Другая логика безопасности: как защитить облако компании от хакеров
В собственной инфраструктуре есть набор серверов, сетевое оборудование, кабели, граничные маршрутизаторы, каналы. Все это можно обложить средствами защиты, например аппаратными файерволами. Кроме того, есть довольно четкий корпоративный периметр.
В облаке этот периметр размывается, так как у компании нет доступа к управлению оборудованием и базовой сетью. Все ресурсы «виртуализованы» и описаны программно, то есть представляют собой записи в базе данных облачного провайдера, жизненный цикл и правила взаимодействия которых описаны в приложениях. Ресурсами можно управлять через слой, который называется control plane. Таким образом, что бы ни делала компания, слой управления ресурсами в публичных облаках остается общим для всех клиентов.
Однако «общий» не означает, что данные одной компании видны другой. Общий он по своей механике, то есть его API обрабатывает запросы всех клиентов, но данные отделяются друг от друга не физически, а логически — на уровне программной изоляции и разделения полномочий пользователей. Поэтому под размытием периметра имеется в виду не его отсутствие или уязвимость, а изменения, связанные с дополнительными уровнями изоляции. Необходимо следить не за одним, а за «несколькими» периметрами сразу, что во многом меняет подходы и принципы работы специалистов по информационной безопасности.