Интервью для RUБЕЖУдорожание оборудования и требования к защите КИИ смещают спрос на рынке облачных услуг в России в сторону частных и гибридных облаков. Виктор Виноградов, директор по информационной безопасности mt cloud, рассказал журналу RUБЕЖ о ценообразовании, рисках развертывания инфраструктуры для объектов КИИ и критериях выбора провайдера. В интервью - архитектурные решения, интеграция отечественных СКЗИ и ПАК, прогноз развития рынка до 2027 года.Рыночный ландшафт и типология решений- Какие основные категории облачных решений сегодня востребованы в российских ЦОД - публичные, частные, гибридные или мультиоблачные архитектуры?Виктор Виноградов: Выбор между публичным или
частным облаком, как
правило, определяется функциональными требованиями заказчика. Зачастую заказчики выбирают публичное облако, а
когда требуется уникальная конфигурация либо
есть повышенные требования к
информационной безопасности, рассматривают частную инсталляцию. Гибридные облака востребованы в
связи с
долгой логистикой и
стремительно растущей ценой на
серверное оборудование. При
помощи гибридной архитектуры наши клиенты могут динамично расширять объем используемых ресурсов здесь и
сейчас, а
не долго ждать очередную поставку оборудования. Мультиоблачная архитектура -
зрелый подход для
построения высокодоступной инфраструктуры. Также клиенты чаще выбирают такую архитектуру, когда
недостаточно возможностей у
уже используемого провайдера облачных услуг, например, если
требуются высокопроизводительные серверы с
видеокартами либо дополнительная площадка для
реализации плана аварийного восстановления.
- Насколько изменился спрос на облачные платформы за последние 2-3 года, особенно под влиянием требований к импортозамещению и работе с КИИ?В. Виноградов: Мы видим, что спрос в целом на IaaS (аренда вычислительных мощностей для запуска своих решений и развертывания IT-инфраструктуры компании прим. ред.) растет. По данным IKS Consulting, в рублевом выражении за 2024 год рост составил 34,5%, и прогнозируется, что тенденция сохранится. Сейчас уже очевидно, что клиенты в качестве платформы для размещения объектов КИИ все чаще выбирают частные облака, тем более рынку уже есть что предложить в качестве платформ, полностью соответствующих требованиям законодательства в области КИИ.
- Какие ошибки чаще всего допускают заказчики при выборе облачной модели?В. Виноградов: Облачные технологии не
в
новинку. Как правило, когда клиенты планируют разместить в
облаке свою бизнес-систему, они хорошо понимают, какую облачную модель нужно выбрать. Бывает, что
клиенты планируют использовать собственное «железо» для
размещения информационных систем с
повышенными требованиями к
информационной безопасности. Таким клиентам нам часто приходится объяснять преимущества использования частных облаков. Им мы рассказываем, что
требуемого уровня информационной безопасности в
частном облаке можно достичь с
помощью использования необходимых клиенту сертифицированных средств защиты информации, а
рекуррентные платежи позволяют снизить капитальные затраты (CAPEX) на
проект.
Техническая реализация и безопасность- Какие основные технические характеристики (производительность, отказоустойчивость, совместимость с отечественным ПО) определяют выбор облачного решения для ЦОД?В. Виноградов: Облачные решения достаточно вариативны и
позволяют реализовать фактически любую конфигурацию в
зависимости от
потребностей клиента. Например, клиентам, которым требуется быстро получить вычислительные ресурсы для
тестирования новой информационной системы с
возможностью интеграции с
действующими инфраструктурными сервисами (в
том числе с
корпоративной подсистемой обеспечения информационной безопасности), мы
предлагаем воспользоваться нашим публичным облаком. Публичное облако легко интегрируется через выделенный канал с корпоративным ЦОД, при
этом позволяет быстро наращивать ресурсы. Мы часто так
делаем для
клиентов, которым требуется получить в
аренду видеокарты. Публичное облако часто используют в
качестве резервной площадки для
реализации плана аварийного восстановления (DRP). Если клиенту требуется уникальная конфигурация в
облаке, это
может быть отечественная система виртуализации либо
дополнительные средства защиты информации, мы
предлагаем реализовать такой проект в
виде частного облака.
- Как обстоят дела с интеграцией облачных сред с отечественными СКЗИ, ОС и СУБД? Есть ли типовые сценарии развертывания?В. Виноградов: Вследствие ухода с
рынка иностранных производителей и
государственного курса на
импортозамещение производители отечественных решений активно работают над
функционалом своих продуктов. На практике в
облаке отечественные операционные системы и
СУБД работают не
хуже, чем на
физических серверах. Со средствами СКЗИ дело обстоит несколько иначе. В случае реализации СКЗИ в
облаке бывает невозможно достичь требуемого уровня криптографической защиты. Стандартное решение для
достижения требуемого уровня криптографической защиты -
использование СКЗИ на
базе программно-аппаратных комплексов (ПАК) с
последующей интеграцией ПАК с
облаком в
пределах контролируемой зоны.
- Как обеспечивается информационная безопасность в облаках, развернутых в ЦОД? Какие механизмы защиты применяются? Что требует донастройки?В. Виноградов: В
облаке мы
используем эшелонированную систему обеспечения информационной безопасности. В случае предоставления облака по
модели IaaS мы как
провайдер облачных услуг обеспечиваем физическую безопасность оборудования (серверов, СХД, сетевого оборудования и
каналов связи для
обеспечения работоспособности облака), обеспечиваем безопасность сети облака и
среды виртуализации. Для этого все наше оборудование размещено в
ЦОД, соответствующих уровню надежности Tier III, реализована полноценная подсистема обеспечения информационной безопасности, проводятся регулярные учения по
проверке работоспособности процедур восстановления облачной инфраструктуры после сбоев, а
также в
случае компьютерных атак или
инцидентов информационной безопасности. Мы регулярно проверяем соответствие реализованных организационных и
технических мер защиты путем независимых аудитов, а
также путем технического контроля защищенности методом тестирования на проникновения (pentest). Наше публичное облако ежегодно успешно проходит аудит на
соответствие PCI DSS сертифицированным QSA-аудитором, а
также имеет действующий аттестат соответствия требованиям ПП РФ от
2012 № 1119 и
приказа ФСТЭК России от
2013 № 21 по
1-му уровню защищенности персональных данных (УЗ-1). На
уровне операционных систем, СУБД, приложений и
данных в
облаке клиент должен самостоятельно реализовать требуемый набор защитных мер для обеспечения информационной безопасности. Для этого у
нас есть готовые варианты конфигураций под
различные требования, например, реализация сервиса по
мониторингу событий информационной безопасности, сервис по
защите веб-приложений от
вредоносного трафика на
базе вендорского решения от
нашего партнера Positive Technologies или
комплексный сервис по
защите от
DDoS-атак на
канальном уровне (L3/L4) либо на
уровне приложения (L7).
Соответствие регуляторике и работа с КИИ- Какие требования ФСТЭК, ФСБ чаще всего влияют на архитектуру облачного решения при работе с КИИ?В. Виноградов: Ключевой документ, который детализирует требования к архитектуре значимых объектов КИИ, - это приказ ФСТЭК России от 2017 года № 239. Документ описывает состав и содержание мер по обеспечению информационной безопасности для объектов КИИ, которым в процессе категорирования была присвоена категория значимости. Меры, описанные в приказе, также применимы к облачной инфраструктуре, предназначенной для размещения объектов КИИ. В процессе проектирования облака для КИИ особого внимания требует реализация удаленного доступа. Ключевым элементом в процессе проектирования удаленного доступа является реализация для доступа виртуальной частной сети (VPN) на базе сертифицированных СКЗИ. В свою очередь, конфигурация СКЗИ должна быть определена в соответствии с требованиями ФСБ России в зависимости от требуемого уровня криптографической защиты. На архитектуру облака также значительно влияет реализация подсистемы контроля действий привилегированных пользователей и способ реализации строгой аутентификации субъектов доступа.
- Назовите главные риски при развертывании облака для объектов КИИ (например, технологические, юридические, организационные и др.)? Как снизить вероятность негативных последствий?В. Виноградов: Когда мы говорим с заказчиками из сектора КИИ, мы часто слышим от них о двух критических угрозах: первая - что данные могут утечь из облака по вине провайдера, вторая - наличие «закладок» в программном обеспечении. Чтобы снизить возможность реализации угроз, мы комплексно подходим к информационной безопасности, предлагая частное облако (Private Cloud), в основе которого используются только сертифицированная среда виртуализации, сертифицированное программное обеспечение и сертифицированные средства защиты информации. Для подобного облака мы обязательно проводим оценку соответствия в форме аттестации, тем самым подтверждая выполнение требований в области безопасности и снижая возможные риски, связанные с регуляторными требованиями. Ну и, конечно, благодаря ежемесячной оплате облако позволяет без крупных капитальных затрат получить требуемые вычислительные ресурсы и тем самым снизить финансовые риски для компаний-заказчиков.
Экономика, выбор заказчика и будущее- Каков примерный ценовой разброс между базовыми и индивидуальными решениями для ЦОД? На что в первую очередь влияет стоимость?В. Виноградов: Недавно IKS-Consulting и RСloud by 3data опубликовали интересный
отчет «RCloud Index (RCI) за 4 квартал 2025 года: стоимость облачных сервисов в России». В отчете приводятся значения средней стоимости единицы ресурса в месяц без сопутствующих услуг, таких как сетевые услуги, услуги по администрированию (Managed IT) и услуги в области информационной безопасности (MSS). Если брать полученные значения в качестве эталонных, то для частных облаков эти значения могут быть больше в несколько раз. Ключевой фактор удорожания - резервирования большого количества ресурсов сразу вместо классического метода управления ресурсами в виде переподписки (oversubscription). Также на увеличение стоимости может влиять набор дополнительных средств защиты, реализованный специально под конкретное частное облако.
- На что обращают внимание заказчики при выборе облачного провайдера (цена, наличие сертификатов, опыт и т. д.)?В. Виноградов: Ключевой критерий для выбора облачного провайдера - репутация. Рынок быстро узнает о сбоях, связанных с недоступностью облака вследствие технических проблем либо компьютерных инцидентов. Дополнительными критериями традиционно являются юридическая чистота и наличие у провайдера соответствующих лицензий ФСТЭК, ФСБ и лицензий в области связи. Если клиенту требуется размещение в облаке специализированных информационных систем, то облако обязательно должно иметь действующий сертификат PCI DSS, аттестат на соответствие требованиям 152-ФЗ, оценку соответствия по ГОСТ Р 57580 или другие сертификаты. Как правило, цена при выборе не является основным параметром.
- Какой вы видите эволюцию рынка облачных решений для ЦОД к 2027 году?В. Виноградов: Сейчас уже очевидно, что рынок облачных услуг будет расти. Этому способствуют несколько факторов. Во-первых, происходит резкое удорожание оборудования, из-за чего собственный дата-центр (on-premise) строить невыгодно. При этом удобная система оплаты с ежемесячными платежами за счет операционных расходов позволяет избежать больших капитальных затрат, что помогает некоторым компаниям снизить долговую нагрузку. Во-вторых, дефицит квалифицированных кадров в области информационной безопасности, кратный рост сложности компьютерных атак, а также ужесточение требований регуляторов будут способствовать развитию сервисов в области информационной безопасности (MSS) и гармонично дополнять экосистему облачных провайдеров. Количество объектов КИИ будет увеличиваться, этому способствуют прошлогодние изменения в законодательстве, в том числе поправки в 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Теперь компаниям необходимо выполнить анализ инфраструктуры на наличие объектов КИИ с учетом недавно утвержденного распоряжения Правительства РФ от 26 февраля 2026 г. № 360-р «Об утверждении перечня типовых отраслевых объектов критической информационной инфраструктуры Российской Федерации». В процессе анализа будут выявлены новые объекты КИИ. Очевидно, что субъекты КИИ будут активней рассматривать частные облака для размещения своих информационных систем, используя преимущества гибридной облачной архитектуры.