Привет, Хабр! В этой статье расскажем, как справляться с ростом объема персональных данных, и поделимся опытом создания собственной облачной платформы, соответствующей требованиям ФЗ-152.
Поделимся опытом перехода от VMware к OpenStack, перестройки сетевой изоляции и другими неожиданными сложностями. Статья будет полезна инженерам, архитекторам и всем, кто работает над безопасностью в облаке.
Навигация по тексту:
Предыстория: зачем мы начали создавать облако, соответствующее ФЗ-152
Количество информационных систем, которые обрабатывают персональные данные, и сам объем данных растет. Вместе с этим, усиливаются и требования со стороны регуляторов. В отношении таких информационных систем более двадцати лет выстраиваются определенные требования для того, чтобы минимизировать риски утечек данных и их негативные последствия. Сегодня для защиты ПДн действует набор нормативных документов:
Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
Постановление Правительства РФ от 1 ноября 2012 года № 1119.
Приказ ФСТЭК России от 18.02.2013 №21.
Рекомендации и методические указания Роскомнадзора.
За несоблюдения правил компании могут нести дисциплинарную, административную и даже уголовную ответственность. Поэтому при проектировании защищенных облаков важно учитывать не только юридические требования, но и технические аспекты — выстраивать технически надежную инфраструктуру, способную справляться с угрозами безопасности и надежно хранить чувствительные данные. Мы начали усиление в эту сторону и создали свое защищенное облако.
Собрали основные пойнты, с чего начать защиту IT-активов:
изучить требования регуляторов, стандартов, локального законодательства;
оценить риски;
предпринять организационно-правовые меры;
предпринять технические меры;
организовать мониторинг, контроль и анализ;
практиковать краткосрочное и долгосрочное планирование развития мер защиты.
Переход от VMware к OpenStack
У нас был опыт реализации проектов по аттестации VMware для частных инсталляций — мы проводили аттестацию ПАК (программно-аппаратного комплекса) для отдельных клиентов. Но когда решили масштабировать опыт и построить защищенное публичное облако под требования ФЗ-152, пришлось выбирать технологическую базу заново.
С одной стороны, VMware была проверенным решением. С другой — мы уже на всех порах развивали собственную облачную платформу на OpenStack. В итоге выбор пал на OpenStack, и на это было несколько причин:
Риски использования западного программного обеспечения. Это и сложность поддержки лицензионной чистоты, и риски ограничений функционала ПО. Для нас крайне важна надежность — мы не можем допустить возникновение подобных проблем и хотим четко понимать, куда обращаться, если что-то пойдет не так.
Интеграция с собственными сервисами. Мы расширяем портфель платформенными сервисами: KaaS, DBaaS, S3 и другими. На базе OpenStack развивать экосистему удобнее.
После решения глобальных вопросов дальше мы начали решать практические задачи: как построить инфраструктуру, как обеспечить отказоустойчивость и безопасность.
Что под капотом и о сложностях, с которыми столкнулись
С самого начала в архитектуру закладывались повышенные требования к безопасности — как на уровне архитектуры, так и на уровне процессов:
средства доверенной загрузки;
межсетевые экраны с IDS/IPS;
сегментация сети (на физическом и логическом уровнях);
дополнительные меры защиты на уровне ЦОД и система мониторинга;
антивирусная защита;
средства защиты на уровне виртуализации.
Сложность №1. Доверенная загрузка
Одним из самых интересных квестов стала установка средств доверенной загрузки. Дело в том, что эти решения довольно требовательны к самим серверным платформам — не каждая подходит для установки. Здесь же прибавляются требования к определенному типу загрузчика — исходя из которого система может загружаться либо нет. В UEFI/BIOS SETUP необходимо настроить режим загрузки UEFI, сам ПАК функционирует с файловыми системами NTFS, FAT16, FAT32, EXT2, EXT3, EXT4, а системный жесткий диск должен иметь структуру разделов GPT. Пришлось менять конфигурацию загрузчиков на всех серверах и переустанавливать каждую из нод. Но хвала тем людям, которые придумали инструменты управления конфигурациями! Автоматизация с помощью Salt сильно упростила процесс — удалось провести изменения в сжатые сроки.
Следующей проблемой, связанной с нормальной работой средств доверенной загрузки, стала отладка таймаутов — таймеров, в отношении которых логика операционной системы должна работать определенным образом. Из-за особенностей разных серверов мы адаптировали таймауты под каждый, чтобы добиться стабильной работы.
Сложность №2. Сетевая изоляция
Первоначально архитектура сети проектировалась по аналогии с публичным облаком. Но при интеграции OpenStack с межсетевыми экранами стало ясно, что схема не подходит под новые требования. Пришлось перестраивать ее полностью, чтобы на всех уровнях каждый клиент был полноценно изолирован.
Сложность №3. Аттестация
Пока инженеры боролись с сетевыми схемами, параллельно платформу готовили к аттестации. По требованиям регулятора, ее могут провести только лицензированные компании. Среди нескольких разных подрядчиков мы выбрали такого партнера, который ответственно подходит к вопросу на каждом этапе, постоянно на связи и участвует в обсуждениях деталей реализации. В итоге получили официальное подтверждение: облачная платформа Рег.ру соответствует высшему уровню защищенности.
Дополнительно прошли сертификацию по ISO и внесли платформу в реестр цифрового развития. Теперь — продолжаем развивать это направление, добавляя новые сервисы и улучшая то, что уже работает.
Что получилось
Создание платформы, соответствующей ФЗ-152, — большой и тернистый путь. Это и выбор инженерных решений: от переосмысления архитектурных подходов до тушения пожаров. И серьезная история с прохождением аттестации и получением обязательных подтверждений. Также мы приняли важное решение о смене типа виртуализации и перешли от VMware к OpenStack.
У нас это получилось, но не без сложностей. Где-то пришлось отказываться от своих привычек и легких путей в пользу надежности и безопасности. А что дальше? Планируем развивать новое направление и провести аттестацию других сервисов Облака Рег.ру. Stay tuned!