Миграция в облако для госструктур и бизнеса, работающего с государственными проектами, — задача с большим числом неизвестных. Таким компаниям хочется использовать облака из-за гибкого масштабирования ресурсов и быстрого развертывания сервисов. Решение также не требует капитальных затрат, если сравнивать его с построением собственной инфраструктуры. Но преимущества облака часто ломаются о перечень требований безопасности к государственным информационным системам (ГИС).

Облако как минимум должно соответствовать 152-ФЗ, но это только верхушка айсберга. Чтобы ГИС смогли полноценно использовать облачный IaaS, нужно аттестовать инфраструктуру в соответствии с уровнем значимости данных и классом защищенности, как того требует 21 и 17 приказы ФСТЭК, а в некоторых случаях — приказ Гостехкомиссии № 282.

Из-за запрета на закупки иностранного ПО государственным организациям и работающим с ними компаниям требуются отечественные решения. Они должны сочетать гибкость и удобство облака с возможностью аттестации и развертывания ГИС любых классов защищенности. Этим требованиям соответствует аттестованное облако Selectel.

Что такое аттестованное облако


Облачная платформа Selectel входит в реестр российского ПО. Аттестованное облако — часть этой платформы, инфраструктура для размещения систем, включающая облачные серверы и S3-хранилище. Разница с другими моделями облаков — в выполняемых мерах и соответствующих сертификатах и аттестации, которую провайдер уже прошел за клиентов. Облачная инфраструктура соответствует требованиям безопасности согласно 21, 17 приказам ФСТЭК и СТР-К, и готова для обработки данных УЗ 1-4, К 1-3 и 1Г.

Вот инструменты, которые используются в облаке и S3-хранилище для соответствия требованиям ГИС:

Описание решения Выполняемые меры
Плата доверенной загрузки Доверенная загрузка и контроль целостности конфигураций
Защита среды виртуализации Сертифицированное средства защиты виртуальных инфраструктур
Защита нод от несанкционированного доступа Сертифицированное средство защиты от несанкционированного доступа
Защита сетей и трафика Кластер сертифицированных межсетевых экранов и шлюзов шифрования
Защита от вредоносного ПО Сертифицированный антивирус
Контроль уязвимостей Сертифицированный сканер безопасности
Мониторинг информационной безопасности Сертифицированная SIEM система



Кто может использовать аттестованное облако


  • Государственные заказчики.
  • Разработчики государственных информационных систем.
  • Коммерческие заказчики с требованиями по аттестации.
  • Операторы персональных данных с требованиями по аттестации.
  • Владельцы любых конфиденциальных данных с требованиями по аттестации.

Кейс


Компания реализует государственную оздоровительную программу на федеральном уровне. У нее также есть сайт с системой личных кабинетов. Инфраструктура проекта работает с разной информацией, в числе которой:

  • Персональные данные, требующие самого высокого класса защищенности (УЗ-1). Например, большой объем биометрических данных спортсменов.
  • Платформа взаимодействует с органами власти и должна соответствовать требованиям ИБ для госорганов (ГИС К2).

Даже для обработки заявок на федеральный турнир компании потребуется соответствие УЗ-3. Для хранения медицинских данных и взаимодействия с ГИС— еще больший уровень защиты, который может предоставить не каждый провайдер.

Использовать аттестованное облако в таком случае безопасно и удобно. Госзаказчики получают необходимые документы (выписка из модели угроз, аттестация инфраструктуры в соответствии с приказами ФСТЭК). Компания-подрядчик решает вопрос документации, а также может легко масштабировать ресурсы при росте нагрузки.

Чем такое облако отличается от аттестованного ЦОД


Оба решения обеспечивают самые высокие классы защищенности конфиденциальной информации, поэтому ответ здесь такой: в зависимости от того, какая задача стоит перед компанией и какие компоненты предполагается разворачивать.

В А-ЦОД доступны готовые и произвольные конфигурации аппаратных серверов. В А-ЦОД компания может полностью взять на себя управление инструментами защиты или полностью делегировать эти задачи провайдеру.
Узнать подробнее о том, как работает А-ЦОД, можно из этих материалов:

Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?
Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности

Разница обнаруживается в уровнях абстракции, для которых провайдер выполняет меры безопасности и проходит путь за клиента. Если в информационной системе предполагается использовать технологии виртуализации — аттестованное облако представляется наиболее удобным, поскольку уже обеспечивает максимальную безопасность самой платформы.

А-ЦОД и аттестованное облако можно связать, чтобы использовать преимущества выделенных и облачных серверов в одном проекте. То есть клиент может создать гибридную инфраструктуру из аттестованного сегмента ЦОД и аттестованного облака. Это обеспечит дополнительную отказоустойчивость и гибкие возможности для создания распределенных систем. Например, в такой схеме базы данных можно разместить на выделенных серверах, чтобы организовать высокую скорость чтения и записи, а остальные элементы инфраструктуры вынести в облако.

Как начать использовать аттестованное облако


Чтобы создать облачный сервер в аттестованном облаке, нужно зайти в панель управления Selectel: Облачная платформа → Москва → gis-1. Для зоны gis-1 также доступно объектное хранилище, соответствующее тем же уровням и нормативным требованиям.


Далее можно создавать виртуальные машины — выбирать ОС и конфигурацию — и строить инфраструктуру. Весь контроль ресурсов осуществляется через панель управления.

В качестве кастомного проекта аттестованное облако можно развернуть on-premise в дата-центре провайдера или в локальной инфраструктуре заказчика. Клиент получает физический доступ к оборудованию, но весь процесс администрирования сохраняется за провайдером. Для размещения в контуре клиента может использоваться арендное оборудование или клиентское, если оно окажется совместимым.

Заключение


Аттестованное облако представляется более гибким решением, чем А-ЦОД, если требуется использование виртуализации и возможность быстрого масштабирования. Таким образом, его можно использовать для самых разных задач при работе с ГИС: от хостинга почтового сервиса до развертывания федеральных информационных систем.

Провайдер берет на себя все работы по обеспечению безопасности и соответствия требованиям облачной платформы и техническую поддержку, предоставляет необходимые для аттестации документы. Это дает возможность компаниям не тратить время и ресурсы на создание или поиск подходящей инфраструктуры, а развивать свои проекты.

Комментарии (7)


  1. saga111a
    20.04.2023 15:31
    +3

    Понимаю что есть требования к серверам и спрос тоже будет - хорошо когда люди могут не заморачиваться с фстэк и прочим. Но есть более глобальный вопрос. А зачем...
    Вопрос больше к всей этой области фстэк, сертифицированное ПО, особое шифрование итп.
    Тот кто разбирается, работает итп, скажите нормально зачем вся эта "сертификация"? Что хотите сказать можно прыгнуть выше головы и получить больше безопасности, чем выдаст нормальный инженер на условном centos/redhat?
    Т.е. как я понимаю: О дырах либо вообще не известно(0-day уязвимости) либо это конкретные ошибки в настройке сервера/системы или в программном коде или в "неблагонадежном админе". Все эти сертификации не говорят никому как настройть nginx и не прыгают выше головы закрывая не известное. В чем смысл, кроме пропускания уже отлаженного ПО через руки не очень понятных людей(да гос конторы и продукция по гос заказам как минимум не являются синонимом надежности и качества)? Более наверное конкретное - смысл "астра линух" и подобных, зачем? чтобы дописать свое, замедляя получение свежих ядер и имея меньше возможностей тестирования добавить багов?(объективно сообщества дебиана/убунты centos/redhat будут намного компетентнее и больше чем в доступности у "наших")



    1. Shaman_RSHU
      20.04.2023 15:31
      +1

      Изначально всё это было придумано для того, чтобы оградить от человеческой ошибки. Чтобы был минимальный набор требований, по которому можно было определить, что есть защита у тех, кто в безопасности либо не разбирается, либо не понимает её необходимость, либо просто разгильдяй :)

      Но наше государство как всегда всё опошлило. Все эти ФАПСИ (давно), потом ФСТЭК извратили требования в свою пользу, чтобы дать подзаработать аффилированным ими лицам. Ну а в сегодняшней действительности некоторым компаниям нужно тратить кучу средств, чтобы соответствовать требованиям, но реальной безопасности это практически не прибавляет, только лишь бумажки.


    1. Johan_Palych
      20.04.2023 15:31

      Но есть более глобальный вопрос. А зачем...

      Хорошо описаны стандарты сертификации (Joint Warfighting Cloud Capability)
      Oracle and the U.S. Defense Department continue their partnership with JWCC

      Что хотите сказать можно прыгнуть выше головы и получить больше безопасности, чем выдаст нормальный инженер на условном centos/redhat?
      (объективно сообщества дебиана/убунты centos/redhat будут намного компетентнее и больше чем в доступности у "наших")

      Сообщество простых инженеров Red Hat Enterprise Linux и свежие ядра.
      Red Hat Federal Standards and Regulations
      Red Hat Government Standards page.


      1. saga111a
        20.04.2023 15:31

        и? тут нет ни одного нормального ответа. Все эти вещи все равно основаны на иностранном ПО и те проверки которые идут явно не нацелены убрать если и есть там закладки. В противном случае шуму бы было.


        1. Johan_Palych
          20.04.2023 15:31

          "Ищите, и обрящете, толцыте, и отверзется"
          Есть такое понятие, как государственная безопасность и требования по сертификации.
          Специализированный Red Hat Enterprise Linux для Пентагона и др. госконтор.
          Security-Enhanced Linux (SELinux) is a Linux kernel security module that provides a mechanism for supporting access control security policies.
          SELinux embodies concepts that can be traced back to United States National Security Agency(АНБ) projects, including research on mandatory access control (MAC) architecture based on Type Enforcement, which gave rise to the Flask(Flux Advanced Security Kernel).

          Astra Linux - сертифицирована в системах сертификации средств защиты информации Минобороны РФ, ФСТЭК и ФСБ России.
          Изначально - Russian Debian derivative. Свои репозитории с пакетами, ядра Hardened и подсистема безопасности PARSEC(старая статья, но доходчиво изложено).

          Желательные требования к облакам:
          Наличие лицензий Роскомнадзора, ФСБ, ФСТЭК.
          Соответствие инфраструктуры 152-ФЗ, 187-ФЗ, PCI DSS, ISO.
          Устойчивость к пиковым нагрузкам: параметры vCPU.


  1. firnind
    20.04.2023 15:31

    Получается, если я хочу разработать/использовать систему с ПД и требованиями к аттестации, то что я должен со своей стороны сделать помимо использования аттестованного облака? Все тоже самое, все модели угроз и т. п., только из своей модели угроз я «вычитаю» угрозы, которые в облаке уже отработаны? Или это plug and play/pray, и можно все нужные документы заказать у вас / сгенерировать из админки?


    1. selenzorn Автор
      20.04.2023 15:31

      Обычно компании для аттестации своей системы нужно разработать модель угроз и принять меры к выполнению требований и нейтрализации угроз. При этом, когда компании размещаются в облаке, для них будут актуальны и угрозы, связанные и с облаками, и с виртуализацией.

      В аттестованном облаке мы уже реализовали меры защиты, связанные с виртуализацей и облаком. Мы даем выписку из нашей модели угроз и показываем, что вот такие требования уже выполнили, вот документы.

      Клиент при аттестации так и указывает "я размещаюсь в облаке, вот такие угрозы и меры за меня уже выполнил провайдер", мне только остальные доделать.