Якось в одній із наших статей ми розповідали історію, яка трапилася з виробником металопластикових вікон. Системний адміністратор компанії звинуватив фахівців техпідтримки хмарного оператора у видаленні однієї з віртуальних машин. Після довгих з’ясувань виявилося — ВМ видалив інший сисадмін. Подібної ситуації могло б і не бути, якби адмін чітко розумів зони відповідальності сторін.

Найпоширенішою концепцією роботи з хмарними сервісами є модель спільної відповідальності. У цій статті ми розглянемо найпоширеніші помилкові уявлення щодо неї.

Декілька слів про Shared Responsibility Model

Модель базується на простій логіці: хмарний провайдер контролює все у своїй зоні відповідальності. А користувач хмари — у своїй.

Але слід врахувати ще два моменти. По-перше, можуть існувати додаткові послуги, які вимагають безпеки або послуги ІБ. По-друге, є «сірі зони», котрі можуть контролювати обидва учасники процесу. Проте часто їхня співпраця базується на міфах, а тоді виникають непорозуміння.

Міф №1: За безпеку сервісів у хмарі відповідає провайдер

Помилково вважати, що оператор на 100% забезпечує захист сервісів свого клієнта. Це завжди розподіляється між обома. Де проходить ця межа залежить від типу інфраструктури, якою користується компанія.

Існує три моделі хмарної інфраструктури:

• IaaS (Infrastructure as a Service) ― клієнт отримує доступ до сервера, на якому може розміщувати всю свою IT-інфраструктуру або конкретний сервіс.
• PaaS (Platform as a Service) ― надається доступ до платформи у хмарі: операційної системи, системи керування базами даних, засобів розробки та тестування. Користувач може встановлювати там своє ПЗ.
• SaaS (Software as a Service) ― замовник отримує софт, який обслуговує розробник.

Чим менше залучений оператор, тим нижче його обов’язки щодо IT-інфраструктури. Наприклад, у випадку IaaS він відповідає за обладнання («залізо»), системи зберігання даних та гіпервізор (програмне забезпечення, яке дозволяє на одному фізичному сервері розміщувати кілька віртуальних комп'ютерів).

Компанія слідкує, щоб паролі не потрапили в чужі руки, а програми та операційна система були захищені від сторонніх втручань. Мережевий трафік при цьому знаходиться у «сірій зоні», де провайдер контролює пропускну здатність на дозволеному рівні, тоді як фільтрація трафіку залишається цілком за замовником.

Міф №2: Сертифікати оператора дозволять мені відповідати нормативним вимогам

Постачальники послуг, для яких захист даних їхніх клієнтів є пріоритетом, сертифікують свою інфраструктуру та бізнес-процеси за всіма необхідними стандартами у сфері інформаційної безпеки. А потім пропонують вже сертифіковані публічні чи приватні середовища для розміщення необхідних клієнтських сервісів. Але міграція у хмару не звільняє замовника від проходження сертифікації.

Кожен бізнес, який збирає, зберігає та передає персональні, медичні чи платіжні дані своїх клієнтів має захистити їх на трьох рівнях:

• фізичному (зберігання фізичного обладнання)
• віртуальному (віртуальна інфраструктура)
• програмному (сайт, додаток чи сервіс тощо)

Якщо клієнт користується IaaS чи PaaS послугами, сертифікат провайдера закриває перші два рівні. Програмний рівень ― обов’язок користувача хмарних послуг. Тобто замовнику надається віртуальне ізольоване середовище, до якого має доступ лише він. І розміщене там він має сертифікувати окремо.

Якщо бізнес захоче змінити постачальника, то сертифікацію треба буде проходити знову.

Міф №3: Мігрувавши у хмару, мені не потрібно буде займатися адмініструванням та робити бекапи

Оренда хмари передбачає обслуговування, оновлення, підтримку віртуальної інфраструктури та її робота згідно заявленого SLA. Все розміщене у ній ― власність замовника. Тож встановлення та оновлення ПЗ, мережеві налаштування та адміністрування власної інфраструктури у хмарі цілком на його стороні.

Те саме з бекапами. Дуже часто клієнти думають, що в комплекті з хмарною інфраструктурою йдуть і резервні копії, чи начебто їх роблять за замовчуванням. Проте помиляються. Насправді backup ― така сама послуга як і замовлення public або private cloud. Надається сервіс для резервного копіювання, а IT-фахівці бізнесу мають його правильно налаштувати та слідкувати за роботою.

Міграція у хмару повністю не звільняє бізнес від завдань, пов’язаних з IT. Але забирає великий шматок роботи в IT-відділу, що дозволяє йому займатися розвитком компанії, а не підтримкою IT-інфраструктури.

Раніше ми розповідали що таке SLA та чому воно не може бути 100%.