На пике спроса — отказоустойчивость и ИБ. Константин Ансимов для «Банковского обозрения»

5/10/2023

По мере развития облачного рынка в России и появления сервис-провайдеров, гарантирующих надежность, отказоустойчивость и безопасность сервисной модели, рос интерес к облакам и у компаний из сферы финансов. Об облачных услугах, востребованных финансовыми организациями, и предложениях одного из ведущих провайдеров мы побеседовали с Константином Ансимовым, директором по продуктам компании Selectel.

— Константин, насколько облака популярны среди заказчиков из сферы финансов?

— За рубежом банки, страховые компании и инвестиционные фонды обеспечивают облачным сервис-провайдерам большую часть прибыли. В нашей стране кредитно-финансовые организации пока только осознают удобства облаков и начинают движение в этом направлении. Пока в нашей базе клиентов их доля — около 10%, но мы ожидаем значительного ее увеличения в ближайшие годы.

— Чем привлекательны для банков и других финансовых организаций облачные сервисы?

— На самом деле тем же, чем и для любых других компаний, — гибкостью, то есть возможностью очень быстро масштабировать нагрузки, запускать новые сервисы и тестировать гипотезы. Процессы, реализация которых в инфраструктуре заказчика длится год и больше, с переходом в облако значительно ускоряются.

Еще одно преимущество: делегируя большую часть технически сложной работы провайдеру, банк уходит от необходимости держать в штате специалистов с компетенциями во всех слоях IT-архитектуры, начиная с экспертов по строительству и обслуживанию ЦОДов, и заканчивая SRE- или DevOps-инженерами. Для кредитной организации построение облачных решений − это не основной вид деятельности. Ей нужно думать о том, как сделать наиболее подходящий продукт для пользователя, как решить его проблему, и ресурс профильных специалистов – разработчиков, инженеров, продакт-менеджеров, маркетологов – выгоднее тратить на эти цели.

В условиях, когда рынок облачного провайдинга способен предоставлять услуги с гарантированным уровнем качества, пытаться обеспечить нужный уровень доступности своими силами зачастую экономически неэффективно.

— Имеет ли специфику работа сервис-провайдера облачных сервисов с финансовыми организациями?

— Компании в сфере финансов — разные, и это приходится учитывать. Среди них есть кредитные организации, которые оказывают только банковские услуги, и есть финтех-компании — провайдеры цифровых платформ, например P2P-инвестирования, концептуально очень близкие IT-сервисам с «уберообразной» механикой. Первым нужно гарантировать безопасность и предоставить возможность решать в облачной среде традиционные задачи. Вторые уже опробовали сервисную модель и выработали четкие требования к наличию сертификатов, к техническим решениям, к защите информации, и сервис-провайдер просто должен их выполнять.

— Какие облака — гибридные, частные, публичные — предпочитают использовать банки и на каких площадках они строят облака — в собственных дата-центрах или коммерческих?

— Когда мы говорим «своя площадка», обычно имеем в виду, что это собственный ЦОД компании, который она полностью обслуживает. Таких компаний в России единицы, к примеру банки из топ-10. Кредитно-финансовые организации масштабом поменьше дата-центры для себя не строят. Они либо размещают свое оборудование в арендованных ЦОД, либо используют гибридную схему: часть инфраструктуры располагают на собственном оборудовании в арендованном дата-центре, а часть приобретают у сервис-провайдера как облачную услугу.

Что касается предпочтений, то крупные банки выбирают гибридные облака, потому что не готовы отказываться от своих площадок. Самые консервативные из них просят организовать частное облако в их дата-центре, и такой формат тоже доступен в Selectel. Небольшие банки готовы разворачивать инфраструктуру на мощностях сервис-провайдера и сразу интересуются функциональностью его публичного облака.

— Что чаще запрашивают кредитные организации — готовое стандартное решение или индивидуальное, адаптированное к особенностям IT-инфраструктуры?

— Публичное облако по умолчанию готово к работе, как только клиент зарегистрировался и запросил ресурсы. Такое решение обычно подходит небольшим компаниям. Гибридные и частные облака, как правило, создаются «под заказчика», в соответствии с его требованиями к функциональности и ИБ. Зачастую их используют более крупные организации. В этих случаях даже модели серверов и их конфигурации, вплоть до поставщиков сетевых карт, подбираются для каждого клиента индивидуально.

— С какими требованиями в сфере ИБ и отказоустойчивости банки приходят к сервис-провайдеру?

— Любому банку очень важно иметь защищенный канал связи между его площадкой или арендованным дата-центром и ЦОД сервис-провайдера. Часто для этого применяется сертифицированное оборудование с аппаратным шифрованием передаваемых данных. Иногда для обеспечения нужного уровня безопасности банки арендуют так называемые темные волокна в оптических кабелях для сохранения единой зоны ответственности при передаче и обработке данных.

Для повышения отказоустойчивости сервис-провайдер должен предлагать резервирование элементов на разных уровнях IT-инфраструктуры, начиная с уровня сервера и заканчивая уровнем площадки — в удаленном ЦОД. В случае аварии это позволяет в считаные минуты восстановить инфраструктуру банка, избежав длительных простоев, чреватых крупными финансовыми и репутационными потерями.

В части ИБ, помимо распространенного среди многих заказчиков требования о соответствии сервисов 152-ФЗ, клиенты из финансовой сферы руководствуются стандартами ЦБ (СТО БР ИББС), ГОСТом по безопасности банковских операций 57580 и международными стандартами – прежде всего PCI DSS, ISO 27001 и GDPR. Дополнительно к этому Selectel получил сертификат соответствия своих сервисов требованиям 17 приказа ФСТЭК, а также стандарту SSAE 18 согласно отчету независимых экспертов SOC 2®.

— Привлекают ли банки инженеров коммерческих ЦОД к эксплуатации размещенного там оборудования?

— Разумеется. В компании Selectel есть сертифицированные специалисты, обладающие компетенциями в этой сфере, имеющие все необходимые допуски и разрешения, сертификаты и т.д. И клиенты из финсектора чаще всего поддержку облачной инфраструктуры делегируют нам.

Зоны ответственности сервис-провайдера прописываются в договоре, где определяется круг лиц, имеющих доступ к оборудованию заказчика, и способ логирования действий сотрудников ЦОД. Если у банка жесткие требования к безопасности своего оборудования, он может разместить его в изолированной зоне с круглосуточной охраной и удаленным видеонаблюдением.

Если клиент не доверяет обслуживание своих серверов сторонним специалистам, он может решать эту задачу силами своих инженеров, которые в случае проблем будут приезжать в ЦОД: наши специалисты к его стойкам не подойдут.

— Как кредитным организациям минимизировать риски финансовых потерь, связанных с сотрудничеством с сервис-провайдерами?

 Соизмерять вероятность сбоев в работе оборудования с потенциальными потерями от них и соответственно инвестировать в повышение отказоустойчивости: например, разворачивать инфраструктуру не на одной, а на двух площадках либо страховать риски недоступности своих сервисов или утечки персональных данных. У нас есть партнеры, которые занимаются таким страхованием. Если уровень компенсаций сервис-провайдеров в России и в мире на практике ограничивается компенсацией в размере месячного платежа клиента, то объемы страховых выплат ограничиваются только пожеланиями банка по размеру страховки.

— Как изменилось отношение заказчиков из финсектора к облакам в 2022 году?

— После ухода с российского рынка зарубежных вендоров интерес к облакам заметно вырос. Подавляющее большинство банков до февраля 2022 года использовали американские программные и аппаратные средства. После того как они стали недоступны в России, банки повернулись лицом к отечественному софту и программно-аппаратным комплексам, поскольку хотят сохранить, с одной стороны, корпоративный уровень надежности своих облачных решений, а с другой — поддержку со стороны российского вендора ПО.

Таким клиентам мы предлагаем возможность развертывания нашей облачной платформы по модели on-premise на их площадке. И теперь к нам обращаются те банки, которые отказывались от перевода своей инфраструктуры в облака. Сейчас Selectel реализует несколько таких проектов с довольно крупными кредитными организациями.

— Какие еще новые продукты Selectel предлагает в ответ на потребности клиентов из финсектора?

— Весной мы объявили о запуске сегмента аттестованных облачных серверов и объектного хранилища S3, ориентированного на государственные организации и корпоративных заказчиков с повышенными требованиями к защите данных, в том числе из финансового сектора.

Также мы сделали возможным конфиденциальные вычисления в выделенных серверах и облаке. Данные клиента при таком подходе надежно изолируются в отдельной защищенной области в виртуальном адресном пространстве — анклаве. Анклавы подходят для работы с чувствительными данными, блокчейном и машинным обучением — все это наиболее актуально как раз для банковских организаций. 

Благодаря применению сертифицированных средств защиты информации — межсетевых экранов, средств доверенной загрузки, мониторинга ИБ и некоторых других — обеспечивается соответствие регуляторным требованиям к безопасности хранения и обработки данных. Заказчик может ссылаться на аттестат для подтверждения уровня защищенности этого сегмента облака, а также решать все юридические вопросы для прохождения соответствующих сертификаций его IT-инфраструктуры в регулирующих органах.

— Каковы планы компании Selectel по развитию продуктов для кредитно-финансовых организаций?

— Мы продолжаем развивать линейку ИБ-сервисов, получать новые сертификаты соответствия требованиям к защите информации, активно работаем над тем, чтобы проходить эти сертификации бесшовно.

Еще одно направление развития — расширение линейки доступных аппаратных средств за счет оборудования российских вендоров: файерволов, систем хранения данных, коммутаторов. Скоро в ней появятся оборудование и ПО российского производства, которые в ряде случаев необходимы заказчикам.

Источник: Банковское обозрение