Полезные знания Краткая шпаргалка по сортам Cloud и их безопасности

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.099
Репутация
11.695
Реакции
61.889
RUB
50
Разные виды облачных технологий отличаются по стоимости и безопасности. Какой вид облака выбрать и с чего начать миграцию?


Любому бизнесу — от пекарни до банка — сулят выгоды от внедрения «облачных» технологий. При этом компьютерные «облака» уже успели пройти несколько ступеней эволюции, и теперь под общим термином «облако» скрываются несколько принципиально разных подходов. Поэтому стоит разобраться, какое именно «облако» стоит внедрять в вашей компании, во что это обойдется и какие меры безопасности при этом следует применять.

Чем отличаются SaaS и IaaS, и от каких угроз их защищать.


✅ Выгоды облака​


Вообще «облачные технологии» подразумевают получение каких-то компьютерных ресурсов (места для хранения данных, вычислительных мощностей или конкретного приложения) через Интернет, с удаленного сервера. Когда вы редактируете документ в Google Docs, запускаете сайт на виртуальном хостинге или отправляете почту через Microsoft 365, вы пользуетесь облачными решениями. Главными преимуществами облаков являются:
  • скорость запуска приложений и сервисов — начать пользоваться облачными услугами можно почти мгновенно, без закупки серверов и установки приложений;

  • финансовая гибкость — можно платить только за реально потребленные услуги и вообще не делать капитальных вложений;

  • легкая масштабируемость — есть возможность увеличивать мощность серверов на время за считаные минуты, а когда нужда в этом отпадет, так же легко возвращаться к прежней мощности и цене.

➡️ Виды облаков: частные, публичные и гибридные​

Концепция публичного облака подразумевает, что вычислительными мощностями владеет коммерческий провайдер, который продает их «по кусочкам» всем желающим. Если компания хочет иметь гарантированно доступные и высокопроизводительные вычислительные ресурсы или имеет строгие требования к условиям обработки данных, она может приобрести всю необходимую инфраструктуру в свое безраздельное пользование. Это — частное облако. Серверы можно разместить на территории организации (on premise) для большей безопасности либо арендовать их в коммерческом центре обработки данных (hosted private cloud).
Гибридные облака сочетают оба подхода, допуская размещение данных и сервисов в «публичной» или «частной» части облака в зависимости от их важности.

▶️ SaaS, IaaS и прочий aaS​

Все аббревиатуры, заканчивающиеся на «aaS», означают, что нечто предоставляется as a service, то есть «как услуга». Самая распространенная схема — SaaS, то есть «приложения как услуга». Все популярные сервисы, выполняющие прикладную задачу, — Microsoft 365, Dropbox, Slack, Zoom, Salesforce — относятся к SaaS. Пользователь платит за решение конкретной задачи и вообще не задумывается, на каких серверах и приложениях все это работает и где оно расположено.

Аналогично устроены и часто используемые в разработке ПО сервисы DBaaS, PaaS и FaaS — они предоставляют через облако платформы разработки, базы данных или фрагменты функциональности для создаваемого приложения, однако их мы подробно рассматривать не будем.

На другом «полюсе сложности» находится IaaS — «инфраструктура как услуга». В этом случае облачный провайдер выдает клиенту виртуальные серверы или контейнеры, на которых нужно самостоятельно запускать серверные приложения. Менять количество серверов и их мощность можно в пару кликов мышки, но у клиента должны быть специалисты, которые будут все это настраивать и обслуживать.

Для тех, кому очень нужно владеть серверами, но не хочется строить центр обработки данных, существует DCaaS — дата-центр как услуга. Провайдер обеспечивает помещение, охлаждение и прочие инженерные условия, но физические компьютеры принадлежат организации-клиенту.
Сервисы SaaS всегда работают в публичном облаке, тогда как IaaS может быть и публичным, и частным, и гибридным.

▶️ Стоимость облачных решений​

Хотя во многих случаях внедрение облачных технологий требует очень небольших первоначальных инвестиций, нужно уделить пристальное внимание подсчету общей стоимости владения (TCO, total cost of ownership) и рассчитать, как она будет расти при росте нагрузки. Нужно учитывать такие затраты, как оплата услуг облачного провайдера, оплата оборудования для решений on premise, оплата труда IT-администраторов и разработчиков, оплата лицензий на сопутствующие приложения и сервисы. Как правило, публичные облака позволяют очень недорого и быстро внедрить небольшое решение, но .

▶️ Безопасность облачных решений​

Облачные провайдеры обычно рекламируют безопасность в числе своих ключевых преимуществ, но безопасность вовсе не является неотъемлемым свойством облака. Более того, облачные решения приносят с собой новые типы рисков.
Главный риск неосведомленность и беспечность. Пользователи и даже IT-администраторы считают, что их облачная система защищена «автоматически», что обо всем заботится облачный провайдер, и не прикладывают дополнительных усилий к защите. Но на практике облачный провайдер не может решить часть вопросов, и они обязательно должны решаться организацией-клиентом. Вот список основных рисков использования облачных сервисов и услуг.
  • Неверная конфигурация. У любого решения SaaS и IaaS имеются десятки, иногда сотни и тысячи настроек, поэтому администратору легко ошибиться — например, оставив важную базу данных видимой всему Интернету или не заблокировав доступ к привилегированным функциям. Облачные решения разных провайдеров имеют различные, не полностью совместимые настройки, поэтому даже компетентным администраторам может быть очень сложно обеспечивать единство политик безопасности. Именно неверная конфигурация лежит в основе большинства крупных утечек информации последних лет. Эта проблема актуальна для SaaS и остро актуальна для IaaS/DCaaS.

  • Утечка реквизитов доступа. Получить доступ к информации в облаке просто — и это достоинство становится недостатком, когда паролем сотрудника завладеют злоумышленники. Они могут выманить учетные данные при помощи фишинга, подобрать слабый пароль перебором или воспользоваться утечкой информации из совершенно постороннего сервиса и попробовать применить утекшие личные пароли сотрудника к его рабочим аккаунтам. Эта проблема актуальна для всех видов облаков.

  • Юридические проблемы. В облачных средах труднее соблюдать требования законов о хранении данных: например, не передавать личные данные клиентов за рубеж или применять в дата-центрах конкретные меры безопасности. В ряде случаев вообще неизвестно, в какой конкретно стране хранятся данные.

  • Недостаточный мониторинг. В облачных средах часто не работают инструменты, которые используются в офисной сети организации для обеспечения кибербезопасности, контроля доступа, предотвращения утечек. В результате события в облачных системах (вход в систему, скачивание больших объемов информации и так далее) . Эта проблема актуальна для всех видов облаков.

  • Случайные утечки информации. Неаккуратное использование функции «поделиться» может привести к тому, что посторонние получат доступ к внутренней информации.

  • Уязвимости. В серверных приложениях нередко находят уязвимости, и эксплуатировать их в облачных средах удобно злоумышленникам. Во-первых, они доступны из Интернета, во-вторых, зачастую облачные решения сконфигурированы одинаково, поэтому успешную атаку легко повторять против новых жертв. В SaaS все уязвимости должен закрывать провайдер, а пользователь мало что может сделать своими силами. В IaaS большинство проблем должна решать IT-служба клиента, причем в очень сжатые сроки.

✅ Правильная «облачная» стратегия​

В зависимости от размера организации, степени ее зрелости в сфере IT и стоящих задач, правильная стратегия будет совершенно разной. При ее разработке нужно учитывать, создается ли IT-система с нуля или ее придется мигрировать из «безоблачной» системы, какой масштаб операций должен быть обеспечен с первого дня ее работы, заложить соответствие требованиям регуляторов, и так далее. Важно не забыть запланировать меры безопасности на самых ранних этапах проекта и использовать специализированные системы для защиты облачных сред

Чтобы сопоставить стоимость, сложность и риски, мы собрали информацию в краткую сводную таблицу:

SaaSIaaSDCaaS
Стоимость внедрения+++++++
Скорость масштабирования+++++++++
Стоимость поддержки IT/ИБ++++++++
Стоимость при значительном росте объемов/использования++++++++++
Сложность поддержки для IT++++++++
Сложность поддержки для ИБ+++++++++
Уровень ИБ-рисков++++++++
Сложность расследования и устранения ИБ-инцидентов

 
Какие факторы нужно учитывать при принятии решения о выборе между хранением данных на собственных серверах (on premise) и арендой серверов в коммерческом центре обработки данных (hosted private cloud)?
 
Спасибо!
 
  • Теги
    aas cloud cloud и их безопасность iaas saas
  • Сверху Снизу