Публичное облако vs частное облако off-premise: разбор с точки зрения безопасности

Выбор облачной инфраструктуры для размещения конфиденциальных данных или для объектов критической информационной инфраструктуре (КИИ) — это сложный выбор, который не терпит компромиссов между гибкостью, стоимостью и безопасностью. Публичное облако предлагает мгновенную масштабируемость и, казалось бы, низкую стоимость входа, но насколько оно совместимо с жесткими требованиями регуляторов?


В этой статье Алексей Боровиков, архитектор в Astra Cloud (входит в «Группу Астра») сделал краткий сравнительный разбор публичного облака и облака off-premise с точки зрения безопасности и выполнения требований регуляторов.

Разберемся с терминами, чтобы говорить на одном языке
Для начала давайте расставим все точки над i с терминами, чтобы избежать дальнейшей путаницы.

• Публичное облако — это облачная инфраструктура, предназначенная для свободного использования множеством независимых клиентов. Все ресурсы (серверы, хранилища, сети) принадлежат провайдеру и физически находятся в его дата-центрах (или арендованных им площадках).
• Частное облако — это инфраструктура, предназначенная для эксклюзивного использования одной организацией. Чаще всего, когда говорят о частном облаке, имеют ввиду формат on-premise, однако это не единственный возможный вариант существования изолированного облака. Для того, чтобы отличать частное облако on-premise (то есть облако на собственном оборудовании на собственной территории компании) от частного облака на арендованном оборудовании, размещенном на территории провайдера, мы в Astra Cloud ввели понятие off-premise.
• Облако off-premise — это частное облако, размещенное у провайдера, управляемое им или совместно с клиентом, на полностью арендованном оборудовании. Именно это решение и будет предметом нашего дальнейшего сравнения с публичным облаком.

Требования безопасности: что нужно для размещения защищенных ИС?
Облако – это гибкий инструмент для быстрого размещения проектов и простого масштабирования ресурсов. Однако не стоит забывать, что компаниям, в зависимости от требований регуляторов, необходимо решать ряд задач информационной безопасности. Например, обеспечивать безопасность персональных данных, предвосхищать утечки, осуществлять антиDDoS и другие.

Так, требования ФСТЭК к размещению информационных систем (ИС) с различными классами защищенности на одном гипервизоре включают в себя следующие аспекты:

• Гипервизор должен обеспечивать управление потоками данных между виртуальными машинами (ВМ) и ИС на канальном и сетевых уровнях для изоляции ВМ с разными уровнями защиты.
• Для каждой ВМ должны быть реализованы функции доверенной загрузки, контроля целостности конфигураций, аутентификации и управления доступом на основе ролевой модели.
• Должно быть выполнено сегментирование сетей для обеспечения разделения информационных потоков и данных для пользователей с различными требованиями к защите.
• Для ГИС и КИИ требуется использование сертифицированных ФСТЭК средств виртуализации.

Исходя из этого, под сертификацию попадает практически все: операционная система, гипервизор, СУБД, сетевое оборудование, средства защиты информации, включая средства криптографической защиты, и так далее. Насколько облака справляются со всем этим?

Публичное облако: проблемы и полумеры
Несмотря на то, что многие ведущие провайдеры публичных облаков имеют необходимые аттестаты и сертификаты, размещать в них защищенные ИС проблематично по двум основным причинам:

• Доступ через интернет. Все взаимодействие с инфраструктурой по умолчанию происходит через публичную сеть.
• «Нежелательное соседство». Вы не можете контролировать, кто еще и какие виртуальные машины размещает на том же физическом сервере и хранилище, на котором находится ваша система.

Технически эти проблемы можно частично решить следующими способами:

• Проблему доступа решает организация выделенного канала (Direct Connect) из облака в защищенную сеть компании. Правда, это требует аренды канала связи, а также покупки или аренды сертифицированного сетевого оборудования.
• Проблему «соседства» можно смягчить с помощью заказа выделенных гипервизоров, изоляцию сетей и хранилища данных. Однако это дорогое решение, за которое придется платить постоянно, даже при неполной загрузке мощностей. Кроме того, не все облачные провайдеры могут технически обеспечить такой подход.

В итоге при публичной модели управление облаком по-прежнему остается в руках провайдера; заказчик управляет только собственной виртуальной инфраструктурой и ИС. Что касается решения по изоляции – это всего лишь «заплатки» на мультитенантной модели, которые значительно увеличивают итоговую стоимость аренды облака.

Off-premise облако: готовое безопасное решение
Частное облако off-premise изначально проектируется под конкретного заказчика и его требования к уровню безопасности, что снимает ключевые риски публичного облака. Что в результате получает компания:

• Нет «нежелательных соседей». Все ресурсы физически и логически изолированы для единственного клиента.
• Используется сертифицированный стек. Провайдер сразу предлагает инфраструктуру на необходимом сертифицированном ПО и оборудовании.
• Проводится аттестация. При необходимости можно провести аттестацию инсталляции под класс защиты заказчика.
• Выбор формата управления. Заказчик может полностью взять на себя управление частным облаком или разделить его с провайдером.
• Оборудование не покупается, а арендуется, что существенно снижает CAPEX.
• Гибкая оплата. Заказчик платит за фактически используемые ресурсы в рамках выделенного пула.

Краткий вывод
Выбор между публичным и off-premise облаком для защищенных ИС — это выбор между попыткой адаптировать общую среду под свои строгие требования и получением готовой, изолированной и соответствующей этим требованиям среды.

Off-premise облако — это решение, которое позволяет получить все преимущества облачной модели (масштабируемость, арендная модель оплаты, отсутствие затрат на поддержку «железа») без компромиссов в безопасности. Оно обеспечивает монопольное использование предсказуемой и сертифицированной инфраструктуры, что делает его идеальным выбором для государственных организаций, финансового сектора и объектов КИИ.

Автор: Алексей Боровиков, архитектор в Astra Cloud (входит в «Группу Астра»)