Читайте новини і аналітику про ритейл та e-commerce в Україні на нашій сторінці в Facebook, на нашому каналі в Telegram, а також підписуйтеся на щотижневу e-mail розсилку.
Кто отвечает за кибербезопасность в облаке – оператор или заказчик?
Партнер проекта
По данным недавнего исследования компании Flexera, 83% компаний, работающих в облаке, сталкиваются с проблемами безопасности. При этом 60% пользователей облаков считают, что защита данных – ответственность исключительно оператора. Это заблуждение приводит к утечкам информации и другим неприятным последствиям. CEO облачного оператора GigaCloud Артем Коханевич рассказывает, кто же на самом деле отвечает за безопасность в облаке и как избежать утечки данных.
Что безопаснее: облако или собственный дата-центр?
Спрос на облачные сервисы растет во всем мире. По данным исследования Flexera (американского разработчика ПО), уже больше половины компаний так или иначе используют облака.
При этом топ-менеджеров бизнеса беспокоит вопрос безопасности. Многие компании до сих пор не спешат становиться пользователями облачных сервисов как раз по этой причине. Они считают, что наличие собственного дата-центра (когда компания сама закупает серверы, настраивает их и использует) автоматически гарантирует безопасность. Другие уверены, что если они работают с облачным оператором, все вопросы безопасности – на нем. Оба утверждения неправильны.
"Есть около 10 основных инфраструктурных “слоёв” и на каждом из них могут возникнуть проблемы с безопасностью: от физического оборудования до системы пользовательского доступа. В случае с собственным дата-центром ответственность за все это ложится на компанию-владельца. Чтобы быть уверенными, что система защищена на всех уровнях, у компании должно быть много специалистов с различными компетенциями, которые будут отвечать за каждый инфраструктурный слой. Мало кто из компаний может себе такое позволить", – поясняет CEO облачного оператора GigaCloud Артем Коханевич.
При работе с облачным сервисом часть ответственности берет на себя оператор. Поэтому для многих бизнесов работать в облаке даже безопаснее, чем в собственном дата-центре.
По данным исследования Gartner, уже в 2020 году в публичных облаках происходит на 60% меньше форс-мажорных ситуаций, связанных с безопасностью, чем в традиционных дата-центрах. В Gartner предсказывают, что к 2025 году 99% инцидентов с безопасностью в облаке будут вызваны действиями самих клиентов. То есть, инфраструктуры и сервисы будут настолько защищены, что только 1% потенциальных сбоев и утечек будет на уровне оператора либо поставщика облачных сервисов.
Но часть задач по безопасности данных всегда остается на стороне клиента. Об этом – дальше.
Уровень ответственности зависит от типа инфраструктуры
Считать, что облачный оператор на 100% отвечает за безопасность ваших данных – опасно. Ответственность всегда распределяется между пользователем и оператором. Где проходит эта черта, зависит от типа инфраструктуры, которой пользуется компания.
Существует три типа инфраструктур:
-
IaaS (Infrastructure as a Service) – потребитель получает доступ к серверу, на котором может размещать свою платформу или операционную систему и ПО.
-
PaaS (Platform as a Service) – потребитель получает доступ к платформе в облаке: операционной системе, системе управления базами данных, средствам разработки и тестирования, и может устанавливать там свое ПО.
-
SaaS (Software as a Service) – потребитель получает готовое ПО в облаке, которое полностью обслуживает разработчик сервиса.
По сути, внутри компании заказчиками и пользователями облачных сервисов являются разные структуры. IaaS-сервисом пользуется IT-отдел, PaaS используют разработчики, а SaaS – конечные пользователи, то есть рядовые сотрудники компании и ее клиенты.
"Чем меньше задействован оператор, тем ниже его ответственность за безопасность системы. Например, в случае с IaaS оператор отвечает за безопасность самого оборудования (железа), системы хранения данных и гипервизора (то есть программного обеспечения, которое позволяет на одном физическом сервере размещать несколько виртуальных компьютеров, обладающих своей операционной системой, – прим. авт).
А на стороне компании остается ответственность за то, чтобы пароли пользователей не попали в чужие руки, и чтобы приложение и операционная система были защищены от сторонних вмешательств.
Сетевой трафик при этом находится в зоне совместной ответственности между оператором и клиентом, хотя зачастую клиенты считают, что это тоже ответственность оператора", – говорит Артем Коханевич.
В этом случае облачный оператор обеспечивает базовый уровень безопасности:
1. Базовая защита от DDOS-атак и доступность сервисов для пользователей.
Важно понимать, что речь не о защите на уровне сервисов (это зона ответственности заказчика). Речь о базовой защите облака, которая позволяет обезопасить как самого пользователя облачного сервиса, так и других клиентов. DDoS атака делает сервис недоступным для пользователей. Например, в декабре в Google произошел сбой, и все сервисы компании стали недоступны. Защита облака от DDOS-атак гарантирует, что сервисы будут работать. Например, по договору с GigaCloud виртуальный сервер должен быть доступен 99,95% времени. То есть максимально допустимый простой – 21 минута 36 секунд в месяц.
2. Консультационная поддержка
Профессиональный облачный оператор может помочь клиенту правильно настроить безопасность IT-инфраструктуры.
3. Сертификаты безопасности
У облачного оператора должен быть международный сертификат безопасности ISO 27001, а также украинский аттестат соответствия комплексной защиты информации (КСЗИ). Еще лучше, если у оператора есть сертификат безопасности данных PCI DSS и сертификат соответствия Общему регламенту про защиту данных Европейского союза (GDPR).
"У нас в GigaCloud выделено отдельное направление по кибербезопасности, в нем работает уже 2 штатных сотрудника, – говорит Артем Коханевич. – У многих компаний в штате нет ни одного специалиста по безопасности. В таком случае сложно быть уверенным, что ваши данные защищены".
В случае с PaaS линия разграничения ответственности находится на уровне приложений: за какие-то отвечает оператор, за какие-то – разработчик либо конечный заказчик.
"Наиболее частая модель использования облаков на данный момент – SaaS, то есть аренда готовых приложений, – говорит Артем Коханевич. – В этом случае поставщик сервиса берет на себя ответственность практически за все слои защиты. Но сама передача данных в систему – это зона ответственности конечного клиента. То, как у него настроен этот процесс, сильно влияет на общую безопасность системы".
Три шага к безопасности данных
Никто не позаботится о данных компании лучше, чем она сама. Поэтому, чтобы быть уверенными, что информация защищена, нужно помнить о "трех китах" безопасности данных:
1. Система бэкапов
Построение отказоустойчивой инфраструктуры и создание резервных копий данных – залог сохранения важной информации.
"Часто компании, переходя в облако, строят резервную площадку на собственных устаревших серверах – они уже не так надежны, чтобы использовать их как основные мощности, но вполне подходят в качестве запасных", – поясняет Артем Коханевич.
2. Шифрование данных
Многие сервисы используют шифрование данных по умолчанию либо предоставляют клиентам такую возможности при необходимости. В этом случае даже если утечка данных произойдет, их не смогут считать.
3. Мультифакторная аутентификация доступа
Часто утечки данных происходят из-за кражи или утечки паролей. Поэтому пользователей нужно обезопасить с помощью двойной или тройной защиты (к примеру, пароль + номер телефона, или пароль + номер телефона + код из приложения по аутентификации).
"Важно понимать: безопасность в облаке – это всегда распределенная ответственность между оператором и клиентом. Поэтому нельзя перекладывать всю её на оператора. А при необходимости – лучше попросить у него консультацию о том, как правильно настроить собственную инфраструктуру", – резюмирует CEO облачного сервиса GigaCloud Артем Коханевич.
Текст: Татьяна Гонченко
Фото: пресс-служба GigaCloud