Когда растет спрос на облака, важно повышать их безопасность

Рассказываем о том, почему важно повышать безопасность облаков, и делимся своим опытом организации ИБ в облачной инфраструктуре.

Когда растет спрос на облака, важно повышать их безопасность

За два последних года команда Т1 Облако много работала над безопасностью своей облачной инфраструктуры. В конце 2023 года мы получили комплект сертификатов, необходимых для работы с ИТ-системами кредитно-финансовых организаций (ГОСТ 57580-1), и привели публичное облако в полное соответствие с требованиями безопасности критической информационной инфраструктуры (КИИ; 187-ФЗ, КЗ-1). Это позволяет компаниям из сфер здравоохранения, транспорта и энергетики, промышленным предприятиям и многим другим размещать в нашем облаке различные информационные системы (ИС). Почему же важно повышать безопасность облаков и как это связано со спросом на них?

Цифровая зрелость + расширение бизнеса = спрос на облака

Российский рынок облачных сервисов в 2023 году увеличился на треть, до 121 млрд рублей, следует из отчета аналитического агентства iKS-Consulting. Рост спроса на облака происходит по многим причинам.

  1. Во-первых, меняются потребности бизнеса в связи с расширением и развитием. Если раньше многие предприятия закрывали свои потребности в ИТ-инфраструктуре с помощью закупки серверов, то с масштабированием бизнеса появилась необходимость в более гибких цифровых решениях.
  2. Во-вторых, облачными сервисами активно пользуются холдинги и крупные корпорации, которым нужно объединять множество предприятий и создавать единый ИТ-ландшафт. Таким образом бизнес оптимизирует процессы управления и снижает издержки.
  3. Еще одна причина – уход от использования зарубежных сервисов, а также сложности с логистикой и закупкой иностранного оборудования. Это стимулирует отечественные компании искать альтернативные методы хранения и обработки данных.
  4. Постоянно растущие объемы данных, а также развитие технологий искусственного интеллекта требуют мощных и надежных инфраструктурных решений, как облака. Компании всё чаще пользуются облачными сервисами с GPU. Например, клиентам Т1 Облако доступны виртуальные машины с GPU на базе NVIDIA H100. Эти видеокарты позволяют ускорить обучение моделей ИИ в 9 раз, а их инференс – до 30 раз.
  5. Многие, ранее консервативно настроенные к облакам компании, уже не настолько скептичны. Речь о таких отраслях, как промышленность, энергетика, транспорт и логистика. У них всегда были высокие требования к безопасности инфраструктуры, данных и приложений, и важно, чтобы облачный провайдер им соответствовал.

Какие плюсы даёт переход на облачные сервисы

  1. Объединение цифровых ресурсов в одну большую систему и масштабирование инфраструктуры в едином формате.

  2. Оптимизация затрат на инфраструктуру.

  3. Перераспределение нагрузки на ИТ-специалистов и концентрация сил не на поддержке бизнеса, а на его развитии.

  4. Сокращение Time-to-Market для новых продуктов и сервисов.

  5. Отсутствие проблем с поставками оборудования.

  6. Частичное решение вопроса с кадровым дефицитом в ИТ и информационной безопасностью.

Почему безопасность объектов КИИ – сложный вопрос

Объекты критической информационной инфраструктуры (КИИ) — это различные информационные, телекоммуникационные и другие системы банков, медучреждений, промышленных предприятий и других организаций из значимых для государства и общества сфер. Этим ИТ-системам категорически нельзя выходить из строя даже ненадолго.

Сферу объектов КИИ регулирует закон № 187-ФЗ «О безопасности критической информационной инфраструктуры». Он предусматривает целый комплекс мероприятий по информационной безопасности, начиная от назначения ответственных за ИБ и заканчивая проведением учений по отработке действий в случае кибератак. Безопасность объектов КИИ связана с внедрением многообразных импортонезависимых средств и систем информационной безопасности.

А с этой самой безопасностью всё не очень просто. За 2023 год, по данным Правительства Российской Федерации, объекты КИИ выдержали порядка 65 тысяч кибератак. Это означает, что риск нарушения функционирования указанных ИТ-систем возникает примерно 200 раз в день. По данным Positive Technologies, в течение первых трех кварталов 2023 года целевые атаки составили 73% от общего числа атак. Это на 5% выше уровня 2022 года. Недавно злоумышленники начали использовать «ковровые атаки» и активно искать уязвимости с помощью искусственного интеллекта. Это существенно усложняет работу специалистов по ИБ.

Особенности ИБ в финансовой сфере

Компании кредитно-финансовой сферы вызывают особый интерес у хакеров. По данным аналитиков из Statista, в 2022 году банки и страховые компании заняли второе место среди самых атакуемых организаций в мире. Positive Technologies зафиксировала в финансовом секторе вдвое больше уникальных киберинцидентов в III квартале 2023 года, чем в аналогичном периоде годом ранее.

Безопасность банков строго регламентируется. Все финансовые организации, чья деятельность регулируется Центральным Банком РФ, обязаны выполнять:

  • Общие требования к объектам КИИ, предписанные 187-ФЗ;
  • Нормы 152-ФЗ «О персональных данных»;
  • Стандарты безопасности Банка России.

Кроме того, для многих российских финансовых организаций актуальны международные платёжные нормативы PCI DSS.

Банки попадают под регулирование со стороны ФСБ, ФСТЭК, Банка России и ещё двух международных организаций: The PCI Security Standards Council (PCI SSC) и International Organization for Standardization (ISO). Кроме того, у каждого крупного банка есть собственные строгие стандарты по информационной безопасности. Они охватывают все компоненты информационных систем: физическую безопасность, сетевую безопасность на всех уровнях модели OSI, резервное копирование и восстановление, защиту от вредоносных программ и многое другое.

Именно поэтому в последние несколько лет облачные провайдеры, предоставляющие услуги финансовым организациям, довольно много внимания уделяли развитию безопасности своих облаков. Наличие сертификатов и аттестатов, а также ответственный подход к соблюдению мер безопасности на всех уровнях стали ключевыми преимуществами, которые позволяют переносить в облако информационные системы – объекты КИИ.

Перенос банковских систем в облако совершенно резонен, особенно сейчас, когда приобрести вычислительные мощности On-Prem стало непросто. Если облачная инфраструктура соответствует отраслевым стандартам, требованиям по ИБ и надёжности оборудования, то банки и другие финансовые организации могут проводить в облаке платежные транзакции, размещать информационные системы, содержащие данные финансовых операций, а также переносить в него бизнес-критичные процессы, связанные с банковской тайной.

Подход к безопасности в T1 Облако

Мы для себя решили, что в вопросах безопасности не должно быть никаких полумер и «относительно хороших вариантов». T1 Облако применяет максимально широкий подход к защите. На программном уровне в отношении наших сервисов мы реализовали целый комплекс специализированных инструментов ИБ. Сама облачная инфраструктура размещена в надежных дата-центрах TIER III, аттестована по требованиям международных стандартов безопасности и российских регулирующих органов в соответствии с №152-ФЗ, №187-ФЗ и ГОСТ Р 57580.1. У нас стоит оборудование последнего поколения, которое отвечает самым строгим требованиям. Это межсетевые экраны, средства мониторинга информационной безопасности, системы менеджмента уязвимостей, средства анализа сетевого трафика и т. д.

Мы совершенствуем свою безопасность не только на тактическом, но и на стратегическом уровне. Именно поэтому в Т1 Облако внедрена модель PDCA с годичным циклом.

Информационная безопасность в нашем облаке регулируется внушительным перечнем нормативных документов. В конце 2023 года мы получили полный комплект аттестатов и сертификатов, необходимых для размещения автоматизированных банковских систем в нашем публичном облаке.

Какие аттестаты соответствия у нас есть:

  1. 187-ФЗ «О безопасности критической информационной инфраструктуры» по наивысшей категории значимости (КЗ-1). Он позволяет разместить в публичном облаке любые объекты КИИ с соблюдением строгих регуляторных требований ФСБ и ФСТЭК. Кстати, сама инфраструктура нашего публичного облака включена в реестр значимых объектов КИИ.

  2. ГОСТ 57580-1 «Защита информации финансовых организаций» по высшему уровню защищенности информации (УЗИ-1). Это значит, что банки могут переносить в облако автоматизированные банковские системы с соблюдением всех требований регуляторов.

  3. PCI DSS «Стандарт безопасности индустрии платёжных карт». Он обеспечивает безопасное размещение данных платёжных карт в облаке.

  4. ISO 27001 «Информационная безопасность, кибербезопасность и защита конфиденциальности». Он гарантирует высокий стандарт менеджмента качества в области ИБ.

  5. 152-ФЗ «О персональных данных» по высшему уровню защищенности (УЗ-1). Это позволяет компаниям размещать, хранить и обрабатывать в облаке персональные данные.

Все эти документы подтверждают нашу последовательную работу по обеспечению безопасности и созданию надежной защиты в облачной инфраструктуре. Это позволяет нашим клиентам не сомневаться в сохранности их критически важных данных. Недавно на TAdviser IT PRIZE 2024 наше безопасное публичное облако стало победителем в номинации «Облачный сервис года».

Вместе с этим важно, чтобы заказчик тоже соблюдал стандарты ИБ как в своем офисе, так и в развернутой им информационной системе в облаке. И в этом как раз мы можем помочь. T1 Облако активно развивает направление услуг по информационной безопасности. Среди них:

  • консалтинг,

  • сопровождение заказчика по вопросам ИБ от замысла по переносу ИС в облако до его реализации,

  • managed services,

  • продукты Security as a Service.

Мы предоставляем услуги ИБ как по облачной модели (SecaaS), так и в формате локальной установки у клиента (on-premise).

Какие сервисы предоставляет Т1 Облако

В нашем облаке доступны две платформы виртуализации с единым интерфейсом управления: VMware и OpenStack. Мы предоставляем облачные услуги по трем ключевым моделям: IaaS, PaaS и SaaS.

IaaS подходит для компаний, которым требуется максимальная гибкость и контроль над инфраструктурой, SaaS удобен для пользователей, желающих делегировать технические детали, а PaaS часто используется разработчиками для быстрой разработки и развертывания приложений.

Сейчас наша команда работает над активным расширением продуктовой линейки Security-as-a-Service, чтобы максимально закрывать потребности заказчиков. Клиентам уже доступны сервисы межсетевого экранирования уровня Web-приложений (WAF), защиты от DDoS-атак, а также многофакторная аутентификация, Endpoint Security, включая антивирусную защиту.

Мы реализовали всё необходимое на отказоустойчивых кластеризованных и георезервированных средствах. Чтобы обеспечить высокий SLA в своей зоне ответственности, мы организовали круглосуточный мониторинг всех систем. Сопровождение ведут узкопрофильные высококвалифицированные специалисты, которые довели до совершенства свои навыки в работе с конкретными технологиями.

Мы также предоставляем импортонезависимые корпоративные бизнес-приложения из облака:

  • Т1 Диск для хранения файлов, обмена документами и совместного онлайн-редактирования.
  • Сервис видео-конференц-связи Dion.
  • Собственную платформу для проведения онлайн-трансляций We.Cloud Events.

Кому это может быть полезно

Клиенты Т1 Облако представляют самые разные отрасли. Это как государственные, так и частные компании. Кто-то из них локализует ИТ-инфраструктуру, а кто-то её масштабирует. Есть молодые организации, которые только запускают бизнес, и есть те, кто уже проходит стадию цифровой трансформации и консолидации ресурсов. В зависимости от потребностей бизнеса мы можем подобрать подходящие облачные сервисы.

Мы не планируем останавливаться на достигнутом. Мы постоянно развиваемся и расширяем функционал наших сервисов, чтобы сделать их еще удобнее, доступнее и безопаснее. Таким образом мы продолжаем двигаться к созданию одного из самых безопасных публичных облаков в Европе.

44
1 комментарий

Комментарий удалён модератором

Мы так рады, что спросили.

Для наших заказчиков мы проектируем систему безопасности по принципу максимизации эффективности с точки зрения выполнения предъявляемых к ней требований, митигации актуальных именно для данной системы векторов возможных атак при минимизации затрат на это. Затем внедряем эту систему, можем взять на себя её сопровождение по модели Managed Security Service. Если заказчику это требуется, то мы можем разработать необходимую техдокументацию и ОРД по ИБ для этой системы, провести анализ её уязвимостей, пентест, аттестацию по требованиям стандартов и регуляторов.

Итого: мы сопровождаем реализацию ИБ облачных систем заказчика, начиная от его мысли о том, что информационная система должна быть защищена, и заканчивая безопасным выводом этой системы из эксплуатации.

1