Безопасность в облаке

Данные — это ключевой инструмент современной цифровой экономики, своего рода новое золото как для частных компаний, так и для государственных структур. В условиях стремительной цифровизации ежедневно генерируются огромные объемы новых данных, которые попадают в интернет. Часть этих данных относится к персональным, формируя цифровую идентичность пользователя. Искусство современной компании заключается не только в грамотной фильтрации этих данных, но и, что особенно важно, в их надежном хранении. Цель данной статьи — подробно рассказать, что представляют собой данные в облаке и как они обрабатываются с точки зрения бизнеса. Кроме того, мы рассмотрим, какие типы контрактов, архитектур и мер кибербезопасности применяются в индустрии для создания прочной основы обработки собственных данных.

Прежде чем перейти непосредственно к вопросам безопасности облачных вычислений, важно ознакомиться с основными фактами об облачных технологиях, принципах их работы и структуре облака. Облачные вычисления — это модель обработки данных, обеспечивающая удобный доступ к общему пулу настраиваемых вычислительных ресурсов (например, сетей, серверов, систем хранения, приложений и сервисов) через сеть в любое время и из любой точки мира. Такие ресурсы могут быть предоставлены быстро и с минимальными административными усилиями или необходимостью взаимодействия с поставщиками услуг. Облако может использоваться в трех основных вариантах: инфраструктура как сервис (IaaS), платформа как сервис (PaaS) и программное обеспечение как сервис (SaaS). Тип облака определяется способом предоставления: частное облако, общественное облако, публичное облако или гибридное облако [1].

В сфере облачных вычислений существуют различные модели предоставления сервисов, то есть способы, которыми облачные провайдеры делают свои услуги доступными для пользователей. Выделяют четыре основные модели:

1. Публичное облако

Публичное облако предоставляет всем пользователям доступ к вычислительным ресурсам, таким как аппаратное обеспечение (операционная система, процессор, память) и программное обеспечение (сервер приложений, база данных) по подписке или на условиях оплаты по факту использования. Наиболее распространённые сценарии применения — разработка и тестирование приложений, а также выполнение некритичных задач, например, обмен файлами и почтовые сервисы.

2. Частное облако

Частное облако предназначено для использования одной организацией и может управляться как внутренними ИТ-специалистами, так и внешним поставщиком услуг. Несмотря на то, что частные облака обычно требуют больших инвестиций в приобретение и обслуживание, они обеспечивают более высокий уровень безопасности и защиты данных, что особенно важно для организаций с особыми требованиями к конфиденциальности.

3. Гибридное облако

Гибридное облако сочетает в себе элементы частной и публичной облачной инфраструктуры. Компании выбирают этот подход для гибкого масштабирования ИТ-ресурсов в зависимости от текущих потребностей. Например, интернет-магазин может использовать ресурсы публичного облака в периоды пиковых нагрузок, чтобы дополнить или разгрузить собственные мощности.

4. Облако сообщества

Облако сообщества обслуживает несколько организаций, которые совместно используют вычислительные ресурсы. Примеры — университеты, сотрудничающие в рамках научных проектов, или государственные учреждения, такие как полицейские управления одного региона. Доступ к такому облаку ограничен только членами сообщества.

Стоимость для конечного пользователя традиционно ниже при использовании публичных облаков, поскольку не требуется значительных инвестиций. Частные облака, напротив, требуют вложений, но обеспечивают экономию за счет снижения эксплуатационных расходов на собственную инфраструктуру. Кроме того, частные облака гарантируют более высокий уровень безопасности и соответствия нормативным требованиям по сравнению с публичными облаками. Поэтому многие организации используют частные облака для критически важных или чувствительных данных и приложений, а публичные — для базовых задач, таких как разработка, тестирование и почтовые сервисы [2].

Гибридные облачные решения позволяют минимизировать или диверсифицировать риски кибератак, обеспечивая больший контроль над безопасностью по сравнению с использованием исключительно публичного облака. Кроме того, гибридная инфраструктура дает возможность внедрять индивидуальные стандарты безопасности и настраивать специализированное программное обеспечение на частных серверах. Такое распределение ресурсов способствует повышению надежности системы и более эффективному выявлению и устранению проблем.

Экономическая эффективность гибридных решений также выше, чем при покупке и обслуживании собственных серверов [3].

Модели архитектуры облачных сервисов

Учитывая все преимущества гибридных облачных решений — от усиленного контроля безопасности до повышения надежности, — важно разобраться в различных архитектурных моделях облачных сервисов. К ним относятся: инфраструктура как сервис (IaaS), платформа как сервис (PaaS) и программное обеспечение как сервис (SaaS). Каждая из этих моделей предлагает разные уровни предоставления услуг и определяет различную степень ответственности за соблюдение требований безопасности и соответствия.

1. Инфраструктура как сервис (IaaS)

Провайдеры IaaS предоставляют базовую вычислительную, хранилищную и сетевую инфраструктуру, а также гипервизор для виртуализации. Пользователь отвечает за создание и управление виртуальными машинами, установку операционных систем, развертывание приложений и данных, а также за всю конфигурацию. IaaS особенно интересен для малых и средних компаний, поскольку позволяет экономить на покупке и обслуживании собственного оборудования.

Примеры: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud.

2. Платформа как сервис (PaaS)

Поставщики PaaS расширяют стек услуг, добавляя операционные системы и промежуточное ПО (например, базы данных). Пользователь может сосредоточиться на разработке приложений, а управление базовой инфраструктурой берет на себя провайдер.

Примеры: AWS Elastic Beanstalk, Google App Engine.

3. Программное обеспечение как услуга (SaaS)

Поставщики SaaS предлагают полностью готовые к использованию приложения, доступ к которым осуществляется через веб-браузер. Управление рабочими нагрузками и ИТ-ресурсами полностью находится под контролем SaaS-провайдера, а пользователь управляет только своими данными, созданными в приложении.

Примеры: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4].

Облако в договорном праве

Контракты SaaS пока не получили четкого законодательного регулирования. На сегодняшний день договор SaaS юридически классифицируется как смешанный, включающий элементы договора на оказание услуг, выполнения работ и аренды. Соответственно, применяемое право зависит от конкретных условий договора. Ключевая часть SaaS-контракта относится к арендному праву, поскольку предоставление программного обеспечения наиболее близко к передаче имущества во временное пользование. Поскольку программное обеспечение не считается «вещью» в смысле закона об аренде, преобладает точка зрения, что SaaS-договоры представляют собой временную передачу права пользования. Это соответствует как нормативным актам, так и целям законодательства об аренде [5].

Контракты PaaS, как правило, строятся на соглашениях об уровне обслуживания (SLA), которые определяют минимальные услуги, а также права и обязанности обеих сторон.

Вопросы защиты и безопасности данных играют ключевую роль, поскольку PaaS-сервисы часто предполагают обработку конфиденциальной информации. Договор должен содержать четкие положения о защите персональных данных. Также важно определить, кому принадлежит интеллектуальная собственность на созданные приложения: как правило, пользователь сохраняет права на приложения, а провайдер — на платформу [6].

Заключение

Независимо от того, являетесь ли Вы стартапом, венчурной фирмой, малым или средним бизнесом, либо крупной компанией, безопасность облачных вычислений имеет первостепенное значение для любой организации.

Важно не только тщательно выбирать облачных провайдеров, с которыми Вы планируете сотрудничать, но и обращать внимание на условия предоставления услуг и соответствие нормативным требованиям.

В конечном итоге, ответственность за безопасность лежит не только на поставщике облачных услуг, но и на сотрудниках Вашей компании. Их осведомленность и компетентность в вопросах кибербезопасности играют не менее важную роль.

Рекомендуется регулярно инвестировать в обучение и повышение квалификации сотрудников, чтобы они были готовы работать с политиками и процедурами безопасности. Для полного раскрытия потенциала облачных технологий компаниям следует вкладывать средства как в развитие собственных систем или систем внешних партнеров, так и в привлечение новых ИТ-специалистов. Такой подход позволит обеспечить высокий уровень безопасности, повысить удовлетворенность клиентов и, в долгосрочной перспективе, укрепить репутацию компании.

Одним из главных вызовов при выборе внешнего облачного провайдера всегда была зависимость от иностранных компаний и их стандартов защиты данных. Для минимизации рисков организации применяют комплексный подход: тщательное изучение политики конфиденциальности, использование гибридных облачных решений, оценка мер безопасности и сертификаций провайдеров, проведение оценки воздействия на защиту данных, регулярный мониторинг и аудит, а также подготовка к возможным инцидентам. Стратегии могут различаться в зависимости от размера компании и отрасли, однако все они направлены на обеспечение соответствия требованиям по защите данных и минимизацию потенциальных рисков при работе с внешними облачными сервисами.

Список источников

Облачные вычисления
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Модель развертывания облака (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Понимание облака — знаете ли Вы, что такое публичное облако и что такое гибридное облако? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Что такое IaaS? Определение и интересные факты
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Платформа как сервис (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

На что следует обратить внимание при составлении контрактов SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Контракты на платформу как услугу (PaaS-контракты): Руководство (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html

Статьи, относящиеся к теме

Какой тип Backup лучше выбрать для моих данных?
Вот как важно Backup данных в реальной жизни
Преимущества и недостатки различных файловых систем Windows

Оставь комментарий здесь...