HAMAHAMA
UZ RU EN
БАЗА ЗНАНИЙ

On-premise или облако: что безопаснее?

Облако удобно и быстро запускается, а on-premise даёт полный контроль и хранение данных в вашей собственной инфраструктуре. Для организации, работающей с чувствительными данными, выбор определяет, в чьих руках находится безопасность.

Коротко

В выборе между on-premise и облаком нет абсолютно «более безопасного» варианта — вопрос в том, у кого находится контроль. Для государственных и высокозащищённых организаций предпочтительнее on-premise или защищённый сервер внутри страны, потому что данные физически под контролем и подчиняются национальным законам.

Что такое on-premise и облако на самом деле

On-premise и облако (cloud) — это две основные модели, определяющие, где работает и хранится программное обеспечение и данные. В модели on-premise серверы расположены в собственном здании организации или в дата-центре, который она контролирует. В облачной модели вычислительные мощности и хранилище предоставляются внешним провайдером (например, глобальной облачной платформой) и арендуются через интернет.

Публичное облако быстро запускается, масштабируется, и большую часть технического обслуживания берёт на себя провайдер. On-premise требует больших первоначальных вложений и собственной команды, но взамен даёт полный контроль над всем стеком. Именно вопрос контроля для организаций с чувствительными данными часто становится решающим.

Контроль: у кого ключи и серверы

Когда речь идёт о безопасности, главный вопрос — у кого реальный контроль над инфраструктурой и ключами шифрования. В облаке вам приходится доверять практикам безопасности провайдера, его сотрудникам и условиям контракта.

  • On-premise: оборудование, сеть, права доступа и ключи полностью в распоряжении организации. Внешняя сторона никогда не получает физического или административного доступа к серверу.
  • Облако: провайдер управляет инфраструктурой; его администраторы, запросы правоохранительных органов или иностранная юрисдикция теоретически могут получить доступ к данным.

Стоит подчеркнуть: контроль сам по себе не гарантирует безопасность. Плохо настроенный on-premise-сервер с устаревшим ПО и открытыми портами может быть уязвимее профессионально управляемого облака.

Расположение данных и суверенитет

У глобальных облачных провайдеров данные часто хранятся в дата-центрах других стран. Это означает, что данные подчиняются законам той страны и могут быть доступны по запросам вне вашей юрисдикции.

Для государственных органов, банков и критической инфраструктуры это серьёзный вопрос. В Узбекистане требования ПП-167 (критическая информационная инфраструктура) и принцип суверенитета данных предполагают хранение национально значимых данных внутри страны. В таких случаях on-premise или защищённый сервер внутри страны часто является единственно верным решением.

Где физически расположены данные — это не только технический, но и юридический вопрос. В какой стране находится сервер, законам той страны и подчиняются данные.

Поверхность атаки, комплаенс и стоимость

Поверхность атаки

Облачные сервисы мультитенантны и постоянно подключены к интернету, поэтому поверхность атаки шире. On-premise-систему можно разместить в изолированной сети или полностью отрезать от интернета, что резко снижает возможности внешней атаки.

Комплаенс и аудиты

Для сертификации (например, ISO/IEC 27001) нужно чётко документировать потоки данных и границы контроля. В on-premise граница аудита узкая и понятная; в облаке приходится полагаться на сертификаты провайдера и понимать модель разделённой ответственности (shared responsibility).

Стоимость и обслуживание

Здесь у облака реальное преимущество: обновления, резервное копирование и замену оборудования берёт на себя провайдер. On-premise требует квалифицированной команды и первоначальных вложений. Правильный выбор — это баланс между удобством по стоимости и уровнем контроля, выстроенный под требования организации к конфиденциальности.

Как это решено в HAMA

HAMA объединяет сильные стороны облачной и on-premise моделей. Платформа может быть размещена на защищённом сервере в Узбекистане или полностью в инфраструктуре организации (on-premise) — выбор зависит от уровня конфиденциальности организации.

  • Данные в Узбекистане: в обоих случаях данные хранятся внутри страны, что соответствует требованиям суверенитета данных и ПП-167.
  • Сквозное шифрование: протокол Signal (X3DH + Double Ratchet), AES-256-GCM для групп. Ключи находятся только в защищённом хранилище ОС на устройстве пользователя и не раскрываются даже на сервере.
  • Транспорт только TLS 1.3 и локальная база SQLCipher — данные зашифрованы и при передаче, и на устройстве.
  • Подготовка к сертификации O'z DSt ISO/IEC 27001:2023 продолжается.

В итоге контроль on-premise сочетается со сквозным шифрованием: даже если сервер физически в вашем здании, содержимое переписки видно только участникам диалога.

Частые вопросы

On-premise всегда безопаснее облака?

Не автоматически. On-premise даёт полный контроль, но безопасность зависит от того, насколько хорошо ваша команда настраивает, обновляет и сопровождает систему. Хорошо управляемое облако может быть безопаснее плохо настроенного on-premise. Для чувствительных данных ключевое преимущество — контроль и физическое расположение данных.

Где хранятся мои данные в облаке?

У глобальных облачных провайдеров данные часто хранятся на серверах в других странах и подчиняются законам той юрисдикции. Для государственных и критически важных организаций это создаёт проблему с точки зрения суверенитета данных и требований ПП-167.

Почему on-premise выглядит дороже?

On-premise требует первоначальных затрат на оборудование, лицензии и настройку, а облако работает по модели ежемесячной оплаты. Но в долгосрочной перспективе контроль, хранение данных внутри страны и отсутствие vendor lock-in оправдывают эти затраты для многих закрытых организаций.

HAMA работает и в облаке, и on-premise?

Да. HAMA может быть размещена на защищённом сервере в Узбекистане или полностью в инфраструктуре организации (on-premise). В обоих случаях данные хранятся в Узбекистане, а ключи сквозного шифрования находятся только на устройствах пользователей.

Похожие статьи

HAMA

Что такое суверенитет данных?

 HAMA

Защищённая связь для государственных организаций

 HAMA

Что такое End-to-End шифрование?

Подберём правильную модель для вашей организации

On-premise или защищённый сервер в Узбекистане — команда HAMA поможет выбрать решение под ваши требования к конфиденциальности.

Связаться с нами