Как в облаке развернули платформу цифровых финансовых активов «АТОМАЙЗ»

Атомайз — первая в России компания, которую Банк России внёс в реестр операторов информационных систем. Получила допуск регулятора к выпуску и обращению цифровых финансовых активов (ЦФА) в феврале 2022 года. Оказывает услуги платформы ЦФА. IT‑инфраструктура развёртывалась в облаке с нуля, и ключевым сервисом стал Yandex Managed Service for Kubernetes^®.

Благодаря Yandex Cloud «Атомайз» смогла построить высококачественную платформу, которая прошла всесторонний аудит ЦБ РФ, в том числе проверку надёжности и безопасности IT‑инфраструктуры, и готова к активному привлечению пользователей.

Российская платформа цифровых финансовых активов «Атомайз» была создана в 2020 году на базе блокчейн‑протокола Hyperledger.

Клиентами компании выступают эмитенты (те, кто привлекает инвестиции) и инвесторы (те, кто хочет вложить деньги). Эмитентам платформа позволяет быстрее и проще получить инвестиции за счёт цифровых технологий выпуска и погашения ЦФА, а инвесторам — безопасно и просто поместить свои средства в высоколиквидные активы.

В отличие от других финансовых организаций, например банков, где клиент, размещая свои активы, передаёт банку право управлять ими, платформа «Атомайз» позволяет клиенту самому распоряжаться купленными ЦФА. Чтобы сохранить при этом высокий уровень безопасности, платформу выстроили на базе блокчейн‑технологий. Пользователь платформы получает возможность проводить операции, предъявив закрытую часть ключа от своего кошелька.

Команда «Атомайз» начала подготовку к запуску в России в 2019 году, когда российское гражданское право было дополнено термином «цифровое право».

«Атомайз» искала для развёртывания платформы облачного провайдера, инфраструктура которого соответствовала бы высоким требованиям ЦБ  РФ (по закону 259‑ФЗ именно он регулирует деятельность подобных площадок). Основные требования:

• размещение дата-центров на территории РФ;
• высокая организация безопасности и отказоустойчивость;
• соответствие требованиям ФЗ‑152 «О персональных данных»;
• защита каналов передачи персональных данных по типу КС2;
• соответствие ГОСТ по ИБ.

Ещё команде «Атомайз» было важно, чтобы провайдер поддерживал среду контейнерной разработки. Платформа имеет микросервисную структуру, разработанную в среде Kubernetes. Yandex Cloud предоставляет его как сервис и поэтому оказался оптимальным вариантом размещения.

Чтобы создать облачную инфраструктуру, команда «Атомайз» решила перенять удачный опыт коллег из западных филиалов. Специалисты там тоже мигрировали в публичные облака, но пользовались сервисами Google Cloud, а они не подходят для российской платформы, которая работает с персональными данными пользователей.

Архитектура «Атомайз»Архитектура «Атомайз»

«Атомайз» сделала выбор в пользу микросервисной архитектуры и контейнерной разработки, поэтому центральным сервисом для компании стал Yandex Managed Service for Kubernetes^®. Использовать Kubernetes как сервис удобнее, чем разворачивать его на собственных виртуальных машинах. Инженеры смогут существенно меньше времени тратить на обновление и обслуживание компонентов инфраструктуры кластера, потому что эти задачи берёт на себя облачный провайдер.

В Kubernetes‑среде размещены prod‑среда (микросервисы, которые обеспечивают заключение смарт‑контрактов для блокчейна, интеграцию с внешними сервисами и связь с клиентами), test- и dev‑среды. Для каждого контура разработки с помощью сервиса Yandex Virtual Private Cloud создали собственную приватную сеть, что увеличило скорость взаимодействия в каждой подсети.

Вне Kubernetes‑среды расположена блокчейн‑платформа Hyperledger Fabric. Она представляет собой распределённую блокчейн‑сеть и включает функциональные компоненты, которые устанавливаются на узлы сети. Задачи, которые решает этот блок, — криптография, подтверждение транзакций, ведение логов операций в системе. Для поддержки работы Hyperledger Fabric подключён сервис Yandex Compute Cloud.

Для работы с данными «Атомайз» выбрала сервисы платформы данных:

• Yandex Managed Service for PostgreSQL — для хранения данных клиентов и транзакционных данных;
• Yandex Managed Service for Redis^™ — для кеширования и хранения неструктурированных данных;
• Yandex Managed Service for Elasticsearch — для индексации и поиска;
• Yandex Object Storage (S3‑хранилище) — для хранения файлов.

МониторингМониторинг

Чтобы соблюсти все требования к отказоустойчивости и надёжности, «Атомайз» особое внимание уделила мониторингу. Сервис Yandex Monitoring автоматически собирает с облачных ресурсов метрики, визуализирует их в удобные настраиваемые дашборды и отправляет уведомления, когда метрики достигают пороговых значений. Система Prometheus с визуализацией в Grafana получает информацию о состоянии серверов, систем, баз данных, сервисов, приложений и предупреждает о проблемах.

Для дополнительного контроля подключили стороннюю систему Zabbix, которая собирает информацию о доступности системы «Атомайз» «снаружи» на случай крупных аварий в облаке.

Команда «Атомайз» настроила и внешний, и внутренний мониторинг.

Внутренний мониторинг включает такие метрики, как:

• загрузка процессоров облачных серверов;
• загрузка оперативной памяти облачных серверов;
• состояние жёстких дисков;
• состояние сервисов и приложений.

Внешний определяет:

• доступность из интернета системы в целом и отдельных сервисов;
• внешние точки интеграции.

Безопасное облакоБезопасное облако

Перед «Атомайз» стояла цель пройти лицензирование ЦБ РФ, поэтому для компании было важно соблюсти все требования ГОСТ по информационной безопасности, ФЗ‑152 «О персональных данных» и дополнительные законодательные требования, которые предъявляются к операторам ЦФА.

Благодаря сервису Yandex DDoS Protection весь входящий трафик «Атомайз» автоматически анализируется. Если уровень трафика будет существенно отличаться от нормального, то сервис практически в режиме реального времени распознает DDoS‑атаку и заблокирует её.

Ещё большую защищённость обеспечивают внешние продукты и сервисы:

• межсетевые экраны NGFW для обнаружения и блокировки сетевых атак;
• межсетевые экраны веб-приложений WAF;
• DLP-система для защиты от утечек информации;
• антивирусное ПО;
• ситуационный центр ИБ SOC и система управления событиями SIEM.

Высокий уровень безопасности, которого удалось достичь «Атомайз», подтверждает не только лицензия ЦБ РФ, но и заключение внешних аудиторов, которых решила привлечь компания, чтобы быть полностью уверенной в надёжности инфраструктуры. Для этого независимые эксперты провели тесты и проанализировали код.

На запуск «Атомайз» в Yandex Cloud ушло около месяца. Половину этого срока занял переезд основы платформы: Kubernetes-кластера, СУБД, S3‑хранилища. Эта миграция прошла быстро и без проблем. Затем ещё две недели потребовалось, чтобы адаптировать проприетарные сервисы, такие как инструменты рассылки SMS и Authenticator.

К моменту коммерческого запуска «Атомайз» стала первой частной компанией, которая прошла всесторонний аудит ЦБ РФ и включена в государственный реестр как оператор информационной системы и обмена ЦФА. При этом «Атомайз» одной из первых среди финансовых компаний полностью разместила свои ресурсы и инфраструктуру в облаке. Благодаря сервисам Yandex Cloud и возможности интегрировать дополнительные инструменты, чтобы обеспечить безопасность, облачная инфраструктура «Атомайз» действительно надёжна.

Летом 2022 года на платформе «Атомайз» успешно состоялись несколько пилотных выпусков ЦФА. Теперь команда готова к активному привлечению пользователей — как физических, так и юридических лиц. Планируют, что до конца 2022 года в системе зарегистрируют несколько десятков тысяч клиентов, которым будет доступен самый широкий спектр операций с ЦФА.