Переход в облако не означает, что провайдер берёт на себя вообще всё. Один из самых частых вопросов бизнеса и IT-команд: кто отвечает за безопасность, доступность и данные в облаке? Ответ — зависит от модели сервиса, но почти всегда ответственность разделена.
Что такое модель общей ответственности
Это принцип, по которому обязанности между облачным провайдером и клиентом делятся на две зоны:
Провайдер отвечает за безопасность облака — физические дата-центры, сетевую инфраструктуру, серверы, гипервизор, базовые облачные сервисы.
Клиент отвечает за безопасность в облаке — данные, настройки доступа, конфигурации сервисов, учетные записи, шифрование, резервное копирование, соответствие требованиям.
Именно здесь часто возникают риски: сама платформа защищена, а вот ошибка в настройке клиента может открыть доступ к данным.
Кто за что отвечает на практике
Провайдер обычно отвечает за:
- физическую безопасность ЦОД
- питание, охлаждение, отказоустойчивость инфраструктуры
- защиту сетевого периметра и оборудования
- обновление базового слоя платформы
- доступность облачных сервисов по SLA
Клиент обычно отвечает за:
- управление IAM: пользователи, роли, MFA
- настройку сетевого доступа, security groups, firewall
- защиту и классификацию данных
- резервное копирование и политику восстановления
- патчи внутри своих виртуальных машин
- соответствие 152-ФЗ, GDPR, ISO и внутренним политикам
- мониторинг подозрительной активности
Как это меняется в IaaS, PaaS и SaaS
IaaS — больше контроля, но и больше ответственности у клиента.
Провайдер даёт виртуальные машины, сеть, хранилище. Клиент отвечает за ОС, приложения, данные и настройки безопасности.
PaaS — часть задач снимается.
Провайдер управляет платформой, рантаймом, частью обновлений. Клиент сосредоточен на коде, данных, доступах и конфигурации приложения.
SaaS — минимальная инфраструктурная нагрузка на клиента.
Но ответственность за пользователям, пароли, права доступа, безопасное использование сервиса и данные всё равно остаётся.
Где чаще всего ошибаются компании
- считают, что бэкапы “есть по умолчанию”
- не включают MFA для администраторов
- оставляют открытые storage buckets
- не ведут аудит действий пользователей
- путают доступность сервиса и защиту собственных данных
- не проверяют, кто отвечает за восстановление после удаления данных
Как снизить риски
- изучить responsibility matrix конкретного провайдера
- настроить принцип минимальных привилегий
- включить MFA и централизованный IAM
- регулярно проверять конфигурации cloud security posture
- тестировать восстановление из резервных копий
- документировать зоны ответственности между IT, DevOps, SecOps и провайдером ✅
Главный вывод: в облаке нельзя “переложить безопасность целиком”. Облако делает инфраструктуру удобнее и масштабируемее, но защищённость зависит от того, насколько чётко распределены роли и насколько грамотно настроена среда.
📌 Больше полезных материалов — в подборке каналов про IT.