma pewność, że zastosowane rozwiązania zostały wcześniej pozytywnie przetestowane.
Szkolenia i certyfikacje
Dzięki naszym szkoleniom:
Zdobędziesz praktyczną wiedzę, którą od razu zastosujesz w pracy Poznasz osoby z podobnymi wyzwaniami, które mogą znać rozwiązania Twoich problemów Otrzymasz międzynarodowy certyfikat uznawany na całym świecie
Szkolenie Cloud Technology Associate
Certyfikat CCC Cloud Technology Associate potwierdza podstawowe umiejętności i wiedzy z zakresu chmury i wirtualizacji. Umożliwia specjalistom IT pracę w środowisku chmurowym i wykazanie się znajomością kluczowych pojęć związanych z cloud computing.
Uczestnicząc w szkoleniu: