Кто отвечает за утечку паролей, сбои в работе, потерю данных: разбираемся в разделении ответственности между провайдером облака и его клиентами.
Согласно прогнозу Gartner, к 2025 году до 99% проблем с безопасностью данных в облачных сервисах будет возникать по вине пользователей. Хотя немало случаев, когда в сбоях виноваты провайдеры. Чтобы избежать недопонимания и выполнить свою часть работ по обеспечению безопасности данных, важно разобраться в основных принципах разделения ответственности в облачных сервисах.
Разделение ответственности в облачных серверах
Компания может хранить информацию на собственных серверах, и тогда вся ответственность за безопасность данных лежит на ней. Но содержание собственного дата-центра стоит дорого: необходимо оплачивать работу технических специалистов, приобретать оборудование, покупать или арендовать помещение для серверной. Поэтому большинство компаний выбирает более доступный вариант — подключение облачного сервиса.
На первый взгляд может показаться, что провайдер облака полностью отвечает за безопасность данных клиентов. Но это не так: существуют проблемы, которые возникают по вине клиента, и за которые он сам несет ответственность.
Ответственность клиента
Ответственность за безопасность данных на уровне учетных записей сотрудников всегда лежит на компании. Если пользователи выбирают простые пароли и не используют двухфакторную аутентификацию, доступ к их учетным записям может быть взломан. В этой ситуации провайдер не несет ответственность.
Также в зоне ответственности клиента находятся:
- Маркировка и классификация данных в соответствии с законодательством;
- контроль прав доступа к данным;
- использование внутренних сетей (VPN);
- резервное копирование данных (при выборе модели IaaS);
- управление собственными приложениями на облачной платформе, включая защиту кода (при выборе моделей IaaS и PaaS).
Пример: вы некорректно распределили разрешения доступа среди сотрудников, и ваши пользователи получили доступ к чувствительным данным компании. Провайдер облака не несет ответственность за вашу ошибку.
Задача клиента — обучать сотрудников информационной безопасности, грамотно управлять правами доступа. Также необходимо проводить регулярный мониторинг своих приложений с целью выявления уязвимостей.
Ответственность провайдера
Провайдер отвечает за работу самой инфраструктуры и виртуализацию. Если оборудование останется без питания, из-за чего вы утратите доступ к данным, это будет ответственность провайдера. Если сервер не выдерживает наплыва трафика, или возникают уязвимости в инфраструктуре, то отвечать за это будет тоже поставщик.
Пример: ваша компания пользуется облачным хранилищем файлов. В сервисе обнаруживается уязвимость, из-за которой происходит утечка данных. Вы не могли предотвратить проблему, поэтому вся ответственность ложится на провайдера.
Разные модели облака — разная ответственность
Во многом разделение ответственности зависит от того, какой моделью облака вы пользуетесь: IaaS, PaaS или SaaS.
IaaS
IaaS — это модель облака, при которой пользователи берут в аренду вычислительные ресурсы (серверы, хранилища данных и другие) и используют их для построения своей виртуальной инфраструктуры.
Ответственность провайдера:
- Исправная работа физических серверов и облачной платформы виртуализации;
- защита инфраструктуры от уязвимостей;
- безопасность хранилища и оборудования.
Клиент отвечает за свои приложения, шифрование данных, настройки виртуальных сетей, устранение уязвимостей. Он самостоятельно должен проводить резервное копирование данных и обновление антивирусной защиты.
PaaS
PaaS — это формат работы облака, при котором пользователи берут в аренду готовую облачную платформу для разработки, тестирования и запуска разных программ.
В ответственность провайдера входит все то же, что и при IaaS, а также:
- Проведение мониторинга;
- обновление антивируса;
- проверка учетных записей пользователей на соответствие требованиям безопасности.
Заказчик отвечает за данные пользователей, приложения, шифрование, контроль доступа. Он сам должен реагировать на возникновение уязвимостей в своих приложениях, вовремя выявлять их и устранять.
SaaS
SaaS — это модель облака, при которой приложение или программное обеспечение предоставляется через облако напрямую конечным пользователям.
Ответственность провайдера включает все то же, что и при PaaS, а также:
- Управление приложениями, устранение ошибок и уязвимостей;
- шифрование данных;
- обеспечение производительности приложений.
В ответственности клиента остается только контроль доступа к данным и проведение профилактических мер — например, обучение сотрудников информационной безопасности.
Серая зона ответственности
Четко разграничить зоны ответственности между провайдером и клиентом не всегда возможно. Это приводит к появлению «серых зон», которые могут вызывать разногласия.
Споры случаются в следующих вопросах:
- Шифрование данных. Провайдер может гарантировать поддержку шифрования, но решение о том, какие данные зашифровать, принимает клиент. Ошибки могут привести к утечке данных.
- Выявление уязвимостей. Сложности возникают, когда уязвимости затрагивают как инфраструктуру провайдера, так и приложения клиента.
- Управление параметрами безопасности. Провайдер предоставляет инструменты для защиты данных. Но их настройка и использование — ответственность клиента.
Важно, чтобы в соглашении между провайдером и клиентом были четко оговорены обязанности по обеспечению безопасности — это поможет при решении споров.
Выводы
- Провайдер всегда отвечает за работу сервера, бесперебойный доступ к облаку. Если оборудование не справляется с нагрузкой, ответственность ложится на поставщика.
- Пользователь несет ответственность за то, на что он может повлиять — защиту своих данных, уровни доступа, уязвимости в собственных приложениях. Его обязанность — обучить сотрудников работе с информационной безопасностью и грамотно контролировать доступы.
- Границы ответственности между провайдером и заказчиком зависят от выбранной модели облака. Если при модели SaaS провайдер отвечает за большинство процессов, то в IaaS основная ответственность остается на стороне пользователя.
- Существуют серые зоны ответственности, которые могут стать причиной споров между провайдером и клиентом. В соглашении должно быть четко обозначено, за что отвечает поставщик, а за что — заказчик.
