Практики, которые обеспечивают защищенность решений в облаке

Согласно исследованию рынка облачных сервисов РФ, представленному компанией VK Tech на VK Cloud Conf 2025, спрос на облака среди российских компаний стремительно растет. Так, в 2024 году объем потребления облачных сервисов в России достиг 392 млрд рублей, а к 2029 году может вырасти до 801 млрд рублей. 

Но с ростом количества кибератак бизнесу стало важно получать от облаков не только экономические и процессные выгоды, но и безопасность. И для этого вендоры стоят эшелонированную защиту, а также позволяют реализовывать дополнительные меры.

Рассматриваем практики, сервисы и технологии, которые позволяют обеспечивать защиту ИТ-инфраструктур и данных в облаке.

Условия рынка

Российский бизнес все чаще выбирает для построения ИТ-инфраструктуры и развертывания сервисов облачные среды. И в последние годы подобный тренд только усилился:

• активно растет спрос на IaaS-сервисы, позволяющие получать инфраструктуру в облаке (темп роста в 2022–2024 годах — 29%);
• компании все чаще работают в частных облаках (в 2024 году объем потребления в частных облаках превысил 40 млрд рублей);
• повышается интерес бизнеса к облачным GPU-сервисам.

Подобные тенденции обусловлены тем, что облака позволяют компаниям быстро получать нужные ресурсы и технологии, делегировать управление инфраструктурой и фокусироваться на бизнес-задачах. Помимо этого, актуальность миграции на облачные платформы обусловлена возможностью получения комплексной защиты ИТ-ландшафта и рабочих сред. 

Как реализуется защита решений в облаке на уровне вендора

В облаке за безопасность решений и данных отвечает как вендор, так и пользователь. Вместе с тем, зона ответственности облачного провайдера значительно шире — от реализации физического контроля центров обработки данных (ЦОД) до обеспечения безопасности на уровне предоставляемых облачных сервисов. 

Рассмотрим подробно каждый аспект комплексной защиты.

Безопасность площадки ЦОД

Прежде всего, вендор обеспечивает физическую безопасность ЦОДов. Это подразумевает реализацию целого ряда мер, среди которых внедрение:

• системы контроля и управления доступом (СКУД) — ограничивает доступ на территорию дата-центра исключительно сотрудникам и посетителям с соответствующими полномочиями;
• видеонаблюдения — фиксирует перемещения всех лиц внутри помещений и вокруг здания;
• охраны — персонал службы охраны контролирует соблюдение режима безопасности и оперативно реагирует на подозрительные события;
• пропускного режима — вводит строгие правила входа-выхода на объект, снижая вероятность несанкционированного проникновения;
• учета сотрудников и посетителей — ведение реестра допускаемых лиц позволяет точно определить местоположение каждого субъекта в пределах ЦОД.

Эти меры помогают своевременно выявлять угрозы и реагировать на потенциальные риски, минимизируя последствия возможных нарушений безопасности.

Защита от отказа ЦОД

На следующем этапе обеспечивается надежность инженерной инфраструктуры дата-центров для сохранения бесперебойной работы оборудования даже в условиях чрезвычайных ситуаций. Как правило, для этого предусматриваются:

• кондиционирование — поддержание стабильного температурного режима предотвращает перегрев и сбои оборудования;
• пожаротушение — специализированные системы подавления возгораний обеспечивают быстрое реагирование на случай пожара, исключая критическое повреждение компонентов;
• резервное питание — наличие дизельных генераторов и аккумуляторных батарей гарантирует непрерывность работы дата-центра даже при отключениях электроснабжения;
• дублирование систем — избыточность ключевых элементов инфраструктуры повышает устойчивость к единичным сбоям и значительно снижает риск полного выхода из строя.

Для оценки эффективности защитных мер используется классификация Uptime Institute по уровню надежности ЦОД («Tier»). Чем выше класс Tier, тем надежнее инфраструктура дата-центра, устойчивее к внешним воздействиям и реже возникают случаи отказов.

Защита от DDoS на сетевом уровне

Третий эшелон направлен на защиту серверов, коммутационного и сетевого оборудования от DDoS-атак и несанкционированного проникновения. Для этого, как правило, применяются специализированные инструменты:

• Межсетевые экраны (firewall) — фильтрация трафика на границе публичной сети помогает отсечь аномальные запросы еще до попадания в инфраструктуру компании.
• Анти-DDoS-сервисы — автоматические механизмы очистки трафика защищают приложения и серверы от перегрузки и нарушения доступности услуг.
• Обнаружение вторжений (IDS/IPS) — мониторинг активности позволяет выявлять попытки несанкционированного доступа и вмешательства.

Эти технологии помогают вендору своевременно выявлять и нейтрализовать большинство типов сетевых атак, обеспечивая высокий уровень устойчивости облака к внешнему воздействию.

Защита на уровне операционной системы

На следующем этапе вендором по запросу может быть реализован комплекс мер, направленных на защиту операционной системы, которая управляет серверами и облачными сервисами. Здесь обеспечение безопасности подразумевает:

• логирование;
• обязательную идентификацию/аутентификацию пользователей;
• контроль целостности среды функционирования.

То есть, в зоне ответственности облачного вендора все, что связано с управлением и эксплуатацией инфраструктуры.

Защита виртуальных машин

Кроме этого, вендор предусматривает возможность подключения дополнительных сервисов безопасности для виртуальных машин, баз данных, контейнеров, а также других сервисов и ресурсов, которые можно получить в облаке. Например, с их помощью можно осуществлять:

• усиленную аутентификацию и авторизацию пользователей;
• ведение журнала событий, позволяющего следить за изменениями и действиями пользователей;
• постоянную проверку целостности системы, чтобы немедленно заметить попытку манипуляции;
• регулярное обновление для устранения слабых мест и повышения общей устойчивости.

Но на этом возможности обеспечения защиты решений в облаке не ограничиваются — пользователи облака могут выстраивать дополнительные контуры безопасности в рамках своей облачной среды.

Меры безопасности в зоне ответственности пользователей облака

Пользователь облака также играет важную роль в поддержании высокого уровня информационной безопасности своего проекта. Для этого он может применять  различные инструменты и механизмы облачной платформы.

Настройка доступа и управление идентификацией

Одно из важнейших условий защиты заключается в грамотном управлении доступом к облачным сервисам. Пользователям важно придерживаться принципа наименьших привилегий, когда каждому сотруднику предоставляются лишь необходимые права для выполнения конкретных задач. Это значительно снижает вероятность компрометации системы вследствие случайных действий или взлома аккаунта.

Контроль конфигураций и соблюдение стандартов безопасности

Важным аспектом является регулярная проверка настроек и конфигураций. Для этого существует ряд специализированных инструментов. Например, сервис для автоматического аудита и мониторинга изменений в инфраструктуре Cloud Monitoring, с помощью которого можно своевременно обнаруживать снижение производительности и утечки ресурсов, обеспечивая раннее выявление возможных уязвимостей.

Активный мониторинг и логирование событий

Централизованный сбор и анализ журналов событий (логов) играет важную роль в обнаружении потенциальных угроз и атак. В облаке для этих задач зачастую можно применить комбинацию систем мониторинга и регистрации событий, чтобы отслеживать активность в инфраструктуре и мгновенно реагировать на возможные угрозы.

Для дополнительного усиления безопасности пользователи также могут внедрять специализированные инструменты AntiDDoS, способные отражать DDoS-атаки различной интенсивности, и WAF (Web Application Firewall) для фильтрации вредоносных запросов.

Резервирование и обеспечение непрерывности бизнес-процессов

Пользователи облака могут эффективно защитить свои данные, приложения и вычислительные нагрузки благодаря резервному копированию — создание бекапов критически важной информации обеспечивает возможность сохранения данных и их быстрого восстановления даже в условиях неожиданных происшествий вроде аппаратных сбоев, ошибок сотрудников или кибератак. 

Внедрение принципа DevSecOps в разработку ПО

Также пользователи облака могут внедрять проверки безопасности на этапе разработки программного обеспечения. Так, современные вендоры, как правило, предоставляют инструменты автоматизации (CI/CD pipelines), которые позволяют осуществлять:

• проверку уязвимости приложений и кодовой базы на ранних этапах жизненного цикла продукта;
• автоматизированные тесты на проникновение;
• статический и динамический анализ кода.

Подобные меры позволяют снизить количество ошибок и недостатков в реализации, а также предотвратить попадание в прод релизов с уязвимостями, которые могут использовать злоумышленники.

Что в итоге

Бизнесу проще обеспечивать безопасность ИТ-инфраструктуры и данных в облаках, чем в собственных ЦОДах. Это обусловлено тем, что пользователям предоставляется широкий стек инструментов и механизмов безопасности, а большую часть задач по защите дата-центров и облачных сред решают команды провайдера облака. Большинство практик, используемых для этого, активно развиваются, что позволяет пользователям получать предсказуемый результат, а облачным провайдерам — заблаговременно реагировать на потенциальные риски.