Концепция разделения ответственности
Разница между работой в облаке и использованием
собственной инфраструктуры.
Безопасность систем, использующих облачные сервисы, требует разделения ответственности между клиентом и провайдером.
Разделение ответственности подразумевает, что физическая безопасность, безопасность сервисов и доступность всей инфраструктуры — это ответственность специалистов облака, которую они не могут переложить на клиентов. Клиент должен контролировать права доступа к ресурсам, например, к виртуальным машинам. Как в локальных, так и в облачных моделях, компании сами несут ответственность за то, чтобы данные были маркированы и правильно классифицированы для выполнения любых обязательств по соответствию нормативным требованиям.
Разделение ответственности за обеспечение безопасности
Граница разделения ответственности за обеспечение безопасности зависит от сервисов, которые используются системой в облаке, от модели использования этих сервисов (IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга) и имеющихся у облачного провайдера защитных механизмов и политик.
Модели использования облачных сервисов
Ответственность провайдера — физическая безопасность и отказоустойчивость платформы, защита сети, сбор и анализ событий гипервизоров и компонентов инфраструктуры. Клиент отвечает за безопасность гостевых машин, виртуальной сети и учётных записей пользователей, контролирует доступ к ресурсам, осуществляет резервное копирование виртуальных машин.
Клиент самостоятельно проводит классификацию данных, обеспечивает разграничение доступа к данным, настраивает процессы для их защиты, а также отвечает за управление правами пользователей и взаимодействие со сторонними сервисами. Провайдер несёт ответственность за обеспечение защиты компонентов управляемых сервисов.
В решениях SaaS клиент отвечает за управление доступом пользователей к данным. Провайдер несёт ответственность за большинство аспектов безопасности: доступность и целостность данных, мониторинг и логирование, защиту сети, компонентов сервиса и самого приложения, обеспечение безопасности на физическом уровне.
Узнать больше про разделение ответственности можно в нашем блоге
Ответственность на стороне облака
Рассказываем про разделение ответственности для различных моделей использования облачных сервисов и о том, что Yandex Cloud делает для обеспечения безопасности.
Ответственность на стороне клиента
Рассказываем, как сочетать привычные средства безопасности и облачную функциональность для обеспечения защиты системы в облаке в рамках своей зоны ответственности.
Остались вопросы?
Если у вас остались вопросы об обеспечении безопасности облачной платформы — напишите нам. Эксперты Yandex Cloud проконсультируют вас, а также помогут продумать оптимальное решение для вашего проекта.