В этом материале мы расскажем, что такое аттестованный сегмент ЦОД. Поговорим о преимуществах и проблемах IaaS и on-premise как собственного решения. Также разберем, как А-ЦОД закрывает потребности компаний, которые хотят использовать возможности IaaS, но не могут из-за разных ограничений — например, аттестации по 17 приказу ФСТЭК или строгих корпоративных правил безопасности.
Наконец ответим на вопрос, как экономить на IT-инфраструктуре, если нужно работать с чувствительными данными и сохранять контроль за безопасностью.
Что нужно компаниям
Сегодня у компаний есть несколько вариантов размещения своих приложений в зависимости от задач и требований регуляторов.
Чтобы нам было проще ориентироваться в решениях, рассмотрим все варианты реализации IT-инфраструктуры на графике. Заметим, что и облако, и выделенные серверы относятся к IaaS. А-ЦОД в этом смысле можно считать разновидностью IaaS.
Аттестованный сегмент ЦОД занимает выгодную позицию с точки зрения возможности масштабирования и гибкости оплаты по сравнению с on-premise IT-инфраструктурой. При этом сохраняется почти такой же уровень контроля за безопасностью.
Скорость масштабирования
IT-специалистам на этапе запуска сложно спрогнозировать нагрузку. С одной стороны, часто приходится тратить большие бюджеты на оборудование, которое используется на 30-60%. С другой стороны, во время критических нагрузок вычислительной мощности не хватает, поэтому страдает качество сервиса, и бизнес лишается выручки и клиентов.
В условиях такой неопределенности выбор подходящего средства защиты информации сделать еще сложнее. Для этого приходится использовать «примерные» данные, полученные от IT-специалистов. Таким образом возрастают потери и «неиспользуемой» производительности, и неэффективных затрат на оборудование. С ростом количества пользователей приходится рисковать качеством и безопасностью сервиса.
Гибкость оплаты
On-premise вынуждает покупать оборудование и нести ответственность за неправильный расчет бюджета, если серверов окажется слишком мало или слишком много.
В текущей ситуации можно также столкнуться с проблемами с логистикой и доставкой оборудования. Докупить железо в нужный момент уже не так просто, как взять его в аренду и нарастить мощности под время распродаж или релиз новой функциональности.
Управление и контроль безопасности
В зависимости от формата компании могут иметь разные потребности в управлении безопасностью. Стартапам чаще подходит аутсорс и работа под ключ, чтобы не тратить ресурсы команды. Крупным организациям — полный контроль, поскольку приходится работать с государственными проектами или данными, требующими особой защиты. При этом есть собственная экспертиза в ИБ.
Почему компании выбирают IaaS
Особенности облака
- Быстрое прототипирование, ускорение разработки и внедрения практик.
- Можно отдать провайдеру большую часть непрофильных задач. При этом теряется возможность полного управления инструментами безопасности.
- Гибкие возможности оплаты: pay-as-you-go, отказ от CAPEX.
- Масштабирование дает возможность быстро нарастить IT-инфраструктуру или сократить, когда есть такая потребность.
Особенности выделенных серверов
- Высокая производительность: все ресурсы принадлежат одному клиенту.
- Более выгодное решение при прогнозируемых нагрузках.
- Возможность применить индивидуальные настройки серверов. Клиент может самостоятельно выбрать железо: процессор, RAM и многое другое.
- Не такая высокая скорость масштабирования: от 15 минут до нескольких дней.
Почему компании продолжают использовать on-premise
- Если информационная безопасность является ключевой деятельностью компании, то логично, что технический директор захочет сохранить полный контроль и управление IT-инфраструктурой и инструментами безопасности.
- IT-инфраструктура некоторых компаний должна соответствовать 17 и 21 приказам ФСТЭК для обработки персональных данных и размещения государственных информационных систем (ГИС).
- Некоторые средства защиты информации могут быть только аппаратными. Особенно это касается сертифицированных средств защиты.
- Организационные сложности по оценке рисков при логическом доступе поставщика услуги к инфраструктуре. Например, рекомендации Центрального Банка СТО БР ИББС‐1.4‐2018 по аутсорсингу требуют сложной и долгой оценки рисков по каждой передаваемой на аутсорсинг функции.
- Сложное и изменчивое разграничение зон ответственности за безопасность. В публичном облаке виртуальные серверы клиентов запускаются на общем оборудовании. Управление доступом настраивается клиентом через сервисы предоставляемые и управляемые провайдером.
Если нужно работать с государственными проектами, стоит ли размещаться у провайдера, который не соответствует 17 приказу ФСТЭК? Что делать, если IaaS не может ответить запросам бизнеса в области безопасности и сохранения самостоятельного управления IT-инфраструктурой? В Selectel для решения этой проблемы есть — аттестованный сегмент ЦОД.
Что такое А-ЦОД
А-ЦОД сочетает гибкость и экономичность IaaS, а главное — сохраняет возможность управления безопасностью, как в on-premise.
В отличие от облачных и выделенных серверов, А-ЦОД предоставляет каждому клиенту свой собственный выделенный сервер или несколько серверов, изолированных от внешнего мира, с применением аппаратного межсетевого экрана.
Провайдер отвечает за безопасность, связанную с физическим доступом к оборудованию. То есть за доступ в дата-центр, к серверам и жестким дискам с информацией. Клиент — за логическую безопасность. Таким образом специалисты по ИБ клиента могут самостоятельно контролировать и управлять политиками безопасности, настраивая их под требования и стандарты.
Они размещаются в специально подготовленных стойках Аттестованного сегмента ЦОД в дата-центрах Selectel с регламентированными мерами безопасности.
Доступ на физическом уровне есть у небольшой команды инженеров дата-центра, которые следят за состоянием оборудования и производят технические работы в случае возникновения инцидентов. Например, когда нужно добавить сервер, поменять неисправный диск или провести кроссировку. В рамках А-ЦОД эти процедуры имеют свои стандарты и постоянно проверяются внутренним контролем.
Для каждого клиента провайдер предоставляет IT-инфраструктуру, которая проверена внешними аудиторами и соответствует требованиям российских законов и международных стандартов по защите информации.
Информация о том, каким стандартам соответствует инфраструктура А-ЦОД и заключений, сертификатов и аттестатов, полученных в результате работы внутренних и внешних аудиторов, размещена здесь.
А-ЦОД выполняет требования компаний, которые:
- Обрабатывают персональные данные до УЗ-1 (21 приказ ФСТЭК).
- Являются государственным информационными системами до К1 (17 приказ ФСТЭК).
- Обрабатывают данные платежных карт (PCI DSS).
- Обрабатывают персональные данные граждан ЕС или людей, находящихся в ЕС (GDPR).
- Имеют внутренние стандарты и высокие требования к поставщикам услуг (SOC-2).
Почему из on-premise мигрируют в А-ЦОД
- Доступ к серверам на логическом уровне есть только у клиентов. Они могут управлять всеми инструментами защиты самостоятельно. При этом разделение зон ответственности происходит очень просто: клиент отвечает за логическую безопасность, а Selectel за физическую безопасность. Все меры физической безопасности регулярно проверяются внутренним контролем и внешними аудиторами. Возможен индивидуальный аудит мер безопасности со стороны клиента.
- А-ЦОД соответствует 17 и 21 приказам ФСТЭК для обработки персональных данных и размещения государственных информационных систем (ГИС).
- При необходимости, в качестве дополнительных опций, провайдер передает клиенту дополнительные средства защиты информации, например, для безопасности операционной системы или мониторинга событий, чтобы он мог собрать любую необходимую конфигурацию защищенной IT-инфраструктуры.
- Клиент получает доступ ко всем средствам защиты и самостоятельно настраивает их под свои задачи.
- Есть возможность взять оборудование в аренду и отказаться от него, когда пиковые нагрузки проходят. Это освобождает от сложностей с поставками и позволяет оборудованию не простаивать.
Дополнительные преимущества А-ЦОД
Возможность аутсорсинга информационной безопасности
Еще одна особенность А-ЦОД в том, что он может быть использован не только компаниями с собственной экспертизой компетенций, которые хотят вести процессы сами, но и небольшими компаниями, у которых нет ресурсов самостоятельно поддерживать IT-инфраструктуру.
Предоставление информации для аттестации
Для проведения оценки эффективности мер защиты информации Selectel предоставляет клиентам А-ЦОД выписку из модели угроз ИС «Инфраструктура», что является обязательным требованием для провайдеров по требованиям ФСТЭК с 5 февраля 2021 года.
Возможность использовать дополнительные средства защиты информации
Все необходимые программные средства защиты, которые могут понадобиться клиенту для повышения безопасности и/или аттестации своей системы, уже находятся в дата-центре и предоставляются как дополнительная опция. Провайдер заранее проверяет совместимость средств защиты с предоставляемым сервером. Команда самостоятельно оформляет необходимые для установки сертифицированных средств защиты документы.
Возможность использовать собственный гипервизор и любые дополнительные средства защиты информации
При наличии особых требований к используемому ПО можно легко использовать собственные лицензии на предоставляемой изолированной IT-инфраструктуре.
Кому подойдет А-ЦОД
Крупному бизнесу и международным компаниям
А-ЦОД помогает изолировать систему на логическом уровне, чтобы сохранить максимальный контроль за безопасностью и выполнить корпоративные требования.
Медицинскому и страховому сектору, финтех-компаниям
Решение помогает обеспечить максимальную защиту биометрических, медицинских и финансовых данных, к которым регуляторы предъявляют самые высокие требования безопасности.
Государственным учреждениям
Могут выполнить требования 17 приказа ФСТЭК до 1 класса защищенности информационных систем и провести их аттестацию.
B2G и коммерческим компаниям
Разработчики сервисов и интеграторы могут аттестовать систему, чтобы подключиться к государственным информационным системам (СМЭВ, ЕГИСЗ, ЕСИА и другим ГИС) и работать с государственными проектами.
Заключение
В рамках услуги А-ЦОД клиент может передать управление безопасностью IT-инфраструктуры или заниматься обслуживанием на логическом уровне самостоятельно.
Это позволяет использовать преимущества А-ЦОД компаниям с разным уровнем экспертизы в ИБ. Можно экономить там, где это действительно уместно. Например, Selectel помогает провести аттестационные испытания быстрее, предоставляет выписку из модели угроз и акты установки сертифицированных средств защиты. Это помогает ускорить получение безопасного приложения и подтверждающие это документы.
Теперь у компаний, которые использовали on-premise, есть возможность получить преимущества IaaS и сохранить полный контроль за информационной безопасностью.
Всю информацию о возможностях и дополнительных сервисах можно найти на странице продукта.