Как аттестованное облако помогает при работе с ГИС
В статье рассказываем о возможностях облачной инфраструктуры для госсектора и размещения информационных систем на аттестованом облаке.
Миграция в облако для госструктур и бизнеса, работающего с государственными проектами, — задача с большим числом неизвестных. Таким компаниям хочется использовать облака из-за гибкого масштабирования ресурсов и быстрого развертывания сервисов. Решение также не требует капитальных затрат, если сравнивать его с построением собственной инфраструктуры. Но преимущества облака часто ломаются о перечень требований безопасности к государственным информационным системам (ГИС).
Облако как минимум должно соответствовать 152-ФЗ, но это только верхушка айсберга. Чтобы ГИС смогли полноценно использовать облачный IaaS, нужно аттестовать инфраструктуру в соответствии с уровнем значимости данных и классом защищенности, как того требует 21 и 17 приказы ФСТЭК, а в некоторых случаях — приказ Гостехкомиссии № 282.
Из-за запрета на закупки иностранного ПО государственным организациям и работающим с ними компаниям требуются отечественные решения. Они должны сочетать гибкость и удобство облака с возможностью аттестации и развертывания ГИС любых классов защищенности. Этим требованиям соответствует аттестованное облако Selectel.
Что такое аттестованное облако
Облачная платформа Selectel входит в реестр российского ПО. Аттестованное облако — часть этой платформы, инфраструктура для размещения систем, включающая облачные серверы и S3-хранилище. Разница с другими моделями облаков — в выполняемых мерах и соответствующих сертификатах и аттестации, которую провайдер уже прошел за клиентов. Облачная инфраструктура соответствует требованиям безопасности согласно 21, 17 приказам ФСТЭК и СТР-К, и готова для обработки данных УЗ 1-4, К 1-3 и 1Г.
Вот инструменты, которые используются в облаке и S3-хранилище для соответствия требованиям ГИС:
Описание решения | Выполняемые меры |
---|---|
Плата доверенной загрузки | Доверенная загрузка и контроль целостности конфигураций |
Защита среды виртуализации | Сертифицированное средства защиты виртуальных инфраструктур |
Защита нод от несанкционированного доступа | Сертифицированное средство защиты от несанкционированного доступа |
Защита сетей и трафика | Кластер сертифицированных межсетевых экранов и шлюзов шифрования |
Защита от вредоносного ПО | Сертифицированный антивирус |
Контроль уязвимостей | Сертифицированный сканер безопасности |
Мониторинг информационной безопасности | Сертифицированная SIEM система |
IaaS для работы с госсектором
Размещайте государственные информационные системы в соответствии с 152-ФЗ.
Кто может использовать аттестованное облако
- Государственные заказчики.
- Разработчики государственных информационных систем.
- Коммерческие заказчики с требованиями по аттестации.
- Операторы персональных данных с требованиями по аттестации.
- Владельцы любых конфиденциальных данных с требованиями по аттестации.
Кейс
Компания реализует государственную оздоровительную программу на федеральном уровне. У нее также есть сайт с системой личных кабинетов. Инфраструктура проекта работает с разной информацией, в числе которой:
- Персональные данные, требующие самого высокого класса защищенности (УЗ-1). Например, большой объем биометрических данных спортсменов.
- Платформа взаимодействует с органами власти и должна соответствовать требованиям ИБ для госорганов (ГИС К2).
Даже для обработки заявок на федеральный турнир компании потребуется соответствие УЗ-3. Для хранения медицинских данных и взаимодействия с ГИС— еще больший уровень защиты, который может предоставить не каждый провайдер.
Использовать аттестованное облако в таком случае безопасно и удобно. Госзаказчики получают необходимые документы (выписка из модели угроз, аттестация инфраструктуры в соответствии с приказами ФСТЭК). Компания-подрядчик решает вопрос документации, а также может легко масштабировать ресурсы при росте нагрузки.
Чем такое облако отличается от аттестованного ЦОД
Оба решения обеспечивают самые высокие классы защищенности конфиденциальной информации, поэтому ответ здесь такой: в зависимости от того, какая задача стоит перед компанией и какие компоненты предполагается разворачивать.
В А-ЦОД доступны только произвольные конфигурации серверов, а компания может полностью взять на себя управление инструментами защиты или полностью делегировать эти задачи провайдеру.
Узнать подробнее о том, как работает А-ЦОД, можно из этих материалов:
→ Это не тот ЦОД, к которому вы привыкли. Чем аттестованный сегмент отличается от классического?
→ Что делать компаниям, которые не могут пользоваться классическим IaaS из-за требований к безопасности
Разница обнаруживается в уровнях абстракции, для которых провайдер выполняет меры безопасности и проходит путь за клиента. Если в информационной системе предполагается использовать технологии виртуализации — аттестованное облако представляется наиболее удобным, поскольку уже обеспечивает максимальную безопасность самой платформы.
А-ЦОД и аттестованное облако можно связать, чтобы использовать преимущества выделенных и облачных серверов в одном проекте. То есть клиент может создать гибридную инфраструктуру из аттестованного сегмента ЦОД и аттестованного облака. Это обеспечит дополнительную отказоустойчивость и гибкие возможности для создания распределенных систем. Например, в такой схеме базы данных можно разместить на выделенных серверах, чтобы организовать высокую скорость чтения и записи, а остальные элементы инфраструктуры вынести в облако.
Как начать использовать аттестованное облако
Чтобы создать облачный сервер в аттестованном облаке, нужно зайти в панель управления Selectel: Облачная платформа → Москва → gis-1. Для зоны gis-1 также доступно объектное хранилище, соответствующее тем же уровням и нормативным требованиям.
Далее можно создавать виртуальные машины — выбирать ОС и конфигурацию — и строить инфраструктуру. Весь контроль ресурсов осуществляется через панель управления.
В качестве кастомного проекта аттестованное облако можно развернуть on-premise в дата-центре провайдера или в локальной инфраструктуре заказчика. Клиент получает физический доступ к оборудованию, но весь процесс администрирования сохраняется за провайдером. Для размещения в контуре клиента может использоваться арендное оборудование или клиентское, если оно окажется совместимым.
Заключение
Аттестованное облако представляется более гибким решением, чем А-ЦОД, если требуется использование виртуализации и возможность быстрого масштабирования. Таким образом, его можно использовать для самых разных задач при работе с ГИС: от хостинга почтового сервиса до развертывания федеральных информационных систем.
Провайдер берет на себя все работы по обеспечению безопасности и соответствия требованиям облачной платформы и техническую поддержку, предоставляет необходимые для аттестации документы. Это дает возможность компаниям не тратить время и ресурсы на создание или поиск подходящей инфраструктуры, а развивать свои проекты.