Василий Степаненко
Генеральный директор облачного провайдера Nubes
С 2013 года занимается безопасностью облаков и пропагандирует сервисы безопасности, предоставляемые из облака.
Трижды за время своей работы построил СУИБ в соответствии с ISO/IEC 27001 и успешно прошёл сертификацию BSI.
До прихода в Nubes работал в ведущих интеграторах России и реализовывал сложные проекты, направленные на обеспечение практической информационной безопасности.
Один из значимых проектов Василия — создание и последующая сертификация по требованиям ФСТЭК России одной из первых в РФ платформ виртуализации, а также средств биометрии.
Вопрос о целесообразности перехода в облако остаётся актуальным для многих компаний. О ключевых аспектах выбора между собственной и облачной инфраструктурами, реальных преимуществах облачных решений и текущих тенденциях российского рынка облачных услуг мы поговорили с Василием Степаненко, генеральным директором облачного провайдера Nubes.
Облака преподносятся как способ сэкономить на ИТ-инфраструктуре, причём сэкономить значительно. Это действительно так или есть какие-то случаи, когда компании выгоднее разворачивать собственную инфраструктуру, чем идти в облако?
В. С.: На Западе сейчас есть возмущение облачными провайдерами из-за повышения цен, возросшего числа аварий, выводов о преимуществе собственной инфраструктуры перед облачной в ряде случаев.
Что касается повышения цен, то в России на данный момент роста практически не наблюдается, рынок высококонкурентный. А вот аварии, вероятно, нас ещё ждут. Сейчас многие провайдеры в РФ продолжают использовать продукты зарубежных вендоров для организации облачной инфраструктуры. Но идёт постепенный переход к продуктам, основанным на Open Source и выпущенным в эксплуатацию без должных тестов, что и будет приводить к разным сбоям.
Больше всего мне хочется поговорить про случаи, когда собственная инфраструктура действительно будет более правильным решением, чем облачная, ведь у нас всё впереди.
Для облачного провайдера наиболее эффективная схема организации облака — с переподпиской, то есть когда одни и те же ресурсы (ЦП в первую очередь) могут быть предоставлены нескольким клиентам.
Например, компания размещает в облаке 1С, проводит «тест Гилева» — синтетическую проверку, позволяющую оценить быстродействие платформы «1С:Предприятие». Он весьма спорный, однако многие клиенты на его основании делают вывод о том, что облако не подходит для размещения 1С.
Чтобы всё работало эффективно, в облаке (IaaS) есть возможность закрепить за клиентом пул мощностей, которые будут всегда ему доступны (reservation pool). При этом будет привычный способ управления — простая сетевая связность ресурсов и прочие преимущества. Либо можно прибегнуть к модели HaaS (Hardware-as-a-Service), чтобы получить сервер с нужным количеством ГГц, ведь облачные серверы могут дать не более 3,5 ГГц, а отдельные серверы по модели HaaS возможно предоставить и на 4,5 ГГц. В целом, такие варианты подходят практически для любых систем.
Собственные же серверы выгоднее для нагруженных систем, например АБС (автоматизированных банковских систем), или для требующих специфических серверов, типа мейнфреймов, серверов с большим количеством «оперативки» или какими-то немассовыми процессорами. Например, система расчёта налогов внутри ФНС или система контроля автотранспорта в ГИБДД.
Плюс ко всему, различные АСУ ТП должны быть на предприятиях или возле мест, где находится то, чем они управляют. Какой-нибудь центр управления металлургическим производством, например.
В общем, всё, что принесёт большие проблемы, если интернета не будет, лучше размещать у себя. Это выгодно и с точки зрения денег, кстати, так как простой системы может привести к потере дохода.
Если говорить про преимущества облака, то это же не просто экономия, но и что-то ещё? Какой «профит» получают клиенты Nubes, например?
В. С.: Мы концентрируемся на качестве предоставляемых сервисов, выстраиваем доверительные отношения с клиентом и стараемся всегда сделать больше, чем написано в договоре. Многие наши клиенты это замечают, ведь мы не просто сообщаем, что на виртуализации проблем нет, и предоставляем в качестве доказательства графики, но и углубляемся в суть проблемы клиента. У нас работают люди для людей. ИИ мы, конечно, тоже используем, но не для общения с клиентами, а для ускорения решения проблем. Вообще, скорость сейчас для всех крайне важна.
Кстати, что касается ИИ, то в РФ наступил бум проектов, связанных с ним, машинным обучением и компьютерным зрением. Правда, аналитики Gartner прогнозируют, что треть таких проектов будут свёрнуты к концу 2025 года из-за низкого качества данных, больших затрат и отсутствия ценности для бизнеса.
Чтобы такие проекты реализовывать, нужны графические процессоры (GPU) для обучения нейронных сетей, но на время, чтобы понять, стоит ли их развивать дальше. Облака для этих задач идеально подходят. Мы, например, предоставляем Nvidia Tesla A16, A100 с оплатой помесячно или по мере использования. Скоро и новые карты, анонсированные Nvidia, представим рынку. И если проект клиента «выстрелит», то он может в локальную инфраструктуру закупить GPU, но для экспериментов облака — точно оптимальный вариант.
Какие ещё есть преимущества у облачных провайдеров? Мы в Nubes, например, большое внимание уделяем информационной безопасности. Причём многое уже сейчас встроено в облако: защита от DDoS-атак L3 / L4, сканирование белых IP-адресов на уязвимости, фиксирование важных событий виртуальной инфраструктуры в SIEM, что позволяет быстро искать причины каких-либо изменений.
На этом мы, конечно, останавливаться не планируем, обязательно будем расширять встроенные функции защиты. Также у нас есть дополнительные сервисы безопасности для быстрого развёртывания в интересах клиентов с повышенными требованиями к ИБ и скорости масштабирования. ИТ-специалисты идут в облако для быстрого старта работы системы / приложения, а специалисты по информационной безопасности выдвигают требования по их защите: AV, NGFW, WAF, сканирование кода, поиск уязвимостей и т. д.
При этом, если облачный провайдер готов дать лишь лицензии на нужные средства защиты, то это не всегда удовлетворит клиента, ведь, возможно, безопасники не работали с теми СЗИ, которые готов дать провайдер. Мы же не только предоставляем лицензии на требуемые СЗИ, но и настраиваем их по заданию ИБ-специалистов или оптимальным образом на основе нашего опыта.
В исследовании компании Civo говорится, что три ключевых игрока очень сильно повысили цены на свои услуги. Локальных провайдеров это тоже коснулось?
В. С.: На российском рынке облачных услуг сегодня много игроков, в конкурсных процедурах мы видим периодически более 30 конкурентов. В таких условиях говорить о росте цен выше уровня официальной инфляции не приходится. Это клиенту ЦОД сложно мигрировать, нужно физическое оборудование перевозить, а переезд из облака в облако сегодня не такой сложный, есть много инструментов, обеспечивающих быструю миграцию, даже невзирая на платформы виртуализации.
Иногда бывают ограничения по использованию MIND Migrate, Hystax Acura и прочих решений для миграции виртуальных машин из-за наличия аттестата соответствия облака требованиям регуляторов, но всё возможно, если есть задача переехать.
Большинство публичных облаков построено на базе зарубежных платформ виртуализации, за которые сейчас нет возможности платить вендору, и, соответственно, нет технической поддержки. Некоторые используют практически «ванильный» Open Source, бесплатный, опять же технической поддержки у таких решений нет.
Для построения частных облаков в основном используются платные продукты уже российских вендоров, обладающие сертификатами соответствия требованиям регуляторов и внесённые в отечественные реестры. Поэтому говорить о росте цен на лицензии в публичных облаках не приходится. Стоимость электричества (она подросла в 2024 году) в затратах облачного провайдера играет не такую большую роль, самое дорогое — это люди и оборудование.
Команда Nubes занимается разработкой собственной платформы виртуализации, как многие российские провайдеры?
В. С.: Команда Nubes занимается разработкой собственной платформы управления PaaS, но не виртуализации. Мы автоматизируем работу S3, различных СУБД, Serverless, K8s и т. д., делаем управление этими продуктами из единого удобного для пользователей портала. Нашим разработчикам хватает работы с PaaS. В плане виртуализации мы работаем в трёх направлениях: а) продолжаем использовать известный зарубежный продукт, б) запустили облако на китайской платформе виртуализации, по функциональности напоминающей VMware, в) работаем с готовыми отечественными решениями из реестра, сертифицированными по требованиям ФСТЭК России для реализации частных облаков.
В России уже более 30 платформ отечественной виртуализации. Делать ещё одну на том же OpenStack или oVirt не имеет большого смысла. Лидеры уже понятны, мы с ними сотрудничаем. На случай проблем с зарубежным ПО мы нашли достойный китайский аналог, у которого есть функциональность простого преобразования всего облака. Потребуется только включить / выключить виртуальные машины, и все они уже будут на базе новой виртуализации.
Есть сложности с поставками серверного оборудования для облака?
В. С.: Ранее клиентам было важно, чтобы кластеры облака были построены на базе оборудования известных зарубежных вендоров, чьи продукты, с учётом изменения цепочек поставок, значительно подорожали, увеличились сроки поставки, а также появились проблемы с технической поддержкой. Сейчас же многие клиенты публичных облаков спокойно относятся к новым российским брендам типа Nerpa или Apex. Компонентная база не хуже, чем у западных вендоров, по сути такая же, нет ранее привычных «шильдиков», зато есть прямая техподдержка, кстати, довольно быстро решающая проблемы.
Мы не используем «железо» из реестра Минпромторга в публичном облаке, так как нахождение в реестре автоматически увеличивает цену такого оборудования. Из реестра оборудование мы берём только для частных облаков, где необходимо обеспечить выполнение требований по импортозамещению.
Для тех клиентов, кому важно, чтобы облако было построено на базе серверов известных производителей, у нас есть кластеры на базе Lenovo, Huawei. На базе этих же вендоров мы строим кластеры публичного облака, где предоставляются GPU Nvidia (А16, А100), так как важно правильное охлаждение, чтобы сервис был непрерывным. Сетевое оборудование мы используем во всём облаке типовое, Juniper, что позволяет избегать проблем при эксплуатации.
А сервисы безопасности строите на западных решениях или сами разрабатываете?
В. С.: Сервисы информационной безопасности (Security-as-a-Service) в основном у нас построены на базе отечественных вендоров, так как важны техподдержка, обновление сигнатур без проблем, курсы для инженеров. Защита от DDoS-атак уровня L7 (плюс опционально Anti-Bot) мы предоставляем на базе решений наших партнёров Curator (ранее Qrator Labs) и DDOS-GUARD, WAF от Positive Technologies, многофакторная аутентификация MFASOFT.
А вот Next Generation Firewall в нашем облаке мы можем предложить не только отечественный (UserGate): есть Check Point (правда, с нюансами), виртуальный Sangfor NGAF. Плюс сейчас мы учимся и внутри Nubes внедряем платформу Smart Monitor от нашего партнёра VolgaBlob вместо Wazuh. Позже будет SIEM-as-a-Service.
Это что касается сервисов, предоставляемых клиентам по запросу, за отдельную плату. А встроенные сервисы, такие как двухфакторная аутентификация администраторов клиента при доступе к средствам управления, мы делаем на базе Open Source Keycloak. Защиту от DDoS-атак уровня L3 / L4 реализуем через фильтрующее облако нашего партнёра ServicePipe, так надёжнее. Сканирование на наличие уязвимостей белых IP-адресов, предоставляемых нашим клиентам в облаке, мы делаем посредством опенсорсного сканера и платной базы уязвимостей.
Сейчас несколько российских облачных провайдеров заявили о создании облака для ЗО КИИ, будете следовать этому тренду?
В. С.: Нет, значимые объекты критической информационной инфраструктуры не могут работать в облаке, где есть переподписка (иначе какие же они «значимые»). Да и в принципе в облаке есть «соседи», которых могут атаковать, и это может негативно сказаться на ЗО КИИ. Поэтому мы готовы для ЗО КИИ подготовить частное облако с выделенными серверами под этого клиента с обеспечением выполнения всех требований регуляторов. Опыт есть, всё реализуемо.
Из-за широкой трактовки закона «О безопасности критической инфраструктуры Российской Федерации» № 187-ФЗ от 26.07.2017 к субъектам КИИ можно отнести очень большое число организаций. И если организация потенциально относится к субъектам КИИ, то чаще всего все её системы ИБ-специалисты относят к объектам КИИ. Облака же хорошо подходят для бизнес-систем, но не для промышленных, которые лучше размещать рядом с производством.
Получается, что нужно разделять внутри субъекта КИИ то, что не относится к объектам КИИ и что можно размещать в облаке, и то, что в облако не рекомендуется выносить — например, автоматизированные системы управления технологическими процессами (АСУ ТП).
Важно, чтобы классификация объектов КИИ была проведена правильно, тогда и проблема с тем, что можно выносить в публичное облако, а что нельзя, будет решена. Если классификацию делать разумно, то в РФ удастся избежать западных ошибок, когда в облаке организации размещали всё подряд ради экономии и удобства.
Василий, благодарю за такое информативное интервью! Было очень интересно пообщаться!
