Cloud trust, или Доверие к облачным технологиям
Три уровня безопасности в Yandex Cloud
Уровень платформы
Защита облачных сервисов и физическая безопасность дата-центров.
Уровень облачной инфраструктуры пользователя
Аутентификация, шифрование данных и мониторинг событий.
Уровень приложений и систем пользователя
Инструменты для безопасной разработки и запуска приложений.
Система управления информационной безопасностью (СУИБ) описывает процессы безопасной разработки, правила обновлений ПО и действия при возникновении инцидентов.
Изоляция ресурсов — размещение разных компонентов облачной системы на отдельных мощностях. Такие компоненты работают независимо друг от друга.
Изоляция ресурсов в Yandex Cloud делится на физическую и логическую.
Физическая изоляция
Разделение ресурсов в реальном мире, обычно путём размещения ресурсов на разных серверах или в разных ЦОД. Это высший уровень безопасности. Физическая изоляция в Yandex Cloud реализуется с применением групп хостов (серверов). Например, критические сервисы и приложения могут запускаться на одном сервере, а стандартные пользовательские виртуальные машины — на другом.
Логическая изоляция
Изоляция на виртуальном уровне с помощью Docker или других платформ виртуализации и контейнеризации. Она может происходить на уровне гипервизора и отдельных ядер или на уровне сети. Логическая изоляция более гибкая и экономичная, но менее надёжная по сравнению с физической.
Инструменты обеспечения безопасности
Yandex Identity and Access Management (IAM) — сервис идентификации и контроля доступа, который помогает централизованно управлять правами пользователей в Yandex Cloud. Права могут быть назначены на организацию, облако, каталог или отдельный ресурс.
Yandex Audit Trails — сервис сбора и выгрузки событий в Yandex Cloud. С его помощью можно настроить мониторинг событий организации, облака или отдельных каталогов.
Вот неполный список данных, которые умеет собирать Yandex Audit Trails:
- Создание/удаление сервисных аккаунтов
- Создание/удаление ключей сервисных аккаунтов
- Изменение ролей пользователей и сервисных аккаунтов
- Создание/удаление ресурсов
- Изменение настроек ресурсов
- Остановка/перезагрузка ресурса
- Изменение политик доступа
- Создание/изменение групп безопасности
- Действия с ключами шифрования и секретами
Key Management Service (KMS) — сервис создания криптографических ключей и управления ими. Эти ключи служат для шифрования секретов в Yandex Lockbox.
Yandex Lockbox — сервис для создания и хранения зашифрованных секретов.
Секреты — любая конфиденциальная информация в Yandex Cloud. К секретам относятся пары логин/пароль, ключи сервисных аккаунтов или сертификатов.
Три свойства KMS:
Можно шифровать как небольшие объёмы данных, к примеру пары логин/пароль, так и большие объёмы, например данные медицинской карты.
Можно назначать различные уровни доступа к секретам для разных команд и пользователей, обеспечивая принцип наименьших привилегий.
Можно отслеживать историю использования ключей, то есть всегда быть в курсе, кто из пользователей и когда применял тот или иной ключ.
Группы безопасности (Security Groups) позволяют ограничить доступ виртуальной машины к другим ресурсам и группам безопасности в Yandex Cloud или ресурсам в интернете. С помощью групп безопасности можно отфильтровать нежелательный сетевой трафик или уменьшить поверхность атаки на инфраструктуру.
Правила безопасности определяют:
- диапазон IP-адресов и портов, с которых разрешён входящий и исходящий трафик;
- сетевые протоколы, по которым осуществляется связь.
DDoS-атака — это отправка большого количества запросов к серверу, в результате чего блокируется обработка обращений и происходит отказ в обслуживании (denial of service).