Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности

В этом материале мы расскажем, что такое аттестованный сегмент ЦОД. Поговорим о преимуществах и проблемах IaaS и on-premise как собственного решения. Также разберем, как А-ЦОД закрывает потребности компаний, которые хотят использовать возможности IaaS, но не могут из-за разных ограничений — например, аттестации по 17 приказу ФСТЭК или строгих корпоративных правил безопасности.

Наконец ответим на вопрос, как экономить на IT-инфраструктуре, если нужно работать с чувствительными данными и сохранять контроль за безопасностью.

Что нужно компаниям

Сегодня у компаний есть несколько вариантов размещения своих приложений в зависимости от задач и требований регуляторов.

Чтобы нам было проще ориентироваться в решениях, рассмотрим все варианты реализации IT-инфраструктуры на графике. Заметим, что и облако, и выделенные серверы относятся к IaaS. А-ЦОД в этом смысле можно считать разновидностью IaaS.


Аттестованный сегмент ЦОД занимает выгодную позицию с точки зрения возможности масштабирования и гибкости оплаты по сравнению с on-premise IT-инфраструктурой. При этом сохраняется почти такой же уровень контроля за безопасностью.

Скорость масштабирования

IT-специалистам на этапе запуска сложно спрогнозировать нагрузку. С одной стороны, часто приходится тратить большие бюджеты на оборудование, которое используется на 30-60%. С другой стороны, во время критических нагрузок вычислительной мощности не хватает, поэтому страдает качество сервиса, и бизнес лишается выручки и клиентов.

В условиях такой неопределенности выбор подходящего средства защиты информации сделать еще сложнее. Для этого приходится использовать «примерные» данные, полученные от IT-специалистов. Таким образом возрастают потери и «неиспользуемой» производительности, и неэффективных затрат на оборудование. С ростом количества пользователей приходится рисковать качеством и безопасностью сервиса.

Гибкость оплаты

On-premise вынуждает покупать оборудование и нести ответственность за неправильный расчет бюджета, если серверов окажется слишком мало или слишком много.

В текущей ситуации можно также столкнуться с проблемами с логистикой и доставкой оборудования. Докупить железо в нужный момент уже не так просто, как взять его в аренду и нарастить мощности под время распродаж или релиз новой функциональности.

Управление и контроль безопасности

В зависимости от формата компании могут иметь разные потребности в управлении безопасностью. Стартапам чаще подходит аутсорс и работа под ключ, чтобы не тратить ресурсы команды. Крупным организациям — полный контроль, поскольку приходится работать с государственными проектами или данными, требующими особой защиты. При этом есть собственная экспертиза в ИБ.

Почему компании выбирают IaaS

Особенности облака

• Быстрое прототипирование, ускорение разработки и внедрения практик.
• Можно отдать провайдеру большую часть непрофильных задач. При этом теряется возможность полного управления инструментами безопасности.
• Гибкие возможности оплаты: pay-as-you-go, отказ от CAPEX.
• Масштабирование дает возможность быстро нарастить IT-инфраструктуру или сократить, когда есть такая потребность.

Особенности выделенных серверов

• Высокая производительность: все ресурсы принадлежат одному клиенту.
• Более выгодное решение при прогнозируемых нагрузках.
• Возможность применить индивидуальные настройки серверов. Клиент может самостоятельно выбрать железо: процессор, RAM и многое другое.
• Не такая высокая скорость масштабирования: от 15 минут до нескольких дней.

Почему компании продолжают использовать on-premise

• Если информационная безопасность является ключевой деятельностью компании, то логично, что технический директор захочет сохранить полный контроль и управление IT-инфраструктурой и инструментами безопасности.
• IT-инфраструктура некоторых компаний должна соответствовать 17 и 21 приказам ФСТЭК для обработки персональных данных и размещения государственных информационных систем (ГИС).
• Некоторые средства защиты информации могут быть только аппаратными. Особенно это касается сертифицированных средств защиты.
• Организационные сложности по оценке рисков при логическом доступе поставщика услуги к инфраструктуре. Например, рекомендации Центрального Банка СТО БР ИББС‐1.4‐2018 по аутсорсингу требуют сложной и долгой оценки рисков по каждой передаваемой на аутсорсинг функции.
• Сложное и изменчивое разграничение зон ответственности за безопасность. В публичном облаке виртуальные серверы клиентов запускаются на общем оборудовании. Управление доступом настраивается клиентом через сервисы предоставляемые и управляемые провайдером.

Если нужно работать с государственными проектами, стоит ли размещаться у провайдера, который не соответствует 17 приказу ФСТЭК? Что делать, если IaaS не может ответить запросам бизнеса в области безопасности и сохранения самостоятельного управления IT-инфраструктурой? В Selectel для решения этой проблемы есть — аттестованный сегмент ЦОД.

Что такое А-ЦОД

А-ЦОД сочетает гибкость и экономичность IaaS, а главное — сохраняет возможность управления безопасностью, как в on-premise.

В отличие от облачных и выделенных серверов, А-ЦОД предоставляет каждому клиенту свой собственный выделенный сервер или несколько серверов, изолированных от внешнего мира, с применением аппаратного межсетевого экрана.

Провайдер отвечает за безопасность, связанную с физическим доступом к оборудованию. То есть за доступ в дата-центр, к серверам и жестким дискам с информацией. Клиент — за логическую безопасность. Таким образом специалисты по ИБ клиента могут самостоятельно контролировать и управлять политиками безопасности, настраивая их под требования и стандарты.

Они размещаются в специально подготовленных стойках Аттестованного сегмента ЦОД в дата-центрах Selectel с регламентированными мерами безопасности.

Доступ на физическом уровне есть у небольшой команды инженеров дата-центра, которые следят за состоянием оборудования и производят технические работы в случае возникновения инцидентов. Например, когда нужно добавить сервер, поменять неисправный диск или провести кроссировку. В рамках А-ЦОД эти процедуры имеют свои стандарты и постоянно проверяются внутренним контролем.

Для каждого клиента провайдер предоставляет IT-инфраструктуру, которая проверена внешними аудиторами и соответствует требованиям российских законов и международных стандартов по защите информации.

Информация о том, каким стандартам соответствует инфраструктура А-ЦОД и заключений, сертификатов и аттестатов, полученных в результате работы внутренних и внешних аудиторов, размещена здесь.

А-ЦОД выполняет требования компаний, которые:

• Обрабатывают персональные данные до УЗ-1 (21 приказ ФСТЭК).
• Являются государственным информационными системами до К1 (17 приказ ФСТЭК).
• Обрабатывают данные платежных карт (PCI DSS).
• Обрабатывают персональные данные граждан ЕС или людей, находящихся в ЕС (GDPR).
• Имеют внутренние стандарты и высокие требования к поставщикам услуг (SOC-2).

Почему из on-premise мигрируют в А-ЦОД

• Доступ к серверам на логическом уровне есть только у клиентов. Они могут управлять всеми инструментами защиты самостоятельно. При этом разделение зон ответственности происходит очень просто: клиент отвечает за логическую безопасность, а Selectel за физическую безопасность. Все меры физической безопасности регулярно проверяются внутренним контролем и внешними аудиторами. Возможен индивидуальный аудит мер безопасности со стороны клиента.
• А-ЦОД соответствует 17 и 21 приказам ФСТЭК для обработки персональных данных и размещения государственных информационных систем (ГИС).
• При необходимости, в качестве дополнительных опций, провайдер передает клиенту дополнительные средства защиты информации, например, для безопасности операционной системы или мониторинга событий, чтобы он мог собрать любую необходимую конфигурацию защищенной IT-инфраструктуры.
• Клиент получает доступ ко всем средствам защиты и самостоятельно настраивает их под свои задачи.
• Есть возможность взять оборудование в аренду и отказаться от него, когда пиковые нагрузки проходят. Это освобождает от сложностей с поставками и позволяет оборудованию не простаивать.

Дополнительные преимущества А-ЦОД

Возможность аутсорсинга информационной безопасности

Еще одна особенность А-ЦОД в том, что он может быть использован не только компаниями с собственной экспертизой компетенций, которые хотят вести процессы сами, но и небольшими компаниями, у которых нет ресурсов самостоятельно поддерживать IT-инфраструктуру.

Предоставление информации для аттестации

Для проведения оценки эффективности мер защиты информации Selectel предоставляет клиентам А-ЦОД выписку из модели угроз ИС «Инфраструктура», что является обязательным требованием для провайдеров по требованиям ФСТЭК с 5 февраля 2021 года.

Возможность использовать дополнительные средства защиты информации

Все необходимые программные средства защиты, которые могут понадобиться клиенту для повышения безопасности и/или аттестации своей системы, уже находятся в дата-центре и предоставляются как дополнительная опция. Провайдер заранее проверяет совместимость средств защиты с предоставляемым сервером. Команда самостоятельно оформляет необходимые для установки сертифицированных средств защиты документы.

Возможность использовать собственный гипервизор и любые дополнительные средства защиты информации

При наличии особых требований к используемому ПО можно легко использовать собственные лицензии на предоставляемой изолированной IT-инфраструктуре.

Кому подойдет А-ЦОД

Крупному бизнесу и международным компаниям

А-ЦОД помогает изолировать систему на логическом уровне, чтобы сохранить максимальный контроль за безопасностью и выполнить корпоративные требования.

Медицинскому и страховому сектору, финтех-компаниям

Решение помогает обеспечить максимальную защиту биометрических, медицинских и финансовых данных, к которым регуляторы предъявляют самые высокие требования безопасности.

Государственным учреждениям

Могут выполнить требования 17 приказа ФСТЭК до 1 класса защищенности информационных систем и провести их аттестацию.

B2G и коммерческим компаниям

Разработчики сервисов и интеграторы могут аттестовать систему, чтобы подключиться к государственным информационным системам (СМЭВ, ЕГИСЗ, ЕСИА и другим ГИС) и работать с государственными проектами.

Заключение

В рамках услуги А-ЦОД клиент может передать управление безопасностью IT-инфраструктуры или заниматься обслуживанием на логическом уровне самостоятельно.

Это позволяет использовать преимущества А-ЦОД компаниям с разным уровнем экспертизы в ИБ. Можно экономить там, где это действительно уместно. Например, Selectel помогает провести аттестационные испытания быстрее, предоставляет выписку из модели угроз и акты установки сертифицированных средств защиты. Это помогает ускорить получение безопасного приложения и подтверждающие это документы.

Теперь у компаний, которые использовали on-premise, есть возможность получить преимущества IaaS и сохранить полный контроль за информационной безопасностью.

Всю информацию о возможностях и дополнительных сервисах можно найти на странице продукта.