«Группа Астра» выпустила Облако Astra Cloud на российских процессорах Baikal-S. Это шаг к технологической независимости или выполнение требований регуляторов? Разбираемся вместе с экспертами.
- 1. Введение
- 2. Регулятор готов откладывать сроки внедрения
- 3. Astra Cloud на российских процессорах Baikal-S
- 4. Выбор целей: импортозамещение и технологический суверенитет
- 5. x86 vs ARM: признаки технологического суверенитета
- 6. ARM TrustZone: контроль безопасности
- 7. ARM CCA: непрерывный динамический процесс обеспечения безопасности
- 8. Российский бизнес и технологический суверенитет
- 9. Выводы
Введение
14 мая разработчик инфраструктурного ПО «Группа Астра» объявил о выпуске облака Astra Cloud, построенного на процессорах Baikal-S от компании «Байкал Электроникс». Российский вендор объявил о завершении собственных испытаний уже имеющегося в его линейке решения, выполненного теперь в новой конфигурации, и об открытии предзаказа, предложив заказчикам новый вариант для построения облачной инфраструктуры в трех форматах: Public, On-Premise и ПАК xCloud (лицензия и подписка).
Главная отличительная особенность нового решения заключается в том, что впервые оно полностью построено на отечественном технологическом стеке — начиная от чипа Baikal-S и заканчивая конечными сервисами. Весь объём инженерной подготовки отвечает требованиям ИБ на уровне, который регулятор предъявляет к значимым объектам критической информационной инфраструктуры (ЗОКИИ).
Рисунок 1. Пресс-конференция по анонсу первого в России облачного решения на отечественных процессорах
В чём состоит выгода от выпуска нового решения? Оно создано с учетом выполнения требований регулятора или это действительно важный шаг вперёд для отрасли? Исследуем уровень новизны и инновационности нового решения, опросив еще и экспертов.
Регулятор готов откладывать сроки внедрения
Для начала напомним, что Минцифры в настоящее время готовит проект постановления Правительства РФ, в котором будут названы уточнённые сроки перевода ЗОКИИ на российские ИТ-решения. Ожидается, что базовый срок перехода (1 января 2028 года) сохранится только для объектов, имеющих готовые отечественные аналоги. В остальных случаях предельные сроки могут быть перенесены — до 1 января 2031 года или до 1 января 2036 года в зависимости от даты присвоения объекту статуса ЗОКИИ.
Это звучит крайне неопределённо. Очевидно, что нельзя перейти на ИТ-продукты, которые ещё не существуют. Поскольку нередко речь идёт об отказе не только от западных решений, но и от всей выстроенной под них инфраструктуры, поводов для продления сроков перехода оказывается достаточно много. Поэтому оговорка о том, что регулятор не будет требовать невозможного, выглядит двусмысленно. Речь идёт об ошибке в прогнозах разработки отечественных решений или о чём-то другом?
Очевидно также, что любой переход требует серьёзных затрат на проверку совместимости. Поэтому реальные ИТ-конфигурации, особенно у крупных заказчиков, не могут быть быстро переведены на отечественные решения, а совместимость «из коробки» нередко доступна только для типовых конфигураций.
Что же сдерживает реализацию указов Президента РФ №166 и №250, принятых ещё в 2022 году и требовавших завершить перевод ЗОКИИ на российское ПО с 1 января 2025 года? Что заставляет компании откладывать переход на российские решения?
Реальность указывает на то, что, согласно проекту Минцифры, реальные сроки внедрения могут быть сдвинуты на «годы вперед», что выглядит двусмысленно, особенно в период активного развития проектов агентского ИИ, где динамика инновационных изменений исчисляется месяцами, а не годами и десятилетием.
Отметим самый важный сдвиг, который наконец готовы признать в Минцифры: перед ИТ-отраслью можно ставить рубежные цели, но контроль и управление не реализуются директивными методами. Минцифры, по сути, готово переложить их на плечи самих заказчиков, которые лучше понимают реальные перспективы развития.
Но возникает ещё один существенный вопрос: что является главной целью перехода на отечественные продукты — возрастающие риски ИБ или достижение технологического суверенитета? Очевидно, что обе цели имеют важное значение, но, похоже, приоритет смещается ко второму варианту.
Рисунок 2. Варианты использования Astra Cloud на отечественных процессорах Baikal-S
Astra Cloud на российских процессорах Baikal-S
Выпуск Astra Cloud (в том числе в формате ПАКа xCloud) на отечественном процессоре был ожидаем. Об их разработке было объявлено ещё в декабре 2025 года, когда «Группа Астра» представила линейку ПАК на единой программной платформе Astra XPlatform, выстроенную на платформе x86. Теперь она дополнена решением на Baikal-S. Помимо облачного кластера xCloud, в неё также вошли системы хранения xData и xTime, коммуникационный узел xConnect и ML-система xGenAI.
Все продукты Astra XPlatform построены на ОС Astra Linux Server. На значимость события указывало участие в нём заместителя министра промышленности и торговли РФ Василия Шпака, а также представителей двух крупнейших заказчиков «Группы Астра» — Госкорпорации «Росатом» и ОАО «РЖД».
В основе Astra Cloud на Baikal-S используется российский программный комплекс «Средства виртуализации „Брест“» (ПК СВ «Брест»), содержащий набор инструментов для управления объектами виртуальной инфраструктуры: виртуальными машинами, VDI, физическими хостами, кластерами объектов для применения в ЦОД, средствами сетевого управления, хранилищами и т. д.
Программную поддержку ПАК xCloud обеспечивает облачная платформа виртуализации на базе ОС Astra Linux Special Edition. Платформа прошла аттестацию по уровням доверия и имеет встроенные средства защиты для контроля вычислительных ресурсов. Для автоматизации бизнес-процессов по предоставлению ИТ-услуг применяется приложение BILLmanager, позволяющее использовать xCloud как в формате закрытого частного или гибридного облака, так и для построения публичных облаков и продажи хостинга.
Среди других модулей интеграции в составе ПАК, предназначенных для управления и виртуализации, доступны следующие готовые решения: средства поддержки VMware Cloud Director, VMmanager, OpenStack и DCImanager. Программный комплекс xCloud позволяет консолидировать ИТ-инфраструктуру и развёртывать информационные и геоинформационные системы различной сложности в формате частного, гибридного или публичного облака. «Группа Астра» также предоставляет подготовленные шаблоны и готовые интеграции с регистраторами доменов, среди которых RU-CENTER, WebNames, REG.RU, Hostmaster и ResellerClub.
Для полноты анонса ПАК xCloud как полностью отечественного решения в декабре 2025 года не хватало одного — аппаратной платформы. Теперь эти возможности появились благодаря Baikal-S.
«Мы не упаковываем чужое железо в красивый корпус. Мы создаём сквозную технологию в облаке — от российского центрального процессора до конечного сервиса, которым пользуется заказчик, — прокомментировал запуск Денис Мухин, генеральный директор Astra Cloud. — Для нас здесь нет выбора между „российским“ и „эффективным“. Облачное решение Astra Cloud на Baikal-S — это прямое и честное соответствие мировому ARM-стандарту, и мы даём бизнесу инструмент для спокойного перехода на доверенную инфраструктуру уже сегодня, а не в последнюю ночь перед дедлайном».
Для участия в пилотных проектах по внедрению Astra Cloud на Baikal-S «Группа Астра» предлагает следующую бизнес-схему: для тестирования реальной конфигурации с использованием набора услуг IaaS на Baikal-S заказчикам потребуется указать планируемый сценарий применения (например, перенос продуктивных нагрузок, разработку и CI/CD, запуск ИИ-задач или отработку сценариев отказоустойчивости). Эти данные позволят «Группе Астра» подобрать конфигурацию Astra Cloud под реальный профиль заказчика и предоставить методическое сопровождение пилота.
Выбор целей: импортозамещение и технологический суверенитет
В разделе о роли регулятора в текущем процессе были выделены 2 ключевые цели: импортозамещение и технологический суверенитет.
Импортозамещение до сих пор нередко рассматривают просто как отказ от применения западных продуктов (например, из-за повышенных рисков ИБ). Причина понятна: если находящееся в эксплуатации решение может «сломаться», а его вендор прекратил техническую поддержку на территории России, то о какой надёжности ЗОКИИ можно говорить?
«Откладывание» импортозамещения также легко объясняется: в стране сохраняется достаточно высокая экспертиза по ранее внедрённым западным продуктам, что позволяет продолжать их эксплуатацию, в том числе на ЗОКИИ. Это разумный шаг, а не «русская рулетка».
Но главная опора — не «серый импорт». Хотя в традиционном списке производителей чаще всего упоминаются западные компании (Qualcomm, NVIDIA, NXP, Texas Instruments, Renesas, Infineon, Microchip Technology, AMD и др.), круг реальных значимых участников процесса производства значительно шире. Главная опора — доверие и прагматизм при ведении ИТ-бизнеса, значение которых сохраняется и после 2022 года.
В чём отличие оборудования для ЗОКИИ? Для таких объектов недостаточно доверия. Требуются собственная экспертиза, осознанный выбор решений и контролируемость рисков. Поэтому для ЗОКИИ должны применяться отечественные программные и аппаратные продукты, если поставлена цель полного контроля рисков. Эту задачу можно решить только через достижение технологического суверенитета — одного импортозамещения недостаточно.
Добавим, что в мире нет ни одной страны с полным стеком технологий. Суверенитет обеспечивается участием в разработке продуктов инновационного уровня — как на уровне принятия решений, так и на уровне полного доступа к технической документации.
x86 vs ARM: признаки технологического суверенитета
При анонсе решения Astra Cloud на базе Baikal-S прозвучал вопрос из зала: почему Baikal-S лучше процессоров Intel, если их производство не связано с Россией? Чтобы ответить на него, необходимо отойти от темы импортозамещения и выделить ключевое техническое отличие Baikal-S от Intel x86. Оно связано с переходом на архитектуру ARM.
Это вынужденный шаг России из-за санкций? Отнюдь нет. Переход к использованию платформы ARM для облачных вычислений сегодня играет важную роль для многих облачных вендоров, в том числе западных. Согласно официальным данным по итогам 3 кварталов 2025 года, доля ARM в вычислительных мощностях облачных провайдеров уже превысила 50 %.
Рисунок 3. Облака уже стали мировым стандартом для государственных и КИИ-систем
Пионером перехода на ARM стала Amazon Web Services (AWS). Позднее Google также перенесла 30 тыс. своих приложений на ARM, включая YouTube, Gmail и BigQuery. Можно вспомнить и Microsoft, выпустившую собственный процессор Azure Cobalt на архитектуре ARM и развернувшую Cobalt 100 и Cobalt 200 для собственных сервисов Azure. Собственные ARM-инстансы предлагает и Oracle.
Переведём это в термины технологического суверенитета. Выбор в пользу процессоров Intel и AMD означает сохранение зависимости из-за проприетарной бизнес-модели вендоров. Опора на ARM, предоставляющую лицензирование архитектуры и доступ к экосистеме разработки, означает достижение более высокого уровня технологического суверенитета. Он существенно выше, хотя и не является абсолютным.
ARM TrustZone: контроль безопасности
Ключевым вопросом обеспечения безопасности аппаратных средств является наличие контроля над использованием распределённых вычислительных ресурсов. С точки зрения предоставления облачных сервисов большинство западных компаний (например, Amazon, Google и Microsoft) придерживаются принципа полного доверия заказчика к поставщику услуг.
Это подразумевает, что пользователь облачных услуг полностью полагается на меры безопасности, которые поставщик применяет для защиты от злоумышленников. Но одновременно это означает, что пользователь обязан полностью доверять и самому поставщику. Строго говоря, злоумышленник может оказаться на любой стороне и злоупотреблять конфиденциальными данными клиентов. Если отвлечься от причин санкций 2022 года, западные вендоры облачных услуг показали, что подобное действительно возможно. Прежнее доверие оказалось не абсолютным.
Рисунок 4. Сравнение производительности процессоров на разных платформах
Здесь мы переходим к теме ARM. Многие знают о ней прежде всего по современным смартфонам Android, которые работают на процессорах ARM. Начиная с версии ARMv6K в 2005 году, там появилось применение доверенной среды выполнения (Trusted Execution Environment, TEE), получившее название технология TrustZone. Поскольку процессоры Baikal-S построены на более новом 48-ядерном чипсете с ядрами ARM Cortex-A75 2,5 ГГц, поддержка TrustZone там также ожидаема.
Отметим, что традиционно используемые накладные средства безопасности обеспечивают защиту данных через их шифрование на этапе передачи. Но в самих устройствах эти данные расшифровываются при передаче и, таким образом, становятся доступными, если используется среда Rich Execution Environment (REE). На этом уровне работают операционная система (ОС) и системные приложения. Если подходить строго к безопасности, то она не является полностью доверенной.
Рисунок 5. Astra Cloud предназначено для госзаказчиков и объектов КИИ
Переход к обработке в TEE позволяет обрабатывать конфиденциальные данные изолированно от остальной части работы системы. При этом сохраняются целостность и конфиденциальность данных, что обычно достигается только за счёт аппаратной поддержки.
Доверенное исполнение может применяться для изоляции особо важных с точки зрения безопасности задач. Например, аутентификации по отпечатку пальца или лицу, мобильных платежей, криптографических операций. В этом случае задачи становятся аппаратно защищёнными от возможной компрометации системы и не создают риска утечки конфиденциальных данных.
Intel не предлагает ничего подобного? Нет, предлагает. Например, через использование собственной технологии защищённых на аппаратном уровне вычислений Intel TDX (Intel Trust Domain Extensions) с возможностью создания безопасных вычислительных доменов TD (trust domains), представляющих собой аппаратно-изолированные виртуальные машины VM. Но Intel использует проприетарный закрытый код, т. е. снова всё сводится к полному доверию к вендору.
ARM CCA: непрерывный динамический процесс обеспечения безопасности
Раз речь зашла о технологическом суверенитете, то надо отметить ещё один крайне важный признак: этот подход не может быть статичным. Целью не может быть статичное достижение технологического суверенитета. Технологии — это динамично развивающийся процесс. Поэтому достичь суверенитета можно только при наличии вендоров, создающих свои продукты в фарватере развития технологий. Просто получить их тем или иным способом — это фатальная ошибка развития, особенно с учётом нынешнего ускорения динамики технологического прогресса в связи с применением ИИ.
Как пример приведём те же приложения TrustZone, которые оказались относительно статичными, и поэтому в 2021 году ARM представила более динамичный и гибкий способ создания TEE-среды (ARMv9-A) — вычислительные среды Realms. Они являются частью новой архитектуры поддержки конфиденциальных вычислений ARM CCA (ARM Confidential Compute Architecture). Блоки Realms могут создаваться и управляться из незащищённой среды во время выполнения, обеспечивая сохранение конфиденциальности и целостности TEE.
Всё это позволяет иначе взглянуть на анонс решения Astra Cloud на базе отечественных процессоров Baikal-S. Андрей Евдокимов, генеральный директор Baikal Electronics, отметил:
«До недавнего времени в России не существовало облачного сервиса на архитектуре ARM, которая сегодня определяет вектор развития глобальных ЦОД. Astra Cloud на процессорах Baikal-S впервые закрывает этот пробел. ARM-архитектура обеспечивает принципиально более высокую энергоэффективность, что, в свою очередь, снижает операционные расходы и даёт высокую производительность под современные облачные нагрузки (ИИ/ML-вычисления, работа с базами данных или веб-сервисы). В результате совокупная стоимость владения оказывается значительно ниже, чем у традиционных x86-решений».
Облачное решение Astra Cloud на Baikal-S уже проходит финальную доработку на реальных нагрузках внутри «Группы Астра». Пилотный доступ для избранных клиентов в неаттестованном сегменте откроется до конца июля 2026 года. До конца 2026 года будет действовать бесплатный период тестирования.
Рисунок 6. Андрей Евдокимов объявил, что все ПАК XPlatform будут выпущены на процессорах Baikal-S
Российский бизнес и технологический суверенитет
В качестве стартовой точки для демонстрации прикладного применения был показан запуск Astra Cloud на базе Baikal-S для корпоративной системы управления предприятием «1С:ERP». Такой вариант может оказаться интересным для заказчиков в качестве отправной точки для перехода на отечественную аппаратную платформу. Но для развития технологического суверенитета необходимо, чтобы появились возможности для переноса и других важных приложений на новую платформу.
Например, можно назвать такое решение, как «Яндекс 360 для бизнеса» в варианте On-Premises — локальную версию корпоративных сервисов на собственном сервере предприятия. Развёртывание и внедрение такого частного облака позволяет решить проблему безопасности данных и интеграции с инфраструктурой без компромиссов доверия.
Как рассказал Сергей Педченко, директор по технологическому развитию «Яндекс 360», «Яндекс 360 On-Premises» не привязан к конкретной инфраструктурной платформе: важно, чтобы среда соответствовала техническим требованиям продукта. Развёртывание выполняется в Kubernetes-кластере, совместимом с официальной версией Kubernetes, ingress-nginx и сопутствующими компонентами». Он также отметил, что компания работает над сертификацией совместимости с отечественными решениями контейнеризации.
Рисунок 7. Демонстрация запуска «1С:ERP» в Astra Cloud на базе Baikal-S
Очевидно, что и для переноса на платформу Astra Cloud на базе Baikal-S требуется дополнительная подготовка. Её реализация в значительной степени зависит от заказчиков. А поскольку в данном случае речь идёт в первую очередь о ЗОКИИ, это напрямую связано с позицией Минцифры и отраслевых министерств. Подразумевает ли это наличие плана реализации новых сроков перехода на отечественное ПО?
«Кстати, неважно, процесс ли это импортозамещения или просто миграции на новые системы. Проблемы кибербезопасности и подходы к их решению от этого принципиально не меняются. Очень важно обратить внимание на то, что при выборе ИТ-платформы должны учитываться минимум 3 момента: детальное описание архитектуры, доступность и документированность формата системных сообщений, полное описание API и возможных интеграций с внешними системами. Если какой-то из этих моментов оказывается в серой зоне, то именно она и будет точкой входа для злоумышленников», — отметил Михаил Кадер, архитектор клиентского опыта будущего UserGate.
Выводы
Новый облачный сервис Astra Cloud на базе отечественных процессоров Baikal-S ориентирован в первую очередь на критическую информационную инфраструктуру, субъектам которой требуется экосистемный и платформенный подход для контроля каждого технологического слоя, включая низкоуровневое аппаратное обеспечение. Только так формируется по-настоящему суверенная и безопасная среда, в которой нет места уязвимостям импортного оборудования.
Astra Cloud на Baikal-S позволяет российским предприятиям получить среду с полной реализацией принципа импортонезависимости и заложенным на уровне архитектуры соответствием регуляторным требованиям, которые вступают в силу с января 2028 года. Но важно и другое: переход на российское облачное решение станет стимулом для дальнейшего роста собственной ИТ-экспертизы компании и отрасли в целом. Успех возможен только в том случае, если такое решение компаний станет массовым, что позволит масштабировать дальнейшее развитие отечественной платформы «Группы Астра».
