Cloud Advisor

RU

ВойтиЗапросить демо
back Блог

Кто отвечает за безопасность в облаке? Разбираем модель разделения ответственности

Безопасность в облаке — это всегда совместная ответственность. Чтобы эффективно защищать свои активы, вы должны точно знать, что входит в вашу зону, а что лежит на стороне провайдера. В этой статье мы подробно разбираем модель разделения ответственности, чтобы вы могли избежать пробелов в защите и выстроить эффективную систему кибербезопасности.

calendar04.12.2025
time19 мин.
blog image

Коротко о главном

  1. Безопасность в облаке —  это общая ответственность. Непонимание того, кто за что отвечает —  одна из самых опасных ошибок при работе в облаке.
  2. Ваша зона контроля зависит от модели облачных услуг. В IaaS у вас максимальная ответственность, в PaaS провайдер берёт на себя больше, а в SaaS —  почти всё, кроме данных и управления доступом к ним.
  3. Провайдер всегда гарантирует защиту физической инфраструктуры. Это включает физическую безопасность дата-центров и бесперебойную работу оборудования.
  4. Для контроля рисков в вашей зоне ответственности нужен комплекс инструментов. CSPM —  для конфигураций и прав доступа, CWPP —  для защиты рабочих нагрузок, KSPM —  для безопасности Kubernetes и т.д.
  5. CNAPP-платформа объединяет все необходимые инструменты в одном интерфейсе. Cloud Advisor сканирует облачную среду на уязвимости, вредоносный код и секреты, проверяет конфигурации ВМ, Kubernetes и облака. Решение даёт полную картину рисков для всех ресурсов в разных облаках и обеспечивает безопасность на всех уровнях облачной инфраструктуры в зоне вашей ответственности.

Почему приходится разделять ответственность за безопасность в облаке?

Представьте: вы арендовали современный автомобиль, но оставили его на общественной парковке с открытым окном, ключами в бардачке и ценными вещами на заднем сиденье. Кто будет виноват в краже? Арендодатель, предоставивший надёжный автомобиль, или вы, не обеспечивший его сохранность?

По схожему принципу устроена и безопасность в публичном облаке. Провайдер отвечает за безопасность самого «автомобиля» — физических серверов, сетей и гипервизора. Но всё, что происходит «в салоне» — конфигурация, права доступа, данные и приложения — это ваша зона ответственности. Если из-за ошибки в настройках прав доступа к объектному хранилищу или критической уязвимости в операционной системе ваше облако окажется под ударом, последствия инцидента лягут только на вас.

Безопасность в облаке — это совместная работа. Модель разделения ответственности, которую используют все ведущие провайдеры, чётко распределяет зоны контроля: провайдер защищает инфраструктуру, а клиент отвечает за то, что он в ней размещает — данные, приложения и настройки доступа.

Классическая ошибка безопасности в облаке — это «слепые зоны» ответственности. Они возникают, когда и клиент, и провайдер думают, что защитой определённого участка инфраструктуры занимается другая сторона. Клиент полагает, что провайдер защищает всё «по умолчанию», а провайдер ожидает, что клиент настроит защиту для своих данных и приложений. В результате эти неконтролируемые участки становятся источниками угроз и векторами для атак, так как за них по факту никто не отвечает.

Конкретные границы ответственности зависят от модели предоставления услуг провайдером услуг: IaaS, PaaS или SaaS. Далее мы разберём, как распределяется ответственность в каждой модели, какие инструменты и меры помогут контролировать вашу зону — это поможет вам выстроить эффективную стратегию защиты.

IaaS, PaaS, SaaS: разные модели предоставления услуг — разные зоны ответственности

Чтобы понять, за что отвечает ИБ-отдел в вашей компании, нужно знать, по какой модели вам предоставляет услуги провайдер: IaaS, PaaS или SaaS.

IaaS, PaaS, SaaS: что скрывается за аббревиатурами
IaaS
инфраструктура как услуга		PaaS
платформа как услуга		SaaS
ПО как услуга
Что предоставляет провайдер

Базовая инфраструктура:

  • «железо» – серверы, сетевое оборудование, системы охлаждения, системы питания,
  • виртуальные машины,
  • сети,
  • хранилища данных.

Готовые и настроенные платформы для создания и запуска ПО, а также хранения и анализа данных:

  • управляемые базы данных,
  • контейнерные платформы,
  • платформы аналитики данных.

Аренда готового сервиса или приложения.

  • электронная почта,
  • таск-трекеры,
  • системы электронного документооборота (ЭДО),
  • платформы для создания сайтов и др.
ОсобенностиКлиенты самостоятельно управляют своими виртуальными ресурсами: создают ВМ, устанавливают приложения для работы.В большинстве случаев не предусмотрен доступ к ОС или низкоуровневым настройкам платформы.Функциональность и безопасность «под ключ». Клиент отвечает только за данные и доступ к ним.
Примеры на российском рынкеElastic Cloud Server (Cloud.ru Advanced), Compute Cloud (Yandex Cloud)Advanced Document Database Service with MongoDB (Cloud.ru Advanced), Yandex Managed Service for PostgreSQL Cloud Container Engine (Cloud.ru Advanced), Yandex Managed Service for Kubernetes«Битрикс24» «МойСклад» Яндекс Почта Яндекс Трекер

Продолжим аналогию с автомобилем, чтобы показать разницу между моделями облачных услуг и разграничением ответственности в каждой. Ведь вы можете использовать личный автомобиль, каршеринг или такси — и в каждом случае ваша ответственность будет разной.

Разделение ответственности в облаке: аналогия с транспортом
transport
Модель разделения ответственности в облачных сервисах: от почти полного контроля пользователем всех аспектов в IaaS до делегирования большинства вопросов провайдеру в SaaS

Вне зависимости от модели предоставления услуг неизменным будет одно: базовая инфраструктура всегда будет в зоне ответственности провайдера, а вы всегда будете в ответе за управление доступом пользователей к данным.

За что отвечает провайдер?

Облачные провайдеры не зря едят свой хлеб: за надежность и безопасность компонентов инфраструктуры в зоне их ответственности можно не волноваться. Это подтверждается статистикой. Gartner предупреждает: в 2025 году виновником 99% облачных инцидентов безопасности будет сам клиент.

Для большинства организаций переход в облако — это реальный апгрейд безопасности. За защиту инфраструктуры провайдера отвечает команда высококвалифицированных и дефицитных специалистов, которую не все могут позволить себе в штате. При обслуживании по моделям PaaS и особенно SaaS организация может полностью доверить информационную безопасность провайдеру — при условии, что её специалисты четко знают, что остается в их зоне ответственности.

В таблице ниже представлены все уровни облачной архитектуры и разграничение ответственности за безопасность в них в зависимости от модели предоставления услуг провайдером. Критически важно понимать границы ответственности для каждого используемого сервиса, так как один проект может одновременно использовать все три модели (IaaS, PaaS, SaaS).

Пример:

В проекте по разработке веб-приложения компания разворачивает и полностью контролирует свои виртуальные машины для системы сборки и тестовых сред по модели IaaS. Для основной базы данных приложения используется управляемый PaaS-сервис (например, Yandex Managed Service for PostgreSQL), где провайдер отвечает за ОС, патчи и доступность СУБД. Для управления задачами команда использует готовый SaaS-сервис Яндекс Трекер.

Разделение ответственности за безопасность: от on-premise к SaaS
responsibility

Как видите, чем дальше мы уходим от модели IaaS, тем больше забот по безопасности берет на себя провайдер. Но в любом случае он отвечает, как минимум, за три нижних уровня облачной инфраструктуры: дата-центр, оборудование и сеть.

Уровень облачной инфраструктурыОтветственность провайдера
Дата-центрКонтроль всех форм физической безопасности в ЦОД:
  • охрана,
  • пропускная система,
  • видеонаблюдение,
  • контроль окружающей среды и планирование аварийного восстановления.
Отказоустойчивое электропитание и охлаждение.
Сеть (underlay)Эксплуатация, мониторинг и защита физической сетевой магистрали, включая маршрутизаторы, кабели, брандмауэры. Гарантирование доступности, надежности и производительности физического сетевого уровня, в том числе за счет поддержания избыточных сетевых маршрутов. Защита физической сети от несанкционированного доступа, вмешательства и атак (как внешних, так и внутренних). Обновление микропрограмм (прошивок) и модернизации сетевого оборудования.
ОборудованиеПолный контроль над жизненным циклом оборудования:
  • выделение новых ресурсов,
  • обновление прошивки,
  • правильная утилизация выведенных из эксплуатации активов,
  • использование доверенных платформенных модулей (Trusted Platform Modules), где это необходимо.
Защита от атак по сторонним каналам (side-channel) на аппаратном уровне за счет поддержания безопасного разделения между тенантами и контроля доступа к аппаратным интерфейсам.
Модель разделения ответственности за безопасность облачного провайдера Cloud.ru описана здесь, а Yandex Cloud — на этой странице.

Как контролировать риски в вашей зоне ответственности?

Разберём по уровням, что вам нужно защищать при использовании IaaS и PaaS в публичном облаке и какие инструменты для этого использовать. Основное внимание уделим модели IaaS — она возлагает на клиента максимальный объем ответственности и наиболее популярна на российском рынке. Мы также покажем, как меняется ваша роль в PaaS для уровней, где ответственность распределяется наиболее неочевидно (например, при использовании управляемых кластеров Kubernetes).

Модель SaaS в этом обзоре не рассматриваем — там провайдер берет на себя почти всю ответственность за безопасность платформы и ваша задача сводится к контролю данных и управлению доступом к ним.

Данные

В моделях IaaS и PaaS вы полностью отвечаете за свои данные. Ваша зона контроля включает управление шифрованием (KMS), обеспечение защиты данных при их передаче с помощью безопасных протоколов (принудительное использование TLS/SSL, HTTPS) и организацию резервного копирования. Вопреки распространенному мнению, облачные провайдеры не создают резервные копии по умолчанию. Эту задачу необходимо решать самостоятельно с помощью сервисов провайдера или решений сторонних вендоров.

CSPM-системы автоматизируют контроль данных, обнаруживая незашифрованные объекты в различных сервисах и проверяя настройки резервного копирования. Существуют решения, которые находят конфиденциальные данные (ключи доступа, токены) в открытом виде на дисках ВМ и в контейнерах, помогая предотвратить их компрометацию и использование для бокового перемещения.

Боковое перемещение в облаке: как это возможно и чем грозит

Взлом одного изолированного облачного ресурса, например, виртуальной машины — это не всегда катастрофа. Ущерб напрямую зависит от её привилегий и хранящихся на ней данных. Если доступ к виртуальной машине ограничен, а секреты (пароли, ключи) на ней отсутствуют, злоумышленник сможет использовать её лишь для относительно безобидных операций: майнинга криптовалюты, рассылки спама или участия в бот-сети.

Реальная опасность возникает, когда у виртуальной машины есть:

  • Широкие привилегии (например, право создавать или удалять другие ресурсы).
  • Секреты и критичные данные (например токены доступа, ключи к базам данных, пароли).


В этом случае злоумышленник может начать боковое перемещение — распространение атаки на другие ресурсы или сервисы облачной инфраструктуры. Такая атака может привести к захвату полного контроля над вашей инфраструктурой или её критическими элементами.

Учётные записи

В IaaS и PaaS вы самостоятельно управляете всеми учётными данными: пользователями, сервисными аккаунтами, их паролями, API-ключами и токенами. Критически важно настроить многофакторную аутентификацию (MFA), использовать федерацию удостоверений и лучшие практики (регулярно проводить ротацию секретов, отслеживать неиспользуемые учётные записи и ключи доступа и т.д.).

Для эффективного управления используйте специализированные сервисы управления секретами, федерации удостоверений и CSPM-инструменты. CSPM необходим для мониторинга политик паролей, поиска неиспользуемых учётных записей, неиспользуемых ключей, ключей и паролей с истекшим сроком действия или без срока действия.

Права доступа

Управление доступом — основа безопасности в облаке. Независимо от облачной модели, ваша ключевая задача — внедрить принцип наименьших привилегий и наладить постоянный мониторинг избыточных прав.

IaaSPaaS
Ваша ответственность:

Управление доступом:

  • к облачной платформе,
  • к виртуальной машине,
  • внутри приложения/платформы
Ваша ответственность:

Управление доступом:

  • к облачной платформе,
  • внутри приложения/платформы
Инструменты

CSPM:

  • проверка корректности настроенных политик доступа
  • контроль ключей доступа к облачной платформе
  • мониторинг превышения привилегий
  • поиск неиспользуемых учётных записей и сервисных аккаунтов

Контроль конфигурации операционной системы в части прав доступа пользователей

Инструменты

CSPM:

  • проверка корректности настроенных политик доступа
  • контроль ключей доступа к облачной платформе
  • мониторинг превышения привилегий
  • поиск неиспользуемых учётных записей и сервисных аккаунтов

Сеть (Overlay)

Компоненты приложения или платформы могут размещаться на нескольких виртуальных машинах. За организацию и контроль сети между ними в PaaS отвечает провайдер. В IaaS эта ответственность полностью лежит на вас.

Безопасность overlay-сети в IaaS требует настройки виртуальной частной облачной сети (VPC). В PaaS же вам необходимо контролировать публичный доступ к сервису и задать правила для фильтрации трафика.

IaaSPaaS
Ваша ответственность:

Настройка виртуальной частной сети (VPC):

  • сетевой связности и защиты соединений между виртуальными машинам
  • публичного доступа к виртуальным машинам
  • фильтрация трафика для виртуальных машин
Ваша ответственность:

Сетевая безопасность на уровне приложения.

Настройка:

  • публичного доступа к сервису
  • фильтрации внешнего трафика для сервиса
Инструменты:

CSPM для проверки правил групп безопасности и других сетевых настроек WAF AntiDDoS NGFW

Kubernetes

При использовании Kubernetes в IaaS вы берете на себя ответственность за всю кластерную инфраструктуру, включая мастер(ы) и рабочие нагрузки.

В модели PaaS провайдер управляет мастером(ами). Самая частая ошибка — пользователь думает, что за безопасность узлов отвечает тоже облачный провайдер, но это не так. Провайдер не имеет доступа к вашим ВМ, которые являются узлами Kubernetes. Это означает, что вся ответственность за их информационную безопасность ложится на вас. Вам нужно самостоятельно выполнять весь спектр задач по их защите: управлять уязвимостями, устанавливать обновления, настраивать конфигурацию ОС и др.

IaaSPaaS

Ваша ответственность:

  • все аспекты безопасности мастера
  • узлы кластера
  • рабочие нагрузки внутри кластера

Ваша ответственность:

  • конфигурация мастера с использованием облачной платформы
  • узлы кластера
  • рабочие нагрузки внутри кластера
Инструменты:

KSPM (система обеспечения безопасности контейнеризированных приложений) CSPM Сканеры уязвимостей для образов (в реестре и для runtime) Специализированные средства защиты кластеров Kubernetes

ОС и приложения

В модели IaaS вы несёте полную ответственность за операционные системы на ВМ, установленное ПО и их безопасность. Это включает в себя полный цикл защиты рабочих нагрузок: от управления уязвимостями, обновлений ОС и контроля конфигураций (hardening) до защиты от вредоносного ПО и настройки детального логирования.

Все эти функции обеспечивает CWPP — платформа защиты облачных рабочих нагрузок, созданная для комплексной защиты виртуальных машин в облаке.

Если вы пользуетесь облачными услугами по модели PaaS, делать на этом уровне ничего не нужно. Ответственность за безопасность лежит на провайдере.

CNAPP: одно решение для всех уровней облачной инфраструктуры

Как видите, в модели разделения ответственности за облако значительная часть рисков остается в зоне клиента. Для управления ими требуется целый набор разрозненных инструментов.

Гораздо эффективнее использовать единую платформу, которая объединяет все необходимые функции безопасности в одном интерфейсе. Такое комплексное решение должно уметь:

  • управлять уязвимостями;
  • проверять конфигурацию облака (CSPM);
  • находить секреты;
  • сканировать на вирусы;
  • обеспечивать безопасность Kubernetes;
  • управлять обновлениями и т.д.

Так работают решения класса CNAPP (Cloud-Native Application Protection Platform). На российском рынке самой популярной и полнофункциональной CNAPP-платформой является Cloud Advisor. Посмотрим, как она защищает каждый уровень облачной инфраструктуры в зоне вашей ответственности.

Уровень облачной инфраструктурыВозможности CNAPP для защиты
ДанныеCloud Advisor позволяет отслеживать ресурсы, в которых данные хранятся в незашифрованном виде, а также обнаруживает конфиденциальные данные (секреты, ключи доступа, токены), хранящиеся в открытом виде на дисках ВМ и в контейнерах, помогая предотвращать их компрометацию и использование для бокового перемещения.
Учётные записиCloud Advisor обеспечивает комплексный контроль безопасности облачных учётных записей. Решение проверяет учётные записи пользователей и сервисов, находит неиспользуемые аккаунты. Отдельно отслеживаются API-ключи и токены доступа. Для всего перечисленного оценивается соответствие требованиям безопасности: проверяются пароли на сложность, регулярность смены секретов и правильность настройки MFA. Кроме того, Cloud Advisor отслеживает использование федерации удостоверений и предупреждает о появлении пользователей, созданных вручную в обход федерации. Следование практике «только федеративные пользователи» позволяет автоматизировать важные процессы безопасности — например, при увольнении сотрудника у него будет автоматически отзываться доступ к облаку.
Права доступаМодуль CSPM автоматически проверяет права доступа к облачным ресурсам на соответствие лучшим практикам безопасности, таким как принцип наименьших привилегий. Платформа выявляет избыточные и опасные права, например, наличие у виртуальной машины широких привилегий или существование пользователей-администраторов, кроме строго определенного круга лиц. Это помогает минимизировать риски несанкционированного доступа к данным.
Сети (overlay)Решение анализирует конфигурацию сетевых сервисов (VPC, балансировщики нагрузки, NAT и др), группы безопасности и публичные IP, чтобы идентифицировать и контролировать публично доступные ресурсы (ВМ, БД, бакеты), предотвращая нежелательную экспозицию сервисов в интернете.
KubernetesДля Kubernetes решение Cloud Advisor обеспечивает безопасность на двух уровнях: сканирует образы контейнеров на уязвимости и проверяет конфигурации кластера и объектов в нем (KSPM) на соответствие стандартам CIS, выявляя опасные настройки. Приоритизация угроз на основе публичности и уровня привилегий контейнеров позволяет быстро выявлять и устранять критические риски.
ОС и приложенияCloud Advisor обеспечивает защиту на уровне ОС и приложений с помощью безагентного сканирования. Платформа выявляет уязвимости в ОС, пакетах и библиотеках, а также обнаруживает вредоносное ПО. Кроме того, Cloud Advisor проводит аудит конфигураций на соответствие стандартам CIS и ФСТЭК. Отдельно система анализирует установленное программное обеспечение: определяет программы, для которых доступны обновления, а также ПО, достигшее статуса End-Of-Support или End-Of-Life.
Контролируйте свою зону ответственности в облаке с помощью специализированного инструмента. Контекстный анализ рисков на всех уровнях инфраструктуры поможет выявить критические уязвимости и сосредоточиться на реальных угрозах.
resources
Персональное демо

Готовы увидеть Cloud Advisor в действии?

Единая платформа для поиска уязвимостей и вредоносного кода, контроля конфигурации, инвентаризации, соответствия требованиям и сокращения расходов в публичном облаке

Запросить демо