Денис Полянский: Партнёрство в ИБ между провайдером и клиентом крайне важно

Облачные сервисы в России стремительно развиваются, спрос на них многократно растёт. За 2022 год рынок вырос на 44 % и достиг 86 млрд рублей. Вопросы и опасения, связанные с защитой облачных сред, мы обсудили с Денисом Полянским, директором по клиентской безопасности компании Selectel.

Многих заказчиков облачных сервисов беспокоит отсутствие контроля над инфраструктурой, которую они передают на аутсорсинг. Как вы оцениваете изменения в рисках за последний год для облачной ИТ-инфраструктуры из-за санкций и ухода зарубежных вендоров?

Д. П.: Говоря про физическую безопасность, стоит упомянуть, что любой ЦОД — это сложное сооружение. К дата-центрам предъявляются повышенные требования по отказоустойчивости, надёжности и другим параметрам, которые должны обеспечивать клиенту постоянный сервис. Это многократное резервирование любых линий, каналов связи и всего оборудования.

Если же говорить про риски в информационной безопасности, то сегодня жизнь сервис-провайдера — это постоянные атаки, в частности DDoS. Ещё пять-семь лет назад мы могли рассуждать о том, будут ли происходить атаки, если идти в облако. Сегодня же вопрос состоит в том, как быстро тебя начнут атаковать и какие меры точно стоит принять.

В прошлом году мы запустили бесплатную базовую защиту от DDoS для всех наших клиентов, и наша собственная аналитика по результатам работы этого решения подтверждает всё вышесказанное. Количество атак постоянно растёт, но ещё сильнее растёт их мощность. 90 % этих атак не доходят до клиентов и отбиваются на уровне сервис-провайдера, то есть нас.

Как вы перестраивались на импортозамещение средств безопасности для высоконагруженных систем, которые используются в ЦОД? Были какие-то трудности с этим?

Д. П.: Если говорить про серверное оборудование, то нашей стратегией с самого начала был отказ от покупки готовых серверов.

У нас собственная сборка и тестирование серверов. Мы закупаем комплектующие и из них собираем нужные нам конфигурации. Перестройка дистрибьюторов комплектующих практически на нас не сказалась. Что касается предоставляемых средств защиты, то мы ещё до ухода зарубежных вендоров взяли курс на расширение линейки российскими решениями.

Мы всегда хотели предоставлять некую витрину средств защиты для любых решений заказчика, и мы этот курс сохраняем. Сейчас мы продолжаем поддерживать за счёт накопленной внутренней экспертизы некоторые зарубежные решения, а также предлагаем отечественные.

Помимо упомянутой защиты от DDoS-атак, что ещё вы предлагаете заказчикам из готовых сервисов безопасности?

Д. П.: Здесь можно выделить две большие группы. Во-первых, безопасные инфраструктуры, которые состоят из защищённых сегментов. Это сегмент выделенных серверов, защищённый по особым классам, а также наше аттестованное облако. Во-вторых, у нас есть решения для дополнительных потребностей в сервисах ИБ, адресованные тем заказчикам, которые приходят на эти инфраструктуры и размещают там свои системы. Мы предлагаем СЗИ по подписке, аппаратные и виртуальные межсетевые экраны, средства защиты конечных точек и многие другие решения. В этом году, например, нашим клиентам стали доступны виртуальные межсетевые экраны UserGate новой версии в виртуальном и аппаратном исполнениях.

Также постоянно дополняем линейку решений за счёт партнёрских сервисов. Например, те заказчики, которым не хватает нашей базовой бесплатной защиты, могут получить по подписке анти-DDoS с сервисом WAF от нескольких наших партнёров.

Многие заказчики за последние полтора года столкнулись с серьёзными инцидентами. Очевидно, произошли переосмысление и переоценка рисков. Я думаю, что изменились и их требования к безопасности облачной инфраструктуры. Как вы видите эти изменения и есть ли среди них какие-то значимые моменты?

Д. П.: Мы наблюдаем, как бизнес, идущий в облака, всё чаще сразу задумывается и о безопасности. Это очень позитивный тренд.

Запросы в области безопасности различаются в зависимости от заказчика: от базовых потребностей, таких как соответствие продуктов провайдера федеральному закону № 152-ФЗ «О персональных данных», до подробно проработанных технических заданий. Из последних примеров могу привести техническое задание на облачную инфраструктуру, состоящее из 600 страниц. Большая его часть касалась как раз требований по ИБ.

Популярна практика чек-листов. Заказчики, которые точно знают, что им важно проверить у провайдера, могут разрабатывать свои чек-листы и отправлять их сервис-провайдеру на заполнение. Также практикуются референс-визиты в ЦОДы. В Selectel давно существует практика гостевых визитов и экскурсий по дата-центрам: заказчики могут увидеть собственными глазами место, где будет стоять их оборудование, кем и как оно будет обслуживаться.

А в каких городах это доступно?

Д. П.: Экскурсии доступны в наших дата-центрах в Санкт-Петербурге и в Москве.

Есть ли какие-то требования со стороны заказчиков к более формальным вещам, таким как лицензии, сертификаты, всевозможные аттестации?

Д. П.: Наша стратегия проста, и если судить по отзывам заказчиков, то она всецело оправдывается. Все наши инфраструктурные продукты по умолчанию соответствуют 152-ФЗ по максимальному классу. Это сделано как раз для того, чтобы снять с заказчиков все проблемы, связанные с персональными данными, и позволить пользоваться нашими сервисами без ограничений в этой части.

Вторая группа — это сервисы, которые требуют особенных подходов с точки зрения безопасности.

Это, например, аттестованный по самым высоким классам сегмент нашей облачной платформы, где можно разместить любые ГИС, ИСПДн, системы требующие аттестации по СТР-К.

Также у нас есть аттестованный сегмент ЦОД, так называемый А-ЦОД, в котором тоже выполняются повышенные требования по безопасности.

Большинство заказчиков этих продуктов — госорганы?

Д. П.: В основном этим интересуются госорганы, но у нас большой пласт заказчиков из других сфер. Это и банки, и предприятия ТЭК, и коммерческие компании-разработчики, которые выполняют госзаказ и должны подключаться к госсистемам. К ним предъявляются практически такие же требования.

Затронем модную сейчас концепцию «специально для облака» (cloud native). Какие здесь могут быть особенности с точки зрения ИБ?

Д. П.: Мы проводим много исследований в этой области и видим, что у заказчиков всё ещё не хватает специальных знаний в сфере ИБ. Поэтому со своей стороны стараемся повышать уровень их грамотности в этих вопросах. Так, например, мы запустили проект «Академия Selectel» и курсы по информационной безопасности. Скоро заказчикам Selectel будет доступен по подписке партнёрский сервис в области защиты контейнеров от компании Luntry.

Недавно прошла ваша флагманская конференция Selectel Tech Day, на которой был представлен ряд новинок. Хотелось бы узнать об этих новинках и о том, чем они полезны заказчику.

Д. П.: Всё верно. После некоторого перерыва Selectel Tech Day вернулся к нашим заказчикам и партнёрам. Был сделан ряд продуктовых анонсов. Прежде всего можно отметить сервис управляемого Kubernetes, который теперь будет доступен не только в виртуальной среде, но и на «железных» серверах (bare metal). Это позволит увеличить производительность сервиса.

Второй важной новинкой стала наша платформа машинного обучения (ML) для тех, кто экспериментирует, обучает модели в этой области. И третий сервис — это готовое облако 1С, то есть преднастроенная инфраструктура 1С, которую можно быстро развернуть без особых затрат для заказчика.

Отдельно отмечу, что тема информационной безопасности проходит через все эти новинки, а также другие недавно запущенные решения.

Например, совсем недавно стали доступны базовые файрволы для наших основных продуктов: выделенных и виртуальных серверов. Также появился новый сервис ГОСТ VPN, и теперь наши заказчики могут по шифрованным каналам подключаться к нашей инфраструктуре, соблюдая самые высокие требования госорганов по защите каналов.

Мы упоминали А-ЦОД. Есть ли какие-то технические отличия в том, как он организован?

Д. П.: Проще будет представить это по аналогии. Вообразим аэропорт, где даже подъездная зона и периметр особо охраняемы и защищены. Но внутри аэропорта есть дополнительно выделенные зоны с ещё более усиленными мерами и требованиями по безопасности. А-ЦОД — примерно то же самое. Это выделенная инфраструктура внутри ЦОД с применёнными дополнительными средствами и мерами безопасности — такими как дополнительные камеры и системы доступа. Кроме того, каждый сотрудник, прежде чем получить доступ к работе с А-ЦОД, проходит специальное обучение.

Есть ли у вас другие аттестованные зоны или облачные сервисы, помимо А-ЦОД?

Д. П.: Да. Это аттестованное облако Selectel, построенное на базе наших собственных разработок; продукт входит в реестр российского ПО. Мы предлагаем клиентам это решение с 2015 года, а теперь оно имеет и аттестованный сегмент. У заказчика появляется гибкость в том, как строить свою инфраструктуру. Он может размещать «железные» серверы в А-ЦОД, а виртуальную машину — в аттестованном сегменте, если для обеих инфраструктур ему требуются аттестация и повышенные меры безопасности. Но особенностью является то, что мы готовы перенести этот опыт и на площадки заказчика, в рамках проектов частных облаков Selectel.

Переходя к теме выбора облачной платформы и подходящего облачного провайдера, хотелось бы задать вопрос в лоб: почему заказчику следует выбрать Selectel из всего многообразия провайдеров? В чём состоят ваши позитивные отличия, в том числе с точки зрения безопасности?

Д. П.: У нашей компании собственные дата-центры, мы сами их проектируем и строим. Сами собираем и тестируем оборудование и разрабатываем ПО. Контроль за всей цепочкой доставки сервиса даёт нам сильное преимущество и в защищённости. Это позволяет нам проще и увереннее проходить аудиты безопасности, которые часто связаны и с физической инфраструктурой, а также предлагать уникальные для рынка сервисы типа А-ЦОД.

Вторым важным аспектом является то, что мы не входим ни в одну из экосистем — в отличие от большинства других крупных провайдеров. В связи с этим у нас отсутствуют риски конкуренции с какими-либо бизнесами наших клиентов.

И третий важный фактор — это то, что у нас самая широкая линейка инфраструктурных продуктов. Мы сосредоточены на инфраструктурных решениях и готовы закрыть любые задачи, связанные с предоставлением компаниям ИТ-инфраструктуры.

Каким вы видите развитие сервисов и требований в сфере ИБ в ближайшие два года?

Д. П.: Я думаю, что мы никуда не денемся от роста угроз и атак. Это один из основных драйверов развития сервисов безопасности, в том числе у облачных провайдеров. Второе — это повышение зрелости заказчиков и востребованности ИБ-сервисов одновременно с ростом популярности сервисной модели. Многие заказчики, готовые потреблять ИТ-сервисы по подписке, также готовы и к аналогичной схеме потребления ИБ-сервисов. Это тоже будет оказывать серьёзное влияние. Думаю, что свой вклад в развитие этих сервисов внесут наши регуляторы. Вспоминается недавно появившийся проект требований Минцифры к хостинг-провайдерам, который также может сильно повлиять на рынок.

Очень важный аспект — это зрелость самих сервис-провайдеров. Повышение собственной зрелости, понимание того, что защищённость сервисов и совместное с заказчиком обеспечение информационной безопасности важны, приведут к появлению новых и развитию имеющихся ИБ-услуг.

Selectel в этом году исполнилось 15 лет, и многие компании являются нашими клиентами все эти годы, наращивая потребление сервисов. Ориентация на потребности заказчиков, желание предложить оптимальное решение всегда были в центре нашей стратегии.

В моём понимании важной составляющей процесса защиты являются люди и внутренняя экспертиза. Как у вас выстроена служба ИБ? Откуда вы берёте актуальные знания о том, что нужно заказчику?

Д. П.: В «Академии Selectel» над этим трудится не одна команда. И речь не только о знаниях по ИБ, но и в целом об облачных сервисах и их оптимальном и безопасном использовании. У нас опытная команда в департаменте ИБ и в других подразделениях. Важным аспектом здесь является обучение заказчика на тему границ ответственности провайдера за сервисы и необходимых действий для безопасного их использования. Понимание (и донесение до клиентов) того, где граница ответственности провайдера, а где — заказчика, многократно снижает риски каких-либо инцидентов и последующих аварий.

В случае инцидента как вы определяете эти границы и решаете, по чьей вине он произошёл?

Д. П.: В этом вопросе сервис-провайдер не особо отличается от любой другой компании. Для этого существует система мониторинга, система логирования событий на разных уровнях. Как я сказал ранее, важно донести до заказчика высокую значимость партнёрского обеспечения безопасности. Мы как сервис-провайдер гарантируем безопасность со стороны инфраструктуры, сетевых сервисов. Задача заказчика — обеспечить безопасность своих данных, которые он загружает в облако, и инфраструктуры, которую он размещает. Самостоятельно или с нашей помощью.

Я — за партнёрство! Мне кажется, это действительно важно. Денис, большое спасибо за содержательное и интересное интервью. Уверен, что и наши читатели нашли в нём много полезного. Всего вам самого безопасного!