Разделение ответственности за обеспечение безопасности
Безопасность систем, использующих облачные сервисы, требует разделения ответственности между клиентом (владельцем конечной системы) и провайдером (владельцем облачной инфраструктуры). Это разделение зависит от модели облачных сервисов: IaaS (Infrastructure as a Service) или PaaS (Platform as a Service).
Визуально его можно представить таблицей, где:
- Клиент
- Yandex.Cloud
| Собственная инфраструктура |
IaaS | PaaS | |
|---|---|---|---|
| Управление доступом к данным | |||
| Безопасность ОС и приложений | |||
| Сетевая безопасность (Overlay) | |||
| Резервное копирование | |||
| Шифрование | |||
| Логи аудита | |||
| Безопасность хранилища данных и оборудования | |||
| Сетевая безопасность (Underlay) | |||
| Физическая безопасность и катастрофоустойчивость (DR) |
Во всех трех ситуациях только клиент контролирует и управляет правами доступа. Остальная ответственность зависит от модели.
Собственная инфраструктура
На клиенте лежит вся ответственность за обеспечение безопасности на всех уровнях.
IaaS
Провайдер отвечает за физическую безопасность и отказоустойчивость самой платформы, защищает сеть, собирает и анализирует события безопасности гипервизоров и других компонентов инфраструктуры.
Клиент должен сам выполнять резервное копирование виртуальных машин, защищать виртуальную сеть, обеспечивать безопасность гостевых операционных систем, контролировать доступ и оберегать учетные записи пользователей облака.
PaaS
При использовании управляемых сервисов (PaaS/SaaS) забот на стороне клиента становится еще меньше, так как провайдер уже обеспечивает защиту более высокоуровневых слоев инфраструктуры. Он защищает виртуальные машины и выполняет резервное копирование базы данных.