С ростом рынка растут и требования

Как показывают результаты совместного исследования компаний Cloud и «Технологии Доверия» («Облачная зрелость. Исследование российского рынка облачных технологий»), в минувшем году в России утроилось число организаций, использующих облачную инфраструктуру. На облачный сегмент приходится 5,7% российского ИТ-рынка, и, по прогнозам, в ближайшие три года этот рынок ждет стремительный рост. К 2025 г. отечественных компаний, использующих IaaS и PaaS-сервисы, может стать вдвое больше.

Изменения на российском облачном рынке связаны не только с наблюдающимися в последний год сложностями логистики и доступностью оборудования, но и с активным переносом корпоративной инфраструктуры отечественных компаний на российские облачные платформы, а также с возросшими требованиями к безопасности российских информационных систем в связи с резким увеличением количества атак и их изощренностью. Ведущие провайдеры стремятся этим требованиям соответствовать. Безопасность облачной инфраструктуры для поставщиков облачных услуг — одна из ключевых задач.

Требования законодательства РФ к безопасности облачной инфраструктуры регулируются Федеральным законом «О персональных данных» и Федеральным законом «Об информации, информационных технологиях и о защите информации». Оператор обязан принимать необходимые меры для обеспечения безопасности персональных данных при их обработке, в том числе при передаче персональных данных по сети, применять технические и организационные меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий.

Федеральный закон «Об информации, информационных технологиях и о защите информации» устанавливает требования к безопасности информационных систем. В соответствии с этим законом оператор должен принимать меры по защите информации, обрабатываемой в информационной системе, от неправомерного доступа к ней, изменения, блокирования, копирования, распространения информации, а также от прочих неправомерных действий.

Кроме того, существуют и другие законы и нормативно-правовые акты, регулирующие вопросы безопасности облачной инфраструктуры, такие как Федеральный закон «О защите конкуренции», Федеральный закон «О связи» и пр. Таким образом, требования законодательства РФ к безопасности облачной инфраструктуры заключаются в обязанности операторов принимать меры по защите персональных данных и обрабатываемой информации от несанкциониированного доступа к ней и иных неправомерных действий.

Отечественные интернет-компании и телеком-операторы продолжают наращивать инфраструктуру и ресурсы для совершенствования услуг и поддержки клиентов. В условиях растущей конкуренции важно понимать потребности заказчиков и предлагать им облачные услуги с необходимым качеством, уровнем функциональности и защищенности. Активно развиваются и сервисы, связанные с кибербезопасностью.

Что такое облачная безопасность

Информационная безопасность в облаке охватывает все аспекты, связанные с обеспечением конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки. При этом основной целью является обеспечение безопасности платформы для обработки клиентских данных. Данные надежно обрабатываются за счет эшелонированной системы защиты инфраструктуры, в т.ч. благодаря изоляции данных каждого клиента на уровне облачных платформ.

При размещении информационных ресурсов в облаке клиентам также необходимо применять меры защиты в своей зоне ответственности, которая определяется в зависимости от модели потребления облачных сервисов. Например, в модели потребления «Облачная инфраструктура как сервис» (IaaS) за управление рисками ИБ и безопасность виртуальных машин, приложений в выделенном тенанте отвечает клиент, а провайдер обеспечивает кибербезопасность инфраструктуры и физическую безопасность серверов.

С учетом наличия множества публичных сервисов и соединений, выходящих за пределы облака, большое внимание уделяется внешним угрозам. Провайдеру необходимо постоянно следить за защищенностью внешнего периметра, применять комплекс организационных и технических мер, в т.ч. производить внешние сканирования на уязвимости. В то же время необходимо соблюдать баланс в части влияния систем безопасности на предоставление облачных услуг в соответствии с соглашением об уровне услуг (SLA).

Дополнительно можно выделить специфику облачной безопасности, связанную с применением средств виртуализации, технологий микросегментации, что является преимуществом возможностей гибкой настройки средств безопасности.

Защита информации в облаке Cloud

Рассмотрим, чего удалось добиться в этой области компании Cloud, которая входит в тройку лидеров рынка облачных решений в РФ. Компания располагает вычислительными ресурсами, базирующимися в пяти российских дата-центрах уровня Tier III, а на базе ее суперкомпьютеров Christofari и Christofari Neo реализована платформа Cloud ML Space, предназначенная для ML-разработки полного цикла и совместной работы DS-команд. Платформа Cloud Advanced предлагает свыше 50 облачных сервисов для управления ИТ-инфраструктурой, автоматизации и развития бизнеса — от вычислений и аналитики данных до разработки приложений. IaaS-платформа Cloud Enterprise также включает в себя услуги по резервному копированию, аварийному восстановлению, информационной безопасности и дополнительные сервисы, и подходит не только бизнесу, но и государственным организациям.

Cloud обеспечивает высокий уровень безопасности клиентских данных в соответствии с международными стандартами ISO/IEC 27701 и 27001 (включая 27017 и 27018), стандарту безопасности данных индустрии платежных карт (PCI DSS), имеет лицензии Роскомнадзора, позволяющие оказывать услуги связи, лицензии ФСТЭК и ФСБ на деятельность, связанную со средствами защиты конфиденциальной информации.

Облачные платформы Сloud аттестованы на соответствие требованиям безопасности информации, что позволяет размещать в облаке Cloud ПДн, КИИ, ГИС. Кроме того, облачные платформы Cloud соответствуют требованиям приказа 719-П ЦБ РФ и ГОСТ 57580.

Многоуровневая защита облачных платформ Cloud

Защита инфраструктуры и средств управления облачными платформами Cloud охватывает несколько уровней безопасности, включая физический, сетевой и инфраструктурный. Для обеспечения максимальной защиты и усиления безопасности используются организационные меры, такие как периодический аудит и соблюдение принципов безопасной разработки ПО.

На физическом уровне защиты инфраструктуры Cloud обеспечивается высокий уровень безопасности за счет применения современных технологий и принципов организации физической защиты. К примеру, для защиты серверных залов используются системы контроля доступа и видеонаблюдение.

На сетевом уровне применяются различные меры безопасности, такие как защита от DDoS-атак, применение межсетевых экранов нового поколения (NGFW), виртуальных частных сетей (VPN), средств обнаружения и предотвращения вторжений (IDS/IPS) и многих других. Такие меры позволяют защитить облачную платформу от сетевых угроз и атак.

Инфраструктурный уровень обеспечивает защиту от угроз, связанных с управлением и эксплуатацией системы, таких как атаки на серверы, базы данных и другие критические компоненты. Для этого используются меры безопасности: аутентификация и авторизация пользователей, шифрование данных, системы мониторинга и контроля доступа и др. Например, доступ администраторов Cloud предоставляется с использованием двухфакторной аутентификации, а их действия контролируются с помощью средств класса PIM/PAM. С помощью систем класса SIEM собираются и анализируются события информационной безопасности. Созданный на базе решения BI.ZONE Threat Detection and Response SecurИТy Operation Center (SOC) ситуационный центр управления ИБ обеспечивает постоянный мониторинг и реагирование на инциденты безопасности.

Организационной мерой безопасности является периодические аудиты ИБ, в рамках которых компетентные внешние организации проводят проверки безопасности и уязвимостей инфраструктуры. Для регулярного анализа защищенности инфраструктуры Cloud применяет средства выявления уязвимостей и некорректной конфигурации ПО, влияющей на безопасность.

При разработке приложений и сервисов облачных платформ Cloud применяются принципы безопасной разработки, процессы DevSecOps, а также инструменты SAST и DAST — статические и динамические анализаторы. Они помогают находить уязвимости в программах, решать проблемы аутентификации и настройки конфигурации. Программное обеспечение проходит этапы тестирования, проводится сканирование разрабатываемых сервисов средствами облачного сканера безопасности. Перед запуском очередного релиза сервиса найденные уязвимости и недостатки устраняются.

Компания постоянно совершенствует и систему управления ИБ. Ее задача — прозрачное управление процессами обеспечения кибербезопасности и защиты персональных данных. В системе определены процедуры и процессы, направленные на снижение рисков кибербезопасности и выполнение требований законодательства.

Защита публичных сервисов и клиентской инфраструктуры в облаке Cloud

Помимо защиты облачных платформ на провайдерском уровне, Cloud обеспечивает кибербезопасность клиентских консолей управления облачными ресурсами путем применения специализированных межсетевых экранов уровня приложений (WAF). Дополнительно осуществляется регулярное сканированием консолей управления и личного кабинета на наличие актуальных уязвимостей и периодические тестирования на проникновение в эти ресурсы.

В связи с особенностями облачных технологий, а именно, с учетом мультитенатности облачных сервисов, каждому клиенту Cloud выделяется собственная виртуальная инфраструктура, изолированная от прочих клиентов. Особое внимание уделяется механизмам разграничения доступа к клиентским данным. Они выстраиваются так, что только соответствующий клиент имеет доступ к своим данным, хранящимся в облаке.

С учетом разделения ответственности за защиту информации в облаке клиентам так же стоит принимать меры кибербезопасности. В зависимости от потребностей и задач Cloud предлагает воспользоваться дополнительными сервисами безопасности, встроенными в облако.

Эти возможности помогают клиентам снять ряд распространенных опасений и сделать первый шаг в облако, получить доступ к проверенным технологиям, выйти на новый уровень цифровизации и обеспечить при переносе систем в облачную инфраструктуру безопасность корпоративных данных в соответствие с российскими и международными стандартами.