Финансовая сфера

Банковское обозрение


  • Не витайте в облаках, или Появится ли в России GovCloud
10.11.2021 FinCorpFinSecurityFinTechАналитика

Не витайте в облаках, или Появится ли в России GovCloud

Индустрия IT уже давно движется в сторону облачных вычислений и сервисов. Крупнейшим игроком в этой сфере является Amazon Web Service, однако появляются все новые локальные провайдеры. Какие проблемы стоят перед российскими компаниями при использовании облачных сервисов и как в этих условиях выбрать правильную стратегию развития IT?


С небес на землю

Каким бы чудесным и продвинутым ни был сервис, в особенности сервис глобальный, найдется немало причин серьезно подумать, прежде чем размещать в нем свои корпоративные данные. И тут стоит обратить внимание на одну интересную особенность нашего IT-рынка. Дело в том, что лидерами в области цифровых сервисов и внедрения передовых технологий, таких как работа с биометрическими данными, использование ИИ при обслуживании клиентов и принятии решений и других, в нашей стране являются в основном профессиональные участники финансового рынка, преимущественно банки. Важный нюанс заключается в том, что именно банки максимально консервативны в вопросах обеспечения ИБ и как следствие открытости своей инфраструктуры и готовности к широкому применению облачных сервисов. Их данные ценны, поскольку представляют огромный интерес не только для банков, но и для их клиентов. Стали бы вы доверять свои сбережения банку, если бы знали, что учетная система находится в другой стране и управляется сторонней частной компанией? 

Надо признать, что службы ИБ кредитных организаций следят за тем, чтобы не происходило утечек данных и чтобы информация продуктивных систем была доступна только авторизованным сотрудникам. Для этого используется широкий арсенал средств контроля за утечками: системы контроля и фиксации действий пользователей и клиентов, регулярное проведение тестов на уязвимость в информационных системах, разработка моделей угроз безопасности и методов их противодействию Но что же произошло с приходом облачных вычислений и сервисов? В большинстве случаев ответ подразделений ИБ на вопрос о возможности размещения в облаке продуктивных информационных систем строго отрицательный. И это в какой-то степени вполне оправдано. Как управлять такими рисками, пока не понятно, да и сама возможная модель угроз сформулирована плохо. Дело осложняется и тем, что модель распределенной ответственности при использовании облачных сервисов меняется в зависимости от того, о каком конкретно сервисе и варианте его предоставления идет речь. Так, вы можете использовать базы данных, размещенные на подготовленных вами серверах, которые, в свою очередь, будут размещены в облаке, а можете использовать полностью управляемые провайдером услуг сервисы. Ответственность и риски будут распределяться по-разному.

Гибридные инфраструктуры спешат на помощь

Одним из вариантов решения проблемы, связанной со сбалансированностью рисков ИБ, стали гибридные системы, или гибридные облака. Модель довольно проста: вы выносите «за периметр» только системы, не содержащие реальных данных или менее критичные для основного бизнеса, чтобы ускорить процессы разработки, а основные и наиболее важные системы остаются полностью в ведении компании. Такой подход позволяет извлечь выгоды от использования облачных сервисов в ходе разработки и тестирования и одновременно сохранить полный контроль над собственной инфраструктурой, тесно интегрировав их. Правда, тут возникает ряд других проблем.

Дело в том, что облачные сервисы развиваются и трансформируются стремительно, поэтому рассчитывать на то, что, будучи однажды принятым, такой подход к построению инфраструктуры будет удовлетворять потребностям бизнеса хоть какое-то длительное время, не приходится.

В облачные инфраструктуры ведущих провайдеров уже давно встроены инструменты разработки (IDE), автоматического развертывания (CI/CD), бессерверных технологий (Serverless), которые нельзя просто так принести в периметр. Это требует значительных усилий со стороны IT-подразделений и серьезных финансовых затрат.

Kubernetes и Docker решили часть проблем

Приложения, поставляемые в контейнерах Docker и инфраструктуры, построенные на основе технологии Kubernetes, решили целый пласт проблем, давно стоящих перед IT-специалистами. Теперь мы можем поставлять готовые контейнеры для развертывания как в облачной инфраструктуре, так и в периметре компании, обеспечивая высокую совместимость программных компонентов. И это отличное решение, когда вы начинаете новый проект, реализуете новую функциональность. В наши дни требования практически к любому проекту включают в себя реализацию в микросервисной архитектуре решения с высокой степенью гибкости и управляемости. Этот процесс приведет нас к инфраструктурам нового поколения с такими свойствами, как автоматическое восстановление при отказах, автоматическое масштабирование при высокой нагрузке, управление инфраструктурой как кодом и другим преимуществам, без которых через три — пять лет ваша инфраструктура вполне может потерять актуальность и перестать отвечать на запросы бизнеса. Использование и гибридных облачных структур и добавление контейнеризации не решит всех проблем. Во-первых, главный плюс облачных инфраструктур — предоставление вычислительных мощностей по требованию. Например, к вам пришло несколько десятков тысяч новых клиентов или нужно обработать социальные выплаты для нескольких сотен тысяч. В реальном облаке с этим нет проблем: ресурсы будут выделены провайдером по вашему требованию или автоматически, и вы оплатите только период их реального использования. В гибридном облаке, если ваши продуктивные системы настроены на масштабирование, вы как минимум должны располагать необходимыми ресурсами. Другими словами, вы держите эти ресурсы «на черный день», и когда этот день проходит, вы продолжаете их держать. Во-вторых, ряд крупных информационных систем, таких как главная учетная система (АБС), внутренние аналитические системы, подсистемы для формирования регуляторной отчетности и тому подобное, довольно слабо поддаются контейнеризации. Эти комплексы разрабатывались несколькими десятками лет, поэтому просто «переписать» их займет примерно столько же времени. При этом они и сейчас вполне работоспособны и продолжают успешно развиваться, так что это не вопрос ближайшей перспективы.  

Безвыходных ситуаций не бывает

Что же в такой ситуации может стать компромиссным решением? Ответ, возможно, уже найден, и примером тому могут послужить облачные инфраструктуры под доверенным управлением. В AWS и Alibaba Cloud это сервисы, размещаемые в отдельной части под названием GovCloud. Это ограниченная часть облачной инфраструктуры, в которой применяются специальные требования к хранению и обработке информации, и не только. Эти требования также распространяются и на участников, подключающихся к системе. Таким образом, если заказчик в лице государственной компании хочет использовать облачные сервисы, он подключается к системе и оплачивает вычислительные ресурсы в соответствии с тарифами. Если компания-разработчик желает выполнять разработку для данного клиента, она также подключается к этому облаку, но при этом она должна соответствовать ряду критериев. Таким образом создается относительно доверенная среда для взаимодействия и предоставления сервисов. Это сродни стандарту PCI DSS, используемому в платежной инфраструктуре.

Еще к одному стимулу движения в сторону использования инфраструктур под доверенным управлением, по крайней мере в финансовом секторе, можно было бы отнести взаимодействие компаний и регуляторов. Так, ЦБ давно борется с проблемой «непрозрачности» происходящего в информационных системах банков. Для осуществления контроля используется огромное количество регуляторной отчетности банков, которую банки формируют самостоятельно, и тут возможны несоответствия с реальной ситуацией в учетной системе. Кроме того, достаточно широко известны случаи «потери» информации (например, при отзыве лицензии у банка) или различные манипуляции с ней. 

Несколько лет назад даже обсуждалась возможность передачи копий всех данных учетных систем банков в ЦБ для предотвращения такой возможности. Впоследствии, когда стало ясно, что потребуется сделать при необходимости «развернуть» эти системы, от идеи отказались. Из этого можно сделать вывод, что использование инфраструктуры под доверенным управлением могло бы не только способствовать минимизации рисков компаний, но и повысить прозрачность и снизить риски для регуляторов.

Инфраструктуры доверенного управления, подобные GovCloud и ряду других, более закрытых, систем, на мой взгляд, решают большую часть проблем, мешающих в настоящее время активно использовать новые возможности крупными государственными компаниями и банками.

Что же предпринять, если пока в России таких сервисов нет? Вероятнее всего, стоит готовиться к их появлению. Прорабатывать возможности более широкого использования облачных сервисов в рамках своей инфраструктуры и учиться управлять рисками ИБ в новой парадигме. Во-первых, опыт показывает, что большинство хороших и подходов и идей до нас доходит и реализуется. Во-вторых, точно не стоит стремиться организовать подобные облачные платформы внутри компании. Это затратное и неэффективное занятие. В-третьих, если вы сейчас формируете свое видение и свою стратегию развития в облачной инфраструктуре, позаботьтесь об отсутствии привязки к конкретному поставщику услуг.

Сделать это самостоятельно не всегда просто, поэтому постарайтесь найти квалифицированного и независимого партнера, провести консультации и наметить план действий. Таким партнером для вас может выступить R-Style Softlab. Мы работаем в области банковской автоматизации уже более 25 лет и продолжаем помогать клиентам действовать в условиях стремительных и масштабных изменений в индустрии IT и банковского сектора.






Сейчас на главной

ПЕРЕЙТИ НА ГЛАВНУЮ