Хмарна безпека
У центрі уваги - безпека хмарних технологій: стратегії, архітектури та контрактні моделі для захисту конфіденційних даних компаній у цифровому світі
Дані - це інструмент сучасної цифрової економіки, або нове золото компаній (приватний сектор), а також держави (державний сектор). У сучасному оцифрованому світі існує нестримний потік нових наборів даних, які у великій кількості потрапляють в Інтернет. Деякі з цих даних стосуються персональних даних, які представляють цифрову ідентичність. Справжнє мистецтво в компанії полягає в тому, щоб ретельно фільтрувати ці дані і, перш за все, зберігати їх. Мета цієї короткої статті - показати, що таке дані в хмарі і як вони обробляються з точки зору компанії. Крім того, в цьому короткому документі показано, які типи контрактів, архітектури та відповідні заходи безпеки від кібератак застосовуються в галузі, щоб мати міцний фундамент для власної обробки даних. Перш ніж ми заглибимося безпосередньо в тему безпеки хмарних технологій, спочатку важливо дізнатися кілька ключових фактів про хмарні обчислення, як вони працюють і як побудована хмара: "Хмарні обчислення - це модель обробки даних, яка може бути використана для зручного доступу до спільного пулу конфігурованих обчислювальних ресурсів (наприклад, мереж, серверів, систем зберігання даних, додатків і сервісів) через мережу в будь-який час і з будь-якого місця за потреби. Вони можуть бути доступні швидко і з мінімальними адміністративними зусиллями або взаємодією з постачальниками послуг. Хмара може використовуватися в трьох варіантах (інфраструктура як послуга (IaaS), платформа як послуга (PaaS), програмне забезпечення як послуга (Saas)). Тип хмари відрізняється залежно від типу надання (приватна хмара, хмара спільноти, публічна хмара, гібридна хмара)" [1]. У сфері хмарних обчислень існують різні типи надання, тобто того, як хмарні провайдери роблять хмарні сервіси доступними для своїх користувачів. Існує чотири основні моделі, пов'язані з хмарними обчисленнями: 1. загальнодоступна хмараЗагальнодоступна хмара дозволяє всім користувачам отримати доступ до комп'ютерних ресурсів, таких якапаратні (операційна система, процесор, пам'ять) або програмне забезпечення (сервер додатків, база даних) на основі підписки або оплати за використання. Практичні випадки використання включають розробку і тестування додатків для критичних і некритичних завдань, таких як обмін файлами та електронна пошта. 2. приватна хмараПриватна хмара зазвичай використовується безпосередньо однією організацією і може управлятися як внутрішніми силами, так і зовнішнім постачальником ІТ-послуг. Хоча приватні хмари часто дорожчі за публічні хмари через інвестиції в придбання та обслуговування, вони ефективніше вирішують проблеми безпеки та захисту даних організацій. 3. гібридна хмара (гібридна форма фізичного центру обробки даних або зовнішньої приватної хмари та/або публічної хмари)Гібридна хмара використовує як приватну, так і публічну хмарну інфраструктуру. Компанії обирають цю модель, щоб швидко розширювати свою ІТ-інфраструктуру за потреби. Наприклад, онлайн-ритейлер може використовувати ресурси публічної хмари під час сезону відпусток, щоб доповнити або розвантажити потужності приватної хмари. 4. хмара спільнотХмара спільноти підтримує кілька організацій, які спільно використовують комп'ютерні ресурси. До них належать, наприклад, університети, які співпрацюють у певних дослідницьких сферах, або державні установи, такі як відділи поліції в межах району, які спільно використовують ресурси. Доступ до хмари спільноти обмежений членами спільноти. Витрати для кінцевого користувача традиційно низькі для публічних хмар, без необхідності великих інвестицій. Приватні хмари, з іншого боку, вимагаютьінвестицій, але пропонують фундаментальну економію в порівнянні з операційними витратами на власну інфраструктуру.Економія в принципі. Приватні хмари також гарантують більший рівень безпеки та відповідностіПриватні хмари також гарантують більшу безпеку та підтримку відповідності нормативним вимогам, ніж публічні хмари. Ось чому деякі організації використовують приватні хмари для критично важливих для бізнесу або більш конфіденційних даних і додатків, а публічні хмари - для базових завдань, таких як розробка додатків, тестові середовища і сервіси електронної пошти.[2] Гібридне хмарне рішення - це хороший спосіб мінімізувати або диверсифікувати ризики кібератаки. Це забезпечує більший контроль над власною безпекою порівняно з використанням публічної хмари в чистому вигляді. Крім того, гібридна хмарна інфраструктура пропонує можливість встановлення індивідуальних стандартів безпеки та конфігурації спеціального програмного забезпечення на приватних серверах.індивідуальна конфігурація програмного забезпечення на приватних серверах. Такий розподіл призводить до підвищення надійності системи та кращої оцінки системних проблем. Крім того, економічна ефективність є вищою, ніж при купівлі та обслуговуванні серверів на місці.[3] Моделі архітектури хмарних сервісівВраховуючи ці переваги гібридного хмарного рішення, починаючи від посиленого контролю безпеки і закінчуючи підвищеною надійністю, важливо розуміти різні архітектури хмарних сервісів. Ці архітектури, а саме: інфраструктура як послуга (IaaS), платформа як послуга (PaaS) і програмне забезпечення як послуга (SaaS), пропонують різні рівні надання послуг і визначають різну відповідальність за дотримання вимог. 1. інфраструктура як послуга (IaaS)Провайдери IaaS надають базову обчислювальну, мережеву інфраструктуру, а також гіпервізор для віртуалізації.гіпервізор для віртуалізації. Користувачі відповідають за створення та управління віртуальними екземплярами, встановлення операційних систем, надання додатків та даних, а також за всю конфігурацію. IaaS цікава як для малих, так і для середніх компаній. Проста експлуатація хмарної інфраструктури, яка не експлуатується власними силами, є економічно вигідною альтернативою купівлі власного обладнання. Приклади: DigitalOcean, AWS, Azure, Google Compute Engine. 2 Платформа як послуга (PaaS)Провайдери PaaS розширюють стек додатків більше, ніж IaaS, додаючи операційні системи та проміжне програмне забезпечення (наприклад, бази даних). Користувачі більше зосереджуються на розробці додатків. Платформа керує базовою інфраструктурою. Приклади: AWS Elastic Beanstalk, Google App Engine. 3. програмне забезпечення як послуга (SaaS)Провайдери SaaS пропонують повний стек додатків. Користувачі можуть отримати доступ до повністю розміщеного додатку через веб-браузер. Управління робочими навантаженнями та ІТ-ресурсами повністю знаходиться під контролем постачальника SaaS, в той час як користувачі мають чіткий контроль над даними, створеними додатком. Приклади: aBusiness Suite, Salesforce, Dropbox, Google Workspace.[4] Хмара в договірному правіДоговори SaaS ще не були чітко врегульовані законодавцем у законодавстві. На сьогоднішній день договір SaaS можна юридично класифікувати лише як змішаний договір, який включає в себе аспекти договорів про надання послуг, виконання робіт та оренди. Таким чином, застосовна галузь права залежить від відповідного розділу договору про надання послуг. Центральним компонентом договору SaaS є, насамперед, право оренди, оскільки надання програмного забезпечення найкраще порівнювати з передачею майна відповідно до права оренди. Оскільки програмне забезпечення не вважається "річчю" в розумінні закону про оренду, нині існує думка, що договори SaaS є тимчасовою передачею у користування. Це узгоджується з правилами та метою, яку переслідує законодавство про оренду.[5] Договори SaaS здебільшого характеризуються угодами про рівень обслуговування (SLA), якімінімальні послуги та визначають права та обов'язки обох договірних сторін. Захист даних і безпека даних відіграють вирішальну роль, оскільки послуги PaaS часто пов'язані з обробкою конфіденційних даних. Договір повинен містити чіткі положення прозахист персональних даних. Важливо також вказати в договорі, кому належить інтелектуальна власність на створені додатки: зазвичай користувач зберігає право власності на додатки, а провайдер - на платформу [6].[6] ВисновокНезалежно від того, чи є ви стартапом, венчурною фірмою, МСП або великою компанією, безпека хмарних сервісів має вирішальне значення для кожної організації. Важливо не тільки враховувати, з якими хмарними провайдерами ви хочете працювати як компанія, але й те, з якими рамковими умовами ви хочете співпрацювати.хмарних провайдерів, але й які рамкові умови вони встановлюють. Зрештою, безпека не є виключною відповідальністю постачальника послуг хмарних технологій, але співробітники компанії відіграють не менш важливу роль в аспекті безпеки хмарних технологій. Важливо регулярно інвестувати в навчання та підвищення обізнаності співробітників, щоб забезпечити їх необхідними ноу-хау для роботи з політиками та процедурами безпеки. Однак, щоб реалізувати весь потенціал хмарних технологій, компанії повинні інвестувати як у підтримку власних систем або систем зовнішніх партнерів, так і в наймання нового ІТ-персоналу. Таким чином, компанія може забезпечити безпеку системи і, таким чином, підвищити рівень задоволеності клієнтів, тим самим покращуючи репутацію компанії в довгостроковій перспективі. Основною проблемою при виборі зовнішнього хмарного провайдера завжди була залежність компанії відзалежність компанії від іноземних провайдерів та їхніх правил захисту даних. Компанії вирішують цю проблему за допомогою таких заходів, як ретельне вивчення керівних принципів захисту даних, гібридні хмарні підходи для мінімізації ризиків, оцінка заходів безпеки та сертифікації провайдерів, оцінка впливу на захист даних, регулярний моніторинг та аудит, а також підготовка до можливих порушень захисту даних. Стратегії варіюються залежно від розміру компанії та галузі, але всі вони слугують меті забезпечення дотримання вимог щодо захисту даних та мінімізації потенційних ризиків при роботі із зовнішніми хмарними сервісами. Список джерел
Розуміння хмари - чи знаєте ви, що таке публічна хмара і що таке гібридна хмара? (2023) Що таке IaaS? Визначення та цікаві факти Платформа як послуга (PaaS) (2022) На що слід звернути увагу при складанні договорів SaaS (2022) Контракти "Платформа як послуга" (PaaS контракти): Посібник (2023) [1] див. https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing [2] див.: [3] див.: [4] див.: [5] див.: [6] див. https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model (2014) https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist[3] див. / (2023) [4] пор. https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/ і https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS (2022) [5] пор. https://www.top.legal/wissen/saas-vertraege (2022) [6] пор. https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html (2023) Захистіть те, що має значення Захистіть свої сервери. Цілодобово.Статті по теміЯкий тип резервного копіювання найкраще підходить для моїх даних?Чому оптимізація бізнес-процесів важлива для Вашої компанії? Ось наскільки важливим є захист даних у реальному житті Про це йдеться у статті:Хмарні обчислення |
|