Безопасные облака для критичной инфраструктуры

В транспортной отрасли, как и в любом сегменте с критичными ИТ-сервисами, простои стоят слишком дорого. Площадки разбросаны по стране, нагрузки растут, регуляторика обновляется, а компетенции на местах ограничены. От инфраструктуры ждут одного: она должна работать предсказуемо 24/7, защищать данные и идентичности, соответствовать 152-ФЗ и 187-ФЗ и не терять в производительности. Поэтому безопасность и устойчивость нужно закладывать в архитектуру заранее, а не додумывать по пути.

Что считать безопасным облаком сегодня

Для платформы виртуализации критерии простые и прагматичные: безболезненная миграция и устойчивость к сбоям, производительность на вашем реальном профиле, зрелые API и автоматизация, совместимость с отечественными ОС и средствами резервного копирования, изоляция сред, контроль доступа, аудит и шифрование из коробки. К платформе нужно S3-совместимое хранилище для резервных копий, политики WORM и работы с неструктурированными данными. 

На уровне комплаенса требования прямолинейны: 

• Программные продукты входят в реестр российского ПО.
• Есть все актуальные аттестаты ФСТЭК и при необходимости — ФСБ.
• Применимость к контурам 152-ФЗ и 187-ФЗ.
• Оборудование включено в перечни Минпромторга.
• Обновления происходят через подписанные репозитории.
• Криптосредства — со штатной интеграцией и управлением ключами (KMS).
• Все события безопасности полноценно записываются, их можно отдавать во внешний контроль. 

В этой статье разберем способы внедрения безопасного облака, а еще больше вопросов разберем в спецпроекте, посвященном повышению отказоустойчивости ИТ. 

Три практичных пути внедрения

1. On-premise (дистрибутив)

Программная платформа разворачивается на вашем оборудовании в собственном ЦОДе. Это обеспечивает полный контроль над инфраструктурой, интеграцию в существующие контуры, гибкость масштаба и обновлений.

Пример продукта от облачного провайдера. Платформа для построения частного облака в ЦОДе заказчика, которая включает в себя готовые ИТ-инструменты для разработки, безопасности и работы с данными, а также маркетплейс бизнес-приложений.

Защита и соответствие:

• Сертификат ФСТЭК.
• Продукт внесен в реестр российского ПО. 
• Встроены изоляция сред, аудит событий и шифрование, что делает решение оптимальным выбором для реализации частной инфраструктуры на имеющемся серверном оборудовании.

2. On-premise (ПАК)

Программно-аппаратный комплекс под ключ включает отечественное оборудование с предустановленным и совместно протестированным ПО. Поставка оформляется одной закупкой с заранее согласованной конфигурацией. Внутри обеспечены совместимость компонентов, единое окно поддержки и быстрый ввод в эксплуатацию.

Пример продукта от облачного провайдера. ПАК на базе хранилища S3 или платформы для построения частного облака. Оборудуется стойками, узлами, сразу готов к работе, протестирован с отечественным оборудованием из перечня Минпромторга. Зарегистрирован в реестре ПАК российского ПО.

Защита и соответствие: используются сертифицированные компоненты платформы, централизованный аудит и штатная интеграция резервного копирования, что делает решение оптимальным для размещения КИИ.

3. Аттестованное облако (Secure Cloud)

Размещение в ЦОДе провайдера с оформленной аттестацией. Быстрый старт, готовые процедуры комплаенса для ГИС/ИСПДн, поддержка 24/7.

Пример продукта от облачного провайдера. Аттестованная площадка для ГИС (К1) и ИСПДн на той же технологической базе, что и On-premise. Доступны IaaS-сервисы, мониторинг, управление конфигурациями, резервное копирование и предбиллинг.

Защита и соответствие: действующий аттестат соответствия (ФСТЭК/ФСБ), что позволяет использовать платформу как готовую облачную инфраструктуру для размещения ГИС.

Выбор партнера и проверка на пилоте

Выбирайте не по обещаниям, а по подтвержденным результатам: 

• реализованные проекты с архитектурой и масштабом, сопоставимыми c вашим; 
• зрелая поддержка L2/L3 с 24/7-SLA и регламентами реагирования; 
• ответственность за результат и понятный план работ от пилота до промышленной эксплуатации. 

Еще до подписания документов убедитесь, что требования импортозамещения и регуляторов закрываются на практике, а не только в презентации.

Предоставляемый пилот должен быть не просто показом интерфейсов, а проверкой гипотез под вашей реальной нагрузкой. 

Обязательно заранее зафиксируйте ваши критерии: бесшовную миграцию и восстановление, устойчивость к сбоям, производительность на вашем профиле, совместимость с текущими бэкапом и мониторингом, автоматизацию через API/IaC, прозрачную TCO с учетом лицензий и поддержки. 

Итог должен быть однозначным: соответствие подтверждено, риски сняты, есть дорожная карта масштабирования.