Автор: Алексей Кубарев, директор по информационной безопасности Т1 Облако
Из-за возросшего числа киберугроз государство и бизнес стали уделять больше внимания объектам критической информационной инфраструктуры (ОКИИ) и их безопасности [1], в связи с этим в последнее время возросла популярность облачных решений при построении компаниями собственных ИТ-сервисов и платформ [2].
Объекты критической инфраструктуры – это системы и сети, непрерывная работа которых важна для функционирования различных отраслей: транспорта, здравоохранения, промышленности, банковской сферы и т.д. Согласно Федеральному закону 187-ФЗ "О безопасности критической информационной инфраструктуры РФ" ответственность за безопасность и устойчивость функционирования ОКИИ ложится на их владельцев. Многие из них делегируют часть таких обязательств облачному провайдеру, этот подход обладает следующими важными преимуществами.
Рынок ИТ- и ИБ-специалистов сейчас переживает не лучшие времена с точки зрения нанимателей. Грамотные специалисты, необходимые для поддержания функционирования системы, как никогда редки и дороги. Применение облачных сервисов значительно снижает потребность в большом штате сотрудников, что положительно влияет на оптимизацию операционных процессов.
Опубликованные в 2022 г. указы Президента РФ № 166 и № 250 ограничивают возможность использования иностранного ПО и оборудования на объектах КИИ. Исполнение этого запрета на инфраструктурных слоях ОКИИ может вызвать значительные сложности у их владельцев. Один из наиболее простых способов реализации этих норм – получение импортозамещенной инфраструктуры как услуги у облачного провайдера.
Оптимизация ФОТ (фонд оплаты труда) ИТ- и ИБ-специалистов, переход от CapEx к OpEx, экономия за счет отсутствия необходимости закупки и поддержания функционирования компонентов ОКИИ в составе, рассчитанном на пиковые нагрузки, – вот несколько преимуществ перехода в облако.
Использование облачных решений снижает временные издержки, связанные с приобретением, поставкой, настройкой и обслуживанием оборудования. Кроме того, облака способствуют [3] ускорению работы в рамках DevOps-подхода, что позволяет ускорить развертывание и обновление ИТ-продуктов.
Облачные решения упрощают для разработчиков масштабирование решений как вертикальное, так и горизонтальное. При необходимости компании достаточно временно арендовать больше мощностей – это проще и дешевле, чем ждать и настраивать собственное оборудование.
Облачные сервисы изначально реализуются с учетом необходимости защиты от нарушителей. В связи с этим к безопасности облачные провайдеры подходят, как правило, комплексно – от физической защищенности и пожаробезопасности и до противодействия сложным целенаправленным атакам.
Важнейшее качество для облачного провайдера – обеспечение доступности его информационных ресурсов, размещенных в облаке, для заказчика.
Законно, при условии, что эти облака и предоставляющие их клауд-провайдеры сами соответствуют предъявляемым к ним требованиям. Скажем, ОКИИ первой категории значимости можно разместить только в облаке первой категории значимости. Если этот объект дополнительно выступает в качестве информационной системы персональных данных второго уровня защищенности, то и облачная платформа должна отвечать соответствующим законодательным предписаниям в этой области.
Облачный провайдер должен иметь все необходимые лицензии, быть включен в реестры, например, операторов персональных данных и хостинг-провайдеров, которые ведет Роскомнадзор. Дополнительно он должен выполнять все требования законов, указов президента, постановлений Правительства РФ, приказов ФСТЭК России, ФСБ России и отраслевых регуляторов, предъявляемых к владельцам ОКИИ.
Облачное размещение объектов КИИ наиболее релевантно в ситуации, когда бизнесу важны гибкость разработки и обновления, а также способность инфраструктуры к масштабированию. Компании выбирают такой подход, когда у них нет времени, возможности или целесообразности закупать и обслуживать дорогостоящее оборудование либо тратить ресурсы на разработку собственных решений. Это применимо к любым сферам экономики, поскольку речь в первую очередь идет о сложности процессов и географии бизнеса, а не об отрасли, в которой он работает.
С другой стороны, можно отметить, что чаще других к использованию облачных решений приходят компании из непроизводственных отраслей: офлайн- и онлайн-ритейла, телекома и ИТ, сферы услуг, медицины и образования. Но и промышленность все чаще обращается к провайдерам для размещения в облаке бэк-офисных систем, например ERP, документооборота, бухгалтерских систем и т.д.
Отдельно стоит сказать о банковском секторе и кредитнофинансовых организациях. Провайдеры, соответствующие стандарту ГОСТ 57580-1 и Федеральному закону 152-ФЗ "О персональных данных", дают возможность банкам и другим институциям размещать в облаках не только критическую информационную инфраструктуру, но и остальные сведения, непосредственно связанные с бизнес-процессами.
Безусловно, в обеспечении безопасности ОКИИ в облаке помимо облачного провайдера участвует еще и владелец этого объекта. Тут важно разграничение зон ответственности между сторонами этого процесса, зафиксированное в договоре с предусмотренными санкциями за нарушения его положений.
В рамках своей зоны ответственности владелец ОКИИ должен принять необходимые меры, например при модели облачных услуг IaaS – на уровнях операционной системы, среды исполнения, приложения
и данных. В данном случае владелец системы обязан также обеспечить безопасность информации при ее передаче по сетям связи, например при помощи средств криптографической защиты.
На прикладном уровне облака дают своим клиентам важные преимущества. Провайдеры тщательно продумывают все возможные проблемы на этапе проектирования и предпринимают шаги для их решения.
Облачные провайдеры предпринимают все возможные меры для защиты физического оборудования – серверов, СХД и телекома, от пропускного режима и СКУД в ЦОД и до запираемых серверных стоек и видеонаблюдения за ними. Построение такой инфраструктуры собственными силами могут себе позволить только представители крупных компаний.
Архитектура и инфраструктура облачных провайдеров разрабатывается с учетом особенностей местности. Строители и бизнес предусматривают как антропогенные, так и природные факторы, способные нарушить работу серверов, и еще на этапе проектирования закладывают механизмы, способные минимизировать их влияние.
В случае с ОКИИ диверсификация, подход "не клади все яйца в одну корзину", не просто полезен, а жизненно необходим. Облачные провайдеры для обеспечения надежности процессов и данных размещают компоненты сети на географически распределенных площадках – таким образом, даже в случае проблем на одной из них остальные продолжат работать.
Та же логика актуальна и для каналов связи: при нарушении одного из них, например в результате работы экскаватора, нагрузка распределяется между резервными.
Облачный провайдер в целях минимизации угроз для развернутых в его инфраструктуре систем заказчиков принимает расширенный набор мер по информационной безопасности в зоне своей ответственности, начиная от несанкционированных действий потенциальных инсайдеров и заканчивая веерными атаками.
Некоторые провайдеры также предлагают комплексные решения.
Или "безопасность как услуга" – подход, при котором провайдер предоставляет заказчику ту или иную услугу по информационной безопасности как сервис, обеспечивающий быстрый запуск, простую настройку и высокую эффективность. Сюда можно отнести решения AntiDDoS, Web Application Firewall, многофакторную аутентификацию и т.д.
Некоторые провайдеры готовы делиться с заказчиками своей экспертизой в области ИБ применительно к облачным системам. Это может касаться и категорирования ОКИИ, и формирования корректной модели угроз и нарушителя, и разработки оптимальной системы ИБ, и даже ее внедрения.
Некоторые провайдеры берут на сопровождение средства защиты информации, не входящие в его продуктовый портфель по направлению SecaaS, но развернутые в облачной инфраструктуре его заказчиков.
Облака давно стали популярны среди пользователей и бизнеса, а теперь спрос на них растет и среди субъектов КИИ. Провайдеры предпринимают все необходимые меры, которые помогают обеспечить надежность сервисов, развивают свои ИТ-компетенции и нарабатывают опыт в создании комплексных решений в области безопасности. В условиях повышенного риска киберугроз такой подход позволяет прогнозировать и дальнейшее увеличение востребованности облачных решений.