Миграция сервисов в российское облако с учетом требований информационной безопасности
Алексей Боровиков, технический архитектор в Astra Cloud, специально для CISO Club рассказал о базовых принципах миграции в облако с учетом минимизации рисков и соблюдения всех актуальных стандартов. Алексей разобрал основные этапы миграции, а также рассказал, как можно противостоять перехвату данных, бороться с ошибками конфигурации безопасности и несовместимостью некоторого ПО с российскими стандартами.
Российский бизнес в последние годы переживает сложный процесс цифровой трансформации. Ужесточение регуляторных требований и снижение внутренних расходов на ИТ подталкивают все больше компаний к переносу виртуальной инфраструктуры в российские облачные решения. Однако такой переход требует не только технической подготовки, но и строгого соблюдения норм информационной безопасности. В данной статье Алексей Боровиков, технический архитектор в Astra Cloud (входит в «Группу Астра»), рассмотрит базовые принципы организации процесса миграции в облако с учетом минимизации рисков и соблюдения всех актуальных стандартов.
Риски при миграции ИТ-инфраструктуры
При переносе ИТ-инфраструктуры в российские облака компаниям важно внимательно отнестись к вопросам информационной безопасности (ИБ). Вот ключевые риски, с которыми может столкнуться бизнес:
- Риск перехвата данных во время миграции. В качестве решения можно использовать шифрование (TLS, VPN) и защищенные каналы связи.
- Ошибки конфигурации безопасности: неправильные настройки брандмауэров, прав доступа, резервного копирования. Для решения можно применять принцип least privilege и автоматизировать развертывание (IaC — Terraform, Ansible).
- Несовместимость с российскими стандартами. Зарубежное ПО может не поддерживать ГОСТ-шифрование или требования ФСТЭК, поэтому лучше перейти на отечественное сертифицированное ПО.
Чтобы минимизировать эти и другие возможные риски, рекомендуем придерживаться простых правил:
- Обязательно проводить пилотное тестирование, то есть проверять безопасность на некритичных сервисах.
- Выполнять фазированный перенос, то есть разбить миграцию на несколько этапов с мониторингом на каждом шаге.
- Не пренебрегать документированием, то есть фиксировать все изменения и инциденты для дальнейшего тщательного анализа.
Ключевые этапы миграции в облако
Любая миграция в своей основе состоит из следующих этапов: анализа и планирования, собственно миграции данных и сервисов, дальнейшей поддержки. Давайте разберем каждый из них подробнее.
Анализ и планирование: основа успешной миграции
Прежде чем приступать к каким-либо техническим изменениям, необходимо провести всесторонний аудит текущего состояния инфраструктуры и сформировать четкий план действий. На этом этапе важно учитывать не только технологические аспекты, но и нормативно-правовые требования, которые могут существенно повлиять на выбор облачного провайдера и архитектуры будущего решения.
Один из ключевых моментов – определение требований информационной безопасности. Даже если компания уже работает в соответствии с определенными стандартами, важно еще раз провести детальную сверку с российскими нормативными актами (152-ФЗ «О персональных данных» и Приказами ФСТЭК №17, №21, №239, которые регулируют вопросы защиты информации). Далее, в зависимости от отрасли, могут применяться дополнительные требования. Например, со стороны Центрального банка для финансовых организаций или со стороны Роскомнадзора для операторов персональных данных.
Параллельно с этим проводится оценка текущей ИТ-инфраструктуры: важно проанализировать используемые сервисы, технологии, требования к производительности и отказоустойчивости. Особое внимание нужно уделить критически важным приложениям и данным, поскольку их миграция требует наиболее тщательной проработки.
Следующий шаг – выбор облачного провайдера. В российских реалиях публичное облако зачастую не подходит для размещения чувствительных данных, поэтому предпочтение лучше отдать частным облачным решениям. Так, например, в Astra Cloud, помимо стандартного публичного облака, есть решение off-premise – это полностью частная инсталляция компании, но на оборудовании и территории сервис-провайдера. Такой подход позволяет защитить чувствительные данные, выполнить регуляторные требования и снизить расходы на создание собственной физической инфраструктуры.
Завершающая часть этапа планирования – разработка детальной дорожной карты миграции. Необходимо прописывать сроки, порядок переноса сервисов, распределение ресурсов и меры по минимизации рисков. Отдельное внимание стоит уделить плану отката — порядку действий на случай, если процесс пойдет не по запланированному сценарию.
Миграция: от тестирования до полного перехода
После завершения подготовительных работ наступает этап переноса данных и сервисов. Однако прежде чем запускать полномасштабную миграцию, рекомендуем провести пилотное тестирование на отдельных приложениях. Это позволит выявить потенциальные проблемы, проверить настройки безопасности и оценить производительность системы в новых условиях.
Если тестовая фаза завершена успешно, можно приступать к основному переносу. Важно обеспечить непрерывность бизнес-процессов, поэтому миграция часто проводится поэтапно, с минимальным временем простоя. Особое внимание стоит уделить целостности и доступности данных — любая ошибка на этом этапе может привести к серьезным последствиям.
После завершения переноса рекомендуем провести комплексное тестирование, которое включает проверку на соответствие требованиям ИБ, оценку производительности и отказоустойчивости. При необходимости внесите корректировки в конфигурацию системы.
Поддержка: обеспечение стабильности и безопасности
Миграция — это не конечная точка, а лишь начало работы в новой среде. Чтобы гарантировать долгосрочную стабильность и безопасность, необходимо организовать постоянный мониторинг инфраструктуры для своевременного выявления и устранения потенциальных угроз.
Еще одним важным аспектом является обучение персонала. Даже самая совершенная система не будет эффективной, если сотрудники не знают, как с ней работать. Поэтому тренинги и инструктажи — обязательная часть постмиграционного процесса.
Обучение можно проводить в формате видеоуроков, а также предоставления доступа к различным гайдам, инструкциям и чек-листам. Программу каждого тренинга можно разбить на условно базовый уровень – для всех сотрудников, и на обучение техническим аспектам – для ИТ-отдела.
В программу базового уровня обязательно нужно включить блок о безопасности, где рассказать о новых политиках доступа, работе с двухфакторной аутентификацией и правилах распознавания фишинга. Сотрудникам ИТ-отделов следует рассказать об управлении инцидентами в облаке, настройке систем мониторинга и особенностях резервного копирования в облачной среде.
В качестве проверки усвоения знаний, можно использовать различные тесты или даже симуляции инцидентов. Важно проводить такие тренинги регулярно, хотя бы раз в квартал, чтобы освежать знания в памяти сотрудников и обновлять программу.
Главное о миграции в облако
Миграция сервисов в облако – сложный, но вполне реализуемый проект. Ключ к успеху – тщательное планирование, пошаговый подход и постоянный контроль на всех этапах. Если подытожить, то можно выделить следующие ключевые точки миграции:
- Анализ регуляторных требований: общих и с учетом сферы деятельности компании.
- Оценка текущего состояния инфраструктуры и сервисов с особым вниманием к критически важным приложениям и данным.
- Разработка плана миграции: порядок переноса и сроки, распределение ресурсов и сценарий отката.
- Пилотное тестирование на некритичных сервисах, а уже потом – полноценная, но поэтапная миграция.
- Комплексное тестирование работы систем и сервисов после переноса, в том числе с оценкой соответствия требованиям ИБ.
- Внедрение системы мониторинга и обучения сотрудников.
astracloud.ru
