Безопасность облачных вычислений

Фокус на облачной безопасности: стратегии, архитектуры и модели контрактов для защиты конфиденциальных данных компании в оцифрованном мире

Данные - это инструмент современной оцифрованной экономики, или новое золото компаний (частный сектор), но также и государства (государственный сектор). В современном оцифрованном мире существует неостановимый поток новых массивов данных, которые в большом количестве попадают в интернет. Некоторые из этих данных относятся к персональным данным, которые представляют собой цифровую личность. Настоящее искусство в компании заключается в том, чтобы тщательно фильтровать эти данные и, самое главное, хранить их. Цель этой короткой статьи - показать, что такое данные в облаке и как они обрабатываются с точки зрения компании. Кроме того, в этой короткой статье показано, какие типы контрактов, архитектур и подходящих мер безопасности от кибератак принимает индустрия, чтобы иметь прочный фундамент для обработки собственных данных.

Прежде чем мы углубимся непосредственно в тему безопасности облачных вычислений, сначала важно узнать несколько ключевых фактов об облачных вычислениях, о том, как они работают и как устроено облако: "Облачные вычисления - это модель обработки данных, которая используется для удобного доступа к общему пулу настраиваемых вычислительных ресурсов (например, сетей, серверов, систем хранения данных, приложений и сервисов) через сеть в любое время и из любого места по мере необходимости. Они могут быть предоставлены быстро и с минимальными административными усилиями или взаимодействием с поставщиками услуг. Облако может быть использовано в трех вариантах (инфраструктура как сервис (IaaS), платформа как сервис (PaaS), программное обеспечение как сервис (Saas)). Тип облака различается в зависимости от типа предоставления (частное облако, общественное облако, публичное облако, гибридное облако)" [1].

В области облачных вычислений существуют различные типы провижининга, то есть того, как облачные провайдеры делают облачные сервисы доступными для своих пользователей. Существует четыре основные модели, связанные с облачными вычислениями:

1. публичное облако

Публичное облако позволяет всем пользователям получить доступ к таким компьютерным ресурсам, какаппаратное обеспечение (операционная система, процессор, память) или программное обеспечение (сервер приложений, база данных) по подписке или на условиях оплаты по факту использования. Практические варианты использования включают разработку и тестирование приложений для критических и некритических задач, таких как обмен файлами и почтовые сервисы.

2. частное облако

Частное облако обычно используется явно одной организацией и может управляться либо изнутри, либо внешним поставщиком ИТ-услуг. Хотя частные облака зачастую дороже публичных из-за инвестиций в приобретение и обслуживание, они более эффективно решают проблемы безопасности и защиты данных организаций.

3. гибридное облако (гибридная форма физического центра обработки данных или внешнего частного облака и/или публичного облака).

Гибридное облако использует как частную, так и публичную облачную инфраструктуру. Компании выбирают эту модель, чтобы быстро расширять свою ИТ-инфраструктуру по мере необходимости. Например, интернет-магазин может использовать ресурсы публичного облака в сезон праздников, чтобы дополнить или разгрузить мощности своего частного облака.

4. облако сообщества

Облако сообщества поддерживает несколько организаций, которые совместно используют компьютерные ресурсы. К ним относятся, например, университеты, сотрудничающие в определенных областях исследований, или государственные структуры, такие как полицейские управления в пределах одного района, которые совместно используют ресурсы. Доступ к облаку сообщества ограничен членами сообщества.

Стоимость для конечного пользователя традиционно низкая для публичных облаков, не требующая крупных инвестиций. Частные облака, с другой стороны, требуютинвестиций, но предлагают фундаментальную экономию по сравнению с эксплуатационными расходами на собственную инфраструктуру.Экономия в принципе. Частные облака также гарантируют больше безопасности и соответствияподдержку соответствия, чем публичные облака. Именно поэтому некоторые организации используют частные облака для критически важных для бизнеса или более чувствительных данных и приложений, а публичные - для базовых задач, таких как разработка приложений, тестовые среды и почтовые сервисы.[2]

Гибридное облачное решение - это хороший способ минимизировать или диверсифицировать риски кибератаки. Это дает больший контроль над собственной безопасностью по сравнению с чистым использованием публичного облака. Кроме того, гибридная облачная инфраструктура дает возможность устанавливать индивидуальные стандарты безопасности и настраивать кастомизированное программное обеспечение на частных серверах.Индивидуальная настройка программного обеспечения на частных серверах. Такое распределение приводит к повышению надежности системы и лучшей оценке системных проблем.

Кроме того, эффективность затрат выше, чем при покупке и обслуживании серверов на месте.[3]

Модели архитектуры облачных сервисов

Учитывая все эти преимущества гибридного облачного решения, начиная от усиленного контроля безопасности и заканчивая повышенной надежностью, важно разобраться в различных архитектурах облачных сервисов. Эти архитектуры, а именно инфраструктура как сервис (IaaS), платформа как сервис (PaaS) и программное обеспечение как сервис (SaaS), предлагают разные уровни предоставления услуг и определяют разную ответственность за соблюдение требований.

1. Инфраструктура как сервис (IaaS)

Провайдеры IaaS предоставляют базовую вычислительную, хранилищную и сетевую инфраструктуру, а также гипервизор для виртуализации.гипервизор для виртуализации. Пользователи отвечают за создание и управление виртуальными экземплярами, установку операционных систем, предоставление приложений и данных, а также за всю конфигурацию. IaaS интересен как малым, так и средним компаниям. Простота эксплуатации облачной инфраструктуры, которая не обслуживается собственными силами, - это экономически выгодная альтернатива покупке собственного оборудования.

Примеры: DigitalOcean, AWS, Azure, Google Compute Engine.

2 Платформа как сервис (PaaS)

Поставщики PaaS расширяют стек приложений больше, чем IaaS, добавляя операционные системы и промежуточное ПО (например, базы данных). Пользователи больше сосредотачиваются на разработке приложений. Платформа управляет базовой инфраструктурой.

Примеры: AWS Elastic Beanstalk, Google App Engine.

3. программное обеспечение как услуга (SaaS)

Поставщики SaaS предлагают полный стек приложений. Пользователи могут получить доступ к полностью размещенному приложению через веб-браузер. Управление рабочими нагрузками и IT-ресурсами полностью находится под контролем SaaS-провайдера, в то время как пользователи имеют явный контроль над данными, созданными приложением.

Примеры: aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4]

Облако в договорном праве

Контракты SaaS еще не получили четкого законодательного закрепления. На сегодняшний день договор SaaS можно юридически классифицировать только как смешанный договор, который включает в себя аспекты договоров на оказание услуг, выполнение работ и аренду. Таким образом, применимая область права зависит от соответствующего раздела договора об услугах. Центральная составляющая SaaS-контракта лежит, прежде всего, в области арендного права, потому что предоставление программного обеспечения лучше всего сравнить с передачей имущества по арендному праву. Поскольку программное обеспечение не считается "вещью" в смысле закона об аренде, текущая точка зрения заключается в том, что договоры SaaS представляют собой временную передачу в пользование. Это согласуется с нормативными актами и целью, которую преследует закон об аренде.[5]

Контракты PaaS в основном характеризуются соглашениями об уровне обслуживания (SLA), которыеминимальные услуги и определяют права и обязанности обеих договаривающихся сторон.

Защита данных и безопасность данных играют решающую роль, так как PaaS-сервисы часто предполагают обработку конфиденциальных данных. Контракт должен содержать четкие положения озащите персональных данных. Также в договоре необходимо указать, кому принадлежит интеллектуальная собственность на созданные приложения, причем пользователь обычно сохраняет право собственности на приложения, а провайдер - на платформу.[6]

Заключение

Независимо от того, являешься ли ты стартапом, венчурной фирмой, малым и средним бизнесом или крупной компанией, безопасность облачных вычислений крайне важна для каждой организации.

Важно не только учитывать, с какими облачными провайдерами ты хочешь работать как компания.провайдеров, но и то, какие рамочные условия установлены.

В конечном итоге за безопасность отвечает не только поставщик услуг облачных технологий как таковой, но и сотрудники компании играют не менее важную роль в аспекте безопасности облака.

Очень важно регулярно вкладывать средства в обучение и разъяснительную работу с сотрудниками, чтобы убедиться, что они обладают необходимыми ноу-хау для работы с политикой и процедурами безопасности. Однако, чтобы полностью реализовать потенциал облака, компаниям следует вкладывать средства как в поддержание собственных систем или систем внешних партнеров, так и в набор нового ИТ-персонала. Таким образом, компания сможет обеспечить безопасность системы и тем самым повысить удовлетворенность клиентов, что в долгосрочной перспективе укрепит репутацию компании.

Основным камнем преткновения при выборе внешнего облачного провайдера всегда былазависимость компании от иностранных провайдеров и их правил защиты данных. Компании решают эту проблему с помощью таких мер, как тщательное изучение рекомендаций по защите данных, использование гибридных облачных подходов для минимизации рисков, оценка мер безопасности и сертификации провайдеров, оценка влияния защиты данных, регулярный мониторинг и аудит, а также подготовка к возможным нарушениям защиты данных. Стратегии различаются в зависимости от размера компании и отрасли, но все они служат цели обеспечить соответствие требованиям по защите данных и минимизировать потенциальные риски при работе с внешними облачными сервисами.

Список источников


Облачные вычисления https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing


Модель развертывания облачных вычислений (2014) https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Понимание облака - знаешь ли ты, что такое публичное облако и что такое гибридное облако? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

Что такое IaaS? Определение и интересные факты
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Платформа как услуга (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

На что тебе следует обратить внимание при составлении контрактов SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Контракты на платформу как услугу (PaaS-контракты): Руководство (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html


[6] ср. https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html (2023)

Защити то, что имеет значение

Защити свои серверы. Круглосуточно.

Об авторе
Основатель и генеральный директор компании Langmeier Software


Я не хочу ничего усложнять. Я не хочу разрабатывать совершенное программное обеспечение для бизнеса. Я не хочу, чтобы меня внесли в список лучших технологий. Потому что деловые приложения не в этом. Речь идет о том, чтобы убедиться, что твои данные надежно защищены. И в том, чтобы все работало гладко, пока ты сохраняешь полный контроль и сосредоточен на развитии своего бизнеса. Простота и надежность - это мои руководящие принципы, которые вдохновляют меня каждый день.
 

Статьи, относящиеся к теме
Почему оптимизированные бизнес-процессы важны для твоей компании?
Какой тип резервного копирования лучше всего подходит для моих данных?
Вот насколько важно резервное копирование данных в реальной жизнини


Опубликуй комментарий здесь...

Эта статья охватывает темы: