Экономия для ИТ: пять популярных способов и их риски. Часть I

20 февраля 2025 г.

На ИТ-инфраструктуре, которая является business-critical для любого корпоративного заказчика, экономить нельзя, но приходится, хотя это создает риски. В имеющейся экономической реальности — кредиты дорогие, динамика рынков высокая, конкуренты не дремлют, санкционное давление растет и т. д. — компании при необходимости наращивания вычислительных ресурсов нередко сталкиваются с выбором: каким именно рискам отдать предпочтение?

Подчеркнем, что все рассмотренные ниже варианты оптимизации трат на ИТ вполне рабочие. Иногда риски, связанные с ними, можно компенсировать дополнительными действиями, но такое бывает не всегда. Иногда с рисками сделать невозможно ничего, нужно помнить про их существование и ситуацию вместе с ними осознанно принимать (или не принимать).

1. Покупка техники А-брендов сегодня

На первый взгляд звучит парадоксально, ведь эти бренды продолжают выпускать мощные, надежные и изящные решения. Но часто забывают, что в рублевой зоне для этих устройств появилась уникальная специфика: сервисы для А-брендов по понятным причинам будут проблемными. Это не принципиально для покупателя в сегменте В2С, но крайне важнj для В2В. Корпоративные заказчики, покупая компьютеры, приобретают не просто «железо», а сложный комплекс из аппаратного обеспечения, встроенного софта и сервисов.

Оборудование от А-брендов, поставляемое по каналам «серого импорта», заказчикам передают с гарантией, согласно законодательству. Но следует помнить, что это гарантия не от вендора, а от третьих фирм. Компании, ранее обеспечивающие вендорскую поддержку техники от А-брендов, после введения санкций и официального ухода с локального рынка глобальных игроков стали создавать собственные структуры, способные «подхватить» сервисные контракты. Сделано это было достаточно качественно, практически все форматы, привычные для В2В, оказались доступными — «обслуживание на территории заказчика», «обслуживание на следующий день» и т. д.

Создатели новых структур поддержки — как гарантийной, так и постгарантийной — прекрасно знали, как работает современный сервис, а также без особых проблем получили квалифицированный персонал с многолетним опытом ремонта. Однако новые структуры изначально были лишены доступа к вендорскому каналу поставки запчастей, а также возможности официального обращения к инженерной экспертизе на стороне вендора. Также у таких компаний нет прямого доступа к технической документации по новым продуктам — начиная от отдельных моделей заканчивая целыми линейками решений — что в современных условиях оказывается важно. Продукты развивают достаточно быстро, на основе инновационных разработок создавая новые технические решения, которые диагностировать и ремонтировать на основе экспертизы трехлетней давности непросто, а получать новые знания — проблематично.

Процессы сервисной поддержки для оборудования А-брендов оказываются малопредсказуемыми, что для заказчика создает понятные риски. Сервис на уровне, привычном enterprise-заказчикам (с SLA и прочими деталями) создать, конечно, можно, но сложно и потому дорого. Как минимум, «под заказчика» нужно обеспечить склад запчастей и «подменный фонд», чтобы при необходимости выполнить ремонт «методом замены на заведомо исправное», устанавливая вместо вышедшего устройства ту же модель.

Можно создать собственный внутренний сервис, специализированный для работы с оборудованием того или иного вендора — с подменным фондом, инженерами и пр. Это вполне доступно для корпоративных заказчиков уровня enterprise, более того, многие так и сделали. Но это не решает проблем, рассмотренных выше.

Заметим, что для российских и китайских компаний, работающих на российском рынке официально, описанных проблем нет.

«Параллельный импорт» позволяет ввозить в РФ продукцию ряда фирм без разрешения правообладателя. Это «легализует» данные продукты, но только наполовину — с этой стороны границы, а с той стороны, с точки зрения глобальных вендоров, их товары ввозят в РФ нелегально, равно как нелегально их использование тут. Импортеры научились обходить ряд ограничений, накладываемых вендорами, как логистических, так и технических — например, региональные блокировки обновления драйверов и микропрограмм. Однако к нелегально эксплуатируемому оборудованию производитель может применять широкий спектр разных вариантов воздействия вплоть до дистанционной блокировки, о чем тоже следует помнить при учете возможных рисков.

2. Использование «облаков» без дополнительного контроля

Механизмы, обеспечивающие заказчикам экономию при использовании «облачных» сервисов, рассмотрены достаточно подробно. Есть чисто «айтишные» — возможность передать обслуживание техники, а в ряде случаев и софта, на сторону профессионалов, а ресурсы собственных специалистов (освобожденных от необходимости накатывать обновления и чистить вентиляторы) сосредоточить на развитии инфраструктуры, проектировании сервисов для операционной деятельности и решении прочих вопросов, имеющих бизнес-ценность. Есть финансовые: возможность быстрого приобретения («time is money!»), перевода расходов из CAPEX в OPEX, получение, по сути, огромной рассрочки на использование ИТ-ресурса (пока компания месяц за месяцем выплачивает рассрочку, деньги, которые пойдут на оплату «облаков», через несколько кварталов можно прямо сейчас направлять на задачи, способные приносить быструю прибыль.

Минимизируют и риски, связанные с ошибками планирования и изменениями в загрузке вычислительных мощностей. Например, если «облачный» ресурс оказывается избыточным, от него можно быстро и просто отказаться — в отличие от оборудования, приобретенного в собственность, избавиться от которого непросто, во всяком случае, если это надо сделать быстро; кроме того потери, понесенные в процессе продажи second-hand «железа», оказываются значительными.

Откуда появляются новые риски? Собственная ИТ-инфраструктура корпоративного заказчика, превращается в гибридную — мало кто может себе позволить cloud-only — а поэтому становится сложнее; усложнение приводит к увеличению вероятности возникновения сбоев, увеличению поверхности для хакерских атак и т. д. Пусть инфраструктура «облачных» провайдеров традиционно защищена лучше, чем у большинства заказчиков, но она находится под более пристальным вниманием хакеров, поэтому с большей вероятностью будет подвержена целевым атакам, противостоять которым очень сложно. Кроме того, корпоративные заказчики могут активно исследовать собственную инфраструктуру на предмет уязвимостей — «пентестить», привлекать bug-bounty-ресурсы, привлекать «компьютерных криминалистов» и т. д. — но значительная составляющая ядра, размещенная на стороне провайдера, зачастую остается вне этих современных форм контроля безопасности, применяемых корпоративными заказчиками, что создает риски.

Провайдеры «облаков» охотно идут навстречу крупным клиентам, совместно с которыми — и с их интеграторами — ведут создание гибридных ИТ-рельефов, работая над тестированием защищенности и т. д. Однако для аналогичных действий с более мелкими бизнесами у «облачных» провайдеров по вполне понятным причинам ресурсов нет, поэтому для таких категорий пользователей упомянутые риски оказываются вполне реальными.

Заметим, что «облака» — только один из вариантов использования возможностей сервисного подхода к потреблению ресурсов, наиболее рафинированный и высокотехнологичный, но не единственный. Другие варианты тоже несут в себе риски, о которых следует помнить.

Окончание следует

Источник: Александр Маляревский, внештатный обозреватель IT Channel News