Облачная кибербезопасность

Ещё несколько лет назад эксперты отрасли заявляли о том, что массовый переход бизнеса к активной эксплуатации облачных сервисов будет способствовать более активному развитию ещё одного сегмента облачного рынка — обеспечение информационной безопасности по сервисной модели.

Коронавирусная пандемия привела к существенному ускорению процессов цифровой трансформации и переходу к облакам, породив и определенные новые проблемы. С 2021 года постоянно сообщается о росте числа инцидентов безопасности в публичных облаках. Это не только отражает стремительное распространение облаков, но и свидетельствует об усиливающихся проблемах, с которыми сталкиваются безопасники, стремящиеся не отставать от изменений.

Редакция CISOCLUB решила поговорить с российскими экспертами на тему облачной кибербезопасности. Мы решили узнать, как менялось отношение к размещению данных в облаке в последние годы, о существующих сценариях использования облачных провайдеров, о критичных ИБ-рисках при размещении данных в облаке, о выполнении требований регуляторов в этом направлении и обо многом другом. На наши вопросы ответили:

• Игорь Алексеев, директор по развитию бизнеса ООО «А-Реал Консалтинг».
• Павел Кузнецов, директор по продуктам компании «Гарда Технологии».
• Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft.
• Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC.
• Константин Анохин, коммерческий директор NGENIX.
• Мария Погребняк, руководитель направления CloudSec, компании «Инфосистемы Джет».

Как изменилось отношение к размещению данных в облаках за последние 5 лет?

Игорь Алексеев, директор по развитию бизнеса ООО «А-Реал Консалтинг»:

«Стало чуть несколько более позитивным, но все равно важные корпоративные данные облаку не доверяют. Из 26 наших клиентов, с кем мы провели интервью, лишь двое сказали, что готовы размещать любой информационный ресурс своей компании в публичном облаке. Остальные ответили негативно с той или иной степенью убежденности.

Основная причина сомнений, конечно же вопросы безопасности. Причем иногда в корпоративной сети компании защита данных находится далеко от оптимального состояния, но все равно «своя рубашка ближе к телу». Вторым по значимости возражением является тот, факт, что контроль не находится у ИТ и ИБ специалистов компании, а границы ответственности проведены слишком нечетко, чтобы послужить причиной ситуации – «к пуговицам претензии есть?», т.е. при разделении ответственности очень сложно найти концы. Третья причина – меньшая, с точки зрения клиентов гибкость в том числе технологическая. Если в своей сети они решают все, то с облаками есть некоторые ограничения, которые не дают спокойно жить заказчику. Надо сказать, что при прошлом нашем опросе, который проводился в сентябре 2021 года все опрошенные оказались противниками размещения каких-либо критических для бизнеса ресурсов в облаке».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии» подчеркнул, что приводить статистику за последние 5 лет, по сути, особого смысла не имеет – всё резко поменялось точечно в прошлом году. Санкционные пакеты изменили готовность облачных провайдеров сотрудничать с клиентами из подсанкционных стран. При этом не всегда разрыв отношений происходил с соблюдением хоть какого-то политеса.

«Известны случаи, когда практически завершённые проекты развёртывания корпоративного сервиса в облаке в одностороннем порядке «закрывались» провайдером. Проще говоря, представители провайдера переставали отвечать на письма и выходить на связь, а доступы закрывались. Поэтому сейчас доверие к облакам серьёзно подорвано, и облачным провайдерам предстоит зарабатывать его вновь», — уточнил эксперт.

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft уверен, что последние пять лет – период, богатый на события не только для облачного бизнеса, но и для всего мира. Отношение заказчиков к использованию облаков за этот период не было однородным.

«Если говорить про общемировую ситуацию – доверие к облакам растет, обеспечивая провайдерам стабильный рост 20-40% год к году. Все больше заказчиков увеличивают как объем хранимых данных в облаках, так и количество сценариев использования облаков. Мощным драйвером перехода и более активного использования облаков стала пандемия COVID-19, которая внесла серьезные изменения в бизнес-процессы заказчиков. Сильно изменились привычные модели потребления и дистрибуции ИТ-ресурсов: пользователи, уходя из офисов на «удаленку», не должны были потерять доступ к привычным рабочим инструментам и данным. Поэтому облака и облачные сервисы тут отлично пригодились.

Российский рынок, развиваясь по схожему вектору с мировым, в феврале 2022 столкнулся с большим кризисом доверия заказчиков к облакам – крупнейшие иностранные вендоры и провайдеры начали сворачивать свое присутствие. И вполне объяснимой реакцией заказчиков на это стало желание вернуть все в on-prem. Компании, которые ранее активно использовали иностранные облака, начали миграцию в облака российских провайдеров (обеспечив им отличные показатели роста выручки), а не в собственные локальные инфраструктуры. Дополнительным моментом, который усложнил массовый возврат в on-prem, стал дефицит серверного оборудования. По прогнозам крупнейших российских облачных провайдеров, тенденция на стабильный рост потребления облачных ресурсов у заказчиков сохранится.

Таким образом, несмотря на меняющуюся внешнюю ситуацию, все большее число российских заказчиков готовы на переход (частичный или полный) к облачным провайдерам и, соответственно, размещению своих данных в облаке».

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC:

«По данным аналитиков, 55% компаний уже размещают ИТ-системы в облаках, а к 2025 году их количество, по прогнозам, увеличится до 85%. Также ожидается рост числа компаний, использующих облачные инфраструктуры.

Изменение отношения заказчиков отражается и на нашей практике: если 5 лет назад запросы, в которых фигурировали облака, были единичными, то в 2022 году задачи, связанные с этой сферой, содержало каждое третье обращение.

Чаще всего за помощью обращаются филиалы ушедших из России зарубежных компаний. Из-за отключения от систем головных организаций им срочно требуется собственная инфраструктура, для которой преимущественно используются облака.

Популярны облака и среди ИТ-стартапов – такие компании готовы размещать в них до 100% своей инфраструктуры.

Крупный бизнес с помощью облачных хранилищ нередко решает вопросы расширения – если ЦОД уже не готов вместить новое оборудование, то часть сервисов «переезжает» в облако.

Кроме того, облачные провайдеры могут предоставить ПО, которое из-за сложившейся внешнеполитической обстановки другими способами практически невозможно приобрести легально».

Константин Анохин, коммерческий директор NGENIX:

«Мы как облачный провайдер в последние несколько лет наблюдали постепенное повышение степени доверия заказчиков к облакам — это предсказуемо отражалось в темпах роста нашего бизнеса. Потрясения последних лет, начиная с пандемии COVID-19, поставили перед заказчиками критически важные задачи: сохранение доступности в условиях резкого роста нагрузки и беспрецедентного уровня кибератак, появление новых моделей потребления (например, вспомним невероятные темпы развития сервисов доставки продуктов и готовой еды во время пандемии), импортозамещение.

Для многих заказчиков использование облаков стало жизненной необходимостью, что привело к повышению спроса. А возросший спрос, с другой стороны, подстегивает конкуренцию, формирует новые сценарии использования облаков, побуждает разработчиков и провайдеров облачных сервисов постоянно совершенствовать свой продукт. Этот двунаправленный процесс способствует повышению доверия к облакам даже со стороны консервативных сегментов бизнеса, однако над этим еще предстоит поработать – как показывают последние исследования, степень доверия enterprise-заказчиков к облакам все еще ниже, чем могла бы быть».

Какие данные стоит размещать в облаках, а какие нет?

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft:

«Невозможно дать какой-то универсальный совет, что стоит размещать в облаках, а что нет. Для каждой компании это индивидуальная история, которая зависит от бизнес-задач, облачной стратегии и, в целом, от общей облачной зрелости конкретного заказчика.

Технически и технологически облачные провайдеры готовы к размещению практически любых данных заказчика, но есть ряд ограничений, которые накладывают регуляторы и ментальность самих заказчиков. Как правило, большинство компаний, начиная процесс миграции своих данных в облако, в первую очередь готовы там размещать некритичные для бизнеса приложения и данные: бэкапы, архивы видеонаблюдения и т.п. И настороженно относятся к переносу продуктивной среды. Но, повторюсь, тут вопрос больше ментальной готовности конкретных лиц в заказчике перенести свои данные из собственного уютного подвала-серверной (где данные почти физически можно потрогать) куда-то в облака.

Интересно, что большинство заказчиков, подбирая аргументы против переноса данных в облака, сравнивают возможности облачных провайдеров не с собственной ИТ-инфраструктурой, а с некой идеальной (и, как следствие, недостижимой) моделью, в которой данные и сервисы абсолютно доступны и абсолютно безопасны. Перенос данных в облако – это не волшебная таблетка, способная решить все вопросы заказчика: при таком сценарии заказчикам все еще надо заботиться о безопасности и сохранности своих данных. В качестве примера: по оценкам представителя #Cloud.MTS, половина заказчиков не используют сервисы резервного копирования своих данных, размещенных в облаке».

Константин Анохин, коммерческий директор NGENIX заявил, что единого мнения на этот счет быть не может: каждый CISO/CTO индивидуально сопоставляет риски и выгоды, которые получит бизнес при переходе в облако. Безусловно для определенных ИС существует ограничения, которые накладывает регулятор и здесь проблема выбора отсутствует в принципе.

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Зависит от конкретной цели бизнеса и возможностей, разрешённых действующим законодательством. Например, рассмотрим случай с хранением и обработкой в облаке пользовательской телеметрии, пусть даже обезличенной. Если такие данные охраняются законом, и вы, как бизнес, обязаны иметь над ними полный контроль и нести сопутствующую ответственность, то разместить такие данные в облаке возможно только в том случае, если это (в т.ч. разделения ответственности с провайдером облака) предусмотрено соответствующими нормативно-правовыми актами».

Какие существуют сценарии использования облачных провайдеров (и/или облачных СЗИ) для обеспечения безопасности данных компании?

Игорь Алексеев, директор по развитию бизнеса ООО «А-Реал Консалтинг»:

«Для нас, как для разработчика СЗИ, на основании нашего собственного мнения и мнения наших клиентов, наиболее приемлемый сценарий — это, по сути, вынос в облако части корпоративной сети, то есть создание своей частной сети, но на мощностях облачного оператора.

Этот фрагмент корпоративного частного облака следует прикрыть виртуальным межсетевым экраном, и разворачивать в частном корпоративном облаке те ресурсы, которые экономически невыгодно размещать у себя на выделенных мощностях – например вычисления с переменной нагрузкой, публичные сервисы от компании обслуживающие внешних клиентов, системы обработки данных, особенно, если это данные, которым предстоит пройти большой цикл обработки и анализа, которая также будет осуществляться в облаке.

Виртуальный межсетевой экран нового поколения позволит вам безопасно связать все ваши узлы и площадки с облачной площадкой, как если бы это была одна из физических серверных компании. Такая конфигурация является наиболее приемлемой для организаций, не доверяющих работе в облаках, потому что позволяет оставить за собой максимум контроля, ну и ответственности».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии» в качестве примера привел услугу защиты от DDoS-атак. Провайдер телеком-услуг может развернуть у себя решение и предоставить таким образом клиентам, которые будут в этом заинтересованы, облачную защиту от DDoS.

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft:

«Облачные провайдеры предлагают достаточно широкие возможности по обеспечению безопасности и доступности данных и сервисов своих клиентов. Благодаря тому, что провайдеры – это компании, которые специализируются на ИТ и ИБ (в отличие от своих клиентов, основной бизнес которых, как правило, связан с чем-то другим: производство, торговля, финансы, сервисы и т.п.), у них получается обеспечивать безопасность данных, в среднем, лучше, чем у заказчиков, размещающих свои данные и сервисы в собственных локальных инфраструктурах.

С позиции физической безопасности ЦОДы крупных облачных провайдеров оснащены охранными системами, видеонаблюдением, контролем доступа, системами пожарной безопасности. И список этот можно еще долго продолжать. Не знаю случая, когда у облачного провайдера серверы были физически похищены из ЦОД.

Что касается информационной безопасности, провайдеры предлагают фактически весь набор средств защиты информации: Anti-DDoS, WAF, KMS, SOC, защиту от вирусов, шифрование данных в покое и движении, управление TLS-сертификатами, системы идентификации и контроля доступа к ресурсам, резервное копирование и катастрофоустойчивость и т.д.».

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC: «Организации могут использовать сервисы облачных провайдеров для обеспечения безопасности данных следующими способами:

1. Обеспечение доступности и отказоустойчивости – облачная инфраструктура изначально реализуется в отказоустойчивом виде, и компания может полагаться на SLA с провайдером и не тратиться на реализацию отказоустойчивых решений самостоятельно.
2. Использование сертифицированных и аттестованных по требованиям безопасности облачных решений позволяет сэкономить на реализации процессов и мер защиты. У облачных провайдеров подразумевается сильная экспертиза и персонал, обеспечивающий безопасность в режиме 24/7, что могут позволить себе далеко не все организации. Сертификация по ISO 27001 и схожим стандартам позволяет подтвердить качество реализации процессов управления ИБ, а аттестованные по требованиям регуляторов контуры в облаке – закрыть многие требования регуляторов при размещении систем, обрабатывающих персональные данные.
3. Некоторые операторы облачной инфраструктуры предлагают сервисы ИБ по модели SaaS (security as a service). Это еще один вариант решения задач ИБ, когда организации не нужно разрабатывать, внедрять и управлять подсистемой ИБ и эти обязанности можно переложить на провайдера, уже имеющего необходимые ресурсы и опыт.

Чтобы ожидания от сотрудничества с облачным провайдером не разошлись с реалиями, важно четко распределить обязанности и ответственность по договору, а также условия предоставления сервисов (SLA)».

Константин Анохин, коммерческий директор NGENIX считает, что самым очевидным сценарием использования облачных решений за последний год стала защита публичных веб-ресурсов от DDoS-атак, бот-трафика и взломов. В условиях массированных кибератак, которые приводили к потере доступности из-за огромных объемов нелегитимного трафика, потребность в подобных решениях, которые можно быстро подключить и начать использовать, появилась даже у организаций, которые раньше не рассматривали атаки на свои веб-ресурсы как вероятный риск.

«Поэтому использование облачных решений/платформ для защиты от атак на публичный периметр организации стало самым оптимальным вариантом, так как его можно быстро и экономически эффективно воплотить в жизнь. Строить собственные системы защиты от DDoS, располагать собственной инфраструктурой, способной выдержать огромные объемы нелегитимного трафика, а также иметь команду ИБ-специалистов в штате могут позволить себе далеко не все», — отметил специалист.

Мария Погребняк, руководитель направления CloudSec, компании «Инфосистемы Джет», обозначила основные принципы, которые стоит учитывать, используя облачную среду:

1. Обеспечьте шифрование данных и надлежащее управление ключами — это защитит организацию и данные клиентов от несанкционированного доступа.
2. Управляйте разрешениями IAM и соблюдайте принцип доступа с наименьшими привилегиями (LPA), чтобы быть уверенным, что у пользователей есть доступ только к тем системам и данным, которые им необходимы.
3. Совершенствуйте процесс управления уязвимостями – для этого нужно регулярно сканировать свои облачные среды на наличие известных уязвимостей.
4. В дополнение к стратегии облачной безопасности, используйте инструмент CSPM — он позволяет группам безопасности устанавливать и постоянно оценивать соответствие корпоративным политикам».

Какие ИБ-риски наиболее критичны при размещении данных в облаке?

Мария Погребняк, руководитель направления CloudSec, компании «Инфосистемы Джет»:

«К проблемам, специфичным для облака можно отнести:

1. Утечки данных. Данные остаются одной из главных целей кибератак. Во многом вопрос защиты данных в наше время превращается в вопрос о том, кто имеет к ним доступ.
2. Неверная конфигурация и несвоевременный контроль изменений. Облачные ресурсы очень динамичны, что затрудняет их настройку. Традиционные средства контроля и подходы к управлению изменениями в облаке неэффективны – поэтому нужно использовать технологии, которые непрерывно сканируют неправильно сконфигурированные ресурсы и устраняют проблемы в режиме реального времени.
3. Отсутствие стратегии облачной безопасности. Независимо от размера компании, стратегия безопасности является необходимым элементом для безопасного развертывания и работы в облаке. Кибератаки могут серьезно вредить бизнесу, в том числе нанести финансовый и репутационный ущерб.
4. Слабое управление идентификацией, учетом данных, доступом и ключами. Злоумышленники, замаскированные под пользователей организации, могут читать, изменять и удалять данные. Недостаточно тщательная идентификация пользователя в конечном итоге может привести к несанкционированному доступу к данным и нанести ущерб и организации и конечным пользователям.
5. Непрозрачность границ использования облаков. Ситуации, когда данные и сервисы используются без ведома компании, а значит без должного контроля, легко могут привести к утечкам».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии» подчеркнул, что всё зависит от массива данных, который вы размещаете в облаке, от его содержательной части. Утечка разных типов данных влечет разную ответственность в соответствии с законодательством, а их уничтожение может нанести разной степени прямой ущерб бизнесу. Например, для коммерческой компании из FMCG чувствительной может стать потеря базы подрядчиков по логистике. Для финансовой организации – утечка базы клиентов. Риски, таким образом, многообразны и зависят от контекста бизнеса.

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft:

«На мой взгляд, наиболее критичные ИБ-риски при размещении данных в облаке точно такие же, как и при размещении их на площадке заказчика: риски потери данных, компрометации данных, потери доступа к данным. Сам факт размещения данных в облаке не создает для заказчиков дополнительных рисков, так же, как и не избавляет от них. Информационная безопасность данных заказчика при размещении их в облаке, аналогично с размещением их на своей площадке – задача в первую очередь заказчика и выбранной им стратегии информационной безопасности.

Очевидно, что, если не шифровать данные (и не управлять ключами шифрования), если не разграничивать доступ к данным и т.д., данные могут быть украдены как из облачной, так и из локальной инфраструктуры. К сожалению, некоторые заказчики забывают об этом и считают, раз они передали свои данные на сторону провайдера, то и все вопросы безопасности автоматически переходят на сторону провайдера. Такие завышенные и необоснованные ожидания формируют негатив по отношению к провайдерам в случае утечки данных».

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC: «Среди ИБ-рисков, специфичных для облачных сред, можно выделить:

• Неконтролируемый доступ к сервисам компании, расположенным в облаке. Здесь подразумеваются как внешние по отношению к облачной инфраструктуре нарушители, так и внутренние, в том числе сторонние подрядчики провайдера.
• Нарушение целостности и доступности в части, находящейся в зоне ответственности провайдера. К примеру, резервное копирование практически полностью обеспечивается провайдером и от его качества и своевременности зависят данные клиентов в случае появления сбоев в инфраструктуре.
• Нарушение требований законодательства. Необходимо в полной мере понимать зоны ответственности провайдера для исключения «пробелов» при исполнении требований.
• Сложность контроля защищенности. Часть инфраструктуры находится в ведении провайдера, поэтому проведение аудитов и контроля уязвимостей затруднено.
• Недоступность управления и мониторинга средств ИБ провайдера.

Эти риски можно минимизировать путем выстраивания комплексной системы защиты совместно с провайдером».

Как выполнять требования регуляторов при размещении информации ограниченного доступа в облаке?

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft: «Говоря про выполнения требований регуляторов, важно понимать, про какие именно требования мы говорим.

В данный момент далеко не все требования регулирующих органов технически могут быть выполнены при размещении данных в облачных инфраструктурах. Как следствие – не вся информация ограниченного доступа может быть размещена в облаке. Например, у большинства облачных провайдеров появился сервис, позволяющий хранить и обрабатывать персональные данные в соответствии с ФЗ-152. При этом, если мы говорим про более чувствительные данные (вплоть до государственной тайны), то облачные провайдеры при всем желании не смогут выполнить всех накладываемых требований – в том числе по наличию средств доверенной загрузки и т.п. Очевидно, что требования регуляторов будут меняться в том числе с учетом особенностей облачных инфраструктур. Одним из основных драйверов тут, на мой взгляд, является создаваемая государственная единая облачная платформа («Гособлако»), в которую должны «переехать» ГИС».

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC: «При размещении информации в облаках надо учитывать ее специфику.

Например, размещение персональных данных (ПДн) согласно Приказу ФСТЭК №21 (152-ФЗ) требует совместного с провайдером обеспечения защиты. Выбор средств защиты зависит от того, какую часть готов на себя взять провайдер и может варьироваться от защиты полностью собственными средствами до использования провайдера с аттестованной облачной ИТ-инфраструктурой. Кроме этого, необходимо учитывать физическое местоположение инфраструктуры облака (должна находиться в РФ), требования к трансграничной передаче информации и локализации баз данных. Также следует обратить внимание на приказ №378 ФСБ в части использования СКЗИ определенного класса при передаче по каналам связи.

При размещении в облаке критической информационной инфраструктуры (КИИ) необходимо обеспечить защиту согласно требованиям 187-ФЗ. К примеру, ряд случаев предполагает использование средств защиты, прошедших оценку на соответствие требованиям по безопасности. Сделать процесс более простым поможет наличие у провайдера схожих с КИИ средств защиты ПДн.

Еще один вид информации – банковская тайна (БТ). Передавать БТ можно провайдерам, имеющим лицензию на осуществление банковских операций. Если же у организации его нет, для передачи информации потребуется письменное согласие клиента.

Также необходимо учитывать требования комплекса стандартов ГОСТ Р 57580 по безопасности банковских операций. В части управления риском операционной надежности отдельное внимание уделяется управлению взаимоотношениями с поставщиками ИТ-услуг, дается рекомендация по выполнению требований и оценке соответствия привлекаемыми организациями».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии» отметил, что всё зависит от конкретных данных».

Как рассчитать экономическую эффективность от миграции в облака?

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«Контекст организации и её возможности в части развития собственной ИТ-инфраструктуры определяют выгодность или невыгодность обращения к аутсорсингу по самым разным вопросам: от обработки данных на аутсорсе до услуг внешнего центра мониторинга и реагирования на кибератаки. Универсальной формулы при этом не существует. Каждый случай необходимо рассматривать и просчитывать в отдельности».

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft: «Экономический эффект от миграции в облако – достаточно сложная в оценке величина и зависит от большого количества параметров. Среди которых: выбранная стратегия миграции, архитектура размещения данных и сервисов в облачной инфраструктуре, контроль над использованием ресурсов, общая облачная зрелость компании и т.д.

Эксперты CLOUD и Технологии доверия в своем докладе «ОБЛАЧНАЯ ЗРЕЛОСТЬ. ИССЛЕДОВАНИЕ РОССИЙСКОГО РЫНКА ОБЛАЧНЫХ ТЕХНОЛОГИЙ» оценивают экономию, которую позволяет добиться миграция в облако, в 20-30%.

Но тут важно понимать, что иногда заказчики не только не получают экономической выгоды, а наоборот увеличивают расходы на инфраструктуру. И часто это связано с фактически отсутствующим контролем за утилизацией ресурсов – нет ограничений на объем потребляемых ресурсов, и заказчики, например, создают избыточное количество виртуальных машин.

Чтобы миграция в облако была экономически целесообразна, у заказчика должна быть четкая стратегия и инструменты мониторинга и контроля».

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC: «Экономическая эффективность, как правило, подсчитывается путем сравнения финансовых затрат на приобретение и эксплуатацию инфраструктуры в горизонте четырех – пяти лет. Облако на начальном этапе обычно дешевле, но в долговременной перспективе может оказаться дороже, чем собственная инфраструктура.

Необходимо учитывать все затраты: приобретение, внедрение, техническое сопровождение, продление сервисов и подписок. Иногда в расчет не берут фонд оплаты труда сопровождающего персонала, что составляет довольно существенную сумму.

Также стоит принимать во внимание разницу в параметрах и условиях обслуживания. Например, облако предоставляет техническое сопровождение в режиме 24/7, поэтому для объективного сравнения нам нужно рассчитать объем затрат на аналогичную дежурную команду для собственной инфраструктуры».

Константин Анохин, коммерческий директор NGENIX: «Многие заказчики видят в качестве цели проекта миграции в облако в первую очередь снижение стоимости владения инфраструктурой, что справедливо в текущих условиях дефицита оборудования и увеличения его стоимости. Но зачастую при расчете экономической эффективности от миграции ИТ-лидеры фокусируются исключительно на снижении CAPEX и сравнивают стоимость оборудования со стоимостью облачной услуги у провайдера, не включая в данное уравнение операционные издержки, которые всегда несет в себе владение собственной инфраструктурой — это издержки обслуживания оборудования, интеграции новых ИТ-систем, а также, что немаловажно, масштабирования инфраструктуры с учетом темпов роста бизнеса.

Задумываясь о миграции собственной инфраструктуры в облако, при оценке TCO следует учитывать не только CAPEX, но и OPEX, а также проецировать этот показатель на среднесрочный план развития бизнеса и не забывать о «кадровом голоде» на рынке ИТ».

Кто несет ответственность за утечку информации из облака?

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC:

«Ответственность зависит от специфики информации. Согласно законодательству, безопасность персональных данных должна обеспечить организация-оператор ПДн. Договором с облачным провайдером могут (и должны) быть описаны требования по защите, зоны ответственности, условия контроля соблюдения требований и порядок взаимодействия и урегулирования споров при нарушении требований или обнаружении утечек.

При нарушении безопасности КИИ ответственность несет сама организация. Провайдер может быть привлечен к ответственности, только если она указана в договоре. Ответственность за утечку банковской тайны перед клиентом несет сама организация, а перед банком – провайдер облачной инфраструктуры. Облачный провайдер также может нести частичную ответственность и перед самой организацией за нарушение требований по защите или невыполнение обязательств по договору. В таких случаях он обязан компенсировать ущерб за утечку, а также ответить за нарушение правил защиты информации, если предоставляет услуги аттестованного облака и нарушал соответствующие требования по защите. Именно поэтому четкое определение обязанностей и ответственности по защите информации необходимо тщательно анализировать при заключении договора».

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft:

«Ответственность за утечку данных из облака зависит от сценария потребления облачных ресурсов и условий конкретного договора между провайдером и заказчиком. По общему правилу, ответственность у того, кто обеспечивает безопасность данных. Если максимально упрощать, то в сценариях IaaS и PaaS ответственность, как правило, на заказчике, в SaaS – на провайдере.

На мой взгляд, странно было бы перекладывать ответственность за утечку данных на провайдера тогда, когда заказчик, например, только арендует виртуальный сервер. Это аналогично тому, как возлагать ответственность на производителя физического сервера в локальных инсталляциях».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии» заявил, что ответственность определяют контролирующие органы.

Как выбирать и сравнивать облачных провайдеров?

Константин Анохин, коммерческий директор NGENIX:

«Каждый заказчик основывает свой выбор на том, какую цель он преследует, мигрируя в облако. Если цель заказчика – снизить издержки, критерии выбора будут одними, а если его цель, к примеру, – обеспечить максимальную доступность, то критерии будут существенно отличаться, и здесь нет универсального рецепта. По нашему опыту как провайдера сервисов для веб-ресурсов, крупные заказчики, для которых использование облачной инфраструктуры и сервисов является частью долгосрочного плана развития, основывают свой выбор на следующих критериях:

1. Репутация. Заказчик, для которого обеспечение максимальной доступности веб-ресурса – критически важная бизнес-цель, должен доверять провайдеру. Таким образом, провайдер должен обладать репутацией доверенного поставщика: иметь опыт крупных и сложных проектов, в том числе критической важности, позитивные отзывы от похожих заказчиков, необходимую сертификацию, его бизнес должен быть зрелым. 
2. Профессионализм команды поддержки и внедрения. Для проектов высокой критичности важна оперативная реакция технической поддержки, четко сформированный SLA, наличие в команде профессиональных инженеров и консультантов, способных решать нестандартные задачи, с которыми обычно сопряжена работа крупных веб-проектов.
3. Комплексное решение. Облачные провайдеры умеют решать разнообразные задачи, но управление несколькими облаками — это нетривиальная задача. Ряд заказчиков не располагает достаточным внутренним ресурсом для контроля и управления несколькими решениями. Кроме того, могут возникнуть “серые зоны” в ответственности различных провайдеров, а также проблемы интеграции и внедрения. Чем больше задач можно “закрыть” единым решением в режиме одного окна, тем эффективней можно выстроить работу с провайдером, а также снизить затраты на различные облачные продукты/решения и их поддержку».

Владимир Арышев, эксперт по комплексным ИБ-проектам STEP LOGIC:

«Для подбора подходящего облачного провайдера нужно проанализировать ряд важных критериев: узнать, сколько лет компания на рынке, каков масштаб деятельности, где территориально расположена инфраструктура.

С точки зрения безопасности стоит учитывать следующие параметры:

• как провайдер обеспечивает безопасность доверяемой ему информации. Чем больше рисков ИБ он способен закрыть – тем провайдер более привлекателен с точки зрения безопасности;
• какие технологии и средства защиты использует провайдер. К примеру, как обеспечивается изоляция информации одного клиента от других. Уровни изоляции могут быть различны: физическая изоляция инфраструктуры и сетей, логическая на уровне гипервизора, виртуальных сетей, на уровне управляемых сервисов, учетных записей и прав доступа. Важно, чтобы данные одного клиента никаким образом не были доступны или влияли на работу другого клиента или самого провайдера;
• какие инциденты ИБ произошли за время работы и как провайдер с ними справился.

В нашей практике заказчики часто обращаются с задачами оценки системы безопасности провайдеров с точки зрения клиентов и их сервисов. И, к сожалению, часто бывает, что применяемых мер ИБ недостаточно, и для построения комплексной системы безопасности требуется внедрение дополнительных средств, состав которых варьируется в зависимости от нюансов реализации конкретных облачных сервисов, механизмов взаимодействия и обрабатываемой в облаке информации. Необходимо отсечь массовые атаки путем внедрения средств защиты от DDoS и безопасности сети Secure Access Service Edge (SASE). Защититься от более «интеллектуальных» атак позволят средства защиты веб-приложений Web Application Firewall (WAF), баз данных Database Firewall (DBF) и системы класса Container Security, обеспечивающие полноценную защиту контейнерных сред. Разграничить доступ поможет система управления доступом Identity & Access Management (IAM) и система сетевого доступа с «нулевым доверием» Zero Trust Network Access (ZTNA)».

Никита Черняков, руководитель отдела развития облачных технологий и сервисов компании Axoft:

«К сожалению, какой-то общей «линейки», которая бы позволила сравнивать облачных провайдеров, нет. Сравнение по формальным критериям (такие сравнения достаточно популярны, но не сильно выдерживают критику) тоже не особо помогает: почти у всех ЦОД TIER III – одинаковый набор сертификатов и SLA.

Я бы точно не советовал выбирать провайдера по цене, а большее внимание уделил следующим параметрам: репутация провайдера, география ЦОД, уровень клиентского сервиса и технической поддержки, наличие дополнительных сервисов. Но тут тоже есть проблема: очень сложно оценить тот же уровень клиентского сервиса и технической поддержки «на бумаге». Поэтому единственный, на мой взгляд, корректный способ оценки облачного провайдера – тест. Условно, можно выбрать три-четыре провайдера по формальным признакам и протестировать на стандартных для организации нагрузках».

Павел Кузнецов, директор по продуктам компании «Гарда Технологии»:

«По покрытию предлагаемым портфелем решений ваших бизнес-задач и по готовности брать на себя ответственность за обрабатываемые данные. Также стоит заручиться рекомендациями от иных заказчиков провайдера».