Модель разделенной ответственности описывает облачную безопасность, но она отличается для IaaS, PaaS и SaaS. В статье рассмотрим основные аспекты безопасности облака и расскажем, за что именно отвечает ваша компания.
Популярность облачных сервисов стремительно растет. С учетом большого количества поставщиков, платформ, инструментов и сервисов, заказчикам необходимо понимать кто и за что несет ответственность и как обезопасить данные в облачных средах.
В традиционных локальных центрах обработки данных ИТ-персонал компании полностью отвечает за все данные и физическую инфраструктуру. Такие четко определенные границы делают весь процесс обеспечения безопасности простым. При переходе в облако ИТ-командам приходится иметь дело с инфраструктурой и услугами провайдеров, что усложняет общую стратегию безопасности организации.
Ключом к успешной стратегии облачной безопасности является понимание модели совместной ответственности.
Модели безопасности для IaaS, PaaS и SaaS
Прежде чем углубляться в детали разделения ответственности, нужно понять различия в безопасности в рамках моделей облачных служб - IaaS, PaaS и SaaS. Они определяют, за что компания отвечает, а за что нет. Ключевой момент, который следует помнить – ответственность пользователей увеличивается по мере перемещения вниз по стеку, с SaaS на IaaS.
В IaaS поставщик отвечает за безопасность физических ЦОДов и другого оборудования, поддерживающего инфраструктуру, включая виртуальные машины, диски и сети. Пользователи защищают свои данные, операционные системы и программные стеки, на которых работают их приложения. В этой модели пользователи сохраняют контроль над многими аспектами своих рабочих нагрузок, но имеют возможность воспользоваться услугами провайдера для управления безопасностью как с физической точки зрения, так и с точки зрения виртуализации.
В PaaS большая часть обязательств ложится на плечи облачного провайдера. В этом сценарии ИТ-специалисты развертывают и управляют приложениями и связанными с ними данными, а поставщик обеспечивает безопасность работы базовой инфраструктуры и операционных систем в целом.
В модели SaaS у администраторов меньше контроля над программным стеком. Поставщик SaaS отвечает за безопасность приложения и поддерживающей инфраструктуры, а IT-командам заказчика остается только управлять своими данными и правами безопасности.
Мульти-Облако, гибридное облако и общая ответственность
Многие организации используют несколько облаков. Это усложняет совместную ответственность, особенно если часть рабочих нагрузок в публичном облаке, часть – в частном.
Если, к примеру, у вас есть частное облако, запущенное локально для приложений, а другие рабочие нагрузки в публичном облаке, модель совместной ответственности применима только к тем, которые в публичном облаке. Ответственность за защиту частного облака лежит исключительно на вас, поскольку вы управляете как инфраструктурой, так и рабочими нагрузками, запущенными в нем.
Внедрение модели безопасности
Согласно исследованию McAfee, проведенному в 2020 году, количество облачных угроз безопасности и кибератак растет. С января по апрель 2020 года количество атак на облачные аккаунты выросло на 630%. При этом большинство резонансных нарушений вызваны ошибкой со стороны пользователя, а не провайдера.
С самого начала внедрения облака организациям нужно определить для своих сотрудников, где именно заканчивается область ответственности провайдера. Заказчики должны убедиться в том, что персонал тщательно обучен работе с облаком и любыми связанными с ним инструментами и сервисами.
По оценкам экспертов, до 2022 года не менее 95% отказов в безопасности облака будут вызваны ошибками со стороны клиентов. Именно поэтому как никогда важно устранить путаницу вокруг модели совместной ответственности в облаке.
Облачные провайдеры постоянно инвестируют в инновационные решения для усиления безопасности. Но и клиенты не должны отставать. Несмотря на то, что существуют явные различия в ответственности в зависимости от типов развертывания, основная стратегия остается неизменной: клиентам важно визуализировать взаимодействие между устройствами, обнаруживать потенциальные угрозы безопасности в режиме реального времени и вовремя их устранять.
