РЕАЛИЗАЦИЯ ПРОЕКТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СРЕДАХ SAAS IAAS PAAS

АННОТАЦИЯ

В статье представлено исследование реализации проектов информационной безопасности в облачных средах, охватывающее модели SaaS, PaaS и IaaS. Работа базируется на анализе архитектурных особенностей облачных вычислений, обзоре современных угроз кибербезопасности и сравнительном анализе методов защиты, применяемых на различных уровнях облачных платформ. Рассматриваются как теоретические аспекты, так и практические подходы к реализации проектов информационной безопасности, включающие интеграцию мер шифрования, многофакторной аутентификации, систем обнаружения вторжений и современных алгоритмов машинного обучения. Кроме того, отдельное внимание уделено нормативно-правовой базе, международным стандартам и национальным инициативам в области защиты данных. Результаты исследования подтверждают гипотезу о том, что системное применение комплексных технических, организационных и управленческих решений способствует повышению устойчивости облачных сервисов к современным киберугрозам и формированию надёжной цифровой инфраструктуры. Материалы исследования будут представлять интерес для ученых и исследователей в области информационной безопасности, а также для высококвалифицированных специалистов, занимающихся разработкой и реализацией комплексных стратегий киберзащиты в условиях мультиоблачных сред, интегрирующих SaaS, IaaS и PaaS.

ABSTRACT

The article presents a study of the implementation of information security projects in cloud environments, covering the SaaS, PaaS, and IaaS models. The work is based on an analysis of the architectural features of cloud computing, an overview of modern cybersecurity threats, and a comparative analysis of protection methods used at various levels of cloud platforms. Both theoretical aspects and practical approaches to the implementation of information security projects are considered, including the integration of encryption measures, multifactor authentication, intrusion detection systems, and modern machine learning algorithms. In addition, special attention is paid to the regulatory framework, international standards, and national initiatives in the field of data protection. The results of the study confirm the hypothesis that the systematic application of integrated technical, organizational, and managerial solutions contributes to increasing the resilience of cloud services to modern cyber threats and the formation of a reliable digital infrastructure. The research materials will be of interest to scientists and researchers in the field of information security, as well as to highly qualified specialists involved in the development and implementation of comprehensive cyber defense strategies in multi-cloud environments integrating SaaS, IaaS and PaaS.

Ключевые слова: облачные технологии, информационная безопасность, SaaS, PaaS, IaaS, кибербезопасность, стандартизация, цифровая экономика, многофакторная аутентификация, IDS/IPS, шифрование данных, машинное обучение

Keywords: cloud technologies, information security, SaaS, PaaS, IaaS, cybersecurity, standardization, digital economy, multifactor authentication, IDS/IPS, data encryption, machine learning

Введение

В условиях стремительной цифровизации экономики и глобальной трансформации бизнес‑процессов облачные технологии в моделях SaaS, IaaS и PaaS выступают ключевым фактором обеспечения необходимой гибкости, масштабируемости и оптимизации IТ‑инфраструктуры современных предприятий. Так, по итогам 2024 г. объём рынка цифровой трансформации достиг $1 755,44 млрд, в 2025 г. прогнозируется рост до $2 116,91 млрд при среднегодовом темпе (CAGR) 20,6%, что обусловлено активным экономическим развитием в странах с формирующимися рынками, стремительным внедрением цифровых решений в здравоохранении, взрывным ростом объёма генерируемых данных и распространением сетей 5G. В прогнозируемом периоде до 2029 г. ожидается дальнейшее удвоение рынка до $4 416,39 млрд при CAGR 20,2% на фоне повышения доступности мобильных устройств, реализации государственных инициатив по цифровизации, углубления интернет‑проникновения, роста корпоративных расходов на маркетинг и рекламные технологии, а также усиления спроса на промышленную автоматизацию и интеграцию передовых трендов искусственного интеллекта, Интернета вещей, больших данных, стартапов в аналитике и стратегического партнёрства, что делает облачные сервисы основой устойчивого развития и трансформации бизнес‑моделей [11]. Вместе с тем, рост применения таких решений сопровождается возрастанием числа угроз информационной безопасности (далее - ИБ), включая кибератаки, утечки данных и ошибки в настройке управления доступом, что требует разработки интегрированных систем защиты критических данных [3]. Отсюда обоснована актуальность темы исследования: эффективная реализация проектов информационной безопасности в облачных средах является ключом к обеспечению стабильной работы современных цифровых систем и достижению стратегических целей национальной цифровизации.

Цель исследования состоит в анализе особенностей, присущих реализации проектов информационной безопасности в условиях облачных технологий, который объединяет технические решения, управленческие методики и нормативно-правовые инструменты.

Научная новизна заключается в синтезе современных методов обнаружения угроз (например, с применением машинного обучения), криптографических технологий защиты данных и стандартов управления доступом (ISO/IEC, NIST) в единую модель, способную снизить уровень киберрисков.

Авторская гипотеза утверждает, что применение интегрированного комплекса мер ИБ, основанного на использовании передовых технологий и соблюдении международных стандартов, позволяет повысить устойчивость облачных сервисов к современным киберугрозам и обеспечить надёжную защиту информации в условиях динамичного развития цифровой экономики.

Материалы и методы исследования

В научном сообществе наблюдается разделение внимания между разработкой нормативно-методологических основ, анализом угроз и уязвимостей, а также интегрированными подходами к организации защиты облачных сервисов.

Так, работы, ориентированные на стандартизацию и архитектурное обеспечение безопасности, формируют первую группу исследований. Айтхожаева Е. и Ким Э. [1] предлагают методологическую базу для стандартизации информационной безопасности облачных сервисов, подчёркивая необходимость разработки единых стандартов, способных адаптироваться к динамике технологических процессов. Репина М.О. [3] дополняет этот подход, анализируя развитие облачных технологий в российском контексте и формируя представление об архитектуре решений и перспективах их эволюции. Журавлев К.О. и Туякбасарова Н.А. [4] проводят сравнительный анализ преимуществ и недостатков различных моделей облачных сервисов, что позволяет оценить потенциал каждой модели с точки зрения обеспечения информационной безопасности. В этом контексте исследование Михайлова А.Ю. [10], хотя и посвящено специфике применения инновационных вычислений и блокчейн-технологий в сельском хозяйстве, демонстрирует межотраслевое применение облачных решений и подчеркивает необходимость интеграции новых технологических парадигм в систему обеспечения безопасности.

Вторая группа исследований сосредоточена на выявлении и анализе угроз, уязвимостей, а также разработке методов противодействия атакам в облачных моделях. Fatima E., Sumra I. A., Naveed R. [2] представляют обзор существующих угроз и вызовов в моделях SaaS, PaaS и IaaS, демонстрируя многообразие атакующих векторов. В работе Романовича К.А. и Машека В.Р. [5] подробно рассматриваются актуальные уязвимости облачных хранилищ, предлагая практические рекомендации по их устранению. Исследования Isharufe W., Jaafar F., Butakov S. [6] фокусируются на специфике проблемы безопасности в модели PaaS, подчёркивая особенности защиты платформенных сервисов. Дополнительный акцент на выявление зловредного программного обеспечения в инфраструктуре IaaS изложен в работе Almadhoor L., bd El-Aziz A. A., Hamdi H. [7], где используются методы видимости облака и судебной экспертизы. Особую роль в контексте предотвращения атак играет исследование Tripathy D., Gohil R., Halabi T. [8], посвящённое обнаружению SQL-инъекций в среде SaaS с применением методов машинного обучения, что демонстрирует эффективность современных аналитических инструментов в повышении уровня кибербезопасности.

Третья группа литературы объединяет работы, направленные на интеграцию теоретических основ и практических мер обеспечения информационной безопасности в облачных системах. Савельев И.А. и Боровская О.Е. [9] предлагают современные подходы к комплексному обеспечению безопасности, соединяя нормативно-правовые аспекты с практическими механизмами защиты, что позволяет выстроить систему, отвечающую на вызовы современной киберсреды.

Наконец для демонстрации статистики использовался источник [11], сведения которого размещены на сайте The Business Research Company.

Несмотря на наличие глубоких и разносторонних исследований, наблюдаются определённые противоречия в подходах к реализации проектов информационной безопасности. С одной стороны, работы, посвящённые стандартизации и архитектурным моделям, предлагают универсальные методы и концепции, тогда как исследования, ориентированные на анализ угроз и уязвимостей, подчёркивают специфику практических угроз, требующих индивидуального подхода для каждого сервиса. Примечательно, что проблемы междисциплинарного взаимодействия и адаптации облачных технологий к специфике отдельных отраслей, как например в аграрном секторе, остаются недостаточно освещёнными, что требует дополнительного внимания в будущих исследованиях.

Методология исследования базируется на проведении анализа результатов других исследований.

Результаты и обсуждения

Облачные вычисления представляют собой парадигму распределённого предоставления ИТ-ресурсов, включающую вычислительные мощности, хранилища данных, сетевые сервисы и программное обеспечение, доступное по требованию через Интернет. Современные модели облачных сервисов классифицируются на три основных типа: Infrastructure as a Service (IaaS), Platform as a Service (PaaS) и Software as a Service (SaaS) [3, 4]. Каждый из этих типов отличается уровнем абстракции, степенью управления инфраструктурой и архитектурными компонентами, что обуславливает их особенности в вопросах информационной безопасности.

Для лучшего понимания различий между SaaS, PaaS и IaaS представлена таблица 1, которая суммирует определение, основные компоненты, целевую аудиторию, а также преимущества и недостатки каждой модели:

Таблица 1.

Различия между SaaS, PaaS и IaaS [2, 3,7,8]

Таким образом, рассмотрение технологий облачных вычислений показывает, что ключевые архитектурные элементы – от виртуализации до распределённых систем хранения и сетевых решений – являются фундаментом для создания гибких, масштабируемых и отказоустойчивых облачных платформ. По мере роста применения таких технологий увеличивается вероятность эксплуатации уязвимостей на различных уровнях облачной архитектуры, начиная от прикладных сервисов и заканчивая виртуализацией аппаратных ресурсов.

Модель SaaS, предоставляющая готовые программные решения, сталкивается с рядом специфических угроз. Среди них особое место занимают атаки типа SQL-инъекции, позволяющие злоумышленникам получать доступ к базам данных путём внедрения вредоносных SQL-запросов [8]. Кроме того, актуальны и атаки, связанные с эксплуатированием уязвимостей веб-интерфейсов, такие как XSS (межсайтовый скриптинг), фишинг, а также мошенническое использование QR-кодов для внедрения вредоносного кода.

Платформа как услуга предоставляет разработчикам инструменты для создания и развертывания приложений, однако общий характер инфраструктуры порождает проблемы, связанные с несанкционированным доступом и утечкой данных. Уязвимости в механизмах виртуализации и недостаточная изоляция данных между пользователями способствуют возникновению атак, включая попытки обхода мер аутентификации и атак на API [6].

В модели IaaS пользователи получают доступ к виртуализированным аппаратным ресурсам, что порождает риск возникновения таких угроз, как утечка данных, атаки типа VM escape (попытки выхода из виртуальной машины с последующим доступом к хост-системе) и вредоносное ПО, внедряемое через ошибки в настройке управления идентификацией и доступом (IAM) [1]. Кроме того, модели IaaS часто становятся мишенью DDoS-атак, а также страдают от слабой сегментации сети, что увеличивает вероятность компрометации важных сервисов [2].

Для минимизации рисков, связанных с облачными сервисами, активно применяются современные методы защиты, адаптированные под особенности каждой модели:

• Обнаружение атак с помощью машинного обучения и систем мониторинга (IDS/IPS). Эти технологии позволяют анализировать аномальные изменения в трафике и выявлять попытки SQL-инъекции, XSS-атак или другие типы атак, характерные для SaaS [8].
• Шифрование данных в состоянии покоя и при передаче. Использование современных криптографических алгоритмов помогает защитить конфиденциальность информации вне зависимости от модели облака. Это особенно актуально для IaaS, где данные могут сохраняться на распределённых физических ресурсах [3].
• Многофакторная аутентификация и управление доступом (IAM). Надёжная система контроля доступа, включающая использование MFA, позволяет снизить риск несанкционированного доступа в рамках PaaS и IaaS [7].
• Регулярный аудит и применение стандартных моделей безопасности. Внедрение рекомендаций международных стандартов (ISO/IEC 27017, NIST) позволяет создавать унифицированные процедуры защиты, которые включают оценку уязвимостей, тестирование на проникновение и контроль конфигураций [9].
• Изоляция ресурсов и сегментация сети. Для защиты многопользовательских сред в PaaS важны меры по обеспечению изоляции вычислительных ресурсов, что снижает риск атак через совместное использование инфраструктуры [6].

Для наглядного отображения основных угроз и соответствующих мер защиты для каждой модели облачных сервисов представлена таблица 2.

Таблица 2.

Основные угрозы и меры, применяемые для защиты моделей облачных сервисов [2,3,6,7]

Таким образом, исследование угроз информационной безопасности в облачных средах показывает, что каждая модель (SaaS, PaaS и IaaS) характеризуется специфичным набором рисков, обусловленных особенностями архитектуры и модели управления данными. Применение современных методов защиты – от использования машинного обучения для обнаружения атак до строгих механизмов контроля доступа и шифрования – позволяет снизить уязвимости системы. Комплексный подход, основанный на интеграции технических, организационных и нормативных мер, обеспечивает высокий уровень безопасности важной информации в условиях динамичного развития цифровой экономики.

При планировании и реализации проектов ИБ главным этапом является формулирование стратегических задач и выбор соответствующей методологии. Эффективная стратегия реализации должна включать этапы, которые для наглядности отражены на рисунке 1.

Рисунок 1. Этапы, из которых состоит эффективная стратегия реализации проектов ИБ [1, 2, 3, 8].

Эффективная реализация проектов ИБ невозможна без опоры на нормативно-правовые документы и международные стандарты, которые задают требования к конфиденциальности, целостности и доступности информации. В частности, важно учитывать следующие аспекты:

• Международные стандарты. Стандарты ISO/IEC 27017:2015 и ISO/IEC 27018:2019 предоставляют практические рекомендации по управлению информационной безопасностью облачных сервисов, обеспечивая рекомендации как для провайдеров, так и для конечных пользователей. Дополнительно, документы NIST SP 800-145, SP 800-146 и SP 500-292 являются основополагающими в понимании архитектурных особенностей и принципов управления облачными вычислениями.
• Национальные инициативы и законодательство. В рамках государственной политики по цифровизации и обеспечению информационной безопасности реализуются программы «Цифровая экономика» и «Импортозамещение», направленные на поддержку отечественных технологий и защиту важной информации. В Республике Казахстан, например, принят национальный стандарт СТ РК ISO/IEC 27017-2015, что соответствует международным требованиям и обеспечивает высокий уровень защиты облачных сервисов.
• Внутренние регламенты и аудит. Обязательным условием успешной реализации является проведение регулярных аудитов и тестирований, направленных на контроль соответствия реализованных мер действующим стандартам. Это позволяет своевременно выявлять уязвимости и корректировать защитные механизмы [3].

Практические кейсы демонстрируют, как комплексный подход к реализации ИБ в облачных средах способствует повышению устойчивости цифровых систем. Примерами успешной интеграции мер защиты могут служить:

• Финансовый сектор. Компания «Яндекс.Облако» активно внедряет комплексные решения по обеспечению безопасности, включая использование современных криптографических алгоритмов, многофакторной аутентификации и систем мониторинга. Данные меры позволили повысить надёжность платформы, что подтверждается большим ростом доверия со стороны крупных клиентов [3].
• Образовательный сектор. Университеты, использующие облачные решения для управления образовательными сервисами, применяют методы защиты данных, включая резервное копирование, сегментацию сети и регулярные аудиты. Это способствует повышению надежности и доступности образовательных продуктов [3].

Практическая реализация проектов информационной безопасности в облачных средах требует комплексного, многоуровневого подхода. Интеграция технических мер (шифрование, IDS/IPS, многофакторная аутентификация) с организационными и нормативными решениями (аудит, стандартизация, государственные программы) позволяет снизить киберриски. Кейсы из финансового, государственного и образовательного секторов демонстрируют, что применение передовых методов и соблюдение международных стандартов формирует базу для устойчивой и безопасной цифровой инфраструктуры

Заключение

Реализация проектов информационной безопасности в облачных средах требует интегрированного, многоуровневого подхода, сочетающего передовые технические средства, организационные и управленческие решения, а также соблюдение нормативно-правовых требований и международных стандартов. Проведённый анализ архитектурных особенностей моделей SaaS, PaaS и IaaS, а также сравнительный обзор угроз и методов защиты демонстрируют, что комплексное внедрение мер, таких как шифрование данных, многофакторная аутентификация, системы обнаружения вторжений (IDS/IPS) и современные алгоритмы машинного обучения, повышает устойчивость информационных систем к кибератакам. Рассмотренные кейсы из финансового, государственного и образовательного секторов подтверждают, что синергия между техническими решениями и стратегическим планированием позволяет создать надёжную и масштабируемую цифровую инфраструктуру. Выдвинутая авторская гипотеза подтверждается: системное применение комплексных мер информационной безопасности способствует не только минимизации потенциальных рисков, но и формированию единой концептуальной модели защиты, соответствующей современным требованиям цифровой экономики. Перспективы дальнейших исследований связаны с развитием технологий обнаружения угроз, совершенствованием методов анализа и интеграцией искусственного интеллекта в процессы обеспечения безопасности, что позволит ещё более эффективно противостоять новым вызовам в области кибербезопасности.

Список литературы:

1. Айтхожаева Е., Ким Э. Стандартизация информационной безопасности облачных сервисов //Вестник КазАТК. – 2024. – №. 2 (131). – С. 393-403.
2.  Fatima E., Sumra I. A., Naveed R. A comprehensive survey on security threats and challenges in cloud computing models (SaaS, PaaS and IaaS) //Journal of Computing & Biomedical Informatics. – 2024. – №. 1 (7). – С. 537-544.
3. Репина М. О. развитие облачных технологий в России: архитектура решений и перспективы //Russian Journal of Innovation Economics. – 2024. – №. 4 (14). – С.1-22.
4. Журавлев К. О., Туякбасарова Н. А. Преимущества и недостатки моделей облачных сервисов //Наука и практика регионов. – 2021. – №. 1. – С. 82-87.
5. Романович К. А., Машек В. Р. Актуальные уязвимости облачных хранилищ и способы борьбы с ними //Инженерные и информационные технологии, экономика и менеджмент в промышленности. – 2020. – С. 292-295.
6. Isharufe W., Jaafar F., Butakov S. Study of security issues in platform-as-a-service (PaaS) cloud model // 2020 International Conference on Electrical, Communication, and Computer Engineering (ICECCE). – IEEE, 2020. – С. 1-6.
7. Almadhoor L., bd El-Aziz A. A., Hamdi H. Detecting malware infection on infrastructure hosted in IaaS cloud using cloud visibility and forensics //International Journal of Advanced Computer Science and Applications. – 2021. – №. 6 (12). - С.2-9.
8. Tripathy D., Gohil R., Halabi T. Detecting SQL injection attacks in cloud SaaS using machine learning //2020 IEEE 6th Intl Conference on Big Data Security on Cloud (BigDataSecurity), IEEE Intl Conference on High Performance and Smart Computing,(HPSC) and IEEE Intl Conference on Intelligent Data and Security (IDS). – IEEE, 2020. – С. 145-150.
9. Савельев И. А., Боровская О. Е. Современные подходы к комплексному обеспечению информационной безопасности в облаке //Правовая информатика. – 2023. – №. 3. – С. 89-96.
10. Михайлов А. Ю. Инновационные вычисления и блокчейн-технологии в сельском хозяйстве для ускорения экономической интеграции между Российской Федерацией, Китаем и Белоруссией //E-Management. – 2024. – №. 4 (7). – С. 15-26.
11. Digital Transformation Market Definition.  [Электронный ресурс] Режим доступа: https://www.thebusinessresearchcompany.com/report/digital-transformation-global-market-report (date of request: 04/14/2025).