В одной из наших статей мы рассказывали историю, случившуюся с производителем металлопластиковых окон. Системный администратор компании обвинил специалистов техподдержки облачного оператора в удалении одной из виртуальных машин. После долгих выяснений оказалось ― ВМ удалил другой сисадмин. Подобной ситуации могло и не быть, если бы админ четко понимал зоны ответственности сторон.

Самая распространенная концепция работы с облачными сервисами — модель совместной ответственности. В этой статье мы рассмотрим самые распространенные ошибочные представления о ней.

Несколько слов о Shared Responsibility Model

Модель основана на простой логике: облачный провайдер контролирует все в своей зоне ответственности. А пользователь облака — в своей.

Но следует учесть еще два момента. Во-первых, могут существовать дополнительные услуги, требующие безопасности или услуги ИБ. Во-вторых, есть «серые зоны», которые могут контролировать оба участника процесса. Однако часто их сотрудничество базируется на мифах, а потом возникают недоразумения.

Миф №1: За безопасность сервисов в облаке отвечает провайдер

Ошибочно полагать, что оператор на 100% обеспечивает защиту сервисов клиента. Это всегда распределяется между обоими. Где проходит граница, зависит от типа инфраструктуры, которой пользуется компания.

Существует три модели облачной инфраструктуры:

• IaaS (Infrastructure as a Service) ― клиент получает доступ к серверу, на котором может размещать всю свою IT-инфраструктуру или конкретный сервис.
• PaaS (Platform as a Service) ― предоставляется доступ к платформе в облаке: операционной системе, системе управления базами данных, средствам разработки и тестирования. Пользователь может устанавливать там свое ПО.
• SaaS (Software as a Service) ― заказчик получает софт, обслуживаемый разработчиком.

Чем меньше привлечен оператор, тем ниже его обязанности по IT-инфраструктуре. Например, в случае IaaS он отвечает за оборудование («железо»), системы хранения данных и гипервизор (программное обеспечение, позволяющее на одном физическом сервере размещать несколько виртуальных компьютеров).

Компания следит, чтобы пароли не попали в чужие руки, а программы и операционная система были защищены от посторонних вмешательств. Сетевой трафик при этом находится в «серой зоне», где провайдер контролирует пропускную способность на разрешенном уровне, тогда как фильтрация трафика остается полностью за заказчиком.

Миф №2: Сертификаты оператора позволят мне отвечать нормативным требованиям

Поставщики услуг, для которых защита данных их клиентов является приоритетом, сертифицируют свою инфраструктуру и бизнес-процессы по всем необходимым стандартам в сфере информационной безопасности. А затем предлагают сертифицированные публичные или частные среды для размещения необходимых клиентских сервисов. Но миграция в облако не освобождает заказчика от сертификации.

Каждый бизнес, который собирает, хранит и передает персональные, медицинские или платежные данные своих клиентов должен защищать их на трех уровнях:

• физическом (хранение физического оборудования);
• виртуальном (виртуальная инфраструктура);
• программном (сайт, приложение, сервис и т.д.).

Если клиент пользуется услугами IaaS или PaaS, сертификат провайдера закрывает первые два уровня. Программный уровень ― обязанность пользователя облачных услуг. То есть заказчику предоставляется виртуальная изолированная среда, к которой имеет доступ только он. И размещенное там ему нужно сертифицировать отдельно.

Если бизнес захочет сменить поставщика, то сертификацию нужно будет проходить снова.

Миф №3: Мигрировав в облако, мне не нужно будет заниматься администрированием и делать бекапы

Аренда облака подразумевает обслуживание, обновление, поддержку виртуальной инфраструктуры и ее работу согласно заявленному SLA. Все размещенное в ней ― собственность заказчика. Поэтому установка и обновление ПО, сетевые настройки и администрирование собственной инфраструктуры в облаке целиком на его стороне.
То же самое с бэкапами. Очень часто клиенты думают, что в комплекте с облачной инфраструктурой идут и резервные копии, или их делают по умолчанию. Однако ошибаются. На самом деле backup ― такая же услуга, как и аренда public или private cloud. Предоставляется сервис для резервного копирования, а IT-специалисты бизнеса должны его правильно настроить и следить за работой.

Миграция в облако полностью не освобождает бизнес от задач, связанных с IT. Но отнимает большой кусок работы у IT-отдела, что позволяет ему заниматься развитием компании, а не поддержкой IT-инфраструктуры.

Ранее мы рассказывали, что такое SLA и почему оно не может быть 100%.