Финансовые сервисы в облаке: насколько это безопасно и как выбрать правильное решение

Бизнес активно использует облачные сервисы. Больше половины российских компаний уже размещают часть своих ресурсов в облаках, а 85% планируют внедрить облачные технологии в свою инфраструктуру к 2025 году.

Финансовый сектор здесь — не исключение. Однако по сравнению с другими отраслями здесь облака используются меньше. Индустрия предъявляет очень высокие требования к безопасности, а многие компании в этом плане относятся к облакам с недоверием.

Директор направления облачных решений EdgeЦентр Глеб Сердитых рассказал, как финансовый сектор может использовать облачные сервисы с минимальными рисками для ИБ.

Какие преимущества облачная инфраструктура может дать финансовому сектору

1. Экономия. Компании не нужно тратить деньги на доставку, обслуживание, обновление оборудования, утилизацию устаревшей техники и т.п. Всё это берёт на себя облачный провайдер.

При этом большинство вендоров предоставляют модель PAYG (Pay as you go, поминутная оплата за фактически потребляемые ресурсы). Это позволяет платить только за те мощности, которые вы используете, не покупать оборудование «в прок» и избегать простоев.

2. Быстрая масштабируемость. При росте проекта дополнительные ресурсы в облаке можно купить буквально за несколько минут.

3. Автоматизация процессов. Многие облачные платформы, помимо вычислительных мощностей, предоставляют дополнительные PaaS-инструменты для ускорения разработки и автоматизации процессов. Как пример можно привести Managed Kubernetes — инструмент, который позволяет автоматизировать работу с микросервисной архитектурой. Кроме этого, могут предоставляться управляемые базы данных, центральное логирование и множество других подобных инструментов.

Насколько безопасно финтеху использовать облака

У финансовых сервисов есть набор специальных требований, которые нельзя игнорировать. В первую очередь это, конечно, безопасность. Если компания строит полностью свою инфраструктуру, она может учесть все требования к ИБ. А вот найти облачного провайдера, который бы всем требованиям соответствовал, может быть непросто.

Однако, учитывая все преимущества облачных сервисов, финтех всё-таки может существенно выиграть от использования облака. Главное здесь — правильно определится с моделью.

Уводить в облако всю инфраструктуру целиком будет слишком рискованно и неразумно. Но вот часть компонентов вполне можно перенести на облачные сервисы без каких-либо рисков. Тут главное понять, где риски будут существенно выше профита.

Например, размещать в облаке платёжные данные клиентов будет не самой лучшей идеей. При работе с ними важно не допустить даже малейшего риска утечки, поэтому здесь лучше всё держать под полным своим контролем — а значит, на своих ресурсах. То же относится, например, к ЗУП.

А вот менее существенные компоненты, например отдельные компоненты 1С, вполне могут располагаться на облачных серверах.

Если вы всё-таки решили использовать облако, важно выбрать надёжного провайдера, который не только сможет предоставить мощные вычислительные ресурсы, но и обеспечить должную безопасность.

Как выбрать надёжное облако для финтеха

Критериев, на самом деле, довольно много. Рассмотрим основные, которые особенно актуальны для финансовых сервисов.

1. Сертификация безопасности. Облако должно соответствовать определённым стандартам. Обязательно должен быть сертификат соответствия 152-ФЗ по УЗ-3 (третий уровень защищённости) и выше. Без этого по закону нельзя работать с данными российских клиентов.

Кроме этого, облако должно соответствовать требованиям 21 приказа ФСТЭК (регулирует правила защиты ПД) и, в ряде случаев, 187-ФЗ (о безопасности критической инфраструктуры). Большим плюсом будет и наличие международной сертификации: например PCI-DSS (даёт право работать с платёжными данными), ISO 27001 и 9001 (регулирует инфраструктурную безопасность самого провайдера и правила его работы с чувствительными данными).

2. Уровень дата-центров. Этот критерий, в целом, актуален не только для финтеха. Инфраструктура должна размещаться в ЦОДах не ниже уровня Tier III. В более низких уровнях время простоев и безопасность значительно ниже.

3. Возможность использования bare metal серверов (физических серверов в облаке). Они считаются более безопасными в сравнении с виртуальными, так как нет «соседей» — сервер изолирован от других пользователей и находится в полном вашем распоряжении.

Кроме того, bare metal серверы — более производительные, чем виртуальные, так как у них нет «налога» на виртуализацию. Это особенно важно для ресурсоёмких финансовых приложений, которые должны обрабатывать большие объёмы данных с минимальными задержками.

Публичное или приватное облако

Многие провайдеры предлагают услуги приватного облака. Частное закрытое облако строят под потребности заказчика индивидуально, с учётом всех его требований. И, в отличие от публичного облака, компания получает изолированную, более безопасную среду.

Возможности «кастомизации» приватного облака у разных провайдеров разные. У любого приватного облака есть свои ограничения. И сделать его на 100% соответствующим всем ожиданиям, как в случае с собственной инфраструктурой, может не получиться.

На первый взгляд для финансового сектора этот вариант кажется более правильным, чем публичное облако. Однако здесь есть нюансы. И главный из них — стоимость. Приватное облако — это довольно дорогая услуга. Поэтому прежде чем выбирать такое решение, нужно обязательно посчитать, насколько выгодно это будет вам. Возможно, чувствительные данные лучше всё-таки будет разместить на собственной инфраструктуре. А для менее критичной информации подойдёт и более дешёвое публичное облако.

Подведём итоги

• Облачные сервисы позволяют экономить на расходах, быстро масштабировать ресурсы и автоматизировать некоторые бизнес-процессы. Поэтому они активно используются разным бизнесом.
• Финансовым сервисам использование облаков тоже может принести много пользы. Главное — выстроить грамотную модель и правильно распределить компоненты между облаком и собственной инфраструктурой.
• При выборе облачного провайдера очень важно обращать внимание на наличие сертификатов о соответствии стандартам безопасности.
• Использовать можно как публичное облако, так и приватное. Второе будет более безопасным решением, но и более дорогим.