08 сентября 2017

Прямое подключение к Google Cloud


Организации, работающие с финансовой и конфиденциальной информацией, которые в силу закона или собственных убеждений, не могут иметь выхода в Интернет из своей локальной сети вообще, теперь могут перенести свои сервера в приватную сеть Google Cloud и получить собственный "прямой провод" в Google Cloud из своего офиса без использования Интернет.

Google уже давно стал лидирующим провайдером облачных услуг для всех клиентов, которые используют Интернет в своей работе. Однако, существует ещё небольшой, но очень значимый рынок (в основном госорганы и банки), где в силу закона или излишней паранойи к самой возможности подключения к Интернет их локальной сети до сих пор относятся крайне отрицательно. 

Тем не менее, даже такие параноидальные клиенты поняли, что централизованное обслуживание серверов лучшими специалистами большой проверенной компании обходится намного дешевле и в итоге всё работает куда надёжнее, чем если это делать собственными силами. В итоге, для них появились предложения от крупных игроков рынка, как то, специальный физически выделенный датацентр Microsoft для Госдепа США.

В общем, Google решил вступить в конкурентную борьбу со своим заклятым конкурентом даже на поле полностью закрытых решений и сделал предложение, от которого трудно отказаться.

Суть предложения от Google Cloud для организаций с полностью закрытыми сетями:

1) Предположим вы являетесь крупной коммерческой организацией, просто помешанной на безопасности своих данных, и не хотите подключать вашу сеть к Интернет, не хотите использовать какие-либо офисные облачные продукты, типа G Suite или Google Analytics 360 Suite, равно как и использовать внешную почтовую службу и службу каталога, а только свой внутренний Microsoft Exchange и Active Directory.

Более того, в вашей организации сотни или даже тысячи серверов, на которых установлены корпоративные приложения внутренней разработки, создатели которых давно уволились и вы точно не знаете, что они делают, но боитесь даже трогать эти сервера, потому что даже не можете предсказать последствий от остановки данных бизнес процессов.

В этом случае Google предлагает вам создать внутри Google Cloud полностью закрытую частную сеть, которая будеть иметь единственный выход, а именно "прямой провод" из Google Cloud прямо в ваш офис. В этой частной сети внутри Google Cloud будут теже диапазоны приватных адресов (RFC 1918), что и в вашей локальной сети. 

При этом, вы можете с помощью стандартной утилиты от Microsoft или какой-либо ещё компании, скопировать все свои сервера целиком (даже не выключая их на время копирования), записать их на Google Transfer Appliance, и принести руками в Google, где запустить уже внутри частной сети Google Cloud. При этом, поскольку задержки по "прямому проводу" между офисом и Google Cloud будут минимальными, а все имена и адреса серверов остануться без изменений, ваши пользователи даже не заметят, что сервера переехали из локальной сети в Google Cloud.

Рис. Глобальная точка обмена трафиком Global Switch, расположенная  в 500 метрах от финансового центра Лондона, где есть шлюз Google Cloud Dedicated Interconnect.

2) Предположим, что вы являетесь финансовой организацией (биржей, брокером, банком) и, в силу специфических требований к обеспечению безопасности биржевых торгов для своих клиентов, не хотите или не можете в силу закона предоставлять доступ к своим внутренним биржевым каналам через Интернет, но при этом хотите удалённо присутсвовать на всех биржах мира, выкачивать в реальном масштабе времени все котировки, обрабатывать их с помощью BigData и давать сигналы на покупку/продажу торговым автоматам на основании глобальной аналитики от сервиса BigData.

В этом случае Google предоставляет вам место в Google Cloud для размещения торговых автоматов и подключение к биржам в Нью-Йорке, Лондоне, Франкфурте, Токио, Гон-Конге и прочих финансовых центрах "прямым проводом" с задержкой, меньшей, чем будет из вашего офиса или датацентра. При этом, данные и сигналы между биржей, торговыми автоматами и BigData будут проходить только внутри сети Google, т.е. не будут выходить в Интернет ни на одном участке.

3) Предположим, что вы являетесь государственной организацией, которая по каким-то причинам не хочет использовать специально для этого предназначенное облачное решение на базе домена G Suite for Government. В этом случае, поскольку датацентры Google получили фактически все международно признанные сертификаты безопасности и подпадают под действия соглашения о хранении и обмене данными между США и ЕС, если вы находитесь в развитой стране (даже Россия до 2014 года также находилась в правовом поле этого соглашения) вы можете хранить в Google Cloud сведения, подпадающие под местные законы о гостайне, не используя Интернет (уточните в законодательстве своей страны текущий статус этого соглашения применительно для вашего случая).

В этом случае, Google может предоставить вам сервис Google Cloud Dedicated Interconnect, который фактически является "прямым проводом" от вашего офиса до Google Cloud и выделенную частную сеть в приватными адресами (RFC 1918) в Google Cloud. Помимо этого, поскольку вы не хотите использовать штатные сервисы Google по защите информации от взлома и утечки, входящие в G Suite for Government, вам придётся использовать свои собственные. 

Важное техническое примечание:

Использование сервиса Google Cloud Dedicated Interconnect не подразумевает возможности для ваших пользователей каким-либо образом подключиться к Интернет, и, соответственно, воспользоваться интеллектуальным сетевым экраном Google, защищённым DNS Google, а также службой сертификатов Google. 

По этой причине, перед прямым подключением к Google Cloud вы должны самостоятельно установить и настроить в отказоустойчивом режиме ваши аналоги этих сервисов внутри своей локальной сети, после чего весь трафик между вашей ЛВС и частной сетью Google Cloud будет шифроваться ВАШИМИ сертификатами и все ваши данные в облаке, включая образы жёстких дисков ваших серверов в Google Cloud, также должны шифроваться ВАШИМИ сертификатами. 

В случае, если вы по каким-либо причинам "потеряете" ваши собственные сертификаты, например, если у вас "протухнет" авторизация сервера сертификатов, то доступа к вашим данным не будет ни у кого на свете и Google вам тут ничем помочь не сможет (он хранит только шифрованные бекапы, данные которых будут шифрованы вашими сертификатами).

В связи с вышеизложенным, чтобы предотвратить возможное эпическое фиаско с недоступностью всех данных и серверов из-за неправильно обновлённого сертификата, в вашей локальной сети должны будут остаться, как минимум, два сервера (один контроллер домена, с необходимыми FMSO во включенном состоянии, и, как минимум клон корневого сервера сертификатов в выключенном состоянии).


Отправить комментарий