O tym, jak migrować do chmury i z jakimi kosztami się trzeba liczyć rozmawialiśmy pierwszego dnia kwietniowych Google Cloud Days, które odbyło się w dniach 4-5 kwietnia 2023, cyklicznego wydarzenia budowanego na praktycznym podejściu do chmury. Polityka Zero Trust, konfiguracje dostępów, klucze sprzętowe i ataki na łańcuch dostaw oprogramowania to tematy, na których skupili się eksperci branży cyberbezpieczeństwa podczas drugiego dnia prelekcji oraz warsztatów.
Partnerem wydarzenia była Fundacja Dajemy Dzieciom Siłę, na rzecz której zebrano 25,347 zł podczas dwóch dni Google Cloud Days. Środki zostaną przeznaczone na profilaktykę cyberprzemocy wśród dzieci w wieku wczesnoszkolnym oraz zasilą projekt edukacyjny dla dzieci Sieciaki.pl.
„Chciałbym bardzo podziękować każdej osobie, która dołożyła swoją cegiełkę. Jestem bardzo szczęśliwy że przy okazji zdobywania wiedzy i robienia biznesu mogliśmy zrobić coś dobrego”. – podsumował Piotr Wieczorek, CEO FOTC, organizatora Google Cloud Days.
Jak migrować do chmury…
Każda organizacja w pewnym momencie zadaje sobie pytanie: czy to już czas na migrację do chmury, czy też lepiej zainwestować we własny sprzęt do przetwarzania danych? Jaką wartość dodaną daje chmura publiczna, typu Google Cloud, za co konkretnie płacę i jak kontrolować koszty.
Dla firmy Sabre, rozwiązania chmurowe były najtańszym rozwiązaniem w krótkim terminie.
„Google było katalizatorem zmian dla Sabre 3 lata temu, kiedy postanowiliśmy zmigrować. … Postanowiliśmy przejść na single cloud, przenieść wszystko do Google”. – powiedział Mateusz Nowakowski, Senior Principal Software Engineer, Sabre.
Oprócz automatyzacji procesów i zmniejszenia kosztów, o wyborze Google Cloud zadecydował stack technologiczny chmury.
„Google Cloud jest unikalny. Trzeba wiedzieć, w czym dany cloud jest lepszy. Kubernetes jest konceptem Google i to Google decyduje o tym, jak się rozwija”. – dodał Mateusz Nowakowski.
szybko…
Na gotowe rozwiązania chmurowe zwrócił również uwagę Paweł Mrówka, DevOps Engineer z firmy Shoper, przytaczając studium przypadku migracji firmy Apilo do Google Cloud.
„Warto wybierać usługi gotowe, z pudełka, mimo iż wydają się droższe. Gdy policzyć koszt dostosowania własnego rozwiązania, okazuje się że jest to droższe”. – stwierdził.
Migracja Apilo wiązała się z przeniesieniem wszystkich klientów platformy Apilo, ich subdomen i baz danych, z których każda obejmowała około 3 TB danych w postaci zdjęć czy faktur klientów.
Zdaniem Pawła Mrówki dobrze zaplanowana i zorganizowana migracja może przejść bardzo sprawnie. „Wszyscy nowi klienci od 6-tego miesiąca migracji byli od razu w chmurze. Do 8-go miesiąca przenieśliśmy wszystkich klientów”.
Według Pawła Rosady Technical Leadera z firmy Shoper, jednym z kamieni milowych migracji była dolaryzacja, aby można było uruchomić infrastrukturę w środowisku kubernetesowym.
W ostatecznym rozliczeniu projektu, ważna jest analiza potrzeb.
„Warto przeanalizować, czy warto migrować i czy jest to kosztowne. Dla nas był to strzał w dziesiątkę. Architektura chmurowa wyszła kosztowo bardzo podobnie do on-premisowej, ale koszty utrzymania były dużo, dużo niższe”. – podsumował Paweł Rosada.
i niedrogo…
Pytanie o koszty migracji i utrzymania infrastruktury chmurowej jest jednym z pierwszych, jakie się pojawia przy wyborze dostawcy.
„Nasza migracja stosu danych jest na ukończeniu i jeden z naszych wniosków to to, że chmura kosztuje”. – zauważył Wojciech Smolak, Senior Data Platform Engineer, Allegro.
Trzeba mieć na uwadze, że przechodząc do chmury każdy krok dewelopera niesie ze sobą koszty. Nic więc dziwnego, że w przypadku firmy takiej jak Allegro, gdzie dzienny przyrost danych sięga 7 TB, koszty są nadrzędnym kryterium wyboru.
Wojciech Smolak zwrócił uwagę na narzędzia kontroli kosztów, możliwości przypisywania budżetów lub automatyki alertów kosztowych na poziomie projektów.
„W usługach user-managed jest możliwość samodzielnego zaprogramowania autostopu maszyn, np. Vertex AI notebooks. Zawsze warto zbadać, czy jest lepsze wyjście niż usługa na wirtualnej maszynie. Istnieje wiele rozwiązań, np. Serverless”.
Pobierz ebook i dowiedz się jak przeprowadzić migrację do chmury
Pokazał również możliwości optymalizacji za pomocą wyboru typu maszyn wirtualnych, a także regionów chmurowych.
„W różnych regionach w chmurze koszt procesora jest różny. Np. różnica między kosztów kosztów maszyny 4 GB w Belgii a taką samą w Warszawie to 5 $. Maszyny typu standard a spot to czterokrotna różnica w cenie. Trzeba sobie umieć poradzić z tym, że taka maszyna typu spot może nam być odebrana, i wówczas można sporo zaoszczędzić”. – powiedział ekspert Allegro.
O korzyściach związanych z używaniem narzędzi hurtowni danych Big Query przekonywał Wojciech Sznapka, CTO, STS Gaming Group.
„Klastrowanie drastycznie obniża rachunki. Jeśli macie właściwą strukturę tabeli i zapytań, różnica może być wielka. Za każdego dolara włożonego BI Engine, wyciągnięcie dwa. Natomiast Big Query ML świetnie nadaje się do szybkiego prototypowania. Ma bardzo niski próg wejścia”. – stwierdził Wojciech Sznapka.
Automatyka i AI
Automatyczne rozwiązania są jednym z największych atutów rozwiązań chmurowych, zwłaszcza w okresie dynamicznego wzrostu, o czym opowiedział Krzysztof Sprawnik, Customer Engineer, Google Cloud.
„Autoskalowanie serwisy dają możliwość wysłania komunikatu jednocześnie na dużą skalę.
Wiemy co trzeba zrobić, kiedy wysyłamy sto komunikatów na sekundę, tysiąc komunikatów na sekundę, czy nawet milion na sekundę”. – powiedział.
Big Query pozwala na skalowanie na dowolnym poziomie złożoności i wielkości danych, natomiast dzięki rozwiązaniom Business Intelligence (np. Looker) możemy dostrzec wzorce w gromadzonych danych.
„Co jeszcze pomoże nam zobaczyć więcej? Chmura nam może pomóc, aby sztuczna inteligencja była dla każdego i na wyciągnięcie ręki”. – powiedziała Katarzyna Siedlarek, Customer Engineer, Google Cloud.
Na korzyści płynące z automatyki dostępnej w chmurze zwrócił także uwagę Marcel Dybalski, Sales operations manager, Growbots.
„Jeśli zależy nam na stabilności, to warto skorzystać z Business Intelligence, Data Studio”. – powiedział i dodał, że dzięki hurtowni danych firma zaoszczędziła 72% kosztów. “Udało nam się zmniejszyć awaryjność całej struktury o 90%”.
Szybkie skalowanie w chmurze
Wśród prelegentów pojawił się również nasz klient Revolut, którego reprezentował Wojciech Ptak, Head of Engineering. Pokazał on jak łatwe może być szybkie skalowanie, jeśli przyjąć odpowiednie założenia.
„Jeśli skalujemy się szybko, pytanie powstaje pod co się optymalizujemy. Revolut się optymalizuje pod szybkość zmian na rynku. Early overoptimisation jest większym problemem niż legacy. Często podejmujemy decyzje wcześniej, które nie są do odwrócenia. Warto odwlekać decyzje tak długo, jak to możliwe”. – powiedział.
Dodał także, że dzięki odpowiedniej architekturze, firma nie potrzebuje rzeszy inżynierów do utrzymania infrastruktury.
„W Revolut jest 15 osób odpowiedzialnych za infrastrukturę. I to w zupełności wystarcza, żeby utrzymać sporą infrastrukturę banku”.
Bezpieczeństwo przede wszystkim
O podejściu Zero Trust do bezpieczeństwa infrastruktury organizacji mówił Przemysław Tadeusz, Customer Engineer, Google Cloud.
Rozproszone zespoły, zagrożenia od wewnątrz, liczni zewnętrzni dostawcy usług oraz ogromna liczba urządzeń sprawiają, że podejście do bezpieczeństwa jak do obwarowania zamku już nie wystarcza. Użytkownik, który dostanie się za mur obronny, np. poprzez VPN, jest traktowany jako bezpieczny. Zero Trust to infrastruktura właśnie „za murem obronnym”.
Jednym z elementów podejścia Zero Trust są polityki kontekstowe do nadawania uprawnień użytkownikom. Zero Trust zakłada brak domniemanego zaufania wobec zasobów tylko na podstawie tego, gdzie się znajdują. Google jest jedną z największych firm, które stosują podejście Zero Trust.
Ataki na proces wytwórczy
Ograniczone do minimum zaufanie dotyczy nie tylko dostępu dla użytkowników końcowych infrastruktury firmy. Obecnie jednym z najczęstszych ataków są ataki nie na końcowy produkt, lecz na oprogramowanie w trakcie jego tworzenia, czyli ataki na tzw. „supply chain”.
Kiedyś ataki były skupione głównie w tzw. run time, czyli już po uruchomieniu oprogramowania. Teraz nie jest to łatwe, ze względu na rosnącą świadomość i zabezpieczenia. Jednakże, sam proces wytwórczy oprogramowania jest tak skomplikowany i złożony, że hackerzy często decydują się zaatakować jedno z ogniw samego procesu. Jedną z inicjatyw ze strony Google służących zabezpieczeniu procesu tworzenia oprogramowania jest Assured OSS, w ramach którego sprawdzane są repozytoria open sourcowe i udostępniane klientom Google Cloud. Obecnie Google ma 250 bibliotek javowych. Korzystając z nich, programiści zapobiegają wstrzykiwaniu back doorów i kodu z podatnościami.
Zasobocentryczność Google Cloud
O tym, że właściwe polityki i zarządzanie grupami raczej niż pojedynczymi użytkownikami opowiadał Łukasz Bobrek, Head of Cloud Security, Securing. Pokazał jak nawet małe błędy konfiguracyjne mogą doprowadzić nawet do przejęcia całej infrastruktury chmurowej.
„Pierwsze pytanie jakie zadajemy sobie: jak to można zepsuć. Następnie analizujemy: kto, po co i jak może chcieć się dostać do naszej chmury. “Spotykaliśmy się z nadawaniem uprawnień na poziomie całego projektu lub organizacji”. – powiedział.
Według eksperta firmy Securing, zasobocentryczność architektury Google Cloud jest jego zaletą: „Jeśli mamy zasób, łatwo możemy sprawdzić kto ma do niego dostęp. Nie jest jednak łatwo sprawdzić, do czego dany użytkownik może mieć dostęp. To utrudnia atakującemu przejęcie infrastruktury”.
Nieaktualne ustawienia i wymogi regulacyjne
Jak pokazał Maciej Wojnarowicz, Support Specialist, FOTC, jednym z najczęstszych błędów wykrywanych podczas audytów bezpieczeństwa są błędy ustawień dostępu i uprawnień. „Może się okazać, że na 15 adminów, 14 ma uprawnienia superadmina. Tego typu ustawienia są niebezpieczne i należy to zmienić”. – wyjaśnił.
Ekspert FOTC omówił niektóre spośród 100 reguł ochrony danych dostępnych w ramach Google Data Loss Prevention. Reguły te wykrywają wrażliwe dane, np. PESEL, czy numer karty kredytowej i tym samym pozwalają uniknąć naruszania przepisów danego kraju lub obszaru.
Potrzebę spełniania prawnych wymogów bezpieczeństwa poruszył również Tomasz Stawarski, Head of Tech Operations, Shares. Według eksperta “Google Workspace pomaga sprostać 80% wymagań regulacyjnych dotyczących bezpieczeństwa i technologii”.
„Do autoryzacji dwuczynnikowej korzystamy z Google. Integracja z innego APi jest chyba najprostsza”. – dodał.
Alternatywne metody autoryzacji
O ochronie użytkowników przed atakami phishingowymi i typu „Man In The Middle” opowiadał Rafał Rosłaniec, Dyrektor wsparcia technicznego, ePrinus oraz Yubico.
„Hackerzy nie hackują, oni się logują. Najtańsza kampania mailingowa kosztuje kilkanaście dolarów i prawie na pewno ktoś się w niej da złapać”. – powiedział.
Jako alternatywę wobec haseł, które uznawane są często za najsłabszy element zabezpieczenia przedstawił standard uwierzytelniania FID\O, wspólną inicjatywę Yubico i Google.
„FIDO niesie infrastrukturę klucza publicznego. Klucz publiczny trzyma Google, klucz prywatny jest na FIDO. Pośrednikiem jest np. przeglądarka, która pokazuje specjalne okno do logowania. Musimy nacisnąć przycisk na kluczu, aby wstrzyknąć klucz.” – tłumaczył Rafał Rosłaniec.
Dołącz do nas na kolejne Google Cloud Days
Google Cloud Days to cykliczne wydarzenie zrzeszające praktyków i ekspertów chmury obliczeniowej organizowane przez FOTC, partnera premium Google Cloud, w warszawskiej siedzibie Google. Kolejne Google Cloud Days będą ogłoszone już niedługo. Zapraszamy.
Otrzymuj materiały premium oraz nowości w Google Workspace!
