Компания Selectel рассказала на конференции Selectel Tech Day 2023, как развивается её бизнес в 2023 году и какое влияние оказывает безопасность на переход российских заказчиков в облако.
- Введение
- Рост российских облаков в 2022–2023 гг. был естественным
- Безопасность облаков и Selectel
- Гибридная инфраструктура в ЦОДах Selectel
- Защита от DDoS и APT-атак
- Резервирование в ЦОДах Selectel
- Выводы
Введение
21 сентября российский облачный провайдер Selectel провёл в Санкт-Петербурге конференцию Tech Day 2023, на которой рассказал об актуальных трендах развития ИТ-инфраструктуры. Главными темами стали поддержка и развитие парка аппаратного и программного обеспечения в условиях санкций, обеспечение информационной безопасности, развитие инфраструктурных сервисов, в том числе для проектов в сфере машинного обучения.
Обеспечение безопасности было в числе главных предметов обсуждения на конференции. О том, какие сервисы ИБ предоставляет Selectel и как развивает их, мы расскажем далее.
Рост российских облаков в 2022–2023 гг. был естественным
Как рассказал Константин Ансимов, директор по продуктам Selectel, российский рынок облачных услуг продолжает расти вместе с мировым, несмотря на экономические трудности. Это подтверждается данными, опубликованными ранее в прогнозе аналитического агентства iKS-Consulting (2022): направления IaaS и PaaS в России растут двузначными темпами.
Рисунок 1. Темпы роста российского рынка облачных услуг (23,2 %) превосходят общемировые (20 %)
Одной из основных причин роста популярности облачных услуг, по мнению Константина Ансимова, является увеличение объёмов данных, которые бизнесу нужно хранить и обрабатывать. Показательны в этом отношении ускоренное развитие ИИ и машинного обучения, которые требуют больших вычислительных мощностей, в то время как создаваемые на их базе большие языковые модели стремительно дешевеют.
Тенденцию роста рынка подтверждают и собственные данные Selectel: в первом полугодии 2023 года её выручка выросла на 34 %. По собственным оценкам компании, рост был достигнут за счёт устойчивого спроса имеющихся и новых клиентов на ключевые сервисы.
Рисунок 2. Динамика изменения выручки Selectel за период 2020–2023 гг.
Константин Ансимов выделил следующие стимулы роста российского рынка облаков в 2023 году:
- Растёт интерес к облакам со стороны крупного бизнеса.
- Развивается FinOps — финансовая оптимизация ИТ-решений.
- ИИ и машинное обучение используются для развития бизнеса.
- Выросла важность информационной безопасности.
- Большим компаниям нужны суверенные облака.
На интерес российских заказчиков к облакам также оказали влияние следующие причины:
- Соответствие возросшим требованиям регулятора, которые резко расширились и ужесточились в 2022 году.
- Противостояние массовым атакам со стороны хактивистов с целью вызвать отказы в обслуживании (DDoS), к чему многие российские компании могли быть неготовы (или не имели заранее подготовленных ресурсов и кадров).
- Ожидаемые трудности с обновлением ПО и собственного парка ИТ-оборудования, а также его поддержкой. Переход в облако позволяет переложить проблему (и ответственность за ряд задач) на плечи облачного провайдера.
По словам Кирилла Малеванова, технического директора Selectel, пул клиентов и потребляемые ими облачные мощности не только не сократились в 2022 году, а даже выросли, несмотря на увеличившиеся затраты на поддержку ИТ-оборудования и его сервисное обслуживание. По данным Selectel, фактическая конечная цена ИТ-оборудования в 2023 году выросла вдвое по сравнению с 2021 годом из-за более сложной логистики.
Безопасность облаков и Selectel
Безопасность стала одним из основных стимулов роста популярности облаков для российских компаний в 2022–2023 гг. Как направление ИБ развивалось в Selectel? Каких новшеств, связанных с ИБ, можно ожидать в ближайшем будущем?
Система управления идентификацией и пользователями
Selectel и ранее уделяла повышенное внимание разграничению прав пользователей, а теперь представила полноценную систему управления идентификацией и доступом (Identity & Access Management, IAM) на основе ролей. Это необходимая опция, имеющая прямое отношение к безопасности.
На конференции Константин Ансимов объявил, что в ближайшее время клиенты Selectel получат возможность использовать федеративный доступ к идентификации (FIM). Эта опция необходима при совместном участии в проектах нескольких компаний. Благодаря ей участники могут использовать одни и те же идентификационные данные для всех компаний, находящихся в группе.
Рисунок 3. Константин Ансимов, директор по продуктам Selectel
Технология единого входа Single Sign-On (SSO) позволяет пользователям аутентифицироваться сразу в нескольких сервисах. Есть несколько вариантов её использования с участием пользователей и приложений на уровне сервисно ориентированной архитектуры или архитектуры ИТ-сервисов предприятия.
В начале 2024 года Selectel планирует запустить поддержку расширенной аутентификации во всех своих продуктах. Это позволит делить инфраструктуру на тематические кусочки — отдельные проекты в рамках предоставленной провайдером облачной платформы. Сейчас подобная возможность доступна лишь частично, но в начале 2024 года она станет универсальной. В дальнейшем это позволит гранулировать роли пользователей, что сделает проекты ещё более защищёнными.
Глобальный роутер Selectel
Особенностью облачных проектов крупных заказчиков является то, что такие компании строят сложную ИТ-инфраструктуру. Вследствие этой сложности и индивидуальности подобные проекты часто оказываются повышенно уязвимыми, если не принимать специальных мер.
В Selectel видят решение этой проблемы в использовании специального инструмента, способного связать воедино изолированную безопасную частную сеть и разные облачные продукты провайдера. Сложность таких проектов состоит в том, что решения могут быть разнесены по разным зонам, а доступность может распространяться как на отдельные части продукта, так и на географически распределённые по нескольким дата-центрам элементы.
Рисунок 4. ЦОД Selectel в Санкт-Петербурге
Эту проблему должен решить новый инструмент Selectel, который был запущен в бета-эксплуатацию в декабре 2021 года под названием L3 VPN. Начиная с января 2023 года его официально перевели в коммерческую эксплуатацию под названием «Глобальный роутер». Он позволяет объединять в целостную локальную сеть различные сервисы Selectel: выделенные и облачные серверы, облачные базы данных, файловое хранилище SFS, межсетевые экраны, кластеры Kubernetes, облако на базе VMware, совместное размещение (колокацию).
Глобальный роутер по сути представляет собой совокупность физически зарезервированных маршрутизаторов, размещённых в разных пулах и объединённых в один домен маршрутизации по IP / MPLS. С его помощью маршрутизируется трафик, а все изменения конфигурации сохраняются в логах. Они анализируются через систему управления событиями (SIEM).
Рисунок 5. Глобальный роутер Selectel позволяет объединить элементы из разных локаций
Отличительной особенностью услуги стало применение аппаратных (а не программных) маршрутизаторов во внутреннем периметре. Это позволяет установить в выстроенной сети собственную шкалу рисков, отличную от той, которая применяется на конечных маршрутизаторах на границе сети.
Как уточнил Денис Полянский, директор по клиентской безопасности Selectel, выбор аппаратных маршрутизаторов объясняется тем, что в случае возникновения проблем у одного из клиентов аппаратные маршрутизаторы отличаются существенно более низким влиянием на работу других пользователей того же оборудования.
Также на конференции рассказали, что все продукты Selectel соответствуют требованиям закона 152-ФЗ «О персональных данных», а портфель ИБ-сервисов провайдера активно развивается. Так, в этом году было запущено аттестованное облако, что особенно актуально для государственных организаций и корпоративных заказчиков с особыми требованиями к защите данных.
Рисунок 6. ИБ-сервисы Selectel
Как заявил Константин Ансимов, до конца 2023 года Selectel планирует также сделать объектное хранение данных мультирегиональным, т. е. предоставить возможность размещать связанные между собой данные в разных региональных ЦОДах.
Гибридная инфраструктура в ЦОДах Selectel
При строительстве дата-центров Selectel применяется ряд ноу-хау. Например, главной особенностью парка оборудования компании являются серверы, прошедшие собственную комплектацию и сборку инженерами Selectel. Те сами выбирают, какие аппаратные модули и элементы использовать, опираясь на собственный опыт, требования заказчиков, поставленные цели, в том числе соответствие требованиям по надёжности и безопасности. Такой подход, как оказалось, не только позволяет предлагать импортонезависимые аппаратные решения, но и является значительно более гибким в выстраивании дополнительных опций.
Известно, что большинство западных провайдеров облачных услуг до сих пор делали акцент на комплектации ЦОДов готовыми инфраструктурными решениями вендоров аппаратного обеспечения. Опыт 2022 года показал, что такой путь недостаточно безопасен.
Как недавно стало известно, в настоящее время Amazon готовится к глобальной замене своего оборудования. Официальная причина — замена старых (legacy) устройств, накопившихся в облачной инфраструктуре Amazon с 2006 года. Однако Денис Полянский считает, что Amazon может переходить на применение аппаратных решений собственной сборки, как это делает и Selectel. На западном рынке такой подход исповедуют лишь главные поставщики высоконагруженных сервисов (гиперскейлеры).
Гибкий подход позволяет Selectel предлагать клиентам разные возможности для выстраивания гибридной инфраструктуры в облаке. Например, заказчик может получить в своё распоряжение выделенную стойку с облачным IaaS и дополнять её собственным оборудованием. Подобной опцией часто интересуются крупные компании, которые хотят частично продолжать использовать собственное оборудование, где уже выстроены и надёжно работают собственные сервисы.
Рисунок 7. Динозаврик Тирекс, талисман Selectel
Гибридная модель позволяет заказчику также изолировать свою инфраструктуру, причём не только на уровне оборудования и сетей, но и на уровне физических стоек.
Другое «родственное» решение в нынешнем предложении Selectel — это А-ЦОД, или аттестованный ЦОД. Заказчик получает через него полностью готовый комплекс оборудования, аттестованный по ИБ-требованиям регуляторов — в частности, согласно требованиям ФСТЭК России (приказы № 17 и 21) и специальным требованиям и рекомендациям по защите конфиденциальной информации (СТР-К).
Третье направление — прямое соединение (Direct Connect). Благодаря этому заказчики получают возможность подключить локальную инфраструктуру к облачной по защищённому каналу и изолировать её как на логическом уровне, так и на физическом.
Защита от DDoS и APT-атак
Как рассказал Кирилл Малеванов, первоначально компания предлагала решение Servicepipe для защиты от DDoS, позднее у заказчиков появилась возможность подобрать подходящее им решение среди ряда партнёрских предложений — StormWall, Qrator и DDoS-Guard.
В прошлом году компания запустила собственную базовую защиту от DDoS — в настоящее время все клиенты Selectel получают её бесплатно по умолчанию. Она реализована на собственных мощностях компании и отражает, по оценкам провайдера, 80–90 % всех кибератак такого рода на сервисы клиентов.
Рисунок 8. Кирилл Малеванов, технический директор Selectel
Выявление DDoS-атак на клиентов Selectel осуществляется на пограничных маршрутизаторах, установленных на входах в его ЦОДы. Критериями отбора служат шаблоны оценки объёмов трафика, анализ потоков данных и другие параметры, с помощью которых можно выявить DDoS.
Сервис «Защита от DDoS» обеспечивает очистку трафика на уровне L3. В планах Selectel — очистка также на уровнях L4 и L5. Очистка на уровне L7 пока останется на клиентской или партнёрской стороне.
Selectel также предоставляет возможность защиты от целевых APT-атак, хотя, как отметил Денис Полянский, каждая из них уникальна и двух похожих не бывает, поэтому борьбу с ними нельзя выделить в простое типизированное решение.
Обычно главными признаками защищённости от APT-атак являются широта доступных провайдеру средств защиты и мониторинга, а также грамотная их настройка, отметил Денис Полянский. Их эффективное использование и принятые политики и процедуры реагирования позволяют противостоять целевым киберпреступным операциям.
Впрочем, обычно крупный заказчик, ожидающий совершения APT-атак против себя, уже имеет арсенал необходимых средств, которые он использовал ранее при защите локальной инфраструктуры. Приходя в облако Selectel, он получает доступ к его гибридной архитектуре. Это помогает разместить подготовленные заказчиком инструменты в облаке провайдера. Кроме того, Selectel подключает своих облачных архитекторов, которые готовы предложить собственные аппаратные и программные средства, а также партнёрские решения. Выбор делается исходя из потребностей заказчика, целей и масштаба возможной APT-атаки.
Резервирование в ЦОДах Selectel
Высокая надёжность и безопасность подразумевают резервирование каналов доступа к ресурсам ЦОДа. Как решается этот вопрос в Selectel?
Как рассказал Денис Полянский, все шесть ЦОДов Selectel связаны между собой оптическими линиями связи. В Санкт-Петербурге и Ленинградской области, где расположены основные дата-центры Selectel, используется собственная оптика, выстроена маршрутизация с возможностью автоматического переключения путей доставки трафика. Внутри дата-центра Selectel в Москве оптика также своя.
Рисунок 9. Денис Полянский, директор по клиентской безопасности Selectel (в центре)
ЦОДы Selectel соответствуют уровню надёжности Tier III. Это подразумевает резервирование всех основных инженерных систем ЦОДа (подача электроэнергии, охлаждение, работа сетевой инфраструктуры). В случае необходимости проведения ремонтных или регламентных работ функционирование ЦОДа не приостанавливается. Согласно нормативу, отказоустойчивость инфраструктуры для Tier III составляет не менее 99,982 %, т. е. простой дата-центра не превышает 1,6 часа за год.
Выводы
Компания Selectel имеет сегодня развитый набор аппаратных и программных средств для обеспечения безопасности при размещении информационных активов клиентов в её облачной инфраструктуре. Эти средства соответствуют требованиям регулятора и предоставляют клиентам богатые возможности для выбора.
