Олег Бойко, VK Cloud: Как выбрать безопасное облако для проектов цифровизации и работы с персональными данными

Олег Бойко: Сегодня можно говорить о трех моделях построения ИТ-инфраструктуры. Некоторые компании — их немного — в силу нормативных ограничений могут размещать корпоративные системы только во внутреннем контуре. Но даже они используют облачные ресурсы для разработки и тестирования цифровых решений. При такой модели dev- и test-контуры размещаются в облаке, а prod переносится на собственные серверы.

Другая группа компаний предпочитает работать на собственной ИТ-инфраструктуре, считая, что так безопаснее. При этом они понимают, что такой подход ограничивает скорость и возможности цифровизации бизнеса. В последнее время таких компаний становится меньше: цифровые приоритеты побеждают устаревшие предубеждения.

Самая многочисленная группа — это компании, которые давно используют облака. Ритейлеры, банки, телеком-операторы применяют различные возможности облачных платформ для работы с данными, разработки сервисов, размещения систем и пользовательских приложений. Они строят стратегию цифровизации на базе подхода Cloud Native. Gartner назвала его одним из главных технологических трендов в мире еще в 2022 году. В России он также актуален. Более того, облачные платформы дают бизнесу возможность использовать продвинутые технологии, доступ к которым сегодня ограничен.

Олег Бойко: Не доводы, а современные реалии: компании видят, насколько облачные технологии упрощают все ИТ-процессы. Приведу пример. Крупная компания из финансового сектора, которая исторически использовала только собственные мощности, в 2022 году начала разрабатывать универсальный цифровой сервис для инвесторов. Быстро стало понятно, что имеющихся вычислительных ресурсов для реализации проекта не хватит. Стали изучать возможности расширения своей инфраструктуры — выяснилось, что на закупку оборудования, придется потратить слишком много времени и средств. Тогда стали рассматривать вариант миграции в облако — и он оказался оптимальным. Всего за месяц в облако VK Cloud перенесли часть инфраструктуры для нового сервиса. Завершив миграцию, мы помогли специалистам компании внедрить IaC-подход для управления облачной инфраструктурой.

Олег Бойко: Для заказчика применение облаков позволило получить инструменты для реализации важного бизнес-проекта в ситуации ограничений ресурсов. И это пример того, как бизнес-приоритеты победили предубеждения, компания успешно решила задачи с помощью облачных технологий, сформировала практику работы с облаками и определила как работать в облаке дальше.

Кстати, выбор был между шестью провайдерами — в итоге заказчик остановился на VK Cloud из-за большого набора сервисов, гибкой техподдержки, высокого уровня катастрофоустойчивости и наличия дата-центров в Москве. Конечно, сыграли роль сертификаты, подтверждающие защищенность ЦОДов, и аттестаты например по 152-ФЗ (УЗ-1), которые есть у VK Cloud.

Олег Бойко: Отвечу на вопрос на примере VK Cloud, а именно на примере нашего публичного облака. Мы используем подход Defense in depth, или эшелонированной защиты, то есть обеспечиваем информационную безопасность облачной платформы на разных уровнях — от физического до программного.

Во-первых, у нас обеспечена катастрофоустойчивость ЦОДа на физическом уровне — он оборудован системами контроля и управления доступом, видеонаблюдения, охраны и пропускного режима. Доступ на объект есть только у определенных специалистов, и каждое посещение фиксируется. Ведется журнал выполненных работ и любых действий с оборудованием. Никто из посторонних не сможет незаметно проникнуть в дата-центр.

Второй эшелон защищает инженерную инфраструктуру ЦОД — обеспечивает бесперебойную работу систем кондиционирования, пожаротушения, электропитания. Представляете, что будет, если из-за аварии на линии отключат электричество или даст сбой система охлаждения? В ЦОДах, где мы работаем это не будет катастрофой. Дата-центры, в которых размещены сервисы VK Cloud, сертифицированы по максимальному для российского рынка уровню Tier 3. Это значит, что если на площадке произошла аварийная ситуация, благодаря резервным инженерным системам ЦОД продолжит работать. Дата-центры этого уровня оптимальны для размещения корпоративных ИТ-систем.

Дальше — интереснее. Переходим непосредственно к информационной безопасности — защите от DDoS-атак и несанкционированных проникновений. На третьем уровне мы заботимся о «железе» — серверах, коммутационном и сетевом оборудовании. Например, защита от DDoS-атак обеспечивается на сетевом уровне. Целью атаки может быть чрезмерная загрузка сетевых каналов, чтобы спровоцировать сбой в работе ЦОДа, или попытка эксплуатации уязвимости по сети. С помощью межсетевых экранов фильтруется трафик, который входит в периметр публичного облака.

Следующий уровень — защита операционной системы, которая управляет серверами и предоставляет сервисы для работы прикладного ПО. Меры безопасности — это и журналирование, и обязательная идентификации/аутентификация пользователей, и контроль целостности среды функционирования. Таким образом защита от угроз, связанных с управлением и эксплуатацией инфраструктуры, включая атаки на серверы — это тоже зона ответственности облачного провайдера.

И последний эшелон, за который отвечает провайдер, — защита прикладного ПО для оркестрации публичного облака. Что такое публичное облако? Это возможность по клику мыши получать доступ к вычислительным ресурсам конкретного хоста. Например, в личном кабинете можно заказать виртуальную машину, базу данных как сервис или контейнер как сервис. У прикладного ПО, которое обеспечивает создание этих ресурсов и их оркестрацию, тоже есть встроенная безопасности. VK Cloud уже имеет аттестаты соответствия 152-ФЗ (УЗ-1) и ФСТЭК, которые подтверждают, что платформа надежно защищена, и что в нашем облаке можно размещать в том числе и персональные данные.

Олег Бойко: Архитектура безопасности публичного облака — это конструктор, который каждый провайдер собирает по-разному. Инструментов много, можно выделить те, которые должны быть по умолчанию. Это элементы анализа внутренней и внешней защищенности, а также элементы сбора и регистрации событий безопасности для расследования инцидентов.

Необходимо использовать элементы контроля действий администраторов и привилегированных пользователей через различные джамп-хосты, когда есть единственная разрешенная точка входа в защищаемую инфраструктуру (один IP-адрес, одна виртуальная машина) — только из нее можно инициировать действие внутри периметра публичного облака.

Обязателен классический набор средств в виде защиты от вредоносной активности, идентификации/аутентификации, резервного копирования.

Кроме этого, важно постоянно тестировать надежность защиты. Например, у нас в VK Cloud есть внутренняя команда, которая проводит стресс-тесты по отказоустойчивости, защищенности от DDoS-атак и внешнего проникновения. С удовольствием привлекаем и сторонних «белых» хакеров. Мы участвуем в программах Bug Bounty на трех российских площадках: BI.ZONE, Positive Technologies и bugbounty.ru.

Олег Бойко: Действительно, часто опасения испытывают компании, которые не полностью разобрались в требованиях законодательства. Как правило, эти страхи снимаются, если детально изучить ситуацию.

Например, АШАН, проектируя платформу для работы с большими данными, решил разместить ее в облаке. Однако несмотря на ощутимые преимущества — готовая инфраструктура, современный технологический стек, быстрый запуск решения и его масштабируемость — были сомнения насчет того, чтобы передавать данные из своего периметра безопасности.

Стали разбираться. Требования к безопасности ПДн регламентируются законом 152-ФЗ и приказом №21 ФСТЭК России, которые не запрещают хранить и обрабатывать персональные данные в облаках. Главное — чтобы дата-центр облачного провайдера находился в России. В компании понимали, как обеспечить защиту ПДн On-premise. И в облаке все происходит совершенно также. Единственное условие — нужен защищенный канал связи между облаком и текущей инфраструктурой компании. Если выбрать надежного облачного провайдера, который имеет аттестат соответствия требованиям по защите ПДн, то становится уже не страшно. В итоге АШАН запустил свою платформу для работы с большими данными в публичном облаке VK Cloud.

У нас есть аттестат соответствия требованиям 152-ФЗ (УЗ-1) — это наивысший уровень защиты, который позволяет хранить в нашем облаке любые типы ПДн, в том числе биометрические и специальные. Кроме того, у нас есть дополнительные оценки надежности — сертификат PCI DSS и аттестат соответствия стандартам по безопасности финансовых (банковских) операций ГОСТ Р 57580.

Олег Бойко: Выбрать надежного облачного провайдера, который обеспечит защищенную инфраструктуру, и аттестовать во ФСТЭК свою систему для хранения и обработки ПДн, которая будет размещена в облаке.

Некоторые компании думают, что облачная платформа берет на себя все задачи по информационной безопасности — можно мигрировать в облако и забыть про ИБ. Мы предоставляем защищенную инфраструктуру — и за ее безопасность можно не беспокоиться. Но меры защиты на уровне ПО, которое устанавливается на виртуальные машины, обеспечивает пользователь. И часто именно здесь возникает самое слабое место.

Облачная платформа обеспечивает технологический базис для защищенной обработки. Заказчик на своей стороне реализует ролевую модель управления доступом и внедряет механизмы усиленной аутентификации на уровне прикладного ПО, устанавливает антивирусные средства защиты, средства межсетевого экранирования и выявления сетевых атак. У компании должны быть регламенты по работе с чувствительной информацией, которые определяют, кто является владельцем информации, каким образом сотрудники имеют к ней доступ, как она уничтожается, перемещается, шифруется.

Практика показывает, что злоумышленники обычно эксплуатируют критические уязвимости внутри ПО или используют логины и пароли сотрудников компании, полученные с помощью фишинга. Поэтому важно повышать грамотность сотрудников в сфере информационной безопасности.

Некоторые инциденты связаны с ошибками конфигурирования сервисов на клиентской стороне, либо с проблемой отзыва доступов для уволенных сотрудников. Такое случается, когда внутренним специалистам не хватает компетенций в сфере ИБ.

Олег Бойко: Передав на сторону провайдера задачи по защите базовой инфраструктуры, клиент занимается безопасностью только на уровне ПО в публичном облаке. И благодаря этому экономит на ИБ.

Облачная модель позволяет сократить капитальные и операционные затраты на ИТ-инфраструктуру. Расходы на ИБ могут составлять весомую долю этих затрат — тут и аппаратные и программные средства безопасности, и штат специалистов. Используя облачные сервисы, компания по клику получает необходимые ресурсы в защищенном исполнении, включая готовую инфраструктуру для работы с персональными данными.

Запускать сервисы для работы с персональными данными быстрее и проще в облаке: чтобы построить инфраструктуру, защищенную по 152-ФЗ, нужны время и ресурсы, что не укладывается в концепцию сокращения time-to-market. Облачные сервисы обеспечивают выполнение требований к безопасности инфраструктуры, что сильно ускоряет разработку решения.

'Статья выходит в рамках специального проекта VK Cloud о безопасной работе в облаках. Больше материалов по ссылке.'