Алексей КубаревДиректор по информационной безопасности
Дата13.11.2023

Market.CNews: Расскажите о T1 Облако, на чем специализируется ваша компания?

T1 Облако более 7 лет на облачном рынке, за эти годы мы накопили достаточную экспертизу и компетенции, чтобы предоставлять нашим клиентам максимально надежные и функциональные облачные решения. Это подтверждают и данные независимых аналитических агентств: по итогам прошлого года T1 Облако вошла в топ-5 облачных провайдеров в России в Enterprise-сегменте.
Вместе с опытом растет и количество облачных услуг, которые мы предоставляем: на текущий момент в портфель T1 Облако входят сервисы IaaS, SaaS, DBaaS, сетевые сервисы CDN, также мы активно развиваем направление PaaS. С учетом меняющихся требований рынка и запросов наших клиентов в этом году мы адаптировали свой продуктовый портфель, в который также включили стек импортонезависимых решений на базе отечественных разработок. Среди них: система резервного копирования данных, объектное S3 хранилище, облачный диск T1 и др. Кроме этого, у клиентов появился доступ к операционной системе Astra Linux из облака.
Вместе с тем события последних лет показали важность и критичность обеспечения киберзащиты ИТ-инфраструктуры российских организаций. Принимая во внимание этот факт, мы уделяем особое внимание безопасности наших клиентов. Обладая достаточной экспертизой в сфере кибербезопасности, T1 Облако оказывает консалтинговые услуги в этой области и предоставляет заказчикам ИБ-сервисы, которые поставляются как в облаке по модели SecaaS, так и локально в формате on-premise.

Market.CNews: Алексей, в последние годы спрос на облака продолжает стабильно расти, и все больше российских компаний активно используют облачные сервисы для различных задач. По вашему мнению, с чем связана такая тенденция?

Сегодня облака — это уже не просто тренд, а реальность для большинства компаний и неотъемлемая часть многих бизнес-процессов. В текущих экономических условиях облака закрывают сразу несколько ключевых потребностей организаций: позволят оптимизировать затраты, быстро масштабировать свои ресурсы и обеспечить безопасность данных. Клиенты больше не хотят тратить деньги на покупку и обслуживание дорогостоящего оборудования, вместо этого они переносят рабочие ресурсы в гибкое и надежное облако.
Как мы помним, пандемия и дистанционная работа ускорили процесс переход бизнеса на облачные сервисы. Тогда компании на своем собственном и в какой-то степени вынужденном опыте убедились в надежности и эффективности облаков. Другим важным фактором, стимулирующим рост рынка облачных технологий в России, выступил массовый отток иностранных вендоров в 2022 году. В результате этого бизнес начал массово мигрировать на отечественные решения, и облака российских провайдеров стали основной площадкой для размещения ПО и хранения данных. Кроме того, на рынке возникли сложности с поставками «железа» в части логистики и стоимости. Мы видим, что этот процесс продолжается до сих пор.
Все это требует ответственного подхода от сервис-провайдеров, чья главная задача — предоставление по-настоящему качественных и надежных услуг, обеспечение защищенности критически важных для организации данных.

Market.CNews: Алексей, вы упомянули о таком важном аспекте, как безопасность, который волнует, пожалуй, любую компанию, использующую облачные решения. Скажите, пожалуйста, какие на текущий момент требования к безопасности облаков предъявляет бизнес и регуляторы?

В условиях роста угроз вопросы киберзащиты становятся актуальными абсолютно для всех организаций, даже для тех, которые по каким-то причинам еще не пользуются облака. И сегодня бизнес выбирает облачные сервисы в том числе и потому, что большинство из них изначально реализуются с учетом выверенного подхода к обеспечению безопасности. С точки зрения ИБ важное преимущество облачных технологий в том, что для них, как правило, применяется целый комплекс зрелых ИБ-решений: как для безопасности физической инфраструктуры, на которой базируются облака сервис-провайдера, и программных средств виртуализации, так и для защиты реализуемых на базе облака различных сервисов.
Кроме этого, усиливаются требования к кибербезопасности со стороны государственных регуляторов — на это направлен целый ряд законодательных актов и требований. Так, на фоне беспрецедентного роста атак на российскую инфраструктуру сегодня в фокусе государства и рынка — обеспечение безопасности объектов критической информационной инфраструктуры (КИИ). Закон, который регулирует КИИ, распространяется на многие отрасли, и мы все чаще получаем запросы на соответствие нашего облака № 187-ФЗ.
Также важное значение уделяется защите персональной информации в рамках №152-ФЗ «О персональных данных». В современном мире практически любая компания в том или ином виде собирает персональные данные, поэтому вопрос их безопасного хранения и обработки касается если не всех, то большинства. При этом требования к безопасности предъявляются как к информационным системам, обрабатывающим такие данные, так и к ИТ-инфраструктуре, в которой они размещаются. Но добиться полного соответствия закону о защите и хранении персональных данных в локальной инфраструктуре бывает достаточно сложно, поэтому все чаще бизнес принимает решение перенести критичные системы в защищенное облако провайдера, аттестованное соответствия №152-ФЗ.

Market.CNews: Расскажите, пожалуйста, поподробнее про защищенное облако, в каких случаях оно требуется организациям, а в каких нет?

Защищенное облако — облачный сервис, который предоставляется в формате IaaS. Такое облако развернуто на инфраструктуре, где устранены все актуальные угрозы информационной безопасности, и это подтверждается аттестатом соответствия. Все архитектурные решения, технические средства и организационные меры, которые применяются при создании инфраструктуры защищенного облака, соответствуют ИБ-требованиям регулирующих органов. Уровни защиты делятся на четыре категории: самый высокий — УЗ-1, который позволяет работать с абсолютно любыми типами персональных данных, наименее строгий уровень — УЗ-4.
Как я уже говорил, требования законодательства относятся практически ко всем компаниям. Однако есть исключения. Информационные системы некоторых организаций не обрабатывают персональные данные. Например, это касается разработки и зачастую тестирования программного обеспечения. В этом случае соответствие закону о персональных данных не требуется.
Кроме этого, глобальным компаниям, которые, несмотря на геополитические факторы, продолжили работу в России, необходимо хранить и обрабатывать клиентские данные на территории страны. Многие из них предпочли оперативно перенести системы и данные в российские облака в специально защищенные сегменты, аттестованные по требованиям регуляторов РФ.

Market.CNews: А как вы обеспечиваете безопасность вашей облачной инфраструктуры?

Самая безопасная информационная система, построенная на слабой инфраструктуре облака, при первой же серьезной атаке столкнется с негативными последствиями, например, с утечкой, шифрованием данных, нарушением доступности к критичными системам.
У нашего облака выстроена многоуровневая система защиты. Во-первых, все облачные сервисы T1 Облако развернуты на базе надежной инфраструктуры — дата-центров уровня Tier III, расположенных на территории РФ, а данные клиентов размещаются в защищенных и аттестованных серверах. Во-вторых, в отношении нашего облака реализован целый комплекс ИБ-решений и средств защиты, отвечающих актуальным киберугрозам, запросам клиентов и требованиям регуляторов. Это подтверждается наличием аттестатов соответствия требованиям отечественных регуляторов в сфере инфобеза, а также международным стандартам PCI DSS и ISO 27001.

Market.CNews: Получается, T1 Облако аттестовано в соответствии с № 152-ФЗ?

Абсолютно верно. Наше облако, на базе которого мы предоставляем инфраструктурные сервисы IaaS, имеет аттестат соответствия № 152- ФЗ по наивысшему уровню защищенности УЗ 1, что дает возможность клиентам T1 Облако безопасно размещать, хранить и обрабатывать персональные данные любой категории важности. Например, облако T1 Облако можно использовать даже для обработки медицинских и биометрических данных.
При этом, в то время как у большинства сервис-провайдеров аттестованы только выделенные сегменты облака, облачная инфраструктура T1 Облако аттестована и соответствует № 152-ФЗ вся и полностью. Таким образом, наши клиенты, использующие IaaS-сервисы, автоматически получают услугу защищенного облака, что, несомненно, является для них преимуществом.
Также отдельно стоит подчеркнуть наличие у T1 Облако аттестата соответствия требованиям Федерального закона № 187-ФЗ в части безопасности КИИ. При построении облачной инфраструктуры мы анализируем законодательные требования, которые применимы к этой области. И, что самое важное, рассматриваем инфраструктуру нашего облака как объект КИИ первой категории значимости, что редкость для облачных провайдеров. Поэтому наличие данного аттестата дает возможность организациям размещать в бизнес-облаке T1 Облако практически любые критические системы из любых секторов экономики и не беспокоиться о безопасности и надежности чувствительных данных.
Если говорить глобально, то процесс совершенствования информационной безопасности бесконечен, и важно обеспечить его непрерывность. Мы в Т1 Облако для этого действуем по модели PDCA с годичным циклом.
Облако с полным соблюдением 152-ФЗ становится обязательным на рынке.

Market.CNews: С какими компаниями вы работаете? И на каких клиентов вы ориентируетесь в первую очередь?

Клиенты T1 Облако — компании из разных отраслей и сегментов. Нашему облаку доверяют как средний и малый бизнес, так и крупные корпорации, лидеры в своих областях. Это клиенты из финансовой отрасли, ритейла, телеком и ИТ, медицинские организации, интернет-магазины, компании из сферы услуг. При этом сегодня все чаще в наше облако переносят свои бизнес-процессы производственные компании.
На текущий момент одно из приоритетных направлений бизнеса T1-Облако — кредитно-финансовые организации. При разработке инфраструктуры и ее аттестации для заказчиков из этого сектора мы стараемся учитывать требования, которые предъявляются к ним в части ИБ. Прежде всего это касается стандартов безопасности Банка России и PCI DSS.
В ближайшее время мы планируем получить аттестат соответствия национальному стандарту ГОСТ 57580-1 по безопасности финансовых (банковских) операций по наивысшему усиленному уровню защиты информации. Это значит, что банки и другие финансовые организации смогут воспользоваться облачными ресурсами T1 Облако с соблюдением требований ЦБ РФ. Например, проводить финансовые операции, хранить данные, содержащие банковскую тайну, и др. Все требования для надежности облачной инфраструктуры у нас реализованы — от технических до процессных.

Market.CNews: А как строится взаимодействие с заказчиком в T1 Облако?

Все зависит от потребностей каждой конкретной организации и выбранной ею модели миграции. Простой перенос производится гораздо быстрее. Перенос с оптимизацией инфраструктуры занимает больше времени, но позволяет улучшить работу приложения. При переносе с оптимизацией архитектуры приложения заказчик получит все преимущества облака, однако эта модель сложна в реализации и требует доработки прикладной части.
Если говорить о безопасности, мы взаимодействуем с заказчиком по сетям связи общего пользования, как правило, через интернет. Поэтому для защиты от злоумышленников используются различные средства криптографической защиты информации, передаваемой по сетям связи. В отдельных случаях могут применяться VPN-шлюзы, VPN-тоннели, выделенный канал по темной оптике. В последнем случае криптографические средства нужны не всегда.
При этом одним из ключевых принципов обеспечения безопасности в облаке является понимание принципов разделения ответственности пользователей облачных сервисов и облачного провайдера. Т1 Облако обеспечивает безопасность инфраструктуры облака, однако стандарты ИБ необходимо соблюдаться и на стороне заказчика — как в его локальном офисе, так и на информационной системе, которая развертывается в нашем облаке. Конечно, эта сфера находится вне нашей зоны ответственности, но при необходимости мы можем обеспечить и ее безопасность.
К заказчику тоже предъявляются требования в области ИБ: обязательная антивирусная защита, межсетевое экранирование, управление доступом, идентификация, аутентификация.

Market.CNews: Сейчас мы говорили про защищенное публичное облако. А если, например, у клиента есть потребность в построении частного облака. Соответственно, должно ли оно быть тоже аттестовано в соответствии 152-ФЗ, это применимо к частному облаку?

Требования закона № 152-ФЗ, конечно, распространяются и на частное облако. В такой модели для заказчика строится изолированная облачная инфраструктура, в которой «живет» только он. Как правило, с таким запросом приходят крупные корпорации, которые предъявляют повышенные требования к безопасности информационных систем. Однако здесь более сложная ситуация, поскольку все надо создавать с нуля: проектировать, отдельно закупать оборудование, телеком-системы, тестировать, аттестовать. Для нас это не является проблемой: у команды есть большой опыт в таких проектах. Если у заказчика есть запрос на частное облако, мы обеспечиваем весь процесс — от технического задания и создания инфраструктуры до ее аттестации и сопровождения.
При этом у нас уровень безопасности частной и публичной модели одинаково высок. Заказчик может быть уверен, что его данные, которые хранятся на паблике, изолированы от других пользователей облака и надежно защищены от злоумышленников.

Market.CNews: Каковы, на ваш взгляд, основные тренды, которые сейчас преобладают на рынке облачных провайдеров, и в какую сторону ситуация будет развиваться в будущем?

Среди ключевых трендов: импортозамещение в связи с технологическими ограничениями со стороны недружественных государств, защита от разного рода атак, актуальных сейчас (дефейс сайтов, DDoS-атак, эксплуатация уязвимостей Zero-day, атак с помощью пользователей корпоративных сетей — внутренних злоумышленников и др.), а также реализация усиливающихся требований регуляторов.
На мой взгляд, в будущем продолжится тренд на импортонезависимость и информатизацию: зарубежное оборудование будет замещаться, а миграция отечественных компаний в облака ускорится. Следовательно, мы ожидаем, что требования по информационной безопасности к облачным провайдерам будут усиливаться.
Поделиться