Любому бизнесу — от пекарни до банка — сулят выгоды от внедрения «облачных» технологий. При этом компьютерные «облака» уже успели пройти несколько ступеней эволюции, и теперь под общим термином «облако» скрываются несколько принципиально разных подходов. Поэтому стоит разобраться, какое именно «облако» стоит внедрять в вашей компании, во что это обойдется и какие меры безопасности при этом следует применять.
Выгоды облака
Вообще «облачные технологии» подразумевают получение каких-то компьютерных ресурсов (места для хранения данных, вычислительных мощностей или конкретного приложения) через Интернет, с удаленного сервера. Когда вы редактируете документ в Google Docs, запускаете сайт на виртуальном хостинге или отправляете почту через Microsoft 365, вы пользуетесь облачными решениями. Главными преимуществами облаков являются:
- скорость запуска приложений и сервисов — начать пользоваться облачными услугами можно почти мгновенно, без закупки серверов и установки приложений;
- финансовая гибкость — можно платить только за реально потребленные услуги и вообще не делать капитальных вложений;
- легкая масштабируемость — есть возможность увеличивать мощность серверов на время за считаные минуты, а когда нужда в этом отпадет, так же легко возвращаться к прежней мощности и цене.
Виды облаков: частные, публичные и гибридные
Концепция публичного облака подразумевает, что вычислительными мощностями владеет коммерческий провайдер, который продает их «по кусочкам» всем желающим. Если компания хочет иметь гарантированно доступные и высокопроизводительные вычислительные ресурсы или имеет строгие требования к условиям обработки данных, она может приобрести всю необходимую инфраструктуру в свое безраздельное пользование. Это — частное облако. Серверы можно разместить на территории организации (on premise) для большей безопасности либо арендовать их в коммерческом центре обработки данных (hosted private cloud).
Гибридные облака сочетают оба подхода, допуская размещение данных и сервисов в «публичной» или «частной» части облака в зависимости от их важности.
SaaS, IaaS и прочий aaS
Все аббревиатуры, заканчивающиеся на «aaS», означают, что нечто предоставляется as a service, то есть «как услуга». Самая распространенная схема — SaaS, то есть «приложения как услуга». Все популярные сервисы, выполняющие прикладную задачу, — Microsoft 365, Dropbox, Slack, Zoom, Salesforce — относятся к SaaS. Пользователь платит за решение конкретной задачи и вообще не задумывается, на каких серверах и приложениях все это работает и где оно расположено. Аналогично устроены и часто используемые в разработке ПО сервисы DBaaS, PaaS и FaaS — они предоставляют через облако платформы разработки, базы данных или фрагменты функциональности для создаваемого приложения, однако их мы подробно рассматривать не будем.
На другом «полюсе сложности» находится IaaS — «инфраструктура как услуга». В этом случае облачный провайдер выдает клиенту виртуальные серверы или контейнеры, на которых нужно самостоятельно запускать серверные приложения. Менять количество серверов и их мощность можно в пару кликов мышки, но у клиента должны быть специалисты, которые будут все это настраивать и обслуживать.
Для тех, кому очень нужно владеть серверами, но не хочется строить центр обработки данных, существует DCaaS — дата-центр как услуга. Провайдер обеспечивает помещение, охлаждение и прочие инженерные условия, но физические компьютеры принадлежат организации-клиенту.
Сервисы SaaS всегда работают в публичном облаке, тогда как IaaS может быть и публичным, и частным, и гибридным.
Стоимость облачных решений
Хотя во многих случаях внедрение облачных технологий требует очень небольших первоначальных инвестиций, нужно уделить пристальное внимание подсчету общей стоимости владения (TCO, total cost of ownership) и рассчитать, как она будет расти при росте нагрузки. Нужно учитывать такие затраты, как оплата услуг облачного провайдера, оплата оборудования для решений on premise, оплата труда IT-администраторов и разработчиков, оплата лицензий на сопутствующие приложения и сервисы. Как правило, публичные облака позволяют очень недорого и быстро внедрить небольшое решение, но по мере роста масштаба частное или гибридное облако становится все привлекательней.
Безопасность облачных решений
Облачные провайдеры обычно рекламируют безопасность в числе своих ключевых преимуществ, но безопасность вовсе не является неотъемлемым свойством облака. Более того, облачные решения приносят с собой новые типы рисков.
Главный риск — неосведомленность и беспечность. Пользователи и даже IT-администраторы считают, что их облачная система защищена «автоматически», что обо всем заботится облачный провайдер, и не прикладывают дополнительных усилий к защите. Но на практике облачный провайдер не может решить часть вопросов, и они обязательно должны решаться организацией-клиентом. Вот список основных рисков использования облачных сервисов и услуг.
- Неверная конфигурация. У любого решения SaaS и IaaS имеются десятки, иногда сотни и тысячи настроек, поэтому администратору легко ошибиться — например, оставив важную базу данных видимой всему Интернету или не заблокировав доступ к привилегированным функциям. Облачные решения разных провайдеров имеют различные, не полностью совместимые настройки, поэтому даже компетентным администраторам может быть очень сложно обеспечивать единство политик безопасности. Именно неверная конфигурация лежит в основе большинства крупных утечек информации последних лет. Эта проблема актуальна для SaaS и остро актуальна для IaaS/DCaaS.
- Утечка реквизитов доступа. Получить доступ к информации в облаке просто — и это достоинство становится недостатком, когда паролем сотрудника завладеют злоумышленники. Они могут выманить учетные данные при помощи фишинга, подобрать слабый пароль перебором или воспользоваться утечкой информации из совершенно постороннего сервиса и попробовать применить утекшие личные пароли сотрудника к его рабочим аккаунтам. Эта проблема актуальна для всех видов облаков.
- Юридические проблемы. В облачных средах труднее соблюдать требования законов о хранении данных: например, не передавать личные данные клиентов за рубеж или применять в дата-центрах конкретные меры безопасности. В ряде случаев вообще неизвестно, в какой конкретно стране хранятся данные.
- Недостаточный мониторинг. В облачных средах часто не работают инструменты, которые используются в офисной сети организации для обеспечения кибербезопасности, контроля доступа, предотвращения утечек. В результате события в облачных системах (вход в систему, скачивание больших объемов информации и так далее) могут оставаться незамеченными недели и месяцы. Эта проблема актуальна для всех видов облаков.
- Случайные утечки информации. Неаккуратное использование функции «поделиться» может привести к тому, что посторонние получат доступ к внутренней информации.
- Уязвимости. В серверных приложениях нередко находят уязвимости, и эксплуатировать их в облачных средах удобно злоумышленникам. Во-первых, они доступны из Интернета, во-вторых, зачастую облачные решения сконфигурированы одинаково, поэтому успешную атаку легко повторять против новых жертв. В SaaS все уязвимости должен закрывать провайдер, а пользователь мало что может сделать своими силами. В IaaS большинство проблем должна решать IT-служба клиента, причем в очень сжатые сроки.
Правильная «облачная» стратегия
В зависимости от размера организации, степени ее зрелости в сфере IT и стоящих задач, правильная стратегия будет совершенно разной. При ее разработке нужно учитывать, создается ли IT-система с нуля или ее придется мигрировать из «безоблачной» системы, какой масштаб операций должен быть обеспечен с первого дня ее работы, заложить соответствие требованиям регуляторов, и так далее. Важно не забыть запланировать меры безопасности на самых ранних этапах проекта и использовать специализированные системы для защиты облачных сред.
Чтобы сопоставить стоимость, сложность и риски, мы собрали информацию в краткую сводную таблицу:
SaaS | IaaS | DCaaS | |
Стоимость внедрения | + | ++ | ++++ |
Скорость масштабирования | ++++ | +++ | ++ |
Стоимость поддержки IT/ИБ | + | +++ | ++++ |
Стоимость при значительном росте объемов/использования | +++++ | +++ | ++ |
Сложность поддержки для IT | + | +++ | ++++ |
Сложность поддержки для ИБ | ++ | ++++ | +++ |
Уровень ИБ-рисков | ++ | +++ | +++ |
Сложность расследования и устранения ИБ-инцидентов | ++++ | +++ | ++ |