Слайд 11. Облачная безопасность (Cloud Security): архитектурные особенности

Блок 2. Ключевые технологии защиты Облачная безопасность (Cloud Security): архитектурные особенности Слайд 11 / 15

Матрица разделённой ответственности (Shared Responsibility Matrix)

Провайдер Клиент

Слой	IaaS (Infrastructure as a Service / инфраструктура как услуга — вирт. серверы)	PaaS (Platform as a Service / платформа как услуга — управляемая БД)	SaaS (Software as a Service / ПО как услуга — почта, CRM)
Физическая безопасность ЦОД	Провайдер	Провайдер	Провайдер
Сеть / Гипервизор	Провайдер	Провайдер	Провайдер
ОС и патчинг	Клиент	Провайдер	Провайдер
Приложения	Клиент	Клиент	Провайдер
Данные и шифрование	Клиент	Клиент	Клиент
Управление доступами (IAM)	Клиент	Клиент	Клиент
Конфигурация платформы	Клиент	Клиент	Клиент

Топ-3 ошибок конфигурации (Misconfiguration Top-3)

Открытый S3-бакет / Object Storage с PII (Personally Identifiable Information / персональные данные)

Кейс Capital One 2019: утечка данных 100 млн клиентов → $190 млн штрафов и компенсаций

Слабые IAM-роли в облаке

Расширенные права у сервисных учёток, которые могут быть скомпрометированы

Отсутствие шифрования при хранении (at-rest)

Облако даёт это «одной галочкой», типичный недосмотр

Стартап на 30 чел.

Cloud-native: «облако безопаснее нашего сервера в офисе». Но требует понимания разделённой ответственности (Shared Responsibility) и обязательной MFA (Multi-Factor Authentication / многофакторная аутентификация) на admin-учётки.

Корпорация на 5000 чел.

Гибридная архитектура (on-prem / на собственных серверах + cloud / облако). CSPM (Cloud Security Posture Management / управление состоянием безопасности облака) + специализированные cloud-security инженеры.

CSPM (Cloud Security Posture Management / управление состоянием безопасности облака)

Непрерывное сканирование (Continuous Scan)

→

Обнаружение (Finding)

→

Авторемедиация (Auto-remediation)

для типовых

→

Оповещение → SOC (Security Operations Center / центр операционной безопасности)

для нетипичных

Исправление (Fix)

ручное или автоматическое

Опасная иллюзия

«Мы в облаке, у нас всё защищено», самое опасное заблуждение.

Большинство облачных инцидентов, не взлом провайдера, а misconfiguration (ошибка конфигурации) на стороне клиента.

Вопросы CISO (Chief Information Security Officer / руководитель ИБ) про облако

1. Где наша Shared Responsibility Matrix?

2. Есть ли CSPM?

3. Кто проверяет конфигурацию новых облачных ресурсов?

4. Включено ли шифрование at-rest по умолчанию?

Cloud не делает компанию безопаснее автоматически. Cloud перекладывает часть ответственности на провайдера и оставляет другую часть на компании. Без CSPM облако не безопаснее, чем on-prem (на собственных серверах).