Облачная защита или требования регуляторов? Как перестать выбирать между ними

Облачная защита или требования регуляторов? Как перестать выбирать между ними

Экономика ведёт бизнес в облака. Высокая стоимость оборудования, сложность его обновления, дефицит квалифицированных специалистов и необходимость быстро запускать цифровые сервисы делают облачную модель привлекательной для одних компаний и практически неизбежной для других. Однако для многих организаций, прежде всего из финансового сектора и других регулируемых отраслей, этот переход оказывается существенно сложнее.

Почему путь в облако для регулируемых компаний сложнее

Для банков, финтех-компаний, страховых организаций, операторов персональных данных и участников платёжной инфраструктуры использование облаков невозможно рассматривать в отрыве от требований ФСТЭК, Банка России и платёжных систем.

Недостаточно просто формально соблюсти регуляторные требования — в текущих условиях используемые технологии и средства защиты должны эффективно обеспечивать требуемый уровень безопасности. Тем временем, публичные веб-сайты, порталы и внешние API финансового сегмента сегодня постоянно подвергаются DDoS- и бот-атакам.

В результате компании вынуждены искать решения, которые одновременно выполняют задачи доступности и защиты веб-ресурсов и при этом не нарушают требования регуляторов. Соблюсти этот баланс не всегда легко.

Основные подходы к защите веб-ресурсов сегодня

На практике используется несколько подходов к защите веб-ресурсов от кибератак (см. таблицу 1).

Таблица 1. Варианты построения защиты веб-ресурса от кибератак

Самый консервативный из них — построение собственной инфраструктуры и реализация на ней собственных мер защиты. Такой путь обеспечивает максимальный контроль, но требует значительных капитальных вложений, редких компетенций, длительных сроков внедрения, проверки соответствия, аттестации или переаттестации всей информационной системы. Для многих компаний это означает годы работы и десятки миллионов рублей затрат.

Близкий по логике вариант — развёртывание специализированных on-premise-решений. Он снижает нагрузку на команду разработки, но сохраняет высокие расходы на оборудование, эксплуатацию и обновление, а также полностью оставляет на владельце веб-ресурса ответственность за его работоспособность и соответствие требованиям. Масштабируемость таких решений по-прежнему ограничена физическими ресурсами инфраструктуры.

Еще один вариант — использование облачных сервисов защиты без раскрытия HTTP(S)-трафика. Формально он выглядит как компромисс между безопасностью и регуляторными требованиями, однако на практике имеет серьёзные ограничения. Анализ запросов строится на логах и метаданных, что приводит к задержкам в реакции на атаки, риску ложноположительных блокировок и высокой нагрузке на серверы оригинации в пиковые моменты (в начале атак).

С технической точки зрения наиболее эффективной считается облачная защита с расшифровкой и анализом HTTP(S)-трафика на стороне провайдера. Именно этот подход используют мировые лидеры рынка, поскольку он позволяет противостоять атакам на уровне приложений, снижать нагрузку на оригинальную инфраструктуру и автоматически масштабироваться под любые всплески трафика. Долгое время для российских компаний из регулируемых отраслей этот вариант был фактически закрыт из-за отсутствия провайдеров с аттестованной облачной инфраструктурой.

Аттестованное публичное облако как инфраструктурный компонент

Пойдя по пути международных провайдеров, таких как Cloudflare и Akamai, NGENIX разработал аттестованное распределённое публичное облако на базе распределенной платформы с интегрированными сервисами защиты веб-ресурсов.

Платформа соответствует требованиям российских регуляторов и отраслевых стандартов: ФСТЭК России — в части защиты персональных данных, Банка России — для финансовых организаций, а также стандарту PCIDSS, обязательному для сервис-провайдеров, работающих с платёжной информацией. Это даёт заказчикам легальную основу для использования облачной защиты с полноценным анализом трафика на узлах провайдера без нарушения регуляторных норм.

Для финансовых организаций (банков, микрофинансовых организаций (МФО), брокеров, страховых компаний) использование такого продукта означает выполнение требований Банка России по ГОСТ Р 57580 с существенным упрощением процесса аттестации. Для платёжных сервисов и интернет-магазинов — соответствие PCI DSS. Для операторов персональных данных — выполнение требований приказа ФСТЭК №21 и возможность использовать облачную инфраструктуру в рамках требований 152-ФЗ по защите и обработке персональных данных.

Архитектура и принципы безопасности решения

Аттестованное публичное облако NGENIX построено на принципе «встроенной безопасности», при котором требования информационной безопасности учитываются на этапе проектирования. Инфраструктура размещена в трёх независимых аттестованных дата-центрах уровня надёжности Tier 3, что обеспечивает отказоустойчивость и высокую доступность критичных сервисов.

Взаимодействие между узлами платформы защищено ГОСТ-шифрованием с использованием сертифицированных аппаратных средств защиты. Многоуровневая система безопасности включает средства обнаружения и предотвращения вторжений (IDS/IPS), а также централизованный сбор и анализ событий в SIEM. Такая архитектура позволяет выполнять полноценный анализ HTTPS-трафика в облаке без нарушения требований регуляторов.

Использование аттестованного публичного облака позволяет защищать веб-ресурсы от DDoS-атак на сетевом и прикладном уровнях, а также от автоматизированного трафика (ботов). Также оно обеспечивает отказоустойчивость и защиту DNS и демпфирует пиковые нагрузки с помощью CDN. При этом заказчик получает готовую аттестованную часть ИТ-среды, которую можно учитывать при построении собственной защищённой информационной системы.

Важно отметить, что речь идёт именно об аттестованном инфраструктурном компоненте, а не о подтверждении соответствия всей информационной системы заказчика.

Где проходит граница ответственности

Не все организации понимают, что использование аттестованного публичного облака не снимает с компании обязанности обеспечивать соответствие своей информационной системы требованиям регуляторов. Ответственность за приложения, бизнес-процессы и обработку данных остаётся на стороне заказчика, который отвечает за соответствие перед регулятором, платёжной системой или банком-эквайером.

Со стороны провайдера ответственность ограничена инфраструктурным уровнем. Например, в случае NGENIX инфраструктура и сервисы аттестованного распределённого публичного облака соответствуют требованиям ФСТЭК России (приказ №21, уровень защищённости УЗ‑2), стандарту Банка России ГОСТ Р 57580.1–2017 и требованиям PCIDSS, предъявляемым к сервис-провайдерам. Аттестаты подтверждают, что используемый облачный компонент не нарушает установленных требований и может легитимно применяться в составе защищённой информационной системы заказчика.

Практическая ценность такого подхода заключается в том, что компания получает критически важный аттестованный компонент для защиты веб-ресурсов. Используя его, заказчик снижает регуляторные риски на уровне инфраструктуры, избегает капитальных затрат на создание и аттестацию собственной платформы и существенно сокращает сроки собственного подтверждения соответствия — по разным оценкам, на 6–12 месяцев. Именно в этом состоит ценность аттестованного облака: не в формальном «соответствии», а в снижении издержек и упрощении выполнения обязательств перед регуляторами.

Вывод

Рост потребления облачных сервисов российскими организациями в текущей макроэкономической ситуации неизбежен, и для регулируемых отраслей ключевым становится не вопрос «использовать ли облака», а вопрос доверия провайдеру и одновременно — соблюдение высоких стандартов безопасности. Аттестованные публичные облака формируют новый подход к защите веб-ресурсов, позволяя сочетать экономические преимущества облачной модели с соблюдением регуляторных требований. Опыт NGENIX показывает, что такой баланс сегодня достижим и может стать основой для дальнейшего развития облачных сервисов информационной безопасности в России.

Реклама. ООО «ССТ», ИНН: 7733546298, Erid: 2VfnxxqhDww