Защиту ищут в облаках

Бизнес преодолевает предубеждения против облаков: то, что раньше считалось барьером — защищенность данных и экономическая обоснованность использования технологий, становится аргументом в пользу облачных сервисов. В том, какие опасения еще сохраняются у компаний и насколько они обоснованы, разбирался "Ъ".

Выйти из полноэкранного режима

Развернуть на весь экран

К 2026 году 75% организаций в мире будут выстраивать стратегию цифровой трансформации на базе облака как фундаментальной платформы, прогнозирует Gartner. Самый высокий рост к 2024 году покажет сегмент облачных инфраструктурных сервисов, что связано с потребностью компаний в быстром наращивании вычислительных мощностей, в том числе из-за развития новых технологий — таких как генеративный ИИ, Web3, а также роста запросов на хранение и обработку данных.

Ассоциация участников рынка больших данных (АБД) прогнозирует, что рынок технологий для работы с большими данными к концу 2024 года достигнет 319 млрд рублей, за три года — с 2021-го по 2024-й — он практически удвоится. Динамика облачного рынка в России сопоставима: по информации iKS-Consulting, в 2022 году он увеличился почти в 1,5 раза и составил 85,8 млрд рублей. В 2023 году эксперты прогнозируют рост на 30–40%.

Компании поддерживают переход в облака по соображениям информационной безопасности (ИБ) — это станет драйвером следующей волны внедрения облачных технологий, по оценкам IDC. Уровень защиты облачной инфраструктуры и облачные сервисы для обеспечения безопасности бизнес-приложений многие компании включают в число преимуществ при принятии решений о миграции в облако, согласна Анастасия Кабаева, исполнительный директор технологической практики компании «Технологии доверия».

Несмотря на это, у бизнеса сохраняются опасения, связанные со страхом утечек данных, несанкционированного доступа к ним третьих лиц, а также потери или удаления информации. При использовании публичных облаков инфраструктура расположена вне контура компании, на серверах провайдера — кажется, что это снижает уровень влияния инхаус-команды на ПО и, следовательно, на его защищенность. Но это не так: используя облако, компании могут тщательно подойти к обеспечению защищенности систем: выбрать облачного провайдера, инфраструктура и платформенные сервисы которого соответствуют необходимому уровню требований бизнеса к ИБ, с экспертизой и набором сервисов для обеспечения защищенности и отказоустойчивости бизнес-приложений, а также с дополнительными мерами по обеспечению информационной безопасности (добровольной сертификацией, программами по поиску уязвимостей и т. д.).

Как оценить безопасность облачных сервисов

Надежность облачной платформы подтверждается сертификатами и аттестатами соответствия: чтобы их получить, провайдеры проходят строгий аудит, в том числе со стороны регуляторов.

«Защита облачной инфраструктуры состоит из нескольких уровней, — рассказывает Олег Бойко, директор по информационной безопасности VK Сloud. — Первый — физический: в дата-центрах, где размещается инфраструктура провайдера, должны быть строгий пропускной режим, системы видеонаблюдения и контроля доступа. Следующий уровень — обеспечение катастрофоустойчивости инженерных коммуникаций: систем кондиционирования, электропитания, пожаротушения. Мы работаем в ЦОД, имеющих подтвержденную классификацию Tier 3. Это гарантирует работу ИТ-систем даже в случае аварийной ситуации в дата-центре и позволяет заказчикам перенести в облако критически важные бизнес-процессы».

На третьем уровне защищенности, продолжает Бойко, обеспечена безопасность сетевой и информационно-вычислительной инфраструктуры — серверов, коммутационного и сетевого оборудования. Здесь, в том числе, обеспечивается защита от DDoS-атак. Далее организована безопасность операционной системы серверов и прикладного ПО для управления облаком — для этого реализованы специализированные решения. «Мы обеспечиваем защиту облака, вплоть до уровня виртуальных машин, включая его — предоставляем партнерам надежную инфраструктуру и сервисы для разработки и работы с данными как базу для построения и развития IT-решений», — говорит Олег Бойко.

«Мы реализуем и другие ”продвинутые” способы контроля безопасности, которые бизнесу сложно организовать своими силами. Например, используем AppSec-практики, в том числе автоматизированный поиск уязвимостей при разработке кода. Это позволяет на ранних этапах создания облачных решений увидеть слабые с точки зрения ИБ места и исправить их», — отмечает Олег Бойко. По его словам, VK Cloud также участвует в программах Bug Bounty (поиск уязвимостей за вознаграждение) на всех трех российских площадках: BI.ZONE, Positive Technologies и bugbounty.ru. «Привлечение внешних команд, мотивированных найти уязвимости, помогает взглянуть на облачную платформу глазами хакеров: мы своевременно выявляем и устраняем возможные лазейки», — объясняет Олег Бойко.

В облаке можно работать и с персональными данными, если провайдер имеет аттестат соответствия требованиям закона 152-ФЗ «О персональных данных» по одному из трех уровней защиты инфраструктуры (УЗ-1, УЗ-2, УЗ-3). Требования к уровню защищенности зависит от типа персональных данных, статуса и количества пользователей, степени потенциальных угроз. «Все наши клиенты имеют возможность использовать IaaS- и PaaS-сервисы на инфраструктуре, аттестованной на соответствие требованиям 152-ФЗ (по высшему уровню УЗ-1), без дополнительных затрат. Компании могут развернуть инфраструктуру в VK Cloud, а также в случае необходимости провести аттестацию своих информационных систем на соответствие УЗ-1», — говорит Олег Бойко.

Облачные правила: теория и практика

Однако мнение, что, «заехав» в облако, компания автоматически решила все вопросы по ИБ, ошибочно. Облачный провайдер действительно берет на себя решение задач по защите инфраструктуры и обеспечению защищенности облачных сервисов, однако программное обеспечение, которое клиент разработал или разместил в облаке, остается зоной его ответственности. Компании необходимо установить зашифрованный канал до провайдера и сфокусироваться на обеспечении безопасности своих данных в облаке. Например, четко разделить роли пользователей на администраторов и сотрудников, настроить и контролировать соответствующие права доступа к системам и др. Кроме этого, в облаке важно соблюдать «гигиенический минимум» — устанавливать сложные пароли, внедрять второй фактор на вход, настроить аудит и отправку необходимых событий в качестве уведомлений в почту и в систему обработки событий безопасности.

С облаками работают крупнейшие компании нефтегазовой и финансовой отраслей, ритейла, телекоммуникаций, госсектора. У всех — строгие требования к информационной безопасности, установленные внутренними правилами и нормами регуляторов. Однако это не становится препятствием для использования облачных технологий. Наоборот, облака упрощают задачи по организации ИБ: большую часть законодательных требований «закрывает» защищенная должным образом облачная платформа.

Например, «АШАН» (230 магазинов, 30 тыс. сотрудников), один из крупнейших ритейлеров, начал путь в облако с построения платформы управления товарными запасами, а сейчас реализовывает в облаке модель для управления акционными предложениями. Одним из ключевых требований «АШАН» при выборе провайдера была возможность работы с персональными данными в облаке, то есть аттестация провайдера по требованиям 152-ФЗ.

В «АШАН» на базе VK Cloud разработали платформу данных — конвейер для всех этапов работы с данными. Объем обрабатываемой информации в облаке сейчас превышает 120 Тб данных. Быстрая аналитика дает возможность принимать взвешенные решения и строить эффективные прогнозы: компания ожидает от масштабирования решения для прогнозирования спроса на другие точки сокращения излишних запасов в магазинах на 5% и увеличения продаж на 2%. В рамках бизнеса компании это колоссальный эффект.

Для работы платформы, обрабатывающей персональные данные в облаке, «АШАН» обеспечил защиту канала связи между облачной платформой и собственной инфраструктурой. Это оказалось единственным отличием в организации информационной безопасности подобного проекта в облаке и на своих серверах. Облачную платформу, аттестованную по 152-ФЗ, предоставил провайдер, а «АШАН» обеспечил соответствие своего решения в облаке требованиям ФСТЭК.

Облака выручают бизнес в разных ситуациях. Один из наиболее востребованных сценариев — когда нужно быстро получить вычислительные мощности для разработки ИТ-решений и запуска цифровых сервисов. Так, одна из крупнейших в России страховых компаний для физических и юридических лиц ВКС (более 500 отделений в регионах РФ) построила на базе облачной платформы VK Cloud контур для разработки и тестирования ПО. Это позволило сделать процессы более гибкими и ускорить процедуру выделения ресурсов для разработчиков. «Теперь вместо того, чтобы лично согласовывать выдачу ресурсов, команда просто с помощью пары кнопок получает их за три минуты — раньше это занимало несколько часов», — отметили в компании. При этом роли сотрудников разграничены, настроены соответствующие права доступа к данным, что контролируется из единой панели.

Компания «Ингосстрах-Инвестиции» запустила проект по созданию универсального цифрового сервиса для инвесторов любого профиля, который объединил страховые и инвестиционные продукты группы, и столкнулась с ограничением: вычислительных ресурсов в контуре компании оказалось недостаточно. Решением стало использование облачных сервисов. Системы компании взаимодействуют в Мосбиржей в режиме реального времени, поэтому было критически важно, чтобы задержка в передаче данных была минимальной. Сейчас «Ингосстрах-Инвестиции» уже использует для своих задач облако VK Cloud, получив необходимые мощности и потенциал для масштабирования.

Главными показателями для эффективности применения облаков являются экономия и скорость внедрения новых продуктов или услуг — так считают 60% и 45% опрошенных Flexera пользователей облаков соответственно. При этом облака способны выполнить строгие требования к обеспечению безопасности. Если облачная платформа имеет соответствующие сертификаты и аттестаты, то в них можно работать с персональными данными, размещать чувствительную информацию и проводить финансовые операции. Если компания хочет использовать преимущества облака, но при этом работать во внутреннем контуре, она может использовать инсталляцию частного облака (Private Cloud).