Василий Степаненко, Nubes: Мы создали новое поколение безопасных облаков

24 Мая 2023 14:0824 Мая 2023 14:08 |
Поделиться

Клиенты не всегда понимают, как обеспечить безопасность переведенной в облако инфраструктуры. При этом по умолчанию они получают в свое распоряжение «голый» IaaS, где вся защита сводится к вводу пароля. Который, кстати, вряд ли меняется. Генеральный директор компании Nubes Василий Степаненко рассказал CNews, каким образом облако следующего поколения Next Generation Cloud закрывает потребности клиентов в защите виртуальной инфраструктуры без переплат за дополнительные сервисы и какую роль в решении этой задачи играет open source, а также посоветовал не замыкаться на продуктах отечественной разработки при построении публичного облака.

CNews: Расскажите, что такое NGcloud и в чем его отличие от классического облачного сервиса?

Василий Степаненко: Устоявшегося понятия Next Generation Cloud в мире пока нет, но мы решили предложить клиентам свою версию. В 2023 г. компания Nubes запустила новый облачный сервис, получивший название NGcloud, что можно расшифровать как Next Generation Cloud или облако следующего поколения. От стандартного сервиса IaaS оно отличается более гибким SLA и наличием встроенных сервисов практической защиты, которые призваны обеспечить клиентам максимальную безопасность.

Во-первых, это инструменты двухфакторной аутентификации пользователей, реализованные на основе open source решения Keycloak. Во-вторых, в облаке NGcloud построен механизм сканирования IP-адресов, и мы ежемесячно предоставляем клиентам отчеты об обнаруженных уязвимостях. В-третьих, мы дополнили облако защитой от DDoS-атак, а также с помощью решения класса SIEM ведем сбор событий ИБ.

Кроме того, инфраструктура облака размещается в собственном дата-центре Nubes Alto, что дает возможность реализовывать гибридные схемы. Например, когда клиент размещает свое оборудование и стыкует его с облаком. ЦОД построен с учетом всех требований безопасности и получил сертификаты Tier III и PCI DSS 4.0, а также заключение по 152-ФЗ. Таким образом, мы обеспечиваем двойную безопасность — и на физическом (ЦОД), и на облачном уровне. Это дает возможность предоставить сквозной SLA, покрывающий и сам сервис, и физическую площадку под ним.

CNews: Расскажите подробнее, как устроена защита от DDoS-атак?

Василий Степаненко: Защита осуществляется на сетевом и транспортном уровнях (L3/L4). Для анализа трафика установлены специальные сенсоры. При обнаружении атаки они передают сигнал в Security Operation Center (SOC) нашего партнера, который обеспечивает защиту от DDoS.Если по какому-то каналу идет атака, для этой подсети «глушатся» все маршруты за исключением маршрута через фильтрующее облако. Таким образом, проблема решается без потери трафика. В области противодействия DDoS-атакам мы сотрудничаем с рядом компаний, в том числе Servicepipe, DDoS-Guard, QRator. Сенсоры со временем будут полностью подконтрольны нашей дежурной смене, сейчас мы растим компетенции своих специалистов.

Помимо встроенной защиты, клиент дополнительно может приобрести защиту от DDoS-атак уровня приложений (L7) (не только AntiDDoS, но и WAF, AntiBot, защита API). Однако это уже будет являться отдельной услугой. Такой уровень не всем нужен и требует предоставления SSL-сертификатов, а также плотной совместной работы с инженерами клиента.

CNews: Каким образом осуществляется контроль за событиями безопасности?

Василий Степаненко: Для анализа событий на инфраструктуре NGcloud мы применяем open-source решение Wazuh. Система собирает данные о доступе администраторов на различных уровнях облака, а также о доступе к виртуальной инфраструктуре администраторов клиентов. В случае взлома эта информация позволяет определить, где и когда имел место несанкционированный доступ. При этом мы сотрудничаем с несколькими ведущими российскими компаниями, занимающимися расследованиями киберпреступлений. С ними заключены контракты и договоры о неразглашении. По желанию клиента мы можем оперативно предоставить логи событий кибердетективам без необходимости заключать дополнительный договор на согласование юридических формальностей может уйти до нескольких недель, а это может оказаться критичным с точки зрения поиска злоумышленников.

CNews: Но ведь перечисленные ИБ-сервисы есть и в портфеле других облачных провайдеров…

Василий Степаненко: В нашем облаке сервисы защиты предусмотрены по умолчанию, а в целом же на рынке стандартом является противоположная ситуация: пользователям предлагают «голый» IaaS с аттестатами, сертификатами и заключениями, который по дополнительному запросу можно дополнить практическими сервисами ИБ. Также разница заключается в том, что в облаке NGcloud за пользование инструментами безопасности не взимается дополнительная плата. Большинство сервисов реализованы на решениях с открытым кодом, что позволило минимизировать наши затраты и предложить покупателям оптимальную цену.

Однако я хотел бы подчеркнуть, что наша компания не стремится навязать клиентам лишние сервисы, и у них всегда есть возможность отказаться от ИБ-составляющей облака NGcloud. Например, если на инфраструктуре клиента уже реализованы меры защиты посредством сторонних сервисов.

CNews: Каким заказчикам интересно подобное защищенное облако со встроенными инструментами ИБ?

Василий Степаненко: Прежде всего, это компании, у которых нет собственной экспертизы в области информационной безопасности. Компании, которые стремятся сократить затраты на непрофильную для них компетенцию, и с этой целью переносят ИТ-нагрузки в облака к внешним сервис-провайдерам. Именно такие клиенты чаще всего становятся жертвами хакеров, так как при миграции в облака они часто забывают реализовать даже элементарные меры защиты. Речь о бизнесе среднего размера с достаточно большой инфраструктурой, но без ресурсов на развитие собственной ИТ-экспертизы, как у компаний уровня enterprise. Обычно это не очень крупные компании из сферы здравоохранения и транспорта, представители розничной торговли среднего размера.

CNews: Сколько сейчас клиентов в NGcloud и каковы планы по привлечению новых клиентов?

Василий Степаненко: К моменту запуска нового сервиса у Nubes уже были действующие клиенты, размещающиеся в нашем обычном публичном облаке. Сейчас мы перевозим этих клиентов в новое облако. Это около 100 компаний разного уровня, от небольших до enterprise. До конца 2023 г.Nubes планирует увеличить клиентскую базу по сервису IaaS в 2 раза, а рост выручки мы прогнозируем в 3–4 раза.

CNews: Почему вы решили строить безопасное облако на основе open source решений? Ведь часто их упрекают за низкий уровень защиты по сравнению с проприетарными решениями.

Василий Степаненко: Прежде всего, мы располагаем достаточной экспертизой, чтобы самостоятельно доработать решения с открытым кодом под потребности нашего облака. Кроме того, такие сервисы как Keycloak или Wazuh де-факто являются стандартами. Например, Keycloak применяется в большинстве платных сервисов двухфакторной аутентификации, включая SafeNet. Так что это уже достаточно зрелые решения, где требуется не так много доработок.

В целом же, Nubes делает выбор в пользу производительности. Российские продукты часто замкнуты на локальный рынок, в то время как международные вендоры имеют возможность «обкатывать» свои продукты в глобальном масштабе, реализуя защиту от более широкого спектра атак. Для нас более актуальным является не тренд собственно импортозамещения, а замена нелояльных по отношении к России вендоров на азиатских, ближневосточных или отечественных производителей, если их продукция соответствует нашим критериям.

При выборе партнерских решений в области ИБ ключевыми факторами для нас являются производительность и цена решений, а также доступность подписок, а вот наличие сертификата ФСТЭК играет второстепенную роль, так как мы не ориентируемся на госзаказчиков. При этом мы проводим аттестацию нашего облака для обработки персональных данных, однако это, вопреки расхожему мнению, еще не означает использование сертифицированных российским регулятором средств защиты (хотя ряд таких решений все же используется и в NGcloud).

CNews: Рассматриваете ли вы возможность перевода облака на одну из российских платформ виртуализации?

Василий Степаненко: У нас есть планы по использованию альтернативных вендоров виртуализации, однако мы больше заинтересованы не в российских, а в китайских производителях. По нашей оценке, они превосходят отечественные аналоги с точки зрения соотношения цены и качества.

Преимуществами российских решений является их близость, а именно — регистрация в Реестре отечественного ПО, наличие сертификатов ФСТЭК, налоговые льготы, русскоязычная техподдержка. Недостаток в том, что они не так долго находятся в эксплуатации, что означает большое количество невыявленных ошибок. Китайские разработки выгодно отличаются на этом фоне — они обкатаны на рынке огромного объема, и в них уже решены «детские» проблемы. Российским вендорам это еще только предстоит.

Российские платформы виртуализации позволяют создавать частные облака, однако они еще не «созрели» до нагрузок и требований к масштабированию, которые предъявляют публичные облака. Исключения составляют продукты, доведенные «до ума» самими облачными провайдерами, например, такие разработки используются в Яндекс и VK.

К сожалению, в распоряжении Nubes нет команды из 150+ разработчиков, которая способна допилить OpenStack до уровня публичного облака. В «ванильной» версии OpenStack отсутствует сетевой маршрутизатор NSX, а без него построить облако для публичного провайдера невозможно, поэтому для доработки платформы требуется миллион «костылей» и большая команда программистов. Именно поэтому мы ищем готовое решение в области виртуализации, а open source внедряем только там, где это не требует сверхусилий с точки зрения доработки (например, мониторинг).

CNews: Облако NGcloud построено на базе собственного дата-центра. Какие преимущества это дает с точки зрения предоставления сервисов?

Василий Степаненко: Работа на базе собственного ЦОД дает возможность реализовывать гибридные схемы, когда клиент размещает свое оборудование и стыкует его с облаком. При этом дата-центр построен с учетом всех требований безопасности и получил сертификаты Tier III и PCI DSS, а также заключение по 152-ФЗ. Таким образом, мы обеспечиваем двойную безопасность — и на физическом, и на облачном уровне, что дает нам возможность предоставить сквозный SLA, покрывающий и сам сервис, и физическую площадку под ним.

CNews: В описании NGcloud сказано, что SLA стал более гибким и предусматривает адаптацию к требованиям заказчика. В чем заключается более гибкий подход?

Василий Степаненко: Мы планируем построить несколько облачных кластеров, в которых будут реализованы разные уровни отказоустойчивости, подтвержденные договорами об оказании услуг (SLA).

Недавно мы запустили новый сегмент виртуализации, который был построен с ядрами 2,9 ГГц на двухсокетном оборудовании Lenovo. Этот кластер способен поддерживать более высокое качество сервиса с низким уровнем переподписки (когда провайдер подписывает разных клиентов на одни и те же ресурсы из расчета, что их пиковые нагрузки никогда не пересекутся во времени). Для клиентов в этом технологическом сегменте Nubes предоставляет SLA на доступность виртуальных клиентских машин 99,99%. В течение текущего года мы планируем построить еще один кластер виртуализации с четырехсокетным оборудованием, где будет более высокий уровень переподписки и, соответственно, более низкий уровень SLA — около 99,95%. Четырехсокетные серверы более высоконагруженные, соответственно, вероятность их выхода из строя выше, а эффект от такой поломки для клиентов более заметный.

Таким образом, у клиента будет возможность выбрать кластер виртуализации в зависимости от необходимого соотношения цены к уровню обслуживания и отказоустойчивости сервиса.

Но хотел бы подчеркнуть, что упомянутые выше сервисы ИБ NGcloud остаются общими для всех пользователей облака вне зависимости от кластера. Как и соответствие предоставляемых услуг требованиям российских и международных стандартов, включая УЗ-1 согласно ФЗ-152 («О защите Персональных данных»), ГОСТ Р 57580 (безопасность финансовых данных), а также ISO 27001, ISO 27017 и ISO 27018 (международные стандарты в области ИБ).

CNews: Каковы ваши планы по развитию NGcloud и связанных с этим облаком сервисов?

Василий Степаненко: Помимо инструментов безопасности, которые уже встроены в облако, мы планируем развивать экосистему дополнительных ИБ-услуг, которые пользователи облака смогут приобретать по модели MSSP. Мы планируем предлагать клиентам отечественные и зарубежные решения в каждом классе. Сейчас наши клиенты уже имеют возможность получить подписку на NGFW (Next Generation Firewall). На данный момент Nubes сотрудничает с такими вендорами, как Sangfor, Check Point и UserGate. Мы предоставляем сервис 1С, почту на базе CommuniGate PRO, набор инструментов на базе NextCloud. Этим летом к услугам клиентов также появится WAF (Web Application Firewall), а к концу 2023 г. защищенный Kubernetes и DBaaS. Поскольку в контейнерах обычно запускаются именно приложения, WAF также будет частью экосистемы защищенного Kubernetes. При этом, как и в случае других продуктов, мы не будем писать код с нуля, а возьмем уже имеющиеся на рынке решения и создадим «обвязку» вокруг Kubernetes в соответствии с лучшими практиками.

CNews: Спасибо.

Токен: Kra249JygРекламодатель: ООО «НУБЕС»ИНН/ОГРН: 9706005293/1207700098759

Полный текст статьи читайте на CNews