Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
При рассмотрении и оценке общедоступных облачных служб важно понимать модель общей ответственности и задачи безопасности, которые обрабатывает поставщик облачных услуг и какие задачи вы обрабатываете. Обязанности рабочей нагрузки зависят от того, размещена ли рабочая нагрузка в программном обеспечении как услуга (SaaS), платформа как услуга (PaaS), инфраструктура как услуга (IaaS) или в локальном центре обработки данных:
- IaaS (инфраструктура как услуга): вы управляете виртуальными машинами, операционными системами и приложениями. Примерами являются виртуальные машины Azure, хранилище дисков Azure и виртуальные сети.
- PaaS (платформа как услуга): вы развертываете приложения без управления виртуальными машинами или операционными системами. Примерами являются Служба приложений Azure, Функции Azure, База данных SQL Azure и служба хранилища Azure.
- SaaS (программное обеспечение как услуга): вы используете готовые приложения. Примерами являются Microsoft 365, Dynamics 365 и другие облачные приложения.
Многие решения Azure используют сочетание моделей служб. Дополнительные сведения о выборе служб вычислений см. в статье "Выбор службы вычислений Azure".
Разделение ответственности
В локальном центре обработки данных вы владеете всем стеком. При переходе в облако некоторые обязанности передаются в корпорацию Майкрософт. На следующей схеме показаны области ответственности между вами и корпорацией Майкрософт в соответствии с типом развертывания стека.
Для всех типов облачного развертывания вы владеете данными и учетными записями. Вы несете ответственность за защиту данных и удостоверений, локальных ресурсов и облачных компонентов, которые вы контролируете. Облачные компоненты, которые вы управляете, зависят от типа службы.
Матрица ответственности
В следующей таблице описано разделение ответственности между вами и Корпорацией Майкрософт для каждой области стека:
| Область ответственности | On-premises | IaaS | PaaS (Платформа как услуга) | SaaS |
|---|---|---|---|---|
| Данные клиентов | Клиент | Клиент | Клиент | Клиент |
| Конфигурации и настройки | Клиент | Клиент | Клиент | Клиент |
| Удостоверения и пользователи | Клиент | Клиент | Клиент | Клиент |
| Клиентские устройства | Клиент | Клиент | Клиент | Shared |
| Приложения | Клиент | Клиент | Shared | Shared |
| Элементы управления сетью | Клиент | Клиент | Shared | Microsoft |
| Операционная система | Клиент | Клиент | Microsoft | Microsoft |
| Физические хосты | Клиент | Microsoft | Microsoft | Microsoft |
| Физическая сеть | Клиент | Microsoft | Microsoft | Microsoft |
| Физический центр обработки данных | Клиент | Microsoft | Microsoft | Microsoft |
Обязанности, которые вы всегда сохраняете
Независимо от типа развертывания, вы всегда сохраняете следующие обязанности:
- Данные — вы несете ответственность за данные, включая классификацию данных, защиту данных, решения о шифровании и соответствие требованиям к управлению данными.
- Конечные точки — вы отвечаете за защиту клиентских устройств и конечных точек, которые обращаются к облачным службам, включая мобильные устройства, ноутбуки и настольные компьютеры.
- Учетные записи — вы отвечаете за управление учетными записями пользователей, включая создание, управление и удаление доступа пользователей.
- Управление доступом — вы несете ответственность за реализацию и управление элементами управления доступом, включая управление доступом на основе ролей (RBAC), многофакторную проверку подлинности и политики условного доступа.
Объяснение общих обязанностей
Некоторые обязанности разделяются между вами и корпорацией Майкрософт с разделением по модели обслуживания:
- Приложения — в IaaS вы полностью отвечаете за развернутые приложения. В PaaS и SaaS корпорация Майкрософт управляет частями стека приложений, но отвечаете за конфигурацию приложения, безопасность кода и элементы управления доступом.
- Сетевые элементы управления — в IaaS вы настраиваете всю сетевую безопасность, включая брандмауэры и сегментацию сети. В PaaS корпорация Майкрософт предоставляет базовую сетевую безопасность, но настраиваете сетевые элементы управления на уровне приложений. В SaaS корпорация Майкрософт управляет безопасностью сети.
- Клиентские устройства . В сценариях SaaS корпорация Майкрософт может предоставить некоторые возможности управления устройствами, но вы несете ответственность за защиту конечных точек и соответствие требованиям.
Обязанности Майкрософт
Корпорация Майкрософт отвечает за базовую облачную инфраструктуру, которая включает в себя:
- Физическая безопасность — защита центров обработки данных, включая объекты, средства управления физическим доступом и экологические средства управления.
- Физическая сеть — управление сетевой инфраструктурой, включая маршрутизаторы, коммутаторы и кабели в центрах обработки данных.
- Физические узлы — управление физическими серверами, на которых размещаются облачные службы.
- Гипервизор — управление слоем виртуализации, который обеспечивает работу виртуальных машин в IaaS и PaaS.
- Службы платформы . В PaaS и SaaS корпорация Майкрософт управляет операционными системами, средами выполнения и ПО промежуточного слоя.
Общая ответственность искусственного интеллекта
При использовании служб ИИ модель общей ответственности вводит уникальные аспекты, помимо традиционных решений IaaS, PaaS и SaaS. Корпорация Майкрософт отвечает за защиту инфраструктуры ИИ, размещения моделей и защиты на уровне платформы. Однако клиенты остаются подотчетными за применение ИИ в своей среде— это включает защиту конфиденциальных данных, управление безопасностью запросов, устранение рисков внедрения запросов и обеспечение соответствия требованиям организации и нормативным требованиям.
Поскольку обязанности значительно отличаются для рабочих нагрузок ИИ, следует ознакомиться с Моделью Разделенной Ответственности ИИ, чтобы получить подробные рекомендации по ролям, лучшим практикам и управлению рисками.
Преимущества облачной безопасности
Облако предлагает значительные преимущества для решения давних проблем информационной безопасности. В локальной среде организации, скорее всего, имеют неуправляемые обязанности и ограниченные ресурсы, доступные для инвестиций в безопасность, которая создает среду, в которой злоумышленники могут использовать уязвимости на всех уровнях.
Распространенные примеры невыполненных обязанностей в традиционных локальных средах:
- Задержка исправлений . Обновления системы не применяются быстро из-за ограниченного ИТ-персонала или проблем с временем простоя системы, оставляя известные уязвимости.
- Неадекватная физическая безопасность — комнаты сервера могут не содержать надлежащих средств контроля доступа, мониторинга окружающей среды или наблюдения из-за ограничений бюджета.
- Неполный мониторинг сети . Организации могут не иметь средств или опыта для обнаружения вторжений, мониторинга аномалий трафика или реагирования на угрозы в режиме реального времени.
- Устаревшее оборудование . Инфраструктура старения больше не может получать обновления системы безопасности от поставщиков, создавая постоянные пробелы в безопасности.
- Недостаточно резервного копирования и аварийного восстановления . Резервные копии могут быть редко, не протестированы или сохранены на сайте, оставляя данные уязвимыми для программ-шантажистов или физических аварий.
На следующей схеме показан традиционный подход, при котором многие обязанности безопасности не выполняются из-за ограниченных ресурсов. Используя облачный подход, вы можете передать облачному провайдеру текущие обязанности по обеспечению безопасности и перераспределить свои ресурсы.
В облачном подходе вы также можете применять облачные возможности безопасности для повышения эффективности и использования облачной аналитики для улучшения времени обнаружения угроз и реагирования. Переключив обязанности на поставщика облачных служб, организации могут получить больше покрытия безопасности, что позволяет им перераспределить ресурсы безопасности и бюджет на другие бизнес-приоритеты.
Следующий шаг
Узнайте больше о разделенной ответственности и стратегиях повышения безопасности в обзоре Well-Architected Framework's столпа безопасности.