© 1995-2021 Компания «Инфосистемы Джет»
IaaS, PaaS, SaaS. Раздел территории между провайдерами и клиентами облачных сервисов
Информационная безопасность

Стараясь минимизировать расходы на обслуживание и повысить отказоустойчивость своих систем, все больше и больше компаний обращают свой взгляд на облачные технологии

Информационная безопасность

IaaS, PaaS, SaaS. Раздел территории между провайдерами и клиентами облачных сервисов

30.05.2013

Посетителей: 196

Просмотров: 162

Время просмотра: 2.4 мин.

Тенденция к переходу в облака

 

Стараясь минимизировать расходы на обслуживание и повысить отказоустойчивость своих систем, все больше и больше компаний обращают свой взгляд на облачные технологии. Согласно исследованиям компании VMware «Cloud Economics – The Impact of Cloud Computing», более 24% опрошенных ИТ-менеджеров в ближайшие 3 года считают одной из приоритетных задач переход к облачным средам. На данный момент распространение получают 3 основных вида облаков: частные, гибридные и публичные.

 

 

Концепция публичного облака, так активно популяризуемая в средствах массовой информации, для крупного и среднего бизнеса России – скорее, далекое будущее, нежели день завтрашний. Недоверие к технологии, а также специфика нашей нормативной базы в области защиты информации не способствуют быстрому переходу на этот вид cloud-услуг. В связи с этим перспектива развития данных технологий в России видится как поэтапный процесс перехода сначала к частному, затем к гибридному и, наконец, публичному облаку. Как и когда технология публичных cloud’ов получит массовое распространение, в том числе, зависит и от решения вопросов, связанных с информационной безопасностью.

 

Для понимания проблематики ИБ, встающей перед компаниями, желающими перенести часть, а может, и всю свою инфраструктуру в облако, необходимо ответить на простой вопрос: «Какую часть нашей инфраструктуры мы отдаем провайдеру cloud-услуг, а что при этом остается у нас?».

Модели предоставления облачных сервисов

 

Принято выделять 3 основных модели предоставления этих услуг: IaaS, PaaS и SaaS. Давайте разберемся, какая же часть инфраструктуры остается в компании, а какая предоставляется провайдером в виде услуги.

 

Рис. 1. Модели предоставления облачных сервисов

 

В модели IaaS провайдер дает своему клиенту в аренду абстрактные, масштабируемые «на лету» вычислительные мощности с установленными на них ОС. Компания может ставить свои бизнес-приложения или инфраструктурное ПО (DNS-сервисы, контроллеры домена, почтовые сервисы и т.д.), а провайдер осуществляет поддержку и администрирование обеспечивающей инфраструктуры:

 

  • сетей хранения и передачи данных;
  • серверов;
  • слоя виртуализации.

 

В модели PaaS провайдер предоставляет уже развернутые инфраструктурные службы, такие как СУБД, контроллеры домена, системы резервного копирования и т.д. В дополнение к ним может также идти связующее ПО уровня Middleware.

 

По сравнению с моделями IaaS и PaaS наибольшая степень участия провайдера в бизнес-процессах клиента, а следовательно, и большая ответственность, присутствует в модели SaaS. В ее рамках в качестве услуги предоставляется аренда конечных приложений.

 

Зоны ответственности

 

Каким же образом можно обеспечить не только доступность, но и конфиденциальность, и целостность данных в условиях размытия инфраструктуры и, как следствие, вынесения всех или только части бизнес-процессов на сторону провайдера облачных услуг? Ответ на данный вопрос требует понимания того, что обеспечение информационной безопасности – это процесс, и в случае использования облачных сред он сквозной. Обеспечение ИБ должно подразумевать комплекс защитных мер, не только охватывающих компанию, но и имеющих свое продолжение уже на стороне провайдера.

 

Давайте постараемся разобраться, каковы же зоны ответственности провайдера и клиента в обеспечении информационной безопасности при реализации той ли иной модели предоставления сервисов из облака. Переходя к любой cloud-модели, компании необходимо оценить стоимость данных, которые будут вынесены «на сторону», а также оценить риски их потери. Если они оказались неприемлемы или их невозможно передать кому-либо еще (например, страховой компании), следует задуматься об их снижении путем внедрения организационных и технических мер защиты.

 

Рассматривая организационные меры как неотъемлемую часть процесса обеспечения ИБ, компании необходимо, во-первых, разработать либо скорректировать свою политику безопасности с учетом вынесения части бизнес-процессов и данных на сторону провайдера. При этом политика должна однозначно определять необходимость защиты данных, располагающихся в облаке. Затем мы рекомендуем выделить специалистов от подразделений ИТ и ИБ, ответственных за взаимодействие с соответствующими службами провайдера. В зависимости от модели предоставления cloud-сервисов их число, а также объемы взаимодействия с поставщиком услуг будут отличаться.

 

Нужно учитывать и то, что исходя из специфики организации облачных сред сам провайдер для реализации части функционала может использовать сторонние сервисы других компаний. Так, например, поставляя услуги IaaS, он может арендовать для организации резервного копирования данных клиентов ресурсы 3-й стороны. Формат соглашения о конфиденциальности, применяемого компанией, должен учитывать такие особенности и распространяться на всех участников процесса предоставления сервиса.

 

Наконец, нужно разработать и документально закрепить положения по управлению доступом как к приобретаемым на условиях аренды ресурсам, так и к порталам самообслуживания провайдера.

 

В свою очередь, провайдер, предоставляя облачные услуги, может:

 

  1. в рамках клиентской службы техподдержки выделить отдельное подразделение, отвечающее за взаимодействие по вопросам обеспечения ИБ и реагирования на инциденты;
  2. задокументировать и предоставить своим клиентам политики резервного копирования данных, обрабатываемых на его стороне. При необходимости провайдер осуществляет резервное копирование в соответствии с политиками, принятыми в компании клиента;
  3. документально закрепить и соблюдать процедуры утилизации вышедших из строя носителей информации и удаления данных;
  4. в зависимости от предоставляемой модели облачных услуг обеспечить аудит событий на всех уровнях своей системы;
  5. внедрить или быть готовым к внедрению специализированных средств защиты для облачных и виртуальных сред.

 

Принимая SLA, клиент и провайдер согласуют механизмы реагирования на инциденты ИБ, в рамках которых определяют схемы взаимодействия и требования к оперативности. Рассматривая техническую сторону вопроса разделения ответственности в области обеспечения ИБ, следует отталкиваться от самих моделей предоставления услуг. При предложении клиенту услуг по модели IaaS провайдер забирает на себя практически всю аппаратную часть. В связи с этим для каждого клиента целесообразно обеспечить:

 

  1. защищенное хранение его персональных и учетных данных для доступа к ресурсам облака;
  2. защиту канала доступа к порталу самообслуживания;
  3. защиту сетевого периметра, состоящую из средств предоставления доступа к ресурсам облака по технологии VPN и системы межсетевого экранирования;
  4. резервное копирование клиентских данных;
  5. установку обновлений для системного ПО всей своей инфраструктуры;
  6. сбор и хранение данных аудита системы защиты сетевого периметра и среды виртуализации. При необходимости в соответствии с SLA провайдер может высылать данные аудита клиенту как на регулярной основе, так и по запросу.

 

Также в качестве дополнительных услуг провайдер может предоставить компании безагентскую антивирусную защиту и ее виртуальных ресурсов.

 

В свою очередь, при реализации IaaS-модели клиент обеспечивает управление доступом к ОС, бизнес-приложениям и ПО уровня Middleware, безопасность конфигурации развертываемых на виртуальных серверах приложений и ПО, антивирусную защиту. Кроме того, в зону его ответственности входят управление обновлениями ОС, устанавливаемых бизнес-приложений и ПО, мониторинг их состояния, а в случае высокого уровня рисков – шифрование данных, размещаемых на стороне провайдера.

 

Рассматривая модели PaaS, а затем и SaaS, следует отметить увеличение зоны ответственности провайдера в процессе обеспечения ИБ клиентских данных и поддержки переносимых в облако бизнес-процессов. Как следствие, часть технических мер от клиента переходит на сторону провайдера. При использовании PaaS в его область ответственности, помимо мер, реализуемых в модели IaaS, переходят управление доступом к ОС, обновлениями ОС и ПО уровня Middleware, мониторинг их состояния, а в случае высокого уровня рисков – шифрование клиентских данных, размещаемых на его стороне.

 

Самой привлекательной с точки зрения клиента, но в то же время самой ответственной для провайдера является модель SaaS. Она позволяет переложить на «хрупкие» плечи провайдера практически все заботы, связанные с обеспечением ИБ. В данном случае клиенту остается лишь разграничить доступ к облаку для своих сотрудников. SaaS для клиента имеет как плюсы, так и минусы. С одной стороны, она позволяет значительно сократить стоимость поддержки используемых бизнес-приложений, с другой же, требует более высокого, а значит, и более дорогого, уровня SLA. Таким образом, либо на этапе формирования SLA, либо в рамках дополнительного соглашения с провайдером клиенту следует описать требования по:

 

  • резервному копированию данных;
  • установке обновлений безопасности;
  • шифрованию данных;
  • антивирусной защите;
  • реагированию на инциденты.

 

Что же в итоге?

 

Подводя итог вышесказанному, хотелось бы акцентировать ваше внимание на нескольких простых тезисах, которые смогут помочь при использовании cloud-услуг. Вне зависимости от выбранной вами модели, будь то IaaS, PaaS или SaaS, переход в облако не должен сопровождаться снижением уровня защищенности. Передавая на обработку тому или иному провайдеру свои данные, вы должны быть уверены в том, что они обрабатываются строго в соответствии с установленным технологическим процессом, учитывающим как организационные, так и технические требования по обеспечению безопасности. То есть защита данных в облаке начинается на стороне клиента и заканчивается на стороне провайдера. Выбор методов защиты, равно как и принцип выбора бизнес-процессов для переноса в облако, должен основываться на анализе рисков.

Уведомления об обновлении тем – в вашей почте

«Облачные вычисления». Взгляд из IBM

В последние годы многие эксперты пророчат революцию в мире ИТ благодаря новому подходу в организации инфраструктуры - облачным вычислениям. Согласно опросу IBM Global CIO Study 2009 более трети руководитель ИТ-отделов назвали это направление развития одним из самых важных в информационных технологиях.

Технологии защиты облаков. Как снизить риски ИБ

Переход к cloud-технологиям несет в себе как выгоды, так и новые угрозы, связанные с ИБ

Облаками будет пользоваться даже закоренелый Enterprise

Что безопаснее: частные или публичные платформы? Каким компаниям не подходят публичные облака? Почему растет популярность Big Data в облаках?

Приложения размером с интернет

Основные черты современных информационных систем – гибкость и динамика

Чистый интернет: генеральная уборка

Количество информации, которую мы потребляем через интернет, увеличивается с каждым днем. Электронная почта на работе и дома, социальные сети, инстант-мессенджеры, skype и другие средства коммуникации - благодаря им мы постоянно на связи.

«Мы — не стандартный e-commerce, который бьется за клиентов»

Почему в пандемию у Faberlic стало больше консультантов? Зачем домохозяйства объединяются в одного суперпокупателя? Почему провалилась попытка заменить бумажные каталоги планшетами на Android?

Проблемы безопасности виртуальных сред: заплаточный подход

Прошедший 2012-й год показал, что компании в России начали вести реальную работу в области обеспечения защиты своих виртуальных сред (ВС)

Как перейти в облако и не облажаться

Свой дата-центр vs публичное облако. Кто кого? Варианты использования публичных облаков в корпоративном ИТ-ландшафте? Что нужно учитывать при переносе приложения в cloud-среду?

SDDC - основа новой облачной инфраструктуры

Термин «программно-определяемый ЦОД» (Software Defined Datacenter, SDDC) в последнее время встречается все чаще. Что за ним скрывается?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня