Что такое безопасность облака?

Безопасность облака – это целый набор технологий, протоколов и наработок для защиты облачных сред, приложений и данных. Для начала необходимо понять, что именно нужно защищать и какие аспекты систем требуют управления.
В целом борьба с уязвимостями происходит преимущественно на серверной стороне: это обязанность поставщика облачных услуг. Но и у клиентов есть свои обязанности, помимо выбора надежного поставщика. Клиенты должны правильно использовать настройки защиты, уметь безопасно пользоваться службами, а также заботиться о защите всех устройств и сетей конечных пользователей.
Независимо от уровня ответственности все меры безопасности облака направлены на защиту следующих компонентов.
Физические сети — маршрутизаторы, электросети, кабели, системы кондиционирования воздуха и т. д.
Носители данных — жесткие диски и т. д.
Серверы данных — аппаратное и программное обеспечение опорной сети
Сети виртуализации — ПО для виртуальных машин, хост-компьютеры, гостевые виртуальные машины
Операционные системы (ОС) — программное обеспечение, на которое устанавливаются все остальные программы
Связующие программы — ПО для управления интерфейсами программирования приложений (API)
Среды выполнения — средства запуска и поддержания работы программ
Данные — вся информация, которая хранится, изменяется и предоставляется пользователям
Приложения — традиционные программные сервисы (электронная почта, налоговое ПО, офисные приложения и т. д.)
Оборудование конечного пользователя— компьютеры, мобильные устройства, устройства интернета вещей и т. д.
В случае облачных технологий не всегда легко определить, кто несет ответственность за каждый из этих компонентов, в результате чего размываются соответствующие обязанности клиентов. Поскольку процесс защиты облака зависит от того, кто за какие компоненты отвечает, важно понимать принцип классификации этих компонентов.
Для простоты разделим компоненты облачных систем на две основные группы.
Облачные службы разных типов предоставляются сторонними поставщиками в виде модулей, из которых складывается облачная среда. В зависимости от типа службы может требоваться управление разными компонентами, составляющими ту или иную службу.
В любой сторонней облачной службе поставщик управляет физической сетью, хранилищем данных, серверами и системами виртуализации. Служба размещается на серверах поставщика и посредством виртуализации предоставляется клиентам для удаленного доступа. Таким образом поставщик экономит на оборудовании и инфраструктуре, а пользователи получают доступ к необходимым вычислительным возможностям через интернет.
Облачные службы Software-as-a-Service (программное обеспечение как услуга, SaaS) дают пользователям доступ к приложениям, которые просто хранятся и запускаются на серверах поставщика. Поставщик управляет приложениями, данными, средой выполнения, связующими программами и операционной системой. Клиентам остается лишь получить доступ к своим приложениям. Примеры SaaS: Google Диск, Slack, Salesforce, Microsoft 365, Cisco WebEx, Evernote.
Облачные службы Platform-as-a-Service (платформа как услуга, PaaS) позволяют клиенту разрабатывать свои приложения, которые запускаются в его собственной «песочнице» на сервере поставщика. Поставщик управляет средой выполнения, связующими программами и операционной системой. Клиенты самостоятельно управляют своими приложениями, данными, пользовательским доступом, устройствами и сетями конечных пользователей. Примеры PaaS: Google App Engine, Windows Azure.
Облачные службы Infrastructure-as-a-Service (инфраструктура как услуга, IaaS)– это оборудование и возможности удаленного подключения, позволяющие клиентам размещать в облаке все их вычислительные ресурсы, вплоть до операционной системы. Поставщик управляет только основными облачными службами. Клиенты отвечают за операционную систему и все, что на ней устанавливается, включая приложения, данные, среды выполнения и связующие программы. Они также управляют пользовательским доступом, устройствами и сетями конечных пользователей. ПримерыIaaS: Microsoft Azure, Google Compute Engine (GCE), Amazon Web Services (AWS).
Облачные среды представляют собой такие модели развертывания, в которых при помощи одной или нескольких облачных служб создается система для конечных пользователей и организаций. Таким образом обязанности по управлению (в том числе обеспечение безопасности) разделяются между клиентами и поставщиками.
На данный момент используются следующие облачные среды.
Публичные облачные среды состоят из облачных служб, предназначенных для нескольких арендаторов. В таких средах несколько клиентов делят между собой серверы одного поставщика, наподобие аренды офисного здания в бизнес-центре. Доступ к этим сторонним службам под управлением поставщика предоставляется через веб-интерфейс.
В частных сторонних облачных средах поставщик предоставляет клиенту собственное облако в исключительное пользование. Это среды, предназначенные для одного арендатора, которые, как правило, находятся в собственности, под контролем и удаленным управлением внешнего поставщика.
Частные внутренние облачные среды также состоят из облачных серверов, рассчитанных на одного арендатора, но управляются из собственного центра обработки данных. В этом случае компания сама управляет облачной средой, контролируя все настройки и установку каждого элемента.
Многооблачные среды предполагают использование двух и более облачных служб от разных поставщиков, при этом облака могут быть публичными, частными или смешанными.
Гибридные облачные среды – это комбинация частного стороннего облака и (или) локального частного облачного центра обработки данных с одной или несколькими публичными облачными службами.
Как мы видим, безопасность облака может различаться в зависимости от типа облачной среды, однако она одинаково важна как для отдельных пользователей, так и для организаций.