Фокус на облачной безопасности: стратегии, архитектуры и модели контрактов для защиты конфиденциальных данных компании в оцифрованном мире

Данные — это инструмент современной цифровой экономики, или, как их ещё называют, «новое золото» для компаний (частный сектор), а также для государства (государственный сектор). В сегодняшнем цифровом мире появляется огромное количество новых наборов данных, которые в большинстве своём попадают в Интернет. Некоторые из них касаются личных данных, которые отражают цифровую идентичность. Настоящее искусство для компании заключается в том, чтобы тщательно фильтровать эти данные и, прежде всего, хранить их. В этой краткой работе речь пойдет о данных в облаке и их обработке с точки зрения компании. Кроме того, в этой работе показано, какие типы договоров, архитектуры и меры безопасности от кибератак использует отрасль, чтобы создать прочную основу для обработки данных.

Прежде чем перейти к теме облачной безопасности, давай сначала разберемся с основными понятиями так называемого «облачного вычисления», его принципами работы и структурой облака: «Облачные вычисления — это модель обработки данных, которая позволяет в любое время и в любом месте удобно получать доступ через сеть к общему пулу настраиваемых вычислительных ресурсов (например, сетей, серверов, систем хранения, приложений и сервисов). Эти ресурсы можно быстро предоставить с минимальными административными затратами и при минимальном взаимодействии с поставщиком услуг. Облако можно использовать в трех вариантах: «Инфраструктура как услуга» (IaaS), «Платформа как услуга» (PaaS) и «Программное обеспечение как услуга» (SaaS). Тип облака зависит от способа предоставления (частное облако, общественное облако, публичное облако, гибридное облако).» [1]

В сфере облачных вычислений существуют различные типы предоставления, то есть способы, которыми поставщики облачных услуг предоставляют свои услуги пользователям. Существует четыре основные модели, связанные с облачными вычислениями:

1. Общедоступное облако

Общедоступное облако позволяет всем пользователям получать доступ к компьютерным ресурсам, таким как аппаратное обеспечение (операционная система, процессор, память) или программное обеспечение (сервер приложений, база данных), на основе подписки или по принципу «плати по мере использования». Практические примеры использования — это разработка и тестирование приложений для критически важных и некритических задач, таких как обмен файлами и почтовые сервисы.

2. Частное облако

Частное облако обычно используется исключительно одной организацией и может управляться либо внутренними силами, либо внешним ИТ-поставщиком. Хотя частные облака часто обходятся дороже публичных из-за затрат на приобретение и обслуживание, они более эффективно решают проблемы безопасности и конфиденциальности данных организаций.

3. Гибридное облако (сочетание физического дата-центра или внешнего частного облака и/или публичного облака)

Гибридное облако использует как частную, так и публичную облачную инфраструктуру. Компании выбирают эту модель, чтобы быстро расширять свою ИТ-инфраструктуру по мере необходимости. Например, интернет-магазин может использовать ресурсы публичного облака в период праздников, чтобы дополнить или разгрузить мощности своего частного облака.

4. Сообщественное облако

Общественное облако обслуживает сразу несколько организаций, которые совместно используют вычислительные ресурсы. К ним относятся, например, университеты, сотрудничающие в определенных областях исследований, или государственные структуры, такие как полицейские участки в пределах одного района, которые совместно используют ресурсы. Доступ к общественному облаку ограничен только членами сообщества.

Стоимость для конечного пользователя в публичных облаках обычно невысока и не требует крупных инвестиций. Частные облака, напротив, требуют вложений, но в целом позволяют сэкономить по сравнению с эксплуатационными расходами на собственную инфраструктуру . Частные облака также обеспечивают более высокий уровень безопасности и соответствия нормативным требованиям, чем публичные. Поэтому некоторые организации используют частные облака для критически важных или конфиденциальных данных и приложений, а публичные — для базовых задач, таких как разработка приложений, тестовые среды и почтовые сервисы. [2]

Гибридное облачное решение — отличный способ снизить риски кибератак или диверсифицировать их. Оно дает больше контроля над собственной безопасностью по сравнению с использованием только публичного облака. Кроме того, гибридная облачная инфраструктура позволяет устанавливать индивидуальные стандарты безопасности и настраиватьпрограммное обеспечение на частных серверах под свои нужды. Такое распределение повышает надёжность систем и помогает лучше оценивать ситуацию при возникновении системных проблем.

К тому же она более экономична, чем покупка и обслуживание серверов на месте. [3]

Модели архитектуры облачных сервисов

Учитывая эти преимущества гибридного облачного решения, которые варьируются от усиленного контроля безопасности до повышенной надежности, важно понимать различные архитектуры облачных сервисов. Эти архитектуры, а именно «Инфраструктура как услуга» (IaaS), «Платформа как услуга» (PaaS) и «Программное обеспечение как услуга» (SaaS), предлагают разные уровни предоставления услуг и определяют разные обязанности по обеспечению соответствия требованиям.

1. Инфраструктура как услуга (IaaS)

Поставщики IaaS предоставляютбазовую вычислительную, хранилищную и сетевую инфраструктуру, а также гипервизор для виртуализации. За создание и управление виртуальными инстансами, установку операционных систем, развертывание приложений и данных, а также за всю настройку отвечают пользователи. IaaS интересна как для малых предприятий, так и для средних компаний. Простота использования облачной инфраструктуры, которую не нужно обслуживать самостоятельно, делает её выгодной альтернативой покупке собственного оборудования.

Примеры: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Платформа как услуга (PaaS)

Поставщики PaaS расширяют стек приложений в большей степени, чем IaaS, добавляя операционные системы и промежуточное ПО (например, базы данных). Пользователи больше сосредоточены на разработке приложений. Платформа управляет базовой инфраструктурой.

Примеры: AWS Elastic Beanstalk, Google App Engine.

3. Программное обеспечение как услуга (SaaS)

Поставщики SaaS предлагают полный стек приложений. Пользователи могут получить доступ к полностью хостируемому приложению через веб-браузер. Управление рабочими нагрузками и ИТ-ресурсами полностью находится под контролем поставщика SaaS, в то время как пользователи явно контролируют данные, созданные приложением.

Примеры: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

Облако в договорном праве

Законодатели пока не урегулировали договоры SaaS в явной форме. На сегодняшний день договор SaaS можно классифицировать только как смешанный договор, включающий в себя элементы договоров об оказании услуг, подряда и аренды. Соответственно, применимое право зависит от конкретного этапа выполнения обязательств по договору. Основная часть договора SaaS в основном относится к праву аренды, потому что предоставление программного обеспечения лучше всего сравнивать с передачей вещей в аренду. Поскольку программное обеспечение не рассматривается как «вещь» в смысле права аренды, в настоящее время преобладает мнение, что договоры SaaS представляют собой предоставление права пользования на ограниченный срок. Это согласуется с положениями и целями, преследуемыми правом аренды. [5]

Договоры PaaS в значительной степени определяются соглашениями об уровне обслуживания (SLA), которые устанавливают минимальные услуги и определяют права и обязанности обеих сторон.

Защита и безопасность данных играют решающую роль, так как при использовании услуг PaaS часто обрабатываются конфиденциальные данные. Договор должен содержатьчеткие положения о защите персональных данных. Кроме того, в договоре необходимо обязательно оговорить, кому принадлежит интеллектуальная собственность на созданные приложения, причем обычно пользователь сохраняет за собой право собственности на приложения, а поставщик — на платформу. [6]

Вывод

Независимо от того, идет ли речь о стартапе, венчурной компании, МСП или крупном предприятии, облачная безопасность имеет решающее значение для любой компании.

При этом важно учитывать не только то, с какими облачными провайдерами компания хочет сотрудничать, но и какие условия при этом устанавливаются.

В конечном итоге безопасность — это не только ответственность поставщика облачных услуг, но и сотрудники компании играют не менее важную роль в обеспечении безопасности облака.

Очень важно регулярно вкладывать средства в обучение и повышение осведомленности сотрудников, чтобы они обладали необходимыми знаниями для соблюдения правил и процедур безопасности. Однако, чтобы полностью раскрыть весь потенциал облака, предприятиям следует инвестировать как в обслуживание собственных систем или систем внешних партнеров, так и в набор новых ИТ-специалистов. Так компания сможет обеспечить безопасность систем и повысить удовлетворенность клиентов, что в долгосрочной перспективе укрепит репутацию компании.

Одним из главных камней преткновения при выборе внешнего облачного провайдера всегда была зависимость от иностранных поставщиков и их правил защиты данных. Компании решают эту проблему с помощью таких мер, как тщательная проверка политик конфиденциальности, гибридные облачные подходы для минимизации рисков, оценка мер безопасности и сертификатов поставщиков, оценка воздействия на конфиденциальность, регулярный мониторинг и аудиты, а также подготовка к возможным нарушениям конфиденциальности. Стратегии варьируются в зависимости от размера и отрасли компании, но все они направлены на обеспечение соответствия требованиям по защите данных и минимизацию потенциальных рисков при работе с внешними облачными сервисами.

Список источников

Облачные вычисления
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Модель развертывания в облаке (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Понимание облака — знаешь ли ты, что такое публичное облако и что такое гибридное облако? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Что такое IaaS? Определение и полезная информация
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Платформа как услуга (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

На что нужно обратить внимание при составлении контрактов SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Контракты «Платформа как услуга» (PaaS): руководство (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html