Cloud Advisor

RU

ВойтиЗапросить демо
back Блог

Топ-3 заблуждений о безопасности в публичном облаке

Публичное облако даёт бизнесу новые возможности, но неверные представления о его безопасности мешают уверенно масштабироваться в нём. Из-за заблуждений компании либо совсем избегают облаков, теряя в эффективности, либо используют их небезопасно, чрезмерно полагаясь на провайдера или неподходящие средства защиты. Разберём три главных мифа, которые мешают принимать правильные решения, касающиеся облачной безопасности.

calendar16.01.2026
time8 мин.
blog image

Коротко о главном

  1. Миф: «Облако небезопасно». Уровень безопасности в публичном облаке часто выше, чем в on-premise инфраструктуре. Крупные провайдеры вкладывают в защиту больше ресурсов, чем может позволить себе большинство компаний. Их безопасность подтверждена независимыми аудитами и сертификатами.
  2. Миф: «За безопасность в облаке полностью отвечает провайдер». Безопасность в облаке — это совместная ответственность провайдера и клиента. Часть вопросов, прежде всего защиту «железа» и дата-центров, провайдер полностью берёт на себя. При этом значительная часть работы остается в зоне ответственности клиента и требует контроля с его стороны.
  3. Миф: «Традиционных средств достаточно для защиты облака». Привычные для on-premise средства защиты (брандмауэры, антивирусы) в облаке недостаточно эффективны. Они не видят ключевые облачные риски: ошибки в настройках доступа (IAM) и конфигурациях сервисов, публичность ресурсов.
  4. Защищать облако нужно подходящими инструментами. Для эффективной защиты в публичном облаке необходим специализированный инструмент — CNAPP (Cloud-Native Application Protection Platform). Он предоставляет полную картину рисков, находит опасные комбинации уязвимостей, вирусов и настроек облака и корректно приоритизирует угрозы, снижая нагрузку на ИБ-команду.

МИФ 1. Облако небезопасно по своей природе

Коротко о мифе: «Раз данные не у меня в серверной, значит, они под угрозой».

Почему это кажется правдой: Психологический дискомфорт от потери физического контроля. Данные и приложения размещены вне офиса компании и доступны через интернет, что подсознательно воспринимается как вынос их наружу, в общедоступную среду.

На самом деле: Облако может быть безопаснее локальной инфраструктуры благодаря высокой экспертности провайдеров и эффекту масштаба, позволяющему быстрее внедрять инновации в сфере безопасности.

Факты, опровергающие миф

Провайдеры инвестируют в безопасность. Поэтому дата-центр провайдера зачастую защищён лучше, чем on-premise инфраструктура. Защищённость данных определяется не их физическим расположением, а зрелостью процессов и глубиной компетенций в области информационной безопасности. Так как у провайдеров на кону стоит репутация бизнеса, они нанимают лучших специалистов и внедряют в своей зоне ответственности защиту такого уровня, который недоступен многим организациям. Достичь схожего результата в рамках собственного ЦОД часто оказывается непомерно дорого и сложно.

Чтобы подтвердить высокий уровень безопасности своей инфраструктуры, ведущие провайдеры проходят аудит на соответствие международным стандартам, таким как ISO 27001, и получают аттестаты локальных регуляторов (например, ФСТЭК). Этот процесс требует значительных ресурсов и времени. Компании, которые мигрируют в облако такого провайдера, сразу получают доступ к уже соответствующей требованиям инфраструктуре, экономя собственные средства.

Сравнение безопасности публичного облака и on-premise инфраструктуры
Фактор безопасностиОблачная среда в зоне ответственности провайдераOn-premise инфраструктура
Физическая безопасность

Дата-центры с круглосуточной охраной и биометрическим доступом

Зависит от ресурсов и возможностей компании

Обнаружение угроз

Мониторинг в реальном времени

Ограничено возможностями внутреннего ИБ-отдела

Комплаенс

Провайдер поддерживает соответствие глобальным и локальным стандартам, имеет необходимые сертификаты для работы с чувствительной информацией (152-ФЗ, 187-ФЗ, PCI DSS, ISO 27001, ISO 9001:20011 и др.)

Требует проведения собственных аудитов и сертификаций

Управление обновлениями

Автоматизированное и частое обновление

Часто откладывается или выполняется несвоевременно

Отдельные компании отмечают, что после перехода в облако их безопасность улучшилась. Есть исследования и опросы, подтверждающие, что миграция в облако способствует этому:

  • Как показывает исследование Hackett Group, миграция локальной инфраструктуры в облако (Amazon Web Services) создает измеримую ценность для бизнеса. Приложения, перенесённые в AWS, демонстрировали следующие изменения спустя год после миграции:
    • Сокращение количества сбоев на 54%;
    • Уменьшение инцидентов, связанных с безопасностью, на 45%.
  • Согласно опросу, проведенному исследовательской компанией Paradoxes Inc для Oracle, 60% высшего руководства компаний и регуляторов считают безопасность ключевым преимуществом облака.

Как следствие, российский бизнес, в том числе крупный и с высокой степенью цифровизации, продолжает уверенно мигрировать в облака для получения конкурентных преимуществ.

По данным исследования TelecomDaily, 82% российских компаний среднего и крупного бизнеса планируют расширять использование облаков в 2026 году и увеличивать бюджеты на это направление.

МИФ 2. За безопасность в облаке полностью отвечает провайдер

Коротко о мифе. «Заплатил провайдеру — и можно самому больше не думать о безопасности».

Почему это кажется правдой. Логика строится на привычной модели услуг: если вы пользуетесь чем-то чужим (например, такси или банковской ячейкой), то за его безопасность отвечает тот, кто эту услугу предоставляет. Этот шаблон мышления автоматически переносится на облако.

На самом деле. Безопасность в облаке — это общая ответственность. Провайдер в обязательном порядке защищает «железо» и, в зависимости от модели предоставления услуг, различные компоненты облачной платформы. Но следить за безопасностью настроек и данных, контролировать доступ — обязанность клиента, ведь провайдер, как правило, физически не может управлять этими параметрами или доступ к ним ограничен договором. Подавляющее большинство инцидентов происходит именно в зоне ответственности клиента и их можно избежать, правильно сконфигурировав облачную среду и ресурсы.

Факты, опровергающие миф

Разделение ответственности за безопасность между клиентом и облачным провайдером — это сложившаяся общемировая практика. Разграничение зон ответственности четко описывается и соблюдается всеми ведущими глобальными и российскими провайдерами. По ссылкам доступны описания моделей разграничения ответственности (матрицы ответственности) различных поставщиков облачных услуг:

Матрица разделения ответственности — стандартный и обязательный документ у любого серьёзного облачного провайдера. Это основа для юридических и технических документов, где обязанности сторон и порядок действий при инцидентах в каждой зоне ответственности прописаны детально. Узнать больше о том, за чем по-прежнему должен следить клиент, можно в отдельном материале.

Разделение ответственности фактически зафиксировано в российском законодательстве. Так, например, 152-ФЗ разрешает передавать обработку персональных данных облачному провайдеру, но клиент при этом остаётся оператором. В случае инцидента в его зоне ответственности, регулятор будет спрашивать именно с него. Закон исключает полную передачу ответственности: безопасность данных требует совместных усилий, и переложить её полностью на провайдера невозможно.

Автоматизируйте аудит облачной инфраструктуры на соответствие техническим требованиям 152-ФЗ и других стандартов с помощью Cloud Advisor.

Запросить демо

Статистика инцидентов и опросы ИБ-специалистов показывают, что главная угроза в облаке исходит от действий самого клиента.Провайдер надёжно защищает свою инфраструктуру, однако если клиент не обеспечивает безопасность в своей зоне ответственности, то крупный инцидент становится лишь вопросом времени. Самый опасный сценарий — когда компания, поверив в миф о полной защите со стороны провайдера, перестаёт контролировать даже элементарные настройки безопасности. Сколько именно таких настроек ложится на ваши плечи — зависит от выбранной модели предоставления облачных услуг. Их может оказаться немало: убедитесь в этом сами.

Главные угрозы безопасности в публичных облаках:

  • В рейтинге главных облачных угроз‑2024 от Cloud Security Alliance (Top Threats to Cloud Computing 2024) на первое место вышли мисконфигурации (ошибки в настройках конфигурации облака).
  • 54% успешных атак в российских облачных средах происходят через легитимные учётные записи (данные Yandex Cloud, I полугодие 2025 г.). И контроль конфигурации облака, и управление правами доступа полностью находятся в зоне ответственности клиента.
  • Уязвимости в публичных приложениях занимают второе место среди векторов атак (45%) по данным исследования Yandex Cloud. Для уменьшения связанных с ними рисков необходимо регулярно сканировать рабочие нагрузки и своевременно устанавливать обновления.

МИФ 3. Традиционных средств достаточно для защиты облака

Коротко о мифе. «Наши проверенные межсетевой экран, сканер уязвимостей и антивирус полноценно защитят и в облаке».

Почему это кажется правдой. Желание использовать уже купленные и знакомые инструменты. Непонимание фундаментальных отличий облачной архитектуры от on-premise.

На самом деле. Облако — принципиально новая среда, которая требует специальных инструментов безопасности, учитывающих её особенности. Ниже рассмотрим детальнее почему традиционные средства защиты оказываются недостаточно эффективными в публичном облаке.

Факты, опровергающие миф

Традиционные решения слепы к специфическим облачным рискам. В облачной среде ИБ-специалисты сталкиваются с принципиально новым для них объектом защиты — конфигурацией облака. Критическая ошибка — относиться к её настройкам как к второстепенной задаче, по аналогии с традиционным контролем настроек и конфигурации ОС («харденингом»). В публичном облаке именно мисконфигурации (ошибки в настройках облачных сервисов) — вектор атак № 1.

ТОП-3 угроз облачной безопасности по Cloud Security Alliance (2024 г.)

  1. Ошибки конфигурации и неадекватный контроль изменений
  2. Управление идентификацией и доступом (IAM)
  3. Небезопасные интерфейсы и API

Конфигурация облака включает в себя такие настройки, как публичность ресурсов, управление учетными записями и правами доступа, шифрование данных и многое другое. Традиционные инструменты кибербезопасности их не контролируют. В итоге могут возникать угрозы, которые не представлялись возможными в on-premise инфраструктуре.

Пример

Даже изолированная облачная инфраструктура с запретом всех внешних соединений через NGFW может оказаться публично доступна через сервисы IAM. Например, сотруднику IT-отдела или разработчику выдают право создавать сервисные аккаунты. Это учётные записи для работы с API без доступа к веб-консоли. Управлять ресурсами через них можно с помощью ключей доступа. Сотрудник создаёт пользователя или сервисный аккаунт с широкими правами и генерирует ключи (Access Key/Secret Key). Он сохраняет их на рабочем ноутбуке — например, в папке «Загрузки» или в конфигурационном файле проекта. Эти ключи могут быть скомпрометированы множеством способов. Вот лишь два примера:

  1. Через вредоносный код. Например, сотрудник скачивает «кейген» для стороннего ПО с вредоносным кодом. Тот находит ключи в системе и похищает их.
  2. Через публичный код. Разработчик оставляет ключи в коде приложения для доступа к облачному хранилищу и публикует код в открытом репозитории на GitHub. Злоумышленники находят ключ при сканировании.

Получив ключи, киберпреступник может подключиться к инфраструктуре через API облачного провайдера из любой точки мира и совершить любые действия, которые разрешены владельцу ключей — например, удалить все ресурсы в облаке. Межсетевые экраны или группы безопасности этот доступ не видят и не блокируют, потому что сетевое соединение злоумышленник осуществляет с API облачного провайдера, а не с вашей инфраструктурой. Так управление доступом (IAM) становится новым периметром безопасности.

Для защиты от атак с легитимными учётными данными, как в примере выше, необходимо строго соблюдать принцип минимальных привилегий, контролировать публичность ресурсов и осуществлять поиск секретов, хранящихся в открытом виде.

В динамичной облачной среде для этого понадобятся специализированные инструменты:

  • CSPM (Cloud Security Posture Management, управление состоянием безопасности облака) — непрерывно сканирует инфраструктуру на предмет небезопасных настроек (мисконфигураций), нарушений политик IAM и отклонений от стандартов. Автоматически находит риски и даёт инструкции по исправлению.
  • CWPP (Cloud Workload Protection Platform, платформа защиты облачных рабочих нагрузок) — отвечает за безопасность рабочих нагрузок, в том числе, находит секреты и ключи доступа, оставленные в открытом виде на виртуальных машинах или в контейнерах.

Оба эти решения являются компонентами комплексной платформы — CNAPP (Cloud Native Application Protection Platform, платформа для защиты облачной инфраструктуры и приложений).

Традиционные агентские решения неэффективны в динамичной облачной среде. Например, классический антивирус или сканер уязвимостей устанавливается в виде агентского ПО на каждую виртуальную машину. Он потребляет вычислительные ресурсы при сканировании и обновлениях и снижает производительность высоконагруженных систем. Из-за этого ИТ-команды часто отказываются от его установки в облаке — так появляются пробелы в защите. Стопроцентное покрытие в облаке такими средствами практически невозможно ещё и из-за динамичности среды: ресурсы создаются, изменяются и удаляются постоянно, часто минуя централизованный ИБ-контроль.

  • В разработанных специально для облака решениях используется безагентный подход: устанавливать дополнительное ПО на каждую виртуальную машину не нужно. Например, запатентованная безагентная технология DiskScan, использующаяся в Cloud Advisor, сканирует не саму виртуальную машину, а её снапшот («снимок»). Это обеспечивает мгновенное развёртывание и 100% покрытие всех ВМ и контейнеров без влияния на производительность.

Традиционные средства не умеют приоритизировать риски в облаке. Они обнаруживают отдельные риски, но не видят целостной картины угроз, которая возникает из их опасных комбинаций. Без корреляции данных, обогащения контекстом и автоматической оценки критичности, растущий поток оповещений сам становится угрозой. Он увеличивает риск пропуска реальных атак, замедляет реакцию и ведёт к выгоранию ИБ- и ИТ-команд.

  • 500 и более оповещений в день получают 45% организаций, использующих облачную инфраструктуру (исследование Cloud Security Report, 2025 от Check Point). Каждая четвёртая компания сообщает о более чем 1000 алертов ежедневно.
  • 71% организаций используют более 10 инструментов безопасности одновременно, а 16% — более 50 (данные того же исследования). Избыточное разнообразие инструментов приводит к дублированию алертов, несогласованности политик и фрагментированной видимости на разных уровнях облачной архитектуры.

Чтобы снизить нагрузку на команды и сфокусировать их на главных угрозах, используйте решения класса CNAPP. Они объединяют инструменты для контроля конфигурации облака (CSPM), управления уязвимостями, антивирус и другие средства защиты. CNAPP-решение действует подобно SIEM-системе: коррелирует риски из различных источников и находит пути атаки, учитывая весь контекст облачной среды.

Пример

Рассмотрим на примере автоматизированного триажа (оценки и приоритизации) уязвимостей в сервисе Cloud Advisor. Допустим в организации 200 виртуальных машин. Уязвимости с оценкой по CVSS более 7 найдены на 180 из них, но если учитывать эксплуатацию, то ВМ с критическими уязвимостями оказывается лишь 40. Из них публично доступны только 2. Уязвимости именно на этих ВМ будут подсвечены в «Путях атаки» как требующие устранения в первую очередь.

risks
Учёт контекста облачной среды для приоритизации рисков, связанных с уязвимостями на ВМ

Хотя масштаб инфраструктуры в примере указан условно, пропорции на диаграмме отражают среднестатистическую реальность: лишь 1% уязвимостей оказывается критичным при учёте всего контекста облачной среды. Именно этот 1% и должен быть главным фокусом внимания ИБ-команды.

Выводы и рекомендации

Чтобы выстроить эффективную защиту в публичном облаке, нужно расстаться с заблуждениями, понять модель разделения ответственности и использовать нативные для облака инструменты безопасности, такие как CNAPP.

  1. Выбирайте надежного провайдера с лицензиями и сертификатами.
    Крупные провайдеры заботятся о своей репутации и инвестируют в безопасность. Вы можете положиться на провайдера в вопросах, касающихся его зоны ответственности.
  2. Изучите матрицу ответственности. Провайдер не будет защищать всё.
    Выясните, за что отвечаете вы, и тщательно контролируйте вашу зону ответственности: конфигурации, доступ, данные. Иначе появятся «слепые зоны» — параметры, которые не контролируете ни вы, ни провайдер.
  3. Защищайте вашу зону ответственности подходящими средствами.
    Традиционные средства киберзащиты не «видят» саму суть облака: политики доступа, настройки сервисов и публичность ресурсов. Агентские решения снижают производительность и не дают 100% покрытия в динамичном облаке. Эффективную безопасность обеспечивают специализированные платформы для защиты облачной инфраструктуры и приложений (CNAPP), такие как Cloud Advisor.

CNAPP-решение Cloud Advisor контролирует безопасность на всех уровнях: облако, ОС и Kubernetes. Безагентная технология разворачивается практически мгновенно и даёт 100% покрытие. Решение показывает все риски и ранжирует их по степени опасности. Оно способно увидеть, когда угрозы — уязвимости, вирусы, ошибки в настройках облака и публичные ресурсы — образуют токсичные комбинации, несущие критический риск. Вы сразу видите возможные пути атаки и понимаете, что исправлять в первую очередь.

resources
Персональное демо

Готовы увидеть Cloud Advisor в действии?

Единая платформа для безопасности и сокращения расходов в публичном облаке

Оставить заявку