Облако с государственной аттестацией: как пользоваться гибкостью виртуализации и сответствовать приказам ФСТЭК20.04.2023 16:31

fragl8g30ag6qpkvdacq5i6oomw.png


Миграция в облако для госструктур и бизнеса, работающего с государственными проектами, — задача с большим числом неизвестных. Таким компаниям хочется использовать облака из-за гибкого масштабирования ресурсов и быстрого развертывания сервисов. Решение также не требует капитальных затрат, если сравнивать его с построением собственной инфраструктуры. Но преимущества облака часто ломаются о перечень требований безопасности к государственным информационным системам (ГИС).
Облако как минимум должно соответствовать 152-ФЗ, но это только верхушка айсберга. Чтобы ГИС смогли полноценно использовать облачный IaaS, нужно аттестовать инфраструктуру в соответствии с уровнем значимости данных и классом защищенности, как того требует 21 и 17 приказы ФСТЭК, а в некоторых случаях — приказ Гостехкомиссии № 282.

Из-за запрета на закупки иностранного ПО государственным организациям и работающим с ними компаниям требуются отечественные решения. Они должны сочетать гибкость и удобство облака с возможностью аттестации и развертывания ГИС любых классов защищенности. Этим требованиям соответствует аттестованное облако Selectel.

Что такое аттестованное облако


Облачная платформа Selectel входит в реестр российского ПО. Аттестованное облако — часть этой платформы, инфраструктура для размещения систем, включающая облачные серверы и S3-хранилище. Разница с другими моделями облаков — в выполняемых мерах и соответствующих сертификатах и аттестации, которую провайдер уже прошел за клиентов. Облачная инфраструктура соответствует требованиям безопасности согласно 21, 17 приказам ФСТЭК и СТР-К, и готова для обработки данных УЗ 1–4, К 1–3 и 1Г.

Вот инструменты, которые используются в облаке и S3-хранилище для соответствия требованиям ГИС:


icl-hyurhwbjniuvscgfdssujky.png

Кто может использовать аттестованное облако


  • Государственные заказчики.
  • Разработчики государственных информационных систем.
  • Коммерческие заказчики с требованиями по аттестации.
  • Операторы персональных данных с требованиями по аттестации.
  • Владельцы любых конфиденциальных данных с требованиями по аттестации.


Кейс


Компания реализует государственную оздоровительную программу на федеральном уровне. У нее также есть сайт с системой личных кабинетов. Инфраструктура проекта работает с разной информацией, в числе которой:

  • Персональные данные, требующие самого высокого класса защищенности (УЗ-1, К-2). Например, биометрические данные спортсменов.
  • Общедоступные данные. Например, списки участников соревнований. Подобная информация обычно маркируется УЗ-3 или УЗ-4.


Даже для обработки заявок на федеральный турнир компании потребуется соответствие УЗ-3. Для хранения медицинских данных — еще больший уровень защиты, который может предоставить не каждый провайдер.

Использовать аттестованное облако в таком случае безопасно и удобно. Госзаказчики получают необходимые документы (выписка из модели угроз, аттестация инфраструктуры в соответствии с приказами ФСТЭК). Компания-подрядчик решает вопрос документации, а также может легко масштабировать ресурсы при росте нагрузки.

Чем такое облако отличается от аттестованного ЦОД


Оба решения обеспечивают самые высокие классы защищенности конфиденциальной информации, поэтому ответ здесь такой: в зависимости от того, какая задача стоит перед компанией и какие компоненты предполагается разворачивать.

В А-ЦОД доступны готовые и произвольные конфигурации аппаратных серверов. В А-ЦОД компания может полностью взять на себя управление инструментами защиты или полностью делегировать эти задачи провайдеру.

Узнать подробнее о том, как работает А-ЦОД, можно из этих материалов:

→ Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?
→ Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности


Разница обнаруживается в уровнях абстракции, для которых провайдер выполняет меры безопасности и проходит путь за клиента. Если в информационной системе предполагается использовать технологии виртуализации — аттестованное облако представляется наиболее удобным, поскольку уже обеспечивает максимальную безопасность самой платформы.

А-ЦОД и аттестованное облако можно связать, чтобы использовать преимущества выделенных и облачных серверов в одном проекте. То есть клиент может создать гибридную инфраструктуру из аттестованного сегмента ЦОД и аттестованного облака. Это обеспечит дополнительную отказоустойчивость и гибкие возможности для создания распределенных систем. Например, в такой схеме базы данных можно разместить на выделенных серверах, чтобы организовать высокую скорость чтения и записи, а остальные элементы инфраструктуры вынести в облако.

Как начать использовать аттестованное облако


Чтобы создать облачный сервер в аттестованном облаке, нужно зайти в панель управления Selectel: Облачная платформа → Москва → gis-1. Для зоны gis-1 также доступно объектное хранилище, соответствующее тем же уровням и нормативным требованиям.

qlq0i5auave4hwvvz04e1advm2a.png


Далее можно создавать виртуальные машины — выбирать ОС и конфигурацию — и строить инфраструктуру. Весь контроль ресурсов осуществляется через панель управления.

В качестве кастомного проекта аттестованное облако можно развернуть on-premise в дата-центре провайдера или в локальной инфраструктуре заказчика. Клиент получает физический доступ к оборудованию, но весь процесс администрирования сохраняется за провайдером. Для размещения в контуре клиента может использоваться арендное оборудование или клиентское, если оно окажется совместимым.

Заключение


Аттестованное облако представляется более гибким решением, чем А-ЦОД, если требуется использование виртуализации и возможность быстрого масштабирования. Таким образом, его можно использовать для самых разных задач при работе с ГИС: от хостинга почтового сервиса до развертывания федеральных информационных систем.

Провайдер берет на себя все работы по обеспечению безопасности и соответствия требованиям облачной платформы и техническую поддержку, предоставляет необходимые для аттестации документы. Это дает возможность компаниям не тратить время и ресурсы на создание или поиск подходящей инфраструктуры, а развивать свои проекты.

© Habrahabr.ru