Alegerea modelului de implementare Mandraki

Pentru majoritatea software-ului, „unde rulează” este un răspuns pe o singură linie în documentul de achiziție. Pentru instrumente de colaborare utilizate de organizații sub presiune reglementară — furnizori de apărare, administrații regionale, ministere, rețele de îngrijire a sănătății — aceasta este întrebarea care decide dacă instrumentul poate fi adoptat deloc.

Mandraki se livrează în patru modele de implementare. Același produs, aceleași protocoale, același model de securitate — granița operațională diferită. Această postare explică ce înseamnă fiecare model în practică și cum să alegeți cel potrivit.

De ce izolarea implementării este o întrebare separată de rezidenția datelor

Este tentant să colapsezi întrebarea în „sunt datele mele în UE”. Rezidenția datelor contează, dar nu este același lucru cu izolarea implementării. Un SaaS multi-tenant partajat găzduit la Frankfurt co-reține datele, cheile și jurnalele de audit ale dvs. cu ale tuturor celorlalți pe aceeași infrastructură fizică. Pentru multe organizații aceasta este acceptabilă; pentru unele — în special pentru cele a căror clasificare a datelor sau cadru de acreditare interzice explicit infrastructura partajată — nu este.

Izolarea implementării răspunde unei alte întrebări de achiziție: cât din substratul operational este partajat cu alți clienți și cine are acces la el. Cele patru modele de implementare Mandraki fac schimburi între complexitatea operațională și izolarea, iar răspunsul corect depinde de care parte a acestui schimb locuiește cadrul de acreditare al dvs.

Cele patru modele

1. SaaS multi-tenant partajat

Oferta noastră găzduită pe app.mandraki.cloud. Codul aplicației, bazele de date, storagul de obiecte și rutarea media SFU sunt partajate între organizații, cu izolarea logică la nivelul organizației (fiecare rând din fiecare tabel este alocat unui ID de organizație, iar gardurile de acces o impun la fiecare cerere). Cheile, jurnalele de audit și înregistrările sunt criptate cu ierarhii de chei per organizație — niciodată amestecate în text clar — dar se află în infrastructura partajată.

Alegeți aceasta când: clasificarea datelor dvs. nu necesită izolarea fizică, doriți zero supraîncărcare operațională și sunteți confortabil cu separarea logică susținută de criptare și garduri de acces. Aceasta este modul în care rulează majoritatea clienților comerciali și multe echipe din sectorul public mai mic.

2. Instanță single-tenant dedicată

Implementăm o stivă Mandraki completă — API, frontend, SFU, nivelul de date, consolă de management — în infrastructura rezervată pentru organizația dvs. Niciun alt ocupant nu partajează serverele de aplicații, baza de date, storagul de obiecte sau ierarhia de chei de criptare. Noi o operez; dvs. semnați acordul de prelucrare a datelor; totul rulează pe infrastructura hyperscaler europeană.

Alegeți aceasta când: cadrul de acreditare al dvs. necesită în mod explicit infrastructura single-tenant, doriți o limită de audit dedicată sau anticipați caracteristicile de performanță per-ocupant (de exemplu, o administrație națională cu o bază mare de utilizatori) care justifică costul operațional. Obișnuit pentru implementări ale furnizorilor de apărare și ai guvernului central.

3. Propriul dvs. cont cloud

Implementăm Mandraki în infrastructura pe care o controlați. Dvs. dețineți contul cloud; noi instalăm, configurez și operez platforma în el. Echipa de securitate dvs. reține mâna operațională finală — puteți audita accesul nostru, restricționa egressul de rețea și aplica controalele existente ale contului cloud (jurnalizarea perimetrului, IAM, escrow de chei) fără ca noi să ne aflam în cale.

Alegeți aceasta când: organizația dvs. are un program de suveranitate cloud care necesită ca toți încărcările de lucru de producție să aterizeze în conturi sub controlul direct al dvs. contractual cu furnizorul cloud — obișnuit pentru ministere cu un cadru de cloud suveran stabilit sau pentru organizații supuse doctrinei operaționale care tratează proprietatea contului cloud ca limita de încredere.

4. On-premises

Stiva Mandraki rulează în interiorul propriilor dvs. centre de date sau cloud privat, în spatele firewallului dvs. Produsul este același; doar substratul se schimbă. Actualizările se livrează ca versiuni semnate; oferim suport operațional, runbookuri și un ritm de upgrade; echipa operațională dvs. deține caseta.

Alegeți aceasta când: mediul dvs. este izolat, cadrul de clasificare interzice orice prezență în cloud extern, sau doctrina operațională necesită ca întreaga stivă — cod, date, chei, telemetrie — să trăiască în interiorul perimetrului dvs. fizic. Obișnuit în apărare, muncă adiacent inteligenței și anumiți operatori de infrastructură critică.

Cum să alegeți

În practică, răspunsul vine din trei întrebări:

1. Ce necesită cadrul de acreditare sau clasificarea datelor dvs.? Dacă cadrul numește „single-tenant” sau „dedicat” ca o cerință, alegerea este deja făcută. Dacă vorbește doar în termeni de „rezidenție a datelor”, SaaS partajat este de obicei suficient.

2. Unde trasează echipa de securitate a dvs. limita de încredere? Unii tratează contul cloud ca limita (apoi „cloud-ul dvs.” este modelul corect); unii tratează perimetrul fizic ca limita (apoi on-prem este modelul corect); unii sunt confortabil cu limitele logice-plus-criptografice pe infrastructura partajată (apoi SaaS este bine).

3. Ce supraîncărcare operațională puteți absorbi? SaaS partajat este zero. Single-tenant dedicat este mic — noi o operez. Cloud-ul dvs. este moderat — dvs. și noi partajez harta operațională. On-prem este semnificativ și necesită o echipă internă pentru a opera platforma alături de orice altceva.

Nu trebuie să vă angajați la un model în prima zi. Mulți clienți încep pe SaaS partajat pentru un pilot, apoi avansează la dedicat sau cloud-ul dvs. pe măsură ce implementarea se întărește într-un sistem de producție reglementat. Modelul de date este portabil între implementări; migrarea este proiectată, nu mână-ridicată.

Ce rămâne același în toate patru

Produsul este identic. Postură de criptare end-to-end este identică. Alegerile de protocol — MLS pentru mesagerie, SFrame pentru media, WebRTC peste mediasoup, criptare envelope cu trei straturi cu BYOK opțional — sunt identice. Jurnalizarea de audit, gardurile de acces, motorul de politică, punctele finale de export de date: identice.

Ceea ce se schimbă este granița operațională, cine are mâini pe infrastructură și unde se află datele fizic. Aceasta este exact suprafața cu care se preocupă achiziția, acreditarea și doctrina operațională — și exact suprafața unde cei mai mulți vânzători de colaborare nu au nimic de oferit dincolo de o consolă SaaS partajată.

Dacă organizația dvs. evaluează Mandraki și are nevoie de ajutor în alegerea modelului de implementare corect, suntem fericiți să o parcurgem cu echipele de securitate și achiziție ale dvs. Răspunsul corect este rar evident din material de marketing; apare de obicei dintr-o conversație de jumătate de zi despre constrângerile dvs.