Безопасность - это не то, на чем можно экономить

С момента основания платформы Yandex Cloud основным языком разработки стал Java. О том, как Yandex Cloud обеспечивает безопасность данных клиентов, рассказал ComNews Никита Гергель, руководитель Cloud Security & Compliance в Yandex Cloud.

Когда появилась команда Cloud Security & Compliance в Yandex Cloud? Какие у нее задачи?

Начнем с того, что облако - это огромная экосистема. Мы не только усиливаем нашу защиту на уровне инфраструктуры, но и работаем с более сложными сценариями, когда злоумышленники могут потенциально затронуть бизнес-процессы клиентов. Поэтому безопасность Yandex Cloud - это не просто защита серверов, а полноценная стратегия, учитывающая все уровни взаимодействия: от API и шифрования данных до сложных схем атак на доступы и учетные записи.

В "Яндексе" изначально была сильная команда безопасности, которая защищала десятки веб-сервисов. Из нее выделилась группа специалистов, которая занялась защитой новой облачной платформы. Постепенно стало ясно, что специфика облачного бизнеса требует особенного подхода. Если классический "Яндекс" - это в первую очередь B2C-продукты, то облако - в основном B2B, где требования к информационной безопасности и соответствию стандартам выходят на первое место в потребностях клиентов. Мы начали формировать собственную инженерную экспертизу, и так появилась команда Cloud Security & Compliance.

Сначала у нас было всего несколько человек, но с ростом облака и усложнением требований к процессам ИБ мы масштабировались. Сейчас это десятки специалистов, которые круглосуточно следят за безопасностью инфраструктуры, анализируют угрозы, работают с регуляторами.

Крупные компании в РФ предпочитают создавать корпоративные дата-центры, утверждая, что коммерческие ЦОДы и публичные облака не соответствуют их требованиям по безопасности. Что именно препятствует массовому переходу корпораций в Yandex Cloud?

Одной из главных причин, по которой корпорации в России не спешат переходить в публичные облака, является недостаточное понимание уровня безопасности облачных технологий. Это затрудняет обсуждения возможности переноса клиентских нагрузок в облачную инфраструктуру. Многие продолжают придерживаться устаревшего взгляда, что только корпоративные дата-центры и собственные службы ИБ могут обеспечить надежную защиту данных. Но факты говорят об обратном.

Процесс повышения уровня безопасности в Yandex Cloud не останавливается: мы постоянно отслеживаем новые угрозы, внедряем новые механизмы защиты, оптимизируем инфраструктуру и совершенствуем аппаратное обеспечение. Мы анализируем атаки, применяемые в критически важных отраслях - финансах, промышленности, телекоме, и адаптируем нашу защиту под актуальные риски. У каждой индустрии свой ландшафт рисков, свои уязвимости и даже свои типовые атаки.

Эффективность применяемых нами мер защиты подтверждена независимыми аудитами. Например, в ходе ключевого аудита для финансового сектора инфраструктура Yandex Cloud получила 0,92 балла по критериям безопасности, что является одним из самых высоких показателей в России. Многие компании считают достаточным диапазон 0,8-0,9, но мы покрываем угрозы гораздо более широкого спектра, чем требуют отраслевые стандарты, и соответственно, получаем гораздо более высокие оценки.

Кроме этого, мы создаем собственные продукты безопасности для защиты от DDoS-атак, мониторинга состояния безопасности, автоматизации процессов безопасной разработки и др.

Мы активно работаем над прозрачностью: готовы открыто обсуждать наши подходы к безопасности, проводить для клиентов углубленные аудиты инфраструктуры и кода, регулярно публикуем отчеты о состоянии защищенности, которые показывают, какие сервисы проанализированы, какие проблемы безопасности найдены и исправлены, какого уровня они были.

А в отчете об актуальных угрозах облачной безопасности мы рассказываем, с каким типом угроз за последний квартал сталкивались, что происходит в мире, а что у нас и как мы этому противодействуем.

Понимание мер защиты и осознание их эффективности формируют необходимое доверие. И чем больше компаний детально оценят уровень безопасности Yandex Cloud, тем быстрее изменится их отношение к облачным технологиям.

Когда Yandex Cloud сделал ставку на язык и платформу Java?

Java стал основным языком разработки в Yandex Cloud с момента основания платформы. Причина проста: это мощный инструмент для создания высоконагруженных сервисов, который широко распространен среди разработчиков.

Какие сервисы Yandex Cloud реализованы на Java?

В первую очередь это корневые, особо нагруженные сервисы, обеспечивающие работу инфраструктуры. К примеру, сервис аутентификации и авторизации, который обеспечивает безопасность доступа ко всем элементам Yandex Cloud, или система аудита и мониторинга облачных ресурсов, которая позволяет клиентам контролировать действия внутри их облачных сред. Кстати, Java используется не только в базовой инфраструктуре, но и в высокоуровневых сервисах, которые клиенты облака используют по модели SaaS. Сегодня Java остается одним из четырех ключевых языков Yandex Cloud и продолжает активно применяться в развитии новых сервисов.

Почему Yandex Cloud выбрал платформу Java Axiom JDK?

Стабильность, внимание к безопасности, предсказуемость поддержки и уверенность в будущем дистрибутива JDK стали ключевыми факторами, которые привели нас к переходу на Axiom JDK. Это был взвешенный шаг, направленный на долгосрочную надежность наших сервисов.

Мы поняли, что Axiom JDK - это не просто подписка на платформу Java с обновлениями, но и полноценная поддержка, причем мирового уровня. В дополнение к циклу релизов разработчики Axiom JDK выпускают экстренные патчи и внеплановые обновления безопасности, к ним всегда можно прийти со своим вопросом. Для нас важно, что у Axiom JDK сильная инженерная экспертиза. Мы знаем, что команда, работающая над этой платформой, стояла у истоков разработки Java в России, и доверяем ее опыту. Инженеры занимаются Java на системном уровне почти 30 лет. А значит, качество и стабильность решения не вызывают вопросов.

Изучали ли вы возможность полного отказа от Java? Если да, то почему не пошли этим путем?

Нет, никогда не изучали. Не понятно, зачем это делать.

Использует ли Yandex Cloud в разработке технологии искусственного интеллекта? Какие внешние ИИ-инструменты вы применяете? Есть ли у вас внутренние ИИ-продукты для разработки?

Внутри Yandex Cloud мы применяем ИИ для улучшения процессов безопасности. Например, используем ИИ-алгоритмы для выявления и исправления багов, улучшения пользовательского опыта, оптимизации процессов разработки и поддержки облачной инфраструктуры. Для примера - внутри команды мы используем инструмент SourceCraft Code Assistant, который помогает дополнять код. По сути, ИИ становится неотъемлемой частью всего жизненного цикла наших продуктов - от создания до эксплуатации.

Каковы основные планы Yandex Cloud в развитии сервисов, их информбезопасности и технологической основы на 2025 год?

В 2025 году мы продолжаем активно развивать Yandex Cloud. Один из ключевых фокусов - стабильность и доступность сервисов при высоком уровне безопасности. Например, помогаем интегрировать инструменты безопасной разработки в платформу SourceCraft, которую мы анонсировали недавно.

Кроме того, мы стремимся упростить работу с облачными сервисами, снизить нагрузку на внутренние ИТ- и ИБ-ресурсы компаний и предоставить не только удобные инструменты для мониторинга и управления, такие как Security Deck, но и услуги в области безопасности. Безопасность остается для нас ключевым приоритетом, и в этом направлении планируем ряд значимых запусков.

Любовь к автоспорту помогает или мешает вам в работе? Как на вас повлияла серьезная авария на тестовых заездах перед этапом чемпионата России по ралли "Сургутнефтегаз Пушкинские Горы - 2017"?

Тогда я работал в крупном международном разработчике программного обеспечения, а к автоспорту испытывал не только настоящую страсть - это была серьезная работа на результат, в которой безопасность является основой успеха. И дело тут не только в физической безопасности, но и в постоянной проверке готовности как себя, так и автомобиля. К безопасности я всегда относился с уважением. Это важная часть, которой нельзя пренебрегать. И, собственно, вот это и позволило мне выжить в той аварии.

Безопасность - это не то, на чем можно экономить, даже если речь идет не о гонке, а всего лишь о тестовых заездах. Этот принцип легко перенести и на бизнес. Если твоя система безопасности - это просто галочки в чек-листе, то в критический момент она не спасет. В ИТ-индустрии, как и в автоспорте, важно не просто проходить "регламентные" проверки, а реально строить защищенную инфраструктуру. Если продакшен-среда не защищена, если тестирование безопасности проводится по остаточному принципу, то однажды это может обернуться катастрофой. Ведь хакеры - как соперники на трассе, они всегда найдут слабое место, если ты сам им его оставишь.