Артем Коханевич, CEO хмарного провайдера GigaCloud

У рамках саміту Дія неодноразово прозвучала інформація про «закон про хмари» та розвиток хмарної інфраструктури країни загалом. До речі, законопроект «Про хмарні послуги» аж із 2019 року «лежить на полиці». Розповідаю, чому він важливий та хто його противники.

Законопроект 2655 ― це база для Cloud First Strategy, яку економічно розвинені країни світу почали масово впроваджувати 11 років тому. У США вона діє з 2011 року, а у 2018 вийшла її нова редакція ― Cloud Smart Strategy. Вона визначає свої ключові цілі як: «to drive savings, to improve security, and to deliver mission-serving solutions faster». Тобто підштовхує державні установи та підприємства до найбільш ефективної моделі впровадження та споживання ІТ-сервісів, дає методологію оптимізації витрат, підвищує безпеку та надійність державних IT-сервісів.

Як зараз впроваджуються державні ІТ-сервіси? Чи є якісь єдині галузеві стандарти? Модель побудови відмовостійкої архітектури систем? Рекомендації щодо захисту від зовнішніх та внутрішніх вторгнень? Вимоги щодо наявності BCP-плану (Business Continuity Plan)? Ні, ні, та ще раз, ні. Ми працюємо з великою кількістю держзамовників. Тих, у кого це все впроваджено чи тих, хто хоча б зробив перші кроки, можна порахувати на пальцях двох рук. Інші поділяються на тих, хто вміє це впроваджувати, але не хоче, і на тих, хто хоче, але не вміє. Перших треба примушувати, другим дати готовий набір рішень. І в ядрі цього набору ― правильно побудована хмарна інфраструктура, яка «з коробки» надійна, стандартизована та захищена на дуже високому рівні. А провайдер, який її надає, повинен знати як побудувати надійну та захищену інфраструктуру, мати для цього достатню кількість ресурсів і внутрішню мотивацію зробити все по-справжньому добре.

Хмарний законопроект потрібен не нам, не провайдерам. У нас багато інших більш важливих завдань. Він потрібен державі, щоб гарантувати своїм споживачам роботу лише з надійними постачальниками послуг.

Amazon AWS, Microsoft Azure і Google ― великі противники законопроекту 2655 та пояснюють свою позицію обмеженням конкуренції. Водночас у США розроблено The Federal Risk and Authorization Management Program (FedRAMP), яку гравці хмарного ринку із гордістю підтримують. FedRAMP ― це процедура, яку проходять постачальники хмарних сервісів для отримання дозволу на надання хмарних послуг на федеральному рівні або в цілях Міністерства оборони США як основні блоки хмарних систем.

AWS стверджує, що програма FedRAMP є важливою, оскільки сприяє:

• стабільній та надійній безпеці хмарних рішень, що використовують затверджені стандарти NIST та FISMA;
• прозорості відносин між урядом США та постачальниками хмарних технологій;
• автоматизації та безперервному моніторингу в режимі, близькому до реального часу;
• запровадженню безпечних хмарних рішень через регулярне повторення експертних оцінок та процедур авторизації.

Щоб хмарний провайдер у США міг співпрацювати з держзамовниками, має виконати такі умови:

• Постачальник хмарних сервісів (CSP) повинен мати дозвіл агентства на ведення діяльності (ATO) від федерального агентства США або попередній дозвіл на ведення діяльності (P ATO) від об'єднаної ради з авторизації (JAB).
• Постачальник хмарних сервісів повинен дотримуватись вимог щодо управління безпекою FedRAMP, які описані в основних вимогах щодо управління безпекою NIST 800 53, ред. 4 для помірного або високого ризику.
• Усі системні пакети безпеки повинні використовувати відповідні шаблони FedRAMP.
• Постачальник хмарних сервісів має пройти тестування сторонньою експертною організацією.

У рамках концепції діяльності FedRAMP (CONOPS) після отримання авторизації безпека постачальника хмарних сервісів відстежується відповідно до процесів тестування та авторизації. Для того, щоб щороку продовжувати авторизацію FedRAMP, постачальник хмарних сервісів повинен відстежувати свої засоби управління безпекою, регулярно оцінювати їх та показувати, що безпека сервісу завжди знаходиться на належному рівні.

Початкова сертифікація на відповідність вимогам FedRAMP займає від 9 до 18 місяців, залежно від готовності хмарного провайдера та наявності ресурсів для усунення знайдених невідповідностей та вразливостей.

Ми повністю підтримуємо створення наглядового органу, але сподіваємося, що він не буде винаходити велосипед, а візьме для авторизації хмарних провайдерів публічно доступні правила тієї ж FedRAMP. Це гарантуватиме високий рівень хмарних сервісів для державних ІТ-систем та відсутність локальних «заточень» під когось.