Краткая шпаргалка по сортам Cloud и их безопасности

Разные виды облачных технологий отличаются по стоимости и безопасности. Какой вид облака выбрать и с чего начать миграцию?

Чем отличаются SaaS и IaaS, и от каких угроз их защищать.

Любому бизнесу — от пекарни до банка — сулят выгоды от внедрения «облачных» технологий. При этом компьютерные «облака» уже успели пройти несколько ступеней эволюции, и теперь под общим термином «облако» скрываются несколько принципиально разных подходов. Поэтому стоит разобраться, какое именно «облако» стоит внедрять в вашей компании, во что это обойдется и какие меры безопасности при этом следует применять.

Выгоды облака

Вообще «облачные технологии» подразумевают получение каких-то компьютерных ресурсов (места для хранения данных, вычислительных мощностей или конкретного приложения) через Интернет, с удаленного сервера. Когда вы редактируете документ в Google Docs, запускаете сайт на виртуальном хостинге или отправляете почту через Microsoft 365, вы пользуетесь облачными решениями. Главными преимуществами облаков являются:

  • скорость запуска приложений и сервисов — начать пользоваться облачными услугами можно почти мгновенно, без закупки серверов и установки приложений;
  • финансовая гибкость — можно платить только за реально потребленные услуги и вообще не делать капитальных вложений;
  • легкая масштабируемость — есть возможность увеличивать мощность серверов на время за считаные минуты, а когда нужда в этом отпадет, так же легко возвращаться к прежней мощности и цене.

Виды облаков: частные, публичные и гибридные

Концепция публичного облака подразумевает, что вычислительными мощностями владеет коммерческий провайдер, который продает их «по кусочкам» всем желающим. Если компания хочет иметь гарантированно доступные и высокопроизводительные вычислительные ресурсы или имеет строгие требования к условиям обработки данных, она может приобрести всю необходимую инфраструктуру в свое безраздельное пользование. Это — частное облако. Серверы можно разместить на территории организации (on premise) для большей безопасности либо арендовать их в коммерческом центре обработки данных (hosted private cloud).

Гибридные облака сочетают оба подхода, допуская размещение данных и сервисов в «публичной» или «частной» части облака в зависимости от их важности.

SaaS, IaaS и прочий aaS

Все аббревиатуры, заканчивающиеся на «aaS», означают, что нечто предоставляется as a service, то есть «как услуга». Самая распространенная схема — SaaS, то есть «приложения как услуга». Все популярные сервисы, выполняющие прикладную задачу, — Microsoft 365, Dropbox, Slack, Zoom, Salesforce — относятся к SaaS. Пользователь платит за решение конкретной задачи и вообще не задумывается, на каких серверах и приложениях все это работает и где оно расположено. Аналогично устроены и часто используемые в разработке ПО сервисы DBaaS, PaaS и FaaS — они предоставляют через облако платформы разработки, базы данных или фрагменты функциональности для создаваемого приложения, однако их мы подробно рассматривать не будем.

На другом «полюсе сложности» находится IaaS — «инфраструктура как услуга». В этом случае облачный провайдер выдает клиенту виртуальные серверы или контейнеры, на которых нужно самостоятельно запускать серверные приложения. Менять количество серверов и их мощность можно в пару кликов мышки, но у клиента должны быть специалисты, которые будут все это настраивать и обслуживать.

Для тех, кому очень нужно владеть серверами, но не хочется строить центр обработки данных, существует DCaaS — дата-центр как услуга. Провайдер обеспечивает помещение, охлаждение и прочие инженерные условия, но физические компьютеры принадлежат организации-клиенту.

Сервисы SaaS всегда работают в публичном облаке, тогда как IaaS может быть и публичным, и частным, и гибридным.

Стоимость облачных решений

Хотя во многих случаях внедрение облачных технологий требует очень небольших первоначальных инвестиций, нужно уделить пристальное внимание подсчету общей стоимости владения (TCO, total cost of ownership) и рассчитать, как она будет расти при росте нагрузки. Нужно учитывать такие затраты, как оплата услуг облачного провайдера, оплата оборудования для решений on premise, оплата труда IT-администраторов и разработчиков, оплата лицензий на сопутствующие приложения и сервисы. Как правило, публичные облака позволяют очень недорого и быстро внедрить небольшое решение, но по мере роста масштаба частное или гибридное облако становится все привлекательней.

Безопасность облачных решений

Облачные провайдеры обычно рекламируют безопасность в числе своих ключевых преимуществ, но безопасность вовсе не является неотъемлемым свойством облака. Более того, облачные решения приносят с собой новые типы рисков.

Главный риск неосведомленность и беспечность. Пользователи и даже IT-администраторы считают, что их облачная система защищена «автоматически», что обо всем заботится облачный провайдер, и не прикладывают дополнительных усилий к защите. Но на практике облачный провайдер не может решить часть вопросов, и они обязательно должны решаться организацией-клиентом. Вот список основных рисков использования облачных сервисов и услуг.

  • Неверная конфигурация. У любого решения SaaS и IaaS имеются десятки, иногда сотни и тысячи настроек, поэтому администратору легко ошибиться — например, оставив важную базу данных видимой всему Интернету или не заблокировав доступ к привилегированным функциям. Облачные решения разных провайдеров имеют различные, не полностью совместимые настройки, поэтому даже компетентным администраторам может быть очень сложно обеспечивать единство политик безопасности. Именно неверная конфигурация лежит в основе большинства крупных утечек информации последних лет. Эта проблема актуальна для SaaS и остро актуальна для IaaS/DCaaS.
  • Утечка реквизитов доступа. Получить доступ к информации в облаке просто — и это достоинство становится недостатком, когда паролем сотрудника завладеют злоумышленники. Они могут выманить учетные данные при помощи фишинга, подобрать слабый пароль перебором или воспользоваться утечкой информации из совершенно постороннего сервиса и попробовать применить утекшие личные пароли сотрудника к его рабочим аккаунтам. Эта проблема актуальна для всех видов облаков.
  • Юридические проблемы. В облачных средах труднее соблюдать требования законов о хранении данных: например, не передавать личные данные клиентов за рубеж или применять в дата-центрах конкретные меры безопасности. В ряде случаев вообще неизвестно, в какой конкретно стране хранятся данные.
  • Недостаточный мониторинг. В облачных средах часто не работают инструменты, которые используются в офисной сети организации для обеспечения кибербезопасности, контроля доступа, предотвращения утечек. В результате события в облачных системах (вход в систему, скачивание больших объемов информации и так далее) могут оставаться незамеченными недели и месяцы. Эта проблема актуальна для всех видов облаков.
  • Случайные утечки информации. Неаккуратное использование функции «поделиться» может привести к тому, что посторонние получат доступ к внутренней информации.
  • Уязвимости. В серверных приложениях нередко находят уязвимости, и эксплуатировать их в облачных средах удобно злоумышленникам. Во-первых, они доступны из Интернета, во-вторых, зачастую облачные решения сконфигурированы одинаково, поэтому успешную атаку легко повторять против новых жертв. В SaaS все уязвимости должен закрывать провайдер, а пользователь мало что может сделать своими силами. В IaaS большинство проблем должна решать IT-служба клиента, причем в очень сжатые сроки.

Правильная «облачная» стратегия

В зависимости от размера организации, степени ее зрелости в сфере IT и стоящих задач, правильная стратегия будет совершенно разной. При ее разработке нужно учитывать, создается ли IT-система с нуля или ее придется мигрировать из «безоблачной» системы, какой масштаб операций должен быть обеспечен с первого дня ее работы, заложить соответствие требованиям регуляторов, и так далее. Важно не забыть запланировать меры безопасности на самых ранних этапах проекта и использовать специализированные системы для защиты облачных сред.

Чтобы сопоставить стоимость, сложность и риски, мы собрали информацию в краткую сводную таблицу:

  SaaS IaaS DCaaS
Стоимость внедрения + ++ ++++
Скорость масштабирования ++++ +++ ++
Стоимость поддержки IT/ИБ + +++ ++++
Стоимость при значительном росте объемов/использования +++++ +++ ++
Сложность поддержки для IT + +++ ++++
Сложность поддержки для ИБ ++ ++++ +++
Уровень ИБ-рисков ++ +++ +++
Сложность расследования и устранения ИБ-инцидентов ++++ +++ ++
Советы