ÚPVII Pracovná skupina K9.7 Vládny cloud


#61

Chceme certifikovat aj PaaS sluzby (nie len SaaS) a to co najskor. Prave preto aby kym urobi MV tie svoje, tak sa dalo nieco aj robit (rozumej - realizovat rozbehnute OPII projekty).


#62

A uz je niekde napisane co zahrna ta certifikacia?


#63

Pripravuje sa to, a pôjde to cez výnos o štandardoch. Takze tu sa to ešte opripomienkuje. V kocke - bude to o viac leveloch (niečo na spôsob úrovni bezpečnosti), pričom v tom najnižšom to má byť “self assesment” cez sadu otázok (questionaire ako napr. CSA). Aby to bolo pre jednoduchšie služby ľahké, a zbytočne to nedvíhalo ceny služieb (keď by si csp započítaval cenu drahej certifikácie do ceny služby). Zase na druhej strane to musí byť serióznejšie pripravené aby tam nespadli blbosti čo budú mat problém napr s gdpr.


#64

@rho pokracujem odtialto RedFlags: Redizajn siete GOVNET

Ak spravme pozeram key vaulty azure/amazon/gcloud tak, aby bolo mozne pouzit SaaS sluzbu podla NASESu je potrebne:

  1. aby ten keyvault vedel generovat kluc na certifikovanom zariadeni (lebo inak si neviem prestavit ako tam privatny kluc niekto bezpecne donesie)
  2. aby SSL cert bol vygenerovany tiez na tomto HSM module (ak spravne pozeram, tak toto vie len azure) alebo sa spravi VPC cez IPSec tunel, tiez pomocou kluca generovaneho v CloudHSM (co stoji cca 1300$ mesacne)

Toto peklicko nam zabezpecuje len to, ze po ceste to nikto nebude “odpocuvat”. Predpokladam, ze na samotnu aplikaciu bude potrebna dalsia certifikacia (encryption at rest…).

Najvacsi problem vidim v tom, ze podla NASES neverime SSL certifikatom generovanym mimo HSM a IPSec tunel drviva vacsina sluzieb pokial viem nema. Takto si odrezeme kopec sluzieb, ktore by boli inak pouzitelne.

Uz je niekde navrh ako to bude fungovat? Existuje nejaka klasifikacia kedy treba riesit toto a kedy to netreba?


#65

O takom návrhu neviem. A keďže som prestal kooperovať s upvii, bude menovaný aj niekto iný na skupinu cloud.


#66

#67

Ucast na hiringoch SU je inspirujuca. Napriklad dnes som sa dozvedel, ze vladny cloud sa neda pouzit lebo:

  • nie je GDPR compliant (what?)
  • nema bezpecnostny projekt (what?)
  • limit na data je 2TB, niektore projekty potrebuju 10TB. (Podotykam, ze toto je dovod, aby sa u konkretne regulacneho uradu nakupila vlastna vitualizacna platforma, vlastny hw, vlastna prevadzka)

#68

limit na data je 2TB, niektore projekty potrebuju 10TB. (Podotykam, ze toto je dovod, aby sa u konkretne regulacneho uradu nakupila vlastna vitualizacna platforma, vlastny hw, vlastna prevadzka)

2 TB je limit na jeden disk alokovany z pola (teda jeden device, ktory vidi VM). Takych mozes mat ale pre jednu VM alokovanych mnoho (napr. v linuxe to cez LVM spojis dokopy) - takze to v reale ziadny problem nie je. Tento limit je tam aj kvoli obnovam a DR (lahsie sa obnovuje 2TB autonomny blok ako 50TB blok). O tomto sa vie uz od roku 2015, takze ak niekto toto pouzil ako argument - tak <|>


#69

:joy:
Pamätám pár rokov dozadu, keď vládny cloud bol len vízia, ako MF robilo priekum na ministerstvách v duchu “čo by ste povedali na vládny cloud a prevádzku vašich systémov v ňom?”.
Odpoveď bola, “ako by ich jedna mater mala”. Všetci odpovedali v duchu, aká je to úžasná myšlienka, ako ušetrí peniaze,… ALE zrovna náš rezort do vládneho cloudu bohužiaľ nemôže ísť, pretože my sme proste špeciálny rezort :slight_smile:
V posledných týždňoch sa množia vyhlásenia v duchu “radi by sme do vládneho cloudu, ale nemôžeme, pretože…”. Ak si položíme otázku klasika “komu tím prospějete?”, tak možné odpovede sú:

  • končia doby udržateľnosti projektov OPIS a je potrebné rýchlo nakúpiť nejaké to železo a systémové licencie v duchu “rychlé prachy”
  • vládny cloud “potrebuje” nejakú masívnu investíciu a hľadajú sa argumenty pre podporu.

Pritom 2TB je hromada miesta. Ak nepotrebujeme ukladať CT snímky alebo 4K videá, budeme sa držať stratégie informatizácie a platnej legislatívy, teda budeme ukladať len štruktúrované dáta, nemáme problém… Úloha zo základnej školy:
Ak 100 úradníkov zadáva cez klávesnicu údaje 6 hodín denne, koľko rokov potrebuje na zaplnenie 2TB disku?
Doplňujúca otázka: máme na Slovensku informačný systém do ktorého 100 úradníkov ďatluje 6 hodín denne?


#70

https://aws.amazon.com/outposts/

Ajajaj.


#71

…za Slovensko.Digital sme sa pytali na zvolanie tejto pracovnej skupiny…mame info, ze zasadnutie by malo byt zaciatkom februara…

mame info, ze ak niekto ma navrhy na temy, tak ich trebe predlozit a PS moze zasadnut a riesit dane temy…cize ak mate nove, nedoriesene temy v ramci PS Lepsie sluzby, tak napiste tu alebo mi napiste na peter.kulich@slovensko.digital a pozbieram a navrhnem do PS…

…podla info od UPVII (nerozumiem preco to nie je oficialne) je mozne predlozit aj navrhy, zmeny k dokumentom Koncepcie PaaS, nakolko k nim maju internu debatu:
https://metais.finance.gov.sk/kr/detail/c565ca12-c44c-4bc0-866d-8ced032547b5?tab=documents
https://metais.finance.gov.sk/studia/detail/6b6161bb-edd1-0a25-4d2e-375fd617dea9?tab=documents

…podla info od UPVII bol spracovany dokument Metodika certifikacie sluzieb do hybridneho cloudu…dokument pytame od UPVII, aby sme ho mohli zverejnit/pripomienkovat…


#72

okolo vladneho cloudu idu rozne legendy + z aktualnych studii/projektov vypadavaju poziadavky na cloud, cize bolo by fajn na PS tieto temy rozdiskutovat


#73

Za mna je jasna tema: Za akych podmienok a kedy bude moct byt vyuzivy nejaky public cloud a jeho sluzby, pripadne SaaS vseobecne.


#74

Predpokladam ze odpoved bude “pri dodrzani relevantnych standardov ISVS”. Su tam aj standardy pre cloud computing.


#75

Fair enough, vidi dnes niekto dnes prekazku pouzitia Azure, Amazon, Google Cloud?


#76

nejake drobne legislativne problemy su, hlavne pokial nie je garantovane ze data neopustia EU.
Ale zasadny problem je inde a to ziadna strategia nevyriesi, projekty OPII su investicne a naklady na takyto cloud su prevadzkove. Kazdy OPII projekt v inom ako vladnom alebo bezplatnom cloude by potreboval kofinancovanie zo statneho rozpoctu. Kockate peniaze nie su gulate.


#77

…ale slusny objem ide aj zo statneho rozpoctu a na licencie registratur a podobnych rieseni…


#78

a ako to s tym suvisi ? Aj SLA sa platia z rozpoctu. Ale tu potrebujes vysvetlit ze nebudes cerpat peniaze ktore su a miesto toho potrebujes presvedcit MF aby dali peniaze ktorych je malo. Aj registratury by MF najradsej platilo z tychto penazi ale tu trva nekonecne dlho sa k nim dopracovat.


#79

Ano toto je validna vytka, kde regulacie silne nestihaju za tym kde sa svet poslednych par rokov ubera. Ale ja som ochotny sa stavit, ze tie naklady by boli nizsie aj keby sme to rovno zaplatili zo statneho rozpoctu. Lebo vladny cloud tiez nema udrzbu zadarmo. Rad si pozriem kolko nas stoji nejaka virtualka/sluzba vo vladnom cloude v porovnani s public cloudom.


#80

lenze zase vladny cloud nakupuje investicie za kockate peniaze a teda sa to neda uplne porovnat. To co trapi MF su servisne zmluvy na cloude nie celkove naklady. A teda dnes nejaka virtulka v Gcloude nestoji skoro nic, minule investicie su urobene a dodatocne naklady na virtualku su len v elektrine a chladeni.