Закон об облачных услугах: почему не надо изобретать велосипед

Артем Коханевич, CEO облачного провайдера GigaCloud

В рамках саммита Дия не раз прозвучала информация о “законе об облаках” и развитии облачной инфраструктуры страны в целом. К слову, законопроект “Про облачные услуги” с 2019 года “лежит на полке”. Рассказываю, почему он важен и кто противники. 

Законопроект 2655 ― это база для Cloud First Strategy, которую экономически развитые страны мира начали массово внедрять 11 лет назад. В США она действует с 2011 года, а в 2018 вышла ее новая редакция ― Cloud Smart Strategy. Она определяет свои ключевые цели как: «to drive savings, to improve security, and to deliver mission-serving solutions faster». Другими словами подталкивает государственные учреждения и предприятия к наиболее эффективной модели внедрения и потребления IТ-сервисов, дает методологию оптимизации расходов, повышает безопасность и надежность государственных IT-сервисов. 

Как сейчас внедряются государственные IТ-сервисы? Есть какие-то единые отраслевые стандарты? Модель построения отказоустойчивой архитектуры систем? Рекомендации по защите от внешних и внутренних вторжений? Требования по наличию BCP-плана (Business Continuity Plan)? Нет, нет и еще раз нет. Мы работаем с большим количеством госзаказчиков. Тех, у кого это все внедрено или кто хотя бы сделал первые шаги, можно посчитать на пальцах двух рук. Остальные делятся на тех, кто умеет это внедрять, но не хочет, и на тех, кто хочет, но не умеет. Первых нужно принуждать, вторым ― дать готовый набор решений. И в ядре этого набора ― правильно построенная облачная инфраструктура, которая «из коробки» надежна, стандартизована и защищена на очень высоком уровне. А провайдер, который ее предоставляет должен знать как построить надежную и защищенную инфраструктуру, обладать для этого достаточным количеством ресурсов и иметь внутреннюю мотивацию сделать все по-настоящему хорошо. 

Облачный законопроект нужен не нам, не провайдерам. У нас много других более важных задач. Он нужен государству, чтобы гарантировать своим потребителям работу только с надежными поставщиками сервисов.

Amazon AWS, Microsoft Azure и Google ― большие противники законопроекта 2655 и объясняют свою позицию ограничением конкуренции. В то же время в США  разработана The Federal Risk and Authorization Management Program (FedRAMP), которую игроки облачного рынка с гордостью поддерживают. FedRAMP ― это процедура, которую проходят поставщики облачных сервисов для получения разрешения на использование предлагаемых облачных услуг на федеральном уровне или в целях Министерства обороны США в качестве основных блоков облачных систем. 

AWS утверждает, что программа FedRAMP важна, так как способствует:

• стабильной и надежной безопасности облачных решений, использующих утвержденные стандарты NIST и FISMA;
• прозрачности отношений между правительством США и поставщиками облачных технологий;
• автоматизации и непрерывному мониторингу в режиме, близком к реальному времени;
• внедрению безопасных облачных решений через регулярное повторение экспертных оценок и процедур авторизации.

Чтобы облачный провайдер в США мог сотрудничать с госзаказчиками, он должен выполнить следующие условия: 

• Поставщику облачных сервисов (CSP) должен иметь разрешение агентства на ведение деятельности (ATO) от федерального агентства США или предварительное разрешение на ведение деятельности (P ATO) от объединенного совета по авторизации (JAB).
• Поставщик облачных сервисов должен соблюдать требования к управлению безопасностью FedRAMP, которые описаны в основных требованиях к управлению безопасностью NIST 800 53, ред. 4 для умеренного или высокого уровня риска.
• Все системные пакеты по обеспечению безопасности должны использовать соответствующие шаблоны FedRAMP.
• Поставщик облачных сервисов должен пройти тестирование сторонней экспертной организацией.

В рамках концепции деятельности FedRAMP (CONOPS) после получения авторизации безопасность поставщика облачных сервисов отслеживается в соответствии с процессами тестирования и авторизации. Чтобы каждый год продлевать авторизацию FedRAMP, поставщик облачных сервисов должен отслеживать свои средства управления безопасностью, регулярно оценивать их и показывать, что безопасность сервиса всегда находится на должном уровне.

Первоначальная сертификация на соответствие требованиям FedRAMP занимает от 9 до 18 месяцев, в зависимости от готовности облачного провайдера и наличия ресурсов для устранения найденных несоответствий и уязвимостей.

Мы полностью поддерживаем создание надзорного органа, но надеемся, что он не будет изобретать велосипед, а возьмет для авторизации облачных провайдеров публично доступные правила той же FedRAMP. Это будет гарантировать высокий уровень облачных сервисов для государственных IТ-систем и отсутствие локальных «заточек» под кого-то.