Кто отвечает за кибербезопасность в облаке – оператор или заказчик?

22.12.2020
5221
Партнер проекта

 

По данным недавнего исследования компании Flexera, 83% компаний, работающих в облаке, сталкиваются с проблемами безопасности. При этом 60% пользователей облаков считают, что защита данных – ответственность исключительно оператора. Это заблуждение приводит к утечкам информации и другим неприятным последствиям. CEO облачного оператора GigaCloud Артем Коханевич рассказывает, кто же на самом деле отвечает за безопасность в облаке и как избежать утечки данных.


Что безопаснее: облако или собственный дата-центр? 

Спрос на облачные сервисы растет во всем мире. По данным исследования Flexera (американского разработчика ПО), уже больше половины компаний так или иначе используют облака. 

При этом топ-менеджеров бизнеса беспокоит вопрос безопасности. Многие компании до сих пор не спешат становиться пользователями облачных сервисов как раз по этой причине. Они считают, что наличие собственного дата-центра (когда компания сама закупает серверы, настраивает их и использует) автоматически гарантирует безопасность. Другие уверены, что если они работают с облачным оператором, все вопросы безопасности – на нем. Оба утверждения неправильны. 

"Есть около 10 основных инфраструктурных “слоёв” и на каждом из них могут возникнуть проблемы с безопасностью: от физического оборудования до системы пользовательского доступа. В случае с собственным дата-центром ответственность за все это ложится на компанию-владельца. Чтобы быть уверенными, что система защищена на всех уровнях, у компании должно быть много специалистов с различными компетенциями, которые будут отвечать за каждый инфраструктурный слой. Мало кто из компаний может себе такое позволить", – поясняет CEO облачного оператора GigaCloud Артем Коханевич. 

При работе с облачным сервисом часть ответственности берет на себя оператор. Поэтому для многих бизнесов работать в облаке даже безопаснее, чем в собственном дата-центре. 

По данным исследования Gartner, уже в 2020 году в публичных облаках происходит на 60% меньше форс-мажорных ситуаций, связанных с безопасностью, чем в традиционных дата-центрах. В Gartner предсказывают, что к 2025 году 99% инцидентов с безопасностью в облаке будут вызваны действиями самих клиентов. То есть, инфраструктуры и сервисы будут настолько защищены, что только 1% потенциальных сбоев и утечек будет на уровне оператора либо поставщика облачных сервисов.

Но часть задач по безопасности данных всегда остается на стороне клиента. Об этом – дальше. 

Уровень ответственности зависит от типа инфраструктуры 

Считать, что облачный оператор на 100% отвечает за безопасность ваших данных – опасно. Ответственность всегда распределяется между пользователем и оператором. Где проходит эта черта, зависит от типа инфраструктуры, которой пользуется компания. 

Существует три типа инфраструктур: 

  1. IaaS (Infrastructure as a Service) – потребитель получает доступ к серверу, на котором может размещать свою платформу или операционную систему и ПО. 

  2. PaaS (Platform as a Service) – потребитель получает доступ к платформе в облаке: операционной системе, системе управления базами данных, средствам разработки и тестирования, и может устанавливать там свое ПО. 

  3. SaaS (Software as a Service) – потребитель получает готовое ПО в облаке, которое полностью обслуживает разработчик сервиса.

По сути, внутри компании заказчиками и пользователями облачных сервисов являются разные структуры. IaaS-сервисом пользуется IT-отдел, PaaS используют разработчики, а SaaS – конечные пользователи, то есть рядовые сотрудники компании и ее клиенты. 

"Чем меньше задействован оператор, тем ниже его ответственность за безопасность системы. Например, в случае с IaaS оператор отвечает за безопасность самого оборудования (железа), системы хранения данных и гипервизора (то есть программного обеспечения, которое позволяет на одном физическом сервере размещать несколько виртуальных компьютеров, обладающих своей операционной системой, – прим. авт). 

А на стороне компании остается ответственность за то, чтобы пароли пользователей не попали в чужие руки, и чтобы приложение и операционная система были защищены от сторонних вмешательств. 

Сетевой трафик при этом находится в зоне совместной ответственности между оператором и клиентом, хотя зачастую клиенты считают, что это тоже ответственность оператора", – говорит Артем Коханевич. 

В этом случае облачный оператор обеспечивает базовый уровень безопасности:


1. Базовая защита от DDOS-атак и доступность сервисов для пользователей.
Важно понимать, что речь не о защите на уровне сервисов (это зона ответственности заказчика). Речь о базовой защите облака, которая позволяет обезопасить как самого пользователя облачного сервиса, так и других клиентов. DDoS атака делает сервис недоступным для пользователей. Например, в декабре в Google произошел сбой, и все сервисы компании стали недоступны. Защита облака от DDOS-атак  гарантирует, что сервисы будут работать. Например, по договору с GigaCloud виртуальный сервер должен быть доступен 99,95% времени. То есть максимально допустимый простой – 21 минута 36 секунд в месяц.

2. Консультационная поддержка
Профессиональный облачный оператор может помочь клиенту правильно настроить безопасность IT-инфраструктуры.

3. Сертификаты безопасности
У облачного оператора должен быть международный сертификат безопасности ISO 27001, а также украинский аттестат соответствия комплексной защиты информации (КСЗИ). Еще лучше, если у оператора есть сертификат безопасности данных PCI DSS и сертификат соответствия Общему регламенту про защиту данных Европейского союза (GDPR).  

"У нас в GigaCloud выделено отдельное направление по кибербезопасности, в нем работает уже 2 штатных сотрудника, – говорит Артем Коханевич. – У многих компаний в штате нет ни одного специалиста по безопасности. В таком случае сложно быть уверенным, что ваши данные защищены". 

В случае с PaaS линия разграничения ответственности находится на уровне приложений: за какие-то отвечает оператор, за какие-то – разработчик либо конечный заказчик. 

"Наиболее частая модель использования облаков на данный момент – SaaS, то есть аренда готовых приложений, – говорит Артем Коханевич. – В этом случае поставщик сервиса берет на себя ответственность практически за все слои защиты. Но сама передача данных в систему – это зона ответственности конечного клиента. То, как у него настроен этот процесс, сильно влияет на общую безопасность системы". 

Три шага к безопасности данных 

Никто не позаботится о данных компании лучше, чем она сама. Поэтому, чтобы быть уверенными, что информация защищена, нужно помнить о "трех китах" безопасности данных: 

1. Система бэкапов
Построение отказоустойчивой инфраструктуры и создание резервных копий данных – залог сохранения важной информации. 

"Часто компании, переходя в облако, строят резервную площадку на собственных устаревших серверах – они уже не так надежны, чтобы использовать их как основные мощности, но вполне подходят в качестве запасных", – поясняет Артем Коханевич. 

2. Шифрование данных
Многие сервисы используют шифрование данных по умолчанию либо предоставляют клиентам такую возможности при необходимости. В этом случае даже если утечка данных произойдет, их не смогут считать.

3. Мультифакторная аутентификация доступа

Часто утечки данных происходят из-за кражи или утечки паролей. Поэтому пользователей нужно обезопасить с помощью двойной или тройной защиты (к примеру, пароль + номер телефона, или пароль + номер телефона + код из приложения по аутентификации). 

"Важно понимать: безопасность в облаке – это всегда распределенная ответственность между оператором и клиентом. Поэтому нельзя перекладывать всю её на оператора. А при необходимости – лучше попросить у него консультацию о том, как правильно настроить собственную инфраструктуру", – резюмирует CEO облачного сервиса GigaCloud Артем Коханевич. 

Текст: Татьяна Гонченко

Фото: пресс-служба GigaCloud

Читайте новини і аналітику про ритейл та e-commerce в Україні на нашій сторінці в Facebook, на нашому каналі в Telegram, а також підписуйтеся на щотижневу e-mail розсилку.