Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК

в 12:28, , рубрики: аттестация, Блог компании Selectel, дата-центры, Законодательство в IT, Облачные вычисления, облачные технологии, ФСТЭК
Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК - 1

Миграция в облако для госструктур и бизнеса, работающего с государственными проектами, — задача с большим числом неизвестных. Таким компаниям хочется использовать облака из-за гибкого масштабирования ресурсов и быстрого развертывания сервисов. Решение также не требует капитальных затрат, если сравнивать его с построением собственной инфраструктуры. Но преимущества облака часто ломаются о перечень требований безопасности к государственным информационным системам (ГИС).

Облако как минимум должно соответствовать 152-ФЗ, но это только верхушка айсберга. Чтобы ГИС смогли полноценно использовать облачный IaaS, нужно аттестовать инфраструктуру в соответствии с уровнем значимости данных и классом защищенности, как того требует 21 и 17 приказы ФСТЭК, а в некоторых случаях — приказ Гостехкомиссии № 282.

Из-за запрета на закупки иностранного ПО государственным организациям и работающим с ними компаниям требуются отечественные решения. Они должны сочетать гибкость и удобство облака с возможностью аттестации и развертывания ГИС любых классов защищенности. Этим требованиям соответствует аттестованное облако Selectel.

Что такое аттестованное облако


Облачная платформа Selectel входит в реестр российского ПО. Аттестованное облако — часть этой платформы, инфраструктура для размещения систем, включающая облачные серверы и S3-хранилище. Разница с другими моделями облаков — в выполняемых мерах и соответствующих сертификатах и аттестации, которую провайдер уже прошел за клиентов. Облачная инфраструктура соответствует требованиям безопасности согласно 21, 17 приказам ФСТЭК и СТР-К, и готова для обработки данных УЗ 1-4, К 1-3 и 1Г.

Вот инструменты, которые используются в облаке и S3-хранилище для соответствия требованиям ГИС:

Описание решения Выполняемые меры
Плата доверенной загрузки Доверенная загрузка и контроль целостности конфигураций
Защита среды виртуализации Сертифицированное средства защиты виртуальных инфраструктур
Защита нод от несанкционированного доступа Сертифицированное средство защиты от несанкционированного доступа
Защита сетей и трафика Кластер сертифицированных межсетевых экранов и шлюзов шифрования
Защита от вредоносного ПО Сертифицированный антивирус
Контроль уязвимостей Сертифицированный сканер безопасности
Мониторинг информационной безопасности Сертифицированная SIEM система

Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК - 2

Кто может использовать аттестованное облако

  • Государственные заказчики.
  • Разработчики государственных информационных систем.
  • Коммерческие заказчики с требованиями по аттестации.
  • Операторы персональных данных с требованиями по аттестации.
  • Владельцы любых конфиденциальных данных с требованиями по аттестации.

Кейс

Компания реализует государственную оздоровительную программу на федеральном уровне. У нее также есть сайт с системой личных кабинетов. Инфраструктура проекта работает с разной информацией, в числе которой:

  • Персональные данные, требующие самого высокого класса защищенности (УЗ-1). Например, большой объем биометрических данных спортсменов.
  • Платформа взаимодействует с органами власти и должна соответствовать требованиям ИБ для госорганов (ГИС К2).

Даже для обработки заявок на федеральный турнир компании потребуется соответствие УЗ-3. Для хранения медицинских данных и взаимодействия с ГИС— еще больший уровень защиты, который может предоставить не каждый провайдер.

Использовать аттестованное облако в таком случае безопасно и удобно. Госзаказчики получают необходимые документы (выписка из модели угроз, аттестация инфраструктуры в соответствии с приказами ФСТЭК). Компания-подрядчик решает вопрос документации, а также может легко масштабировать ресурсы при росте нагрузки.

Чем такое облако отличается от аттестованного ЦОД


Оба решения обеспечивают самые высокие классы защищенности конфиденциальной информации, поэтому ответ здесь такой: в зависимости от того, какая задача стоит перед компанией и какие компоненты предполагается разворачивать.

В А-ЦОД доступны готовые и произвольные конфигурации аппаратных серверов. В А-ЦОД компания может полностью взять на себя управление инструментами защиты или полностью делегировать эти задачи провайдеру.

Узнать подробнее о том, как работает А-ЦОД, можно из этих материалов:

Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?
Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности

Разница обнаруживается в уровнях абстракции, для которых провайдер выполняет меры безопасности и проходит путь за клиента. Если в информационной системе предполагается использовать технологии виртуализации — аттестованное облако представляется наиболее удобным, поскольку уже обеспечивает максимальную безопасность самой платформы.

А-ЦОД и аттестованное облако можно связать, чтобы использовать преимущества выделенных и облачных серверов в одном проекте. То есть клиент может создать гибридную инфраструктуру из аттестованного сегмента ЦОД и аттестованного облака. Это обеспечит дополнительную отказоустойчивость и гибкие возможности для создания распределенных систем. Например, в такой схеме базы данных можно разместить на выделенных серверах, чтобы организовать высокую скорость чтения и записи, а остальные элементы инфраструктуры вынести в облако.

Как начать использовать аттестованное облако


Чтобы создать облачный сервер в аттестованном облаке, нужно зайти в панель управления Selectel: Облачная платформа → Москва → gis-1. Для зоны gis-1 также доступно объектное хранилище, соответствующее тем же уровням и нормативным требованиям.

Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК - 3

Далее можно создавать виртуальные машины — выбирать ОС и конфигурацию — и строить инфраструктуру. Весь контроль ресурсов осуществляется через панель управления.

В качестве кастомного проекта аттестованное облако можно развернуть on-premise в дата-центре провайдера или в локальной инфраструктуре заказчика. Клиент получает физический доступ к оборудованию, но весь процесс администрирования сохраняется за провайдером. Для размещения в контуре клиента может использоваться арендное оборудование или клиентское, если оно окажется совместимым.

Заключение


Аттестованное облако представляется более гибким решением, чем А-ЦОД, если требуется использование виртуализации и возможность быстрого масштабирования. Таким образом, его можно использовать для самых разных задач при работе с ГИС: от хостинга почтового сервиса до развертывания федеральных информационных систем.

Провайдер берет на себя все работы по обеспечению безопасности и соответствия требованиям облачной платформы и техническую поддержку, предоставляет необходимые для аттестации документы. Это дает возможность компаниям не тратить время и ресурсы на создание или поиск подходящей инфраструктуры, а развивать свои проекты.

Автор: Михаил Фомин

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js