Переход в облако — это управленческое решение, напрямую влияющее на устойчивость бизнеса и уровень киберрисков. Вместе с масштабируемостью и гибкостью компания получает новую модель ответственности: провайдер обеспечивает безопасность самой облачной инфраструктуры, а защита данных, корректная настройка доступов и конфигураций остаются в зоне контроля клиента. Непонимание этой границы нередко становится причиной инцидентов и утечек — поэтому важно четко определить, где проходит зона ответственности бизнеса, а где — провайдера.
Модель совместной ответственности
Модель совместной ответственности — это основа любых облачных вычислений, закрепленной в соглашениях об уровне обслуживания всех крупных провайдеров. Четкое понимание границ ответственности выступает обязательным условием для минимизации рисков при миграции в облачную среду.
Облачный провайдер принимает на себя обязательства по защите уровней стека, которые находятся вне зоны контроля клиента. В объем ответственности провайдера входят:
- физическая безопасность центров обработки данных, включая системы контроля доступа, видеонаблюдения и защиты от внешних угроз;
- отказоустойчивость инженерной инфраструктуры: электропитание, климатические системы, сетевое и серверное оборудование;
- изоляция гипервизора и механизмов виртуализации, обеспечивающая разделение вычислительных ресурсов между различными клиентами;
- защита управляющей плоскости (control plane) — API-интерфейсов, консолей администрирования и внутренних сетей провайдера от компрометации.
Все объекты, создаваемые и конфигурируемые клиентом в облачном пространстве, находятся под его исключительной ответственностью. Данная зона включает следующие компоненты:
- управление жизненным циклом данных: классификация, шифрование в состоянии покоя и при передаче, резервное копирование и удаление;
- администрирование идентификационных политик (IAM): создание учетных записей, назначение ролевых моделей, внедрение многофакторной аутентификации, своевременная деактивация учетных записей;
- конфигурация сетевого периметра: настройка правил групп безопасности, сетевых ACL, политик доступа к объектным хранилищам;
- защита операционных систем и прикладного ПО: своевременное применение патчей, управление уязвимостями, безопасная разработка кода;
- управление криптографическими ключами в случае использования модели Bring Your Own Key (BYOK).
В корректно сконфигурированной облачной среде реализован принцип минимальных привилегий, исключающий возможность доступа провайдера к пользовательским данным в нешифрованном виде. Технически провайдер оперирует исключительно метаданными и зашифрованными блоками, необходимыми для обеспечения работоспособности инфраструктуры.
Доступ сотрудников провайдера к клиентской информации становится возможным только при выполнении одного из условий:
- клиент явно делегирует права доступа через механизмы IAM (например, для целей технической поддержки);
- используются управляемые сервисы (PaaS/SaaS) в конфигурации по умолчанию, предполагающей хранение ключей шифрования на стороне провайдера, что регламентируется отдельными соглашениями.
Детализация зон ответственности по уровням (IaaS, PaaS, SaaS)
Модель совместной ответственности не статична — она существенно трансформируется в зависимости от того, какой тип облачных услуг выбирает бизнес. Одно дело — арендовать «голую» инфраструктуру, и совсем другое — использовать готовое ПО из коробки. Рассмотрим каждый уровень детально.
В модели IaaS провайдер предоставляет виртуализированные вычислительные ресурсы, хранилища и сети. По сути, вы получаете пустые виртуальные машины с установленной ОС или без нее. Здесь граница проведена максимально четко: провайдер отвечает за физический сервер, гипервизор и базовую сетевую доступность. Все, что находится выше уровня гипервизора, — зона полной ответственности клиента.
Что это означает на практике? Вы сами управляете операционной системой: устанавливаете обновления безопасности, настраиваете межсетевые экраны внутри гостевой ОС, контролируете доступ к файловой системе. Вы отвечаете за все ПО, которое разворачиваете, — от веб-серверов до баз данных. Вы конфигурируете сетевые правила, открываете или закрываете порты, настраиваете VPN. И главное — вы полностью отвечаете за данные: их шифрование, резервное копирование и защиту от утечек.
Крупные инциденты безопасности в облаках чаще всего случаются именно на уровне IaaS, и причина почти всегда в человеческом факторе со стороны клиента. Самый популярный сценарий — администратор оставляет открытым доступ к хранилищу данных или забывает закрыть стандартный порт управления базой данных. Провайдер здесь бессилен: он лишь предоставляет инструменты, а включать и правильно настраивать их — задача клиента.
Если говорить о PaaS: вы получаете готовую среду для развертывания приложений — например, управляемую базу данных, очередь сообщений или среду выполнения кода. Провайдер теперь отвечает не только за железо и виртуализацию, но и за операционную систему, middleware, среду исполнения и установленное базовое ПО.
В этой модели бизнес освобождается от рутины: не нужно мониторить версии СУБД, ставить патчи для ОС или настраивать кластеризацию на уровне инфраструктуры. Провайдер гарантирует, что платформа работает, обновляется и масштабируется. Но это не значит, что ответственность клиента исчезает.
Вы по-прежнему отвечаете за код приложения, который загружаете в эту среду, и за данные, которые в ней обрабатываются. Вы должны правильно настроить доступ к платформе: кто из сотрудников имеет права на изменение схемы базы данных, кто может читать логи, кто — останавливать сервисы. Вы отвечаете за шифрование чувствительной информации на уровне приложения и за то, чтобы в коде не было уязвимостей. И конечно, на вас лежит управление учетными записями пользователей, которые взаимодействуют с вашим приложением.
SaaS-решения максимально снижают уровень ответтвенности. Вы просто пользуетесь готовым приложением через браузер или API: корпоративная почта, CRM, офисный пакет, мессенджер. Провайдер здесь отвечает за все — от физического сервера до кода самого приложения. Он обеспечивает доступность сервиса, защиту от взломов, шифрование данных на диске и при передаче, управление обновлениями.
Но даже в SaaS зона ответственности клиента остается, просто она смещается в сторону организационных политик. Что именно контролируете вы? Во-первых, управление доступом: кто из сотрудников имеет лицензию, какие роли им назначены, какие права на чтение, редактирование и шеринг документов они получили. Во-вторых, настройки конфиденциальности внутри самого приложения: открыты ли документы для всех в компании или только для ограниченного круга, включена ли двухфакторная аутентификация. В-третьих, сами данные, которые вы загружаете в SaaS-сервис, и их классификация.
Провайдер не знает, кто из ваших сотрудников должен иметь доступ к финансовым отчетам, а кому достаточно видеть только общую ленту новостей. Это исключительно ваша задача. И если бывший сотрудник сохранил доступ к корпоративному Google Drive или Slack из-за того, что его вовремя не заблокировали в системе управления пользователями, ответственность за инцидент ложится целиком на бизнес.