СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Группа Астра
28 апреля
#Статьи #Dev#ИБ#Инфра#Облака

Защита данных в облаке: за что отвечает провайдер, а за что — клиент?

Защита данных в облаке: за что отвечает провайдер, а за что — клиент?

Изображение: recraft

Кто отвечает за утечку паролей, сбои в работе, потерю данных: разбираемся в разделении ответственности между провайдером облака и его клиентами.

Согласно прогнозу Gartner, к 2025 году до 99% проблем с безопасностью данных в облачных сервисах будет возникать по вине пользователей. Хотя немало случаев, когда в сбоях виноваты провайдеры. Чтобы избежать недопонимания и выполнить свою часть работ по обеспечению безопасности данных, важно разобраться в основных принципах разделения ответственности в облачных сервисах.

Разделение ответственности в облачных серверах

Компания может хранить информацию на собственных серверах, и тогда вся ответственность за безопасность данных лежит на ней. Но содержание собственного дата-центра стоит дорого: необходимо оплачивать работу технических специалистов, приобретать оборудование, покупать или арендовать помещение для серверной. Поэтому большинство компаний выбирает более доступный вариант — подключение облачного сервиса.

На первый взгляд может показаться, что провайдер облака полностью отвечает за безопасность данных клиентов. Но это не так: существуют проблемы, которые возникают по вине клиента, и за которые он сам несет ответственность.

Ответственность клиента

Ответственность за безопасность данных на уровне учетных записей сотрудников всегда лежит на компании. Если пользователи выбирают простые пароли и не используют двухфакторную аутентификацию, доступ к их учетным записям может быть взломан. В этой ситуации провайдер не несет ответственность.

Также в зоне ответственности клиента находятся:

  • Маркировка и классификация данных в соответствии с законодательством;
  • контроль прав доступа к данным;
  • использование внутренних сетей (VPN);
  • резервное копирование данных (при выборе модели IaaS);
  • управление собственными приложениями на облачной платформе, включая защиту кода (при выборе моделей IaaS и PaaS).
Пример: вы некорректно распределили разрешения доступа среди сотрудников, и ваши пользователи получили доступ к чувствительным данным компании. Провайдер облака не несет ответственность за вашу ошибку.

Задача клиента — обучать сотрудников информационной безопасности, грамотно управлять правами доступа. Также необходимо проводить регулярный мониторинг своих приложений с целью выявления уязвимостей.

Ответственность провайдера

Провайдер отвечает за работу самой инфраструктуры и виртуализацию. Если оборудование останется без питания, из-за чего вы утратите доступ к данным, это будет ответственность провайдера. Если сервер не выдерживает наплыва трафика, или возникают уязвимости в инфраструктуре, то отвечать за это будет тоже поставщик.

Пример: ваша компания пользуется облачным хранилищем файлов. В сервисе обнаруживается уязвимость, из-за которой происходит утечка данных. Вы не могли предотвратить проблему, поэтому вся ответственность ложится на провайдера.

Разные модели облака — разная ответственность

Во многом разделение ответственности зависит от того, какой моделью облака вы пользуетесь: IaaS, PaaS или SaaS.

IaaS

IaaS — это модель облака, при которой пользователи берут в аренду вычислительные ресурсы (серверы, хранилища данных и другие) и используют их для построения своей виртуальной инфраструктуры.

Ответственность провайдера:

  • Исправная работа физических серверов и облачной платформы виртуализации;
  • защита инфраструктуры от уязвимостей;
  • безопасность хранилища и оборудования.

Клиент отвечает за свои приложения, шифрование данных, настройки виртуальных сетей, устранение уязвимостей. Он самостоятельно должен проводить резервное копирование данных и обновление антивирусной защиты.

PaaS

PaaS — это формат работы облака, при котором пользователи берут в аренду готовую облачную платформу для разработки, тестирования и запуска разных программ.

В ответственность провайдера входит все то же, что и при IaaS, а также:

  • Проведение мониторинга;
  • обновление антивируса;
  • проверка учетных записей пользователей на соответствие требованиям безопасности.

Заказчик отвечает за данные пользователей, приложения, шифрование, контроль доступа. Он сам должен реагировать на возникновение уязвимостей в своих приложениях, вовремя выявлять их и устранять.

SaaS

SaaS — это модель облака, при которой приложение или программное обеспечение предоставляется через облако напрямую конечным пользователям.

Ответственность провайдера включает все то же, что и при PaaS, а также:

  • Управление приложениями, устранение ошибок и уязвимостей;
  • шифрование данных;
  • обеспечение производительности приложений.

В ответственности клиента остается только контроль доступа к данным и проведение профилактических мер — например, обучение сотрудников информационной безопасности.

Серая зона ответственности

Четко разграничить зоны ответственности между провайдером и клиентом не всегда возможно. Это приводит к появлению «серых зон», которые могут вызывать разногласия.

Споры случаются в следующих вопросах:

  1. Шифрование данных. Провайдер может гарантировать поддержку шифрования, но решение о том, какие данные зашифровать, принимает клиент. Ошибки могут привести к утечке данных.
  2. Выявление уязвимостей. Сложности возникают, когда уязвимости затрагивают как инфраструктуру провайдера, так и приложения клиента.
  3. Управление параметрами безопасности. Провайдер предоставляет инструменты для защиты данных. Но их настройка и использование — ответственность клиента.

Важно, чтобы в соглашении между провайдером и клиентом были четко оговорены обязанности по обеспечению безопасности — это поможет при решении споров.

Выводы

  1. Провайдер всегда отвечает за работу сервера, бесперебойный доступ к облаку. Если оборудование не справляется с нагрузкой, ответственность ложится на поставщика.
  2. Пользователь несет ответственность за то, на что он может повлиять — защиту своих данных, уровни доступа, уязвимости в собственных приложениях. Его обязанность — обучить сотрудников работе с информационной безопасностью и грамотно контролировать доступы.
  3. Границы ответственности между провайдером и заказчиком зависят от выбранной модели облака. Если при модели SaaS провайдер отвечает за большинство процессов, то в IaaS основная ответственность остается на стороне пользователя.
  4. Существуют серые зоны ответственности, которые могут стать причиной споров между провайдером и клиентом. В соглашении должно быть четко обозначено, за что отвечает поставщик, а за что — заказчик.

Автор: Константин Анисимов, директор Astra Cloud.

Группа Астра
Автор: Группа Астра
ГК «Астра» (ООО «РусБИТех-Астра») — один из лидеров российской IT-индустрии, ведущий производитель программного обеспечения, в том числе защищенных операционных систем и платформ виртуализации. Разработка флагманского продукта, ОС семейства Astra Linux, ведется с 2008 года. На сегодня в штате компании более 1000 высококвалифицированных разработчиков и специалистов технической поддержки.
Комментарии: