Astracloud.ru

Путь к цельным и управляемым ИТ-системам, определенный глобальным рынком, перестал быть теорией для России. Задача точечного замещения иностранного ПО эволюционирует в более сложный императив. Регуляторные и рыночные требования ужесточаются. Open Source обходится дороже, чем кажется. На этом фоне рождается запрос на принципиально иную модель – вендорское облако, которое предлагает готовую среду с гарантированной совместимостью, встроенной безопасностью и единой ответственностью. Эти принципы заложены в Astra Cloud.



История внедрения облачных моделей от вендора
История развития облачных технологий показывает, что корпоративное программное обеспечение постепенно переходит в облачную среду. Производители ПО становятся лидерами нового облачного этапа. Например, в ТОП-10 облачных провайдеров США входят компании с многолетним опытом работы в сфере корпоративных решений.

Microsoft Azure построил лидерство на бесшовной интеграции ключевых корпоративных продуктов: Active Directory, Windows Server, SQL Server и Office 365.
Oracle Cloud Infrastructure (OCI), в свою очередь, остается самым быстрорастущим облаком, в том числе благодаря абсолютной оптимизации под свои базы данных: облачная база данных Oracle отвечает на запросы в 50 раз быстрее, чем аналогичный сервис AWS Aurora.



Фактически эти вендоры перенесли в облако те решения, эффективность которых была многократно подтверждена в корпоративной среде. Суть их модели заключается в ценностном предложении. То есть, они продают не вычислительные часы, а сокращают операционной сложности, риски и время выхода на рынок. Клиент получает готовый технологический результат, делегируя ответственность за весь базовый стек его создателю.

Стоит отметить, что мировой рынок идет по этому пути уже много лет. В России же стратегия развития была другая. Отечественный облачный ландшафт долгое время формировался вокруг инфраструктурных мощностей крупных игроков или экосистем потребительских сервисов. Это создавало рыночную среду, где доминировала модель предоставления «ресурсов как услуги», в то время как модель «экосистемы как услуги» от производителей корпоративного ПО фактически не присутствовала.

Но сегодня российский рынок взял курс на следование общемировой тенденции. На первый план для крупных компаний выходит облачная модель, где компоненты технологического стека созданы, интегрированы и поддерживаются одним разработчиком. Это существенным образом влияет на безопасность системы, ее производительность и возможности использования вычислительных ресурсов в гибридном сценарии.

Ценность как основа
Astra Cloud – это облако от вендора, созданное на едином технологическом стеке и комплексных подходах к ИБ. Продукт ориентирован на госсектор и крупный бизнес, в том числе финансовый сектор, промышленность и энергетику.

Причем, для госсектора – это возможность работать с коммерческой гибкостью, сохраняя высокий уровень защиты. Для бизнеса – способ получить корпоративную надежность, сохраняя простоту управления.

В отличие от распространенной отечественной практики по сборке инфраструктуры из разнородных компонентов, основу Astra Cloud составляют исключительно собственные продукты «Группы Астра»:

• операционная система Astra Linux Special Edition;
• служба каталога ALD Pro;
• средства виртуализации ПК СВ «Брест»;
• система резервного копирования RuBackup;
• мониторинг Astra Monitoring;
• биллинг BILLmanager.

Этот зрелый технологический стек составляет ядро платформы. Его расширяют и дополняют ключевые разработки: программно-определяемые сети (SDN) для гибкого управления сетевыми ресурсами, программно-определяемое хранилище TROK для создания универсальных и отказоустойчивых систем хранения данных, а также ряд платформенных сервисов, включая единый API, систему управления авторизацией и аутентификацией (IAM) и другие.

Такой подход создает для клиентов изолированную и безопасную среду с возможностью дальней аттестации, где все компоненты изначально спроектированы для совместной работы, обеспечивая полный контроль над сервисами.

Денис Мухин, генеральный директор Astra Cloud:
«Мы видим нашу миссию в объединении всех продуктов группы в облаке. Некоторые продукты уже стали технологической основой самой платформы, а часть будет предоставлена заказчикам в виде сервисов по подписке. Мы будем продолжать аттестовывать сегменты нашего облака, чтобы в них могли размещаться критичные информационные системы заказчиков».

Эта философия определяет наш подход: для клиента сложные технологии трансформируются в доступные сервисы. Мы не хотим строить очередную «витрину мощностей», а создаем экосистему, где проверенные продукты «Группы Астра» и новые облачные возможности объединяются, чтобы решать конкретные бизнес-задачи.



Ценность Astra Cloud для компаний проявляется в трех важных аспектах:

• Гибкость потребления и упрощение эксплуатации. Мы предлагаем единую облачную среду с различными моделями: от подписки до поставки готовых отраслевых решений. Это позволяет бизнесу избегать долгих интеграций и выбирать оптимальный путь цифровизации.
• Безопасность как основа, а не опция. Наше облако с самого начала создавалось с участием ИБ профессионалов. Поэтому готовые решения уже протестированы на совместимость с различными СЗИ и содержат встроенные защитные механизмы by design.
• Единая ответственность и отраслевой опыт. Команда поддержки объединяет экспертизу работы с B2G/B2B-клиентами и глубокое понимание процессов в крупном enterprise-секторе. Мы проактивно предлагаем решения клиентам еще на моменте тестирования, основанные на лучших отраслевых практиках.

Сегодня российские технологии должны служить одной цели – устойчивому развитию компании в новой реальности. Причем, развитие должно быть не только безопасным, но и экономически обоснованным, отвечающим на вызовы и, безусловно, окупаемым в перспективе.

Денис Мухин, генеральный директор Astra Cloud:
«Я убежден, что на сегодняшний день мы единственные на рынке, кто обладает единым технологическим стеком для on-premise и public-форматах. Отдельно отмечу нашу компетенцию в работе с отечественной микроэлектроникой. На данный момент мы ведем активные R&D-исследования на чипах Baikal с ARM архитектурой и планируем уже в этом году представить доверенное облако на этой элементной базе. Такая активность позволит переосмыслить всю концепцию безопасности в облачных средах».

Доказательство концепции на практике
Лучшим доказательством для бизнеса всегда является проверенная практика. В 2025 году собственные критические сервисы «Группы Астра» – корпоративная почта RuPost, системы ERP и обучающие платформы – были перенесены на Astra Cloud.

Денис Мухин, генеральный директор Astra Cloud:
«Мы хотели подойти к этому упражнению не как к переезду ради переезда, а улучшить качество и снизить стоимость сервисов. На данный момент мы видим высокий рост стабильности. Главный совет для других компаний – не откладывать, а начать с пилотного проекта, чтобы на практике оценить возможности сервисов вместе с командой Astra Cloud».


В результате миграции эффективность ключевых систем показала существенный рост. Общая производительность ERP-системы возросла в 1,5 раза благодаря тому, что скорость выполнения запросов к базе данных сократилась вдвое при переносе на облачную платформу XData. Скорость работы корпоративной почты RuPost увеличилась в 1,3 раза. Этот результат стал возможен за счет высокой производительности выделенных файловых хранилищ Astra Cloud, которые не имеют «псевдо ограничений» публичных облаков на операции чтения и записи.
Процесс миграции также позволил провести глубокую оптимизацию архитектуры и безопасности. В ходе процесса было выявлены и устранены более 20 критических проблем в конфигурации сервисов, что оптимизировало их работу для типичных нагрузок компаний среднего масштаба ( прим. – < 3 000 пользователей).
В дополнении, консолидация инфраструктуры позволила сократить издержки, а пересмотр архитектуры безопасности дал возможность гибко адаптировать уровень защиты под индивидуальные требования заказчиков.
Таким образом, успешный кейс формата «проверено на себе» стал практическим подтверждением работоспособности всей экосистемы Astra Cloud и отправной точкой для следующего этапа развития платформы.

Новый этап
В 2026 году мы переходим к следующей фазе, где Astra Cloud становится источником конкурентных преимуществ для бизнеса.

Наши ключевые направления уже определены.

• Развитие платформенных сервисов. Мы внедряем полноценный SDN и запускаем собственное объектное хранилище S3, завершая формирование современного и универсального технологического стека.
• Запуск Marketplace (XaaS). Мы делаем стратегический шаг от инфраструктуры (IaaS) к модели «все как сервис». Наш маркетплейс позволит разворачивать готовые бизнес-приложения в несколько кликов, значительно сокращая время старта конечной услуги.
• Информационная безопасность. Мы продолжаем работу по сертификации продуктов внутри нашего облака для того, чтобы предлагать заказчикам аттестованный IaaS по требованиям ФСТЭК и ФСБ.

Этом позволит им размещать в Astra Cloud системы любого уровня критичности.
Astra Cloud предлагает полноценное партнерство, в котором ответственность за технологический стэк, его безопасность и развитие лежит на вендоре. Оставьте заявку на бесплатную консультацию.



Мы уверены, что технологии должны быть надежной основой для бизнеса.

astracloud.ru

Унитазы в стиле хай-тек
Казалось бы, какая связь между унитазами и чипами памяти, которые из-за глобального ИИ-бума оказались в жутком дефиците? Самая прямая, если ты Toto, крупнейший производитель сантехники в Японии. Toto выпускает вошлеты — крышки для унитаза с биде, подогревом и рядом других функций. А еще компания создает электростатические держатели, которые используются при изготовлении чипов NAND-памяти (вид флеш-памяти, хранит данные, даже если она не подключена к источнику питания, широко используется в SSD-накопителях). Керамика Toto способна выдерживать очень низкие температуры, что позволяет надежно держать кремниевые пластины при производстве чипов. Это делает материал важным для криогенного травления, причем спрос на эту технологию, как ожидается, вырастет из-за усложнения структуры чипов памяти, пишет Financial Times.

Из традиционного лидера сантехники на японском рынке Toto незаметно превратился в «растущую движущую силу в области высокотехнологичной керамики для производства полупроводников», отмечает британская инвесткомпания Palliser Capital. По версии последней, это «самый недооцененный и незамеченный бенефициар памяти для ИИ». Palliser считает, что у Toto есть преимущество с форой в пять лет, прежде чем конкуренты смогут ее догнать.

Ситуация с Toto красноречиво характеризует беспрецедентность того, с чем столкнулась вся IT-индустрия, вынужденная лихорадочно искать нестандартные решения в условиях колоссальной нехватки чипов и растущих цен на используемую в их производстве память.

Предпосылки кризиса
«Еще в сентябре 2025 года средняя цена на 16-гигабитный чип памяти DDR5, по данным DRAMeXchange, составляла $6,84. Три месяца спустя она выросла до $26,4, то есть почти в четыре раза. Розничные цены на модули памяти для потребительских компьютеров увеличились пропорционально: если в сентябре популярный набор на 32 ГБ памяти стоил в российской рознице менее 10 000 рублей, то к концу года его цена составляла 45 000 рублей», — писал в январской колонке для Forbes партнер Capital Lab Евгений Шатов.

Ситуация с тех пор только усугубляется, сетуют участники рынка. «Ключевой фактор конца 2025 года — стремительный рост цен на память. На плашки памяти, на диски — 170-200%», — оценивает топ-менеджер крупной российской IT-компании. Ажиотаж начался примерно с середины 2025 года, говорит генеральный директор Beeline Cloud Андрей Зотов. Рост цен на чипы памяти за 2025 год составил около 300%, и еще на 50% цены выросли уже в январе этого года, указывает генеральный директор хостинг-провайдера RUVDS Никита Цаплин.

Нехватка микросхем памяти, которые используются при производстве любой электроники, от потребительской до серверной, срывает планы компаний по всему миру, завышает цены на мобильные устройства, поставки которых, в свою очередь, ожидает падение в этом году. «По нашим наблюдениям, новая серверная память с августа подорожала кратно — до семи раз, SSD (Solid State Drive, ключевой компонент смартфонов и ноутбуков) в среднем в три-четыре раза», — делится наблюдениями коммерческий директор «Рег.облака» Сергей Рыжков.

Ключевая причина резкого роста цен на чипы оперативной памяти — в распространении нейросетей и строительстве мировыми бигтехами ЦОДов для развития ИИ. «Они требуют много памяти для полной загрузки всех параметров. Если часть параметров останется на диске вне оперативной памяти, скорость обучения или работы (инференса) модели снизится на несколько порядков. Чипы оперативной памяти идут как в серверы, так и на GPU (графические ускорители), — поясняет архитектор решений виртуализации облачного провайдера Nubes Евгений Литовка. — Следом идет вторая проблема: данные для обучения надо где-то собирать и хранить, а также как-то обрабатывать. Это влечет подорожание хранения как HDD- (Hard Disk Drive, жесткий диск), так и SSD-накопителей».

Производители — Samsung, SK Hynix и Micron — массово переключили свои производственные линии на выпуск HBM (High Bandwidth Memory, память с высокой пропускной способностью), которая критически важна для ИИ-ускорителей. В сентябре 2025 года все эти компании сообщили своим клиентам о повышении контрактных цен на чипы памяти и флеш-память. «Производство HBM в три-пять раз прибыльнее, чем выпуск стандартной DRAM (Dynamic Random Access Memory, динамическая оперативная память)», — поясняет директор по ИИ «Группы Астра» Станислав Ежов. Ситуацию, добавляет он, усугубляют гиперскейлеры — крупные облачные провайдеры типа Amazon AWS, Microsoft Azure, Google Cloud, которые бронируют объемы поставок HBM на годы вперед, создавая дефицит на открытом рынке.



Изменения не коснулись только тех, кто имел долгосрочные контракты и квоты на эти чипы и их производные (крупные зарубежные IT-компании, сотрудничающие с производителями напрямую), поясняет директор AI-вертикали Selectel Александр Тугов. Речь о бигтехах — OpenAI, Google, Microsoft, Amazon, Meta (признана в России экстремистской и запрещена). Они скупают до 70% мощностей по высокоскоростной памяти, чтобы переориентировать производство с потребительских сегментов, подтверждает заместитель генерального директора Astra Cloud Константин Анисимов.

«В целом это выглядит так: память подорожала в разы, потому что огромное количество еще не произведенной памяти было куплено (законтрактовано впрок) на пока не заработанные/не полученные деньги для установки в GPU, которые тоже еще не произведены, чтобы установить их в дата‑центрах, которые еще не построены, чтобы удовлетворить потенциальный спрос, который должен вырасти по экспоненте для получения будущей прибыли когда‑то потом», — выстраивает Андрей Зотов цепочку факторов, которые привели к дефициту.

Семена дефицита на российской почве
В итоге на рынке сложились условия для «идеального шторма» — резкий рост спроса при сокращении предложения. Локальной специфики нет, все страны примерно в равных условиях, и Россия тут не исключение. «Стоимость этих категорий оборудования выросла одинаково для всего мира: дефицит конкретно в текущей точке времени глобального масштаба», — рассуждает топ-менеджер российской IT-компании. В случае с Россией ситуация осложняется еще удлинением цепочек поставок оборудования, говорят в Cloud.ru: «Локализованные производства серверов и компонентов в России недостаточны для покрытия внутреннего спроса. Хотя доля отечественных компонентов растет, значительная часть зависит от импорта».

Одно из последствий текущего кризиса в том, что бизнес пытается закупать и использовать более дешевое и простое оборудование. Там, где это возможно, компании рассматривают переход на оборудование предыдущих поколений, включая DDR4, либо б/у решения, говорит Сергей Рыжков. Но проблема в том, что оно тоже все подорожало на сопоставимые величины, разводит руками топ-менеджер крупной IT-компании. «И это скорее тактическая мера. Складские запасы постепенно иссякают. При этом физического производства NAND-чипов и соответствующих технологий в России нет, поэтому говорить о полноценном импортозамещении в этой части не приходится — компонентная база остается зависимой от внешних поставок», — добавляет Рыжков.



По словам участников рынка и экспертов IT-отрасли, такой беспрецедентный дефицит дает «волновой эффект» подорожания во всех сегментах. «От on-premise, когда все ресурсы, включая оборудование и данные, находятся внутри компании, на ее собственных серверах, до облаков, где тарифы в России уже выросли на 5-15% в среднем и до 30-40% — по премиум-конфигурациям. И они продолжат расти минимум на 10-15% в 2026 году», — считает Константин Анисимов.

«Для нас в большей степени актуальна динамика цен не на отдельные комплектующие, а на конкретные серверные сборки, — замечают в Cloud.ru. — Так, цена на серверы в стандартных, наиболее востребованных конфигурациях по итогам 2025 года выросла минимум на 30%. Показатели роста на 170-200% — это пиковые значения по отдельным позициям. Например, сильный рост цен касается специфических SKU, используемых в серверных платформах нового поколения, ориентированных на HPC (High-Performance Computing, высокопроизводительные вычисления) и AI».

Подорожание чипов памяти отразится на всем отечественном IT-рынке — изменения затронут как поставщиков и их покупателей, так и рядовых пользователей тех или иных сервисов, категоричен Никита Цаплин. Логика тут простая, полагает он: поставщик будет компенсировать издержки за счет увеличения отпускной цены на свои товары, и то же самое будет вынужден сделать и, к примеру, игрок облачного рынка. «В итоге цена увеличится по всей цепочке», — заключает Цаплин.

Облака растут на горизонте
По общему мнению экспертов, рост цен прежде всего скажется на клиентах, которые используют on-premise оборудование. Кроме того, в числе первых, как полагает Константин Анисимов, пострадают внутренние корпоративные проекты: «В них затраты на вычислительную инфраструктуру являются основными».

Однако есть и те, кто, похоже, от этого дефицита может выиграть, по крайней мере, в среднесрочной перспективе — мировой дефицит памяти может послужить новым витком и стимулом для роста бизнеса облачных игроков. «Крупные участники рынка обладают запасом ресурсной емкости, дают своим клиентам возможность переложить капитальные затраты в операционные, а также обеспечить эффективное управление ресурсами за счет возможности гибко расширять или сокращать необходимые мощности и оплачивать ресурсы по факту потребления, — считает коммерческий директор Т1 Георгий Джабиев. — Сейчас даже консервативные клиенты будут задумываться о переходе в облако или построении гибридной архитектуры».

Облачные провайдеры пока опираются на ранее сформированные запасы, но они у всех разные. Уже сейчас проекты, рассчитываемые по новым ценам, становятся дороже в 1,5-3 раза, оценивает Рыжков: «По мере исчерпания складских резервов корректировки будут неизбежны». Действительно, облачные провайдеры имеют возможность сдерживать цены за счет существующего парка оборудования, рассуждает Анисимов. «Вендоры «железа» будут вынуждены напрямую переложить увеличение цены в цену для клиента. Облачные игроки в более выгодном положении, просто потому, что уже есть большой парк, закупленный ранее, — за счет этого можно в каком-то виде сдержать рост цен, — согласен с Анисимовым топ-менеджер крупной IT-компании. — On-рremise в этом смысле радикальнее подорожает, нежели сервисы облачных игроков».

Сейчас почти весь облачный рынок выжидает и смотрит, как будет развиваться ситуация. «У всех уже согласованные бюджеты в абсолютных цифрах, и они банально смогут купить на ту же сумму денег меньше серверов, — рассуждает собеседник Forbes. — Все будут действовать осторожно. Но в ближайшие месяцы коррекция рынка здесь должна произойти». По его мнению, в числе первых, кто в рамках своей юнит-экономики это «переварить не смогут» и будут вынуждены корректировать цены, станут малые компании (уровня хостеров). В целом участники рынка выражаются в духе «массово повышать цены не планируем, но точечные корректировки возможны». Кто-то уже отреагировал: среди тех, кто повысил цены на разные услуги в диапазоне 10-15%, к примеру, Selectel, VK, Reg.ru, FirstVDS.

При этом зачастую речь идет не столько о повышении цен на уже действующие сервисы, сколько о пересмотре ранее выданных коммерческих предложений, настаивает Сергей Рыжков. «КП, подготовленные месяц-два назад, в ряде случаев становятся экономически нерелевантными. Заказчики к кратным изменениям стоимости не готовы, и часть проектов пересматривается или откладывается, активность снижается», — резюмирует он.



«Мы видим значимый рост цен на чипы памяти и другие инфраструктурные компоненты — это объективно влияет на себестоимость вычислительных мощностей и, как следствие, на весь облачный рынок, — говорит операционный директор Yandex Cloud Александр Черников. — На фоне этого закономерно увеличивается интерес клиентов к фиксации предсказуемых условий в рамках долгосрочных контрактов». По его словам, рост цен на компоненты еще не стабилизировался на какой-то отметке, поэтому «мы внимательно следим за рынком и не исключаем корректировки цен по отдельным направлениям в течение года».

Это не все последствия дефицита памяти. Как указывают аналитики, для малых компаний это действительно может стать серьезным вызовом в силу отсутствия резервов и запаса прочности. «У них будет выбор: либо повышать цены, что повлечет за собой потерю клиентов, либо, например, интегрироваться с крупными игроками», — говорит Джабиев, допуская, что облачный рынок ждет консолидация. Такое резкое подорожание ключевых компонентов IT-инфраструктуры в среднесрочной перспективе может привести к тому, что на облачном рынке останутся три-пять ключевых игроков, которые будут занимать 80-90% от его объема, считает он.

Как ранее оценивали аналитики iKS-Consulting, объем российского рынка облачных инфраструктурных сервисов в 2025 году мог вырасти на 29,2%, до 416,5 млрд рублей, а к 2030-му он может и вовсе достичь отметки 1,2 трлн рублей.

Эпоха нестабильности
Высокий спрос на чипы памяти Александр Тугов называет новой нормой. Это не разовый всплеск, добавляет он: «Это похоже на системное повышение нормы спроса под влиянием постоянно растущего уровня проникновения AI в экономики стран. В том числе — в экономику России. Отечественные компании уже активно переходят от экспериментов с AI к промышленному внедрению в бизнес-процессы».

Сложность в том, что срок эффекта всплеска цен на память непонятен, сетуют участники рынка. «На какое время он с нами: на кварталы, на годы? Будет ли нормализация — расширятся ли производственные линии? Пока мало кто хочет расширять, значит, быстро кризис не разрешится. Вдобавок, если расширять — это все равно вопрос пары лет до запуска точно», — считает топ-менеджер крупной IT-компании. Вендорам чипов выгоднее поднять цену отгрузки, чем инвестировать в новую производственную линию, замечает Евгений Литовка, — это «классический «рынок продавца».

Локализация производства серверов в России растет (доля отечественных серверов / систем хранения данных к концу 2025 года — около одной трети), но и она критически зависит от импортных компонентов, так что статус отечественного сервера не сдержит эту продукцию от роста цены, размышляет Константин Анисимов: «Срок дефицита неясен. Прогнозы — кварталы минимум без стабилизации в ближайшие месяцы, так как быстро нарастить производство столь высокотехнологичной продукции нереально».

То, что происходит сейчас, — это не предел, происходит следующая волна повышения цен, в рамках которой рост может составить около 70-90% от настоящего момента, прогнозирует Георгий Джабиев. Но даже если рост цен стабилизируется, рынку потребуется около полугода для адаптации к новой реальности, поясняет Рыжков. Если удорожание продолжится, это может привести, по его мнению, к существенному торможению проектной активности: «Пока признаков устойчивой стабилизации нет».

Доступ к облачной консоли — точка, где расходятся зоны ответственности действующих сторон. Провайдер отвечает за защиту каналов и инфраструктуры, заказчик — за то, кто и как заходит под его учетными записями. Однако на практике все гораздо сложнее. Безопасность самой консоли зависит от того, заложены ли необходимые меры в архитектуру платформы на этапе проектирования облачного решения поставщиком услуг. И все это сводится к регуляторике со стороны государства. По крайней мере, в России. Но обо всем по порядку.

Как должно быть построено облако
Инфраструктурный слой облачного решения должен проектироваться, как целостная архитектура, где каждый элемент работает на общую задачу — обеспечение защищенности, достаточной для размещения информационных систем максимальных классов защиты. Это означает, что платформа с самого начала строится на сертифицированных средствах защиты, прошедших оценку регулятора.

Здесь важно понимать российский подход. На Западе рынок ориентируется на международные стандарты: ISO/IEC 27017, CSA CCM, NIST SP 800-53. Это мощные фреймворки, но они носят рекомендательный характер. В нашей же стране существует обязательный набор нормативных требований от ФСТЭК России и ФСБ России — это императив, который нельзя обойти.

Когда защита не закладывается в архитектуру платформы на этапе проектирования, а достраивается после запуска, аттестовать информационную систему высокого класса защиты на базе такого облака не получится. Заказчику придется либо менять провайдера, либо разворачивать собственную инфраструктуру.

На практике защищенность инфраструктурного слоя обеспечивается следующим набором средств.

• Периметр и межсегментные границы контролируются многофункциональными межсетевыми экранами.
• Системы обнаружения и предотвращения вторжений работают как на периметре, так и внутри сегментов — с анализом трафика на прикладном уровне и возможностью ретроспективного разбора.
• Каналы за пределы контролируемой зоны закрыты сертифицированными средствами криптозащиты (СКЗИ).
• Антивирусная защита включает динамический анализ в изолированной среде.
• Контроль защищенности ведется на постоянной основе: управление уязвимостями, мониторинг конфигураций, контроль состава оборудования и машинных носителей, ограничение физического доступа.

Другими словами, все проектируется таким образом, чтобы давать командам ИБ на стороне заказчика понятную точку отсчета при выстраивании защиты прикладного уровня.

Доступ к облачной консоли: где проходит граница ответственности
Административный доступ к платформе должен осуществляться через защищенные каналы с использованием сертифицированных СКЗИ. Действия администраторов фиксируются системами сбора событий и могут быть проанализированы ретроспективно благодаря им.

При этом, ответственность разграничена. Поставщик облачных услуг отвечает за защищенность архитектуры. То есть за то, что межсетевые экраны настроены корректно, каналы связи закрыты, антивирусная защита работает, события безопасности собираются и хранятся. Заказчик же выстраивает безопасность прикладного уровня на готовой архитектуре, включая управление доступом своих сотрудников к облачной консоли.

В этом контексте стоит напомнить о правилах эксплуатации любого IT-сервиса корпоративного уровня (в том числе облачной консоли), которые как будто бы все заказчики знают, но не все соблюдают.

• Двухфакторная аутентификация должна быть обязательной для всех без исключения административных учетных записей.
• Доступ к консоли управления лучше осуществлять через VPN с использованием защищенных каналов, исключающих перехват трафика и несанкционированные подключения извне.
• Пароль сам по себе — это недостаточная защита, особенно когда речь идет о доступе к инфраструктуре, где размещаются системы высоких классов. В идеале, пароли должны храниться и управляться с использованием специализированных систем (менеджеров паролей), исключающих хранение в открытом виде, передачу по открытым каналам и использование одних и тех же комбинаций на разных ресурсах.
• Принцип «один администратор = одна учетная запись» должен строго соблюдаться. Никаких общих учетных записей для сменяющих друг друга сотрудников, никаких технических учеток, за которыми не закреплен конкретный человек.

Статистика инцидентов нашей сервисной команды Astra Cloud подтверждает, что взломы происходят не из-за сложных zero-day уязвимостей. Скомпрометированная учетная запись администратора с единственным фактором защиты, общая учетная запись, или пароль, сохраненный в текстовом файле, — вот наиболее частые сценарии проникновения в контур управления. Хорошая новость в том, что такое происходит редко. Но это не отменяет ответственности заказчиков в таких случаях.

Вместо заключения
Безопасность доступа к облачной консоли — это финальный этап, который становится возможным только тогда, когда выстроен фундамент. Прежде чем требовать от сотрудников двухфакторную аутентификацию и разделять учетные записи, бизнесу стоит убедиться, что сам провайдер способен этот фундамент обеспечить. Потому что ни один менеджер паролей не защитит консоль, если каналы связи не закрыты, события не фиксируются и др.

Выбор облака начинается не с политик доступа, а с вопроса: заложена ли безопасность в архитектуру платформы на этапе проектирования? Если нет, то инцидент станет лишь вопросом времени, независимо от того, насколько сложные пароли ставят администраторы. Если да, можно выстраивать защиту прикладного уровня и контролировать все процессы, с нею связанные.

Статью подготовил Николай Есипов, архитектор информационной безопасности «Группы Астра».

Общемировая практика КИИ

Евгений Антонов: Что такое КИИ и зачем она нужна бизнесу. Эти три буквы стали постоянно мелькать везде, хотя раньше как-то жили без этого.

Константин Анисимов: Критическая информационная инфраструктура (КИИ) – это не просто система. Это совокупность информационных систем, сетей и систем управления, отказ которых может парализовать жизненно важные для государства отрасли. Регулирование движется с двух сторон: от государства, для которого угроза отключения целых отраслей стала реальной, и от бизнеса, где цифровые системы стали критичными для функционирования.

Если смотреть на мировую практику, то пионерами КИИ в 2013 году стали США благодаря введению Critical Infrastructure Protection Act. Позже к нему добавился USA Patriot Act. При этом, модель США отличается децентрализованностью, то есть, несмотря на общее законодательство, регулирование происходит на отраслевых уровнях.

Китай, наоборот, выбрал путь жесткой централизации с 2017 года. Следом за ним, была Россия в 2018 году, но реальная системная работа началась с обновления законодательства в 2025 году, которое сделало правила и ответственность более четкими.

Как понять бизнесу, что КИИ необходима

Евгений Антонов: Представим владельца бизнеса. Как ему понять, что его компания теперь попадает под эти требования? Маркетплейсу, например.

Константин Анисимов: Сначала нужно определить, в какой отрасли работает компания. На сегодняшний день под КИИ попадают 13 ключевых секторов, определенных законом: здравоохранение, транспорт, энергетика, связь, финансовый сектор, ТЭК, атомная энергетика и др. Ритейл, куда относятся маркетплейсы, пока не входит в этот список, но, скорее всего, в дальнейшем там появится. Потому что эта отрасль сильно консолидируемся.

То есть, дело в масштабе. После уточнений законодательства в 2025 году под КИИ регулирование в первую очередь попадает крупный бизнес. Тогда, как ИП, например, сюда не входит.

Алгоритм простой. Если компания является крупным игроком в регулируемой отрасли, ей необходимо создать внутреннюю комиссию. Задача этой комиссии – провести категорирование. Для этого оценивается потенциальный ущерб от выхода из строя каждой информационной системы.

Ущерб может быть социальным, экономическим (включая потери для бюджета), экологическим, политическим или оборонным. На основе этого расчета система получает одну из трех категорий: высокую, среднюю или низкую. Для первой и второй категории обязательна КИИ аттестация. Для третьей категории достаточно разработать внутренние документы и быть готовым к их проверке.

Важный момент, что защищать нужно не всю IT-инфраструктуру компании, а только те информационные системы, простой которых нанесет значительный ущерб. В этом смысле КИИ со временем станет таким же базовым стандартом цифровой «гигиены», как и защита персональных данных сегодня.

Облака для КИИ: зачем бизнес идет к провайдерам

Евгений Антонов: Кажется, что строить КИИ своими силами – очень нетривиальная задача. Наверное, ее, грубо говоря, мало, кто может самостоятельно решить. Значит ли это, что все потянутся в облака?

Константин Анисимов: Востребованность облаков для КИИ действительно растет. Есть три пути реализации.

Первый On-Premise. Строите свои ЦОДы, покупаете сертифицированное ПО. Это оправдано, только если у вас мощности от 10 МВт. Второй – полностью провайдерский. Арендуете уже готовую аттестованную инфраструктуру как услугу. Это снимает огромный пласт затрат и сложностей.

Третий и самый перспективный – гибридная модель. Это соответствует лучшим мировым практикам. Например, правилу 3-2-1 для резервного копирования, когда три копии данных на двух разных типах носителей и одна копия – за пределами основного контура. Так компания может критически важное ядро оставить у себя, а для резервирования, разработки или хранения данных использовать защищенное облако провайдера. Это дает и безопасность, и гибкость, и устойчивость.

Виктор Корейша: Допустим, компания использует облако провайдера с КИИ-решением. Происходит инцидент – кто отвечает?

Константин Анисимов: Провайдер отвечает за физическую безопасность ЦОД (уровни защиты Tier-3/Tier-4), работу сетевой инфраструктуры, базовый мониторинг, защиту от DDoS. Свой сегмент он аттестует. Клиент отвечает за безопасность своих данных, управление доступом пользователей, конфигурацию приложений.

При инциденте смотрят, в чьем контуре произошла компрометация. Как и при ДТП, бывают сложные инциденты, где вина частичная с обеих сторон. Поэтому в договоре и при аттестации важно максимально детально прописать зоны ответственности.

Спрос на новые компетенции

Евгений Антонов: Создает ли эта новая реальность спрос на узких специалистов? Есть ли шанс стать экспертом по КИИ?

Константин Анисимов: Да, такая возможность есть. Сейчас очень не хватает людей двух направлений.

Первые – сильные продуктовые менеджеры. Те, кто может взять сложный, соответствующий жестким требованиям КИИ-продукт и упаковать его в удобный, понятный рынку сервис.

Вторые – практикующие консультанты. Специалисты, которые могут прийти в компанию, помочь провести категорирование, рассчитать ущерб, спроектировать архитектуру. Даже если вы не получите официальный аттестат в ФСТЭК, как консультант вы будете крайне востребованы.

Виктор Корейша: А если такой консультант ошибется – кто будет нести ответственность за инцидент?

Константин Анисимов: Все определяется договорными отношениями. Ответственность наступает при реальном ущербе и если она четко прописана в контракте.

Ситуация похожа на начало работы 152-ФЗ о персональных данных. Тогда тоже можно было формально описать процессы на бумаге, не меняя реальных практик. Но рынок очень быстро показал, что такой подход не работает.

Рынок естественным образом отсеивает тех, кто предлагает лишь формальное соответствие, в пользу специалистов, которые обеспечивают бизнесу реальную безопасность и непрерывность.