Владимир Дрюков, «Ростелеком-Solar»:
Рынок готов получать услуги кибербезопасности из облака
На вопросы TAdviser по единой платформе сервисов кибербезопасности (ЕПСК), официально выведенной на рынок, ответил Владимир Дрюков, директор центра мониторинга и реагирования на кибератаки Solar JSOC, компания Ростелеком-Solar.
Итак, компания вывела на рынок платформу сервисов кибербезопасности. Есть ли у этого решения уникальное название, бренд?
Владимир Дрюков: Это, наверное, самый сложный вопрос на сегодняшний момент, поскольку название любого продукта – творческая история, выбор идет достаточно долго и непросто. На сегодня название выведенного на рынок решения – "Единая Платформа Сервисов Кибербезопасности" (ЕПСК).
На какой круг заказчиков рассчитана ЕПСК?
Владимир Дрюков: Платформа применима для двух разных типов клиентов – крупные федеральные компании и относительно небольшие региональные структуры. Первый тип заказчиков имеет большую распределенную федеральную сеть отделений или иных точек присутствия, поэтому для них применение платформы ЕПСК – это, в первую очередь, важная история про экономику вопроса. Вместо специализированных средств защиты (СЗИ) на каждой точке, расходов на их обслуживание, хранения запасного оборудования (ЗИП), мы даем заказчикам возможность существенно экономить средства в целом на проект. Второй тип клиентов появился в связи с недавними волнами массовых атак сетевого уровня – WannaCry, атаки с использованием уязвимостей оборудования Cisco и рядом других. Большое количество небольших региональных заказчиков оказались не готовы к этому, поскольку не имели соответствующих инструментов и должной экспертизы. Сама функция защита периметра сегодня стала критически важной, поэтому для такого рода компаний наши киберсервисы целесообразны именно как передовая функция безопасности. Основным драйвером здесь является нехватка кадров, способных противостоять таким атакам, быстро адаптировать систему под новые угрозы.
В чем особенности архитектуры платформы?
Владимир Дрюков: Основной принцип архитектуры – централизация, для чего используется инновационная технология SD-WAN, популярная в том числе и на Западе. При этом мы облегчаем оборудование на площадке заказчика: вместо того, чтобы ставить тяжеловесные средства защиты, клиент устанавливает у себя CPE (Customer Premises Equipment) – небольшое сетевое устройство. Оно создает защищенный канал связи на базе IPSec и маршрутизирует трафик заказчика в сторону нашего ядра. В ЦОДах «Ростелекома» развернута облачная платформа Telco Cloud, на которой ЕПСК и работает. Это позволяет централизованно собирать трафик заказчиков, агрегируя его в изолированные друг от друга сервисные цепочки. Если опуститься на уровень базовой логики, задача – взять трафик заказчика и по требуемым правилам завернуть его в наши ЦОДы, где заказчик и начинает получать сервисы кибербезопасности. Происходит это в выделенных под каждого заказчика виртуальных или физических сегментах дата-центра (англ. tenant), где агрегируются данные клиента и непосредственно решаются задачи обеспечения ИБ.
Перечислите функции кибербезопасности, реализованные в ЕПСК…
Владимир Дрюков: На сегодня реализованы три основные функции: защита электронной почты заказчика от спама и фишинговых рассылок, межсетевое экранирование на базе «железки» UTM (Unified Threat Management), способной не только заблокировать доступ, но и обнаружить вторжение, осуществлять контентную фильтрацию и многое другое, и web-защита приложений на стороне заказчика. Таким образом, возвращаясь к вопросу об архитектуре платформы, реализована двухзвенная структура: первое звено – инфраструктура, позволяющая правильным образом подать трафик заказчика в ЦОД для последующей обработки, – платформа Telco Cloud, а второе звено – собственно сервисы кибербезопасности на базе различных технологических решений.
Решения каких мировых вендоров задействованы в платформе?
Владимир Дрюков: Стратегическим партнером для нас является компания Nokia Corporation, поскольку на технологиях Nuage Networks и построена ЕПСК. Nokia уже имеет опыт построения сервисных платформ на базе SD-WAN, но огромные размеры нашей страны делают масштаб проекта ЕПСК беспрецедентным. Что касается технологий защиты, это область внутреннего регулирования, поэтому используемые решения проверялись по двум критериям: функциональная готовность и наличие российских сертификатов. Платформой с точки зрения UTM и защиты электронной почты, стали технологии компании Fortinet, в плане web-защиты контента используются решения российской компании Positive Technologies.
Предполагается ли расширение списка вендоров, чьи технологии будут использоваться в платформе?
Владимир Дрюков: В следующем году запланировано два больших направления работы: добавление новых сервисов кибербезопасности и расширение списка вендоров. На сегодня порядка 40 российских и зарубежных вендоров хотят стать частью платформы. И нам предстоит большая работа по выбору тех, с кем мы будем сотрудничать, – процедура, называемая нами onboarding. По сути, это проверка вендора на возможность «приземления» его технологий на нашу платформу как с точки зрения функционала, так и технически.
Какие проблемы позволяет решить сервисная модель поставки продуктов кибербезопасности?
Владимир Дрюков: Любая история применения сервисной модели состоит из трех частей и первая из них – существенное увеличение управляемостью экономикой процесса. При использовании классической инфраструктуры у заказчика возникают накладные расходы на лицензии, техническую поддержку вендора и интегратора, ЗИП, зарплату специалистов. В случае федерального заказчика с распределенной инфраструктурой эти расходы вырастают просто до сумасшедших размеров. Использование сервисов кибербезопасности на базе централизованной платформы позволяет в этом плане серьезно экономить, поскольку все тяжелые решения находятся в центре, а на площадке заказчика находится лишь CPE - практически бесплатная «железка».
Второе преимущество – экономия при масштабировании решения. Например, у заказчика канал доступа в 5 Мбит, а железка от вендора – минимум 10 Мбит, при этом у заказчика периодически возникает необходимость в расширении канала – для видеоконференцсвязи или бэкапа. Очевидно, что при классической инфраструктуре заказчику приходится переплачивать. ЕПСК дает возможность работать по алгоритму PAYG (Pay As You Grow), то есть оплачивать только тот объем сервисов, который был реально использован. TAdviser Security 100: Крупнейшие ИБ-компании в России
Кроме того, на определенном этапе заказчику необходимо наращивать мощности, покупать новое оборудование, как-то утилизировать старое. В случае сервисного подхода на базе нашей платформы требуется отмасштабировать только CPE, а все остальное масштабируется на уровне ядра.
И третья проблема, которая касается не только сферы ИБ, - это дефицит специалистов, способных обслуживать сложное оборудование. В нашем случае мы предоставляем услугу «под ключ» - эксплуатация ядра, его администрирование, мониторинг работоспособности, реагирование на атаки – все это наши расходы. Соответственно, заказчик получает большую экономию на зарплате специалистов.
Какие сложности могут возникнуть при сервисном подходе? В сравнении с традиционной моделью.
Владимир Дрюков: Основная сложность – ментальная перестройка, но сегодня эта проблема уже не так актуальна. Когда мы стали строить Solar JSOC в 2012 году, это была ломка сознания заказчика, для которого сама мысль о передаче своих данных в облако, на аутсорсинг с целью выявления инцидентов ИБ воспринималась с большой болью. Сегодня мы спокойно говорим с заказчиком о том, что его информационные потоки пропускаются через наш ЦОД. По сути, мы берем на себя функцию поддержки непрерывности бизнеса (business continuity), поскольку выход в интернет – очень критичный момент для всех бизнес-приложений.
А с технической стороны какие могут возникнуть сложности?
Владимир Дрюков: Первый критический момент – связь. Мы провели много тестов и выяснили, что для большинства заказчиков проблем со связью не возникнет, но в отдельных случаях маршрутизация информационных потоков в центр и обратно может вызвать некоторые задержки. С целью гарантированного снятия этой проблемы мы планируем масштабировать ЕПСК в дата-центры «Ростелекома» на Урале и в Сибири, поскольку на сегодня наша платформа располагается в Москве. Второй сложный момент состоит в инновационности проекта, первого в мире по масштабу. Думаю, какие-то проблемы по ходу дела могут возникнуть, хотя сейчас сложно предсказать, какие именно.
Поговорим о CPE - «железках», размещаемых на стороне клиента. Как они подключаются? Где изготавливаются? Имеют ли модификации?
Владимир Дрюков: CPE подключается «в одно касание», без дополнительной настройки на месте. Прибор подключается к сети, при помощи ноутбука путем перехода по ссылке автоматически загружается вся необходимая конфигурация и устройство начинает работать. Никакой особой квалификации от сотрудника заказчика на месте не требуется. В плане производства имеются и зарубежные CPE, и российской сборки. Линейка включает несколько модификаций, отличающихся различной пропускной способностью - для большого, среднего и относительно небольшого бизнеса. В перспективе планируется расширить функционал за счет функций ИБ.
На сегодня CPE выполняет функцию легкого клиента, реализуя, как уже говорилось выше, только маршрутизацию и туннелирование трафика заказчика.
Проявляют ли заказчики интерес к платформе компании уже сегодня?
Владимир Дрюков: Силами менеджеров по продажам был проведен предварительный опрос клиентов, интерес к платформе имеется. Ряд заказчиков – и государственных, и коммерческих - протестировали услуги в пилотном режиме и подтвердили, что платформа функционирует ровно так, как это требуется. Более того - у нас уже есть несколько заказчиков, тестирующих систему и пропускающих через платформу, «боевой» трафик на основе соответствующих SLA. Так что в настоящее время мы переходим от работы с фокусными клиентами к широкой аудитории.
Конкуренция – двигатель рынка. Есть ли у платформы конкуренты?
Владимир Дрюков: Другие телеком-провайдеры двигаются к запуску комплексного решения по предоставлению сервисов кибербезопасности, но степень их готовности к выводу продукта на рынок определить сложно. Пока на российском рынке нет решений, аналогичных ЕПСК.
Как предполагаете убеждать клиентов, что сервисы ИБ на основе ЕПСК – именно то, что им нужно?
Владимир Дрюков: Напомню, что мы занимаемся сервисами кибербезопасности с 2012 года, когда начал функционировать Solar JSOC. Сегодня мы будем отталкиваться от потребностей самого клиента – либо экономия, либо получение передовой функции ИБ. Главное на сегодня - рынок готов получать услуг кибербезопасности из облака.
Начиная с какого масштаба бизнеса сервисы на базе ЕПСК экономически целесообразны?
Владимир Дрюков: В текущей тарифной сетке платформа нацелена как на крупного корпоративного заказчика, так и на представителей сегмента СМБ. Что касается сути экономической целесообразности, то по совокупной стоимости владения (TCO) для крупного заказчика максимальный объем расходов - покупка лицензий, на втором месте – ЗИП. Соответственно, экономическая целесообразность возникает в том, что мы эти расходы агрегируем и мультиплицируем в рамках платформы и концепции Pay As You Grow. В случае относительно небольшого заказчика стоимость самого оборудования невелика, но дорого обходится специалист, обслуживающий ее. И эти расходы мы тоже агрегируем, распределяя на большое количество клиентов, уменьшая тем самым стоимость обслуживания оборудования на стороне каждого из заказчиков.
И в качестве резюме нашего интервью - о направлениях развития платформы…
Владимир Дрюков: Направлений развития несколько и первое – расширение списка сервисов. Текущие три функции закрыли базовую задачу – защита периметра кибербезопасности. В будущем году мы планируем идти дальше и вглубь, расширяя набор предоставляемых нами технологий.
Сегодня для рынка актуальны защита DNS-трафика, защита от вредоносного ПО, доставляемого по различным каналам в формате облачной «песочницы» и ряд других. Второе важное направление развития ЕПСК – добавить заказчику вариативности в плане выбора технологий и вендора, чтобы платформа могла работать с любой ИТ-инфраструктурой заказчика. И третье направление – уже упоминавшаяся геораспределенность платформы с выводом части ядра ЕПСК в ЦОДы на Урале и в Сибири.