Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК

Миграция в облако для госструктур и бизнеса, работающего с государственными проектами, — задача с большим числом неизвестных. Таким компаниям хочется использовать облака из-за гибкого масштабирования ресурсов и быстрого развертывания сервисов. Решение также не требует капитальных затрат, если сравнивать его с построением собственной инфраструктуры. Но преимущества облака часто ломаются о перечень требований безопасности к государственным информационным системам (ГИС).

Облако как минимум должно соответствовать 152-ФЗ, но это только верхушка айсберга. Чтобы ГИС смогли полноценно использовать облачный IaaS, нужно аттестовать инфраструктуру в соответствии с уровнем значимости данных и классом защищенности, как того требует 21 и 17 приказы ФСТЭК, а в некоторых случаях — приказ Гостехкомиссии № 282.

Из-за запрета на закупки иностранного ПО государственным организациям и работающим с ними компаниям требуются отечественные решения. Они должны сочетать гибкость и удобство облака с возможностью аттестации и развертывания ГИС любых классов защищенности. Этим требованиям соответствует аттестованное облако Selectel.

Что такое аттестованное облако

Облачная платформа Selectel входит в реестр российского ПО. Аттестованное облако — часть этой платформы, инфраструктура для размещения систем, включающая облачные серверы и S3-хранилище. Разница с другими моделями облаков — в выполняемых мерах и соответствующих сертификатах и аттестации, которую провайдер уже прошел за клиентов. Облачная инфраструктура соответствует требованиям безопасности согласно 21, 17 приказам ФСТЭК и СТР-К, и готова для обработки данных УЗ 1-4, К 1-3 и 1Г.

Вот инструменты, которые используются в облаке и S3-хранилище для соответствия требованиям ГИС:

• Государственные заказчики.
• Разработчики государственных информационных систем.
• Коммерческие заказчики с требованиями по аттестации.
• Операторы персональных данных с требованиями по аттестации.
• Владельцы любых конфиденциальных данных с требованиями по аттестации.

Кейс

Компания реализует государственную оздоровительную программу на федеральном уровне. У нее также есть сайт с системой личных кабинетов. Инфраструктура проекта работает с разной информацией, в числе которой:

• Персональные данные, требующие самого высокого класса защищенности (УЗ-1). Например, большой объем биометрических данных спортсменов.
• Платформа взаимодействует с органами власти и должна соответствовать требованиям ИБ для госорганов (ГИС К2).

Даже для обработки заявок на федеральный турнир компании потребуется соответствие УЗ-3. Для хранения медицинских данных и взаимодействия с ГИС— еще больший уровень защиты, который может предоставить не каждый провайдер.

Использовать аттестованное облако в таком случае безопасно и удобно. Госзаказчики получают необходимые документы (выписка из модели угроз, аттестация инфраструктуры в соответствии с приказами ФСТЭК). Компания-подрядчик решает вопрос документации, а также может легко масштабировать ресурсы при росте нагрузки.

Оба решения обеспечивают самые высокие классы защищенности конфиденциальной информации, поэтому ответ здесь такой: в зависимости от того, какая задача стоит перед компанией и какие компоненты предполагается разворачивать.

В А-ЦОД доступны готовые и произвольные конфигурации аппаратных серверов. В А-ЦОД компания может полностью взять на себя управление инструментами защиты или полностью делегировать эти задачи провайдеру.

Узнать подробнее о том, как работает А-ЦОД, можно из этих материалов:

→ Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?
→ Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности

Разница обнаруживается в уровнях абстракции, для которых провайдер выполняет меры безопасности и проходит путь за клиента. Если в информационной системе предполагается использовать технологии виртуализации — аттестованное облако представляется наиболее удобным, поскольку уже обеспечивает максимальную безопасность самой платформы.

А-ЦОД и аттестованное облако можно связать, чтобы использовать преимущества выделенных и облачных серверов в одном проекте. То есть клиент может создать гибридную инфраструктуру из аттестованного сегмента ЦОД и аттестованного облака. Это обеспечит дополнительную отказоустойчивость и гибкие возможности для создания распределенных систем. Например, в такой схеме базы данных можно разместить на выделенных серверах, чтобы организовать высокую скорость чтения и записи, а остальные элементы инфраструктуры вынести в облако.

Чтобы создать облачный сервер в аттестованном облаке, нужно зайти в панель управления Selectel: Облачная платформа → Москва → gis-1. Для зоны gis-1 также доступно объектное хранилище, соответствующее тем же уровням и нормативным требованиям.

Далее можно создавать виртуальные машины — выбирать ОС и конфигурацию — и строить инфраструктуру. Весь контроль ресурсов осуществляется через панель управления.

В качестве кастомного проекта аттестованное облако можно развернуть on-premise в дата-центре провайдера или в локальной инфраструктуре заказчика. Клиент получает физический доступ к оборудованию, но весь процесс администрирования сохраняется за провайдером. Для размещения в контуре клиента может использоваться арендное оборудование или клиентское, если оно окажется совместимым.

Аттестованное облако представляется более гибким решением, чем А-ЦОД, если требуется использование виртуализации и возможность быстрого масштабирования. Таким образом, его можно использовать для самых разных задач при работе с ГИС: от хостинга почтового сервиса до развертывания федеральных информационных систем.

Провайдер берет на себя все работы по обеспечению безопасности и соответствия требованиям облачной платформы и техническую поддержку, предоставляет необходимые для аттестации документы. Это дает возможность компаниям не тратить время и ресурсы на создание или поиск подходящей инфраструктуры, а развивать свои проекты.