Как Yandex Cloud защищает облачную инфраструктуру и сервисы
Кратко:
- Безопасность облачной инфраструктуры и сервисов требует технических и организационных мер.
- Облачный провайдер выполняет часть мер по обеспечению безопасности.
- Yandex Cloud имеет аттестат соответствия требованиям российского законодательства по защите персональных данных.
- Yandex Cloud выполняет ключевые требования GDPR и имеет сертификаты соответствия стандартам информационной безопасности.
- Разделение ответственности между облачным провайдером и пользователем в случае обработки персональных данных.
- Система управления информационной безопасностью Yandex Cloud соответствует стандартам ISO/IEC 27001, ISO/IEC 27017 и ISO/IEC 27018.
- Yandex Cloud имеет сертификаты соответствия стандартам PCI DSS и ГОСТ Р 57580.1-2017.
- Концепция разделения ответственности между облачным провайдером и пользователем.
Как Yandex Cloud защищает облачную инфраструктуру и сервисы
На предыдущем уроке мы выяснили, что для обеспечения безопасности требуется предпринять целый набор мер: технических и организационных. Хорошая новость заключается в том, что, если вы работаете в облаке, часть этих мер выполняет облачный провайдер.
Возникает вопрос: а насколько можно быть уверенным, что облачный провайдер выполняет эти меры и обеспечивает высокий уровень безопасности своего облака? Чтобы ответить на этот вопрос, нужно посмотреть, какие аттестаты, сертификаты и (или) другие заключения о соответствии он имеет.
Давайте разберемся на примере Yandex Cloud.
Информацию об относящихся к информационной безопасности аттестатах и сертификатах вы найдете в соответствующем разделе сайта Yandex Cloud. В этом разделе вы увидите, что Yandex Cloud имеет аттестат соответствия своей ИСПДн (информационной системы персональных данных) требованиям российского законодательства по защите персональных данных и обеспечивает первый уровень защищенности. То есть пользователи Yandex Cloud могут работать в облаке с персональными данными любой категории.
В заключении о соответствии приведена информация о том, какие меры для обеспечения первого уровня защищенности персональных данных предпринимает Yandex Cloud, а какие понадобится выполнить пользователю. Есть также краткая памятка, содержащая примерный перечень шагов, которые пользователю облака нужно будет сделать на своей стороне.
Здесь важно подчеркнуть: когда вы как оператор размещаете персональные данные в облаке, то вы поручаете облачному провайдеру лишь их обработку. Иными словами, вы не передаёте Yandex Cloud свои функции оператора персональных данных и связанную с этим ответственность. Это четко прописано в договоре: Yandex Cloud обязуется соблюдать конфиденциальность персональных данных, обеспечивать их безопасность при обработке и выполнять все установленные законодательством требования к защите обрабатываемых персональных данных.
Yandex Cloud выполняет ключевые требования GDPR (General Data Protection Regulation):
- предпринимает меры по защите данных;
- поддерживает процессы обработки обращений, связанных с получением, изменением и удалением персональных данных;
- информирует заказчиков в случае возникновения инцидентов.
Такие обязательства, как правило, включены в соглашение об обработке данных.
В этом же разделе вы найдёте информацию об имеющихся у Yandex Cloud сертификатах соответствия стандартам информационной безопасности.
В частности, система управления информационной безопасностью Yandex Cloud прошла аудит и получила сертификаты соответствия стандартам ISO/IEC 27001, ISO/IEC 27017 и ISO/IEC 27018.
Ещё у Yandex Cloud есть сертификаты соответствия стандартам PCI DSS и ГОСТ Р 57580.1-2017. Иными словами, на платформе Yandex Cloud пользователи могут создавать информационные системы или приложения, работающие с данными платежных карт и финансовыми или банковскими операциями. Чтобы узнать, как разделяется ответственность между облаком и пользователем в этих случаях, посмотрите матрицы разделения ответственности при выполнении требований PCI DSS или ГОСТ Р 57580.1-2017.
Важно понимать, что соответствие облачного провайдера и его облака каким-либо требованиям безопасности не означает, что система пользователя соответствует этим требованиям автоматически. Здесь работает концепция разделения ответственности, о которой мы говорили в первом уроке этой темы.
А теперь рассмотрим на примере Yandex Cloud, как облачные провайдеры обеспечивают безопасность системы.
Организационный уровень
В Yandex Cloud внедрена система управления информационной безопасностью (СУИБ), что подтверждается сертификатом соответствия стандарту ISO/IEC 27001.
СУИБ представляет собой набор политик и процедур, которые позволяют обеспечить информационную безопасность и минимизировать риски. В СУИБ включены следующие механизмы.
1. Инвентаризация активов. Это, прежде всего, учет систем, которые обрабатывают данные клиентов. Правила использования информации и активов, которые связаны с обработкой информации, описаны во внутренних документах организации и регулярно объясняются сотрудникам. При увольнении сотрудники возвращают все корпоративные активы, а доступ к системам отзывается автоматически.
2. Контроль доступа. Доступ к помещениям, зонам безопасности, серверным и сетевым ресурсам имеет только авторизованный персонал. У сотрудников есть доступ только к тем ресурсам, которые они должны использовать по должностным обязанностям.
3. Организация физической безопасности. Аппаратные ресурсы Yandex Cloud располагаются в собственных дата-центрах. Доступ в помещения дата-центров контролируется, а все помещения оборудованы системами видеонаблюдения.
4. Управление обновлениями и уязвимостями. Перед запуском в рабочей среде все обновляемые системы тестируются на наличие уязвимостей. За сроками установки обновлений ведется автоматический контроль.
5. Проведение внутренних и внешних аудитов, а также тестов на проникновение для проверки эффективности процессов обеспечения информационной безопасности.
6. Управление инцидентами. Инциденты — это любые события, которые нарушают или снижают качество обслуживания (или могут стать причиной таких нежелательных последствий). Процесс управления инцидентами осуществляет центр операционной безопасности в составе службы информационной безопасности. В случае выявления каких-либо инцидентов пользователям направляются уведомления.
7. Управление персоналом для минимизации рисков, связанных с действиями сотрудников: проверка, обучение по регламентам информационной безопасности и т. д.
8. Система управления непрерывностью бизнеса, которая описывает последовательность действий сотрудников при возможных негативных сценариях. Эта система также предусматривает резервирование для всех критичных компонентов облачной платформы и хранилищ данных, что позволяет восстановить информацию пользователей в случае отказа оборудования.
Технический уровень
Владельцем данных всегда является пользователь облачной платформы. Все данные пользователей хранятся в так называемом слое данных (Storage Layer), который является ключевым элементом облачной платформы.
Чтобы обеспечить конфиденциальность и целостность данных, Yandex Cloud шифрует их на уровне физической инфраструктуры и на уровне Storage Layer.
Криптографическая защита применяется и в некоторых сервисах. Так, например, резервные копии, которые создаются сервисами управляемых баз данных, шифруются перед отправкой в хранилище. Кроме того, все передаваемые пользовательские данные шифруются с использованием протокола TLS.
Доступность данных в Storage Layer обеспечивается путем их размещения в трёх зонах доступности и репликации между зонами.
Чтобы избежать атак на инфраструктуру облака с пользовательских виртуальных машин, применяется механизм изоляции ресурсов.
Критические, с точки зрения безопасности, облачные сервисы изолируются физически: они запускаются на выделенных физических серверах и в изолированных сетях, где пользовательские виртуальные машины не создаются. Для пользовательских машин используется логическая изоляция на уровне гипервизора. Гипервизор — это системное приложение, которое управляет несколькими виртуальными машинами на одной физической машине и отвечает за то, чтобы они работали полностью отдельно друг от друга.
Для обеспечения безопасности Yandex Cloud использует и другие средства и методы защиты, в том числе:
- инструменты контроля выполнения AppArmor и Seccomp, которые формируют среду изоляции и отслеживают работу приложений;
- систему обнаружения вторжений, которая собирает логи с хостов (в том числе логи AppArmor и Seccomp), дополняет их при помощи утилиты osquery и отправляет в систему Security Information and Event Management (SIEM);
- несколько типов межсетевых экранов и пакетных фильтров;
- систему мониторинга и оповещения о подозрительном поведении.
В соответствии с СУИБ всё установленное ПО регулярно проверяется на наличие уязвимостей и обновляется до последних версий. Конфигурации операционных систем описываются кодом и хранятся в репозитории. Все изменения конфигураций перед переносом в продуктивную среду проходят обязательную проверку в тестовых средах.
Администраторы инфраструктуры и разработчики провайдера имеют доступ к продуктивной среде через бастионный хост, который записывает сессию пользователя. Информация из записанных сессий передается в SIEM и регулярно анализируется. Для доступа используются аппаратные ключи, на которых хранятся аутентификационные данные.
Еще один важный для безопасности аспект работы облачного провайдера заключается в том, чтобы предоставить пользователям эффективные инструменты защиты своих систем и данных. О них вы узнаете на следующем уроке.