Data Science

ОВ. Клиентские инструменты обеспечения безопасности

Клиентские инструменты обеспечения безопасности

Кратко:

  • Ответственность за безопасность в облаке разделена между провайдером и пользователем.
  • Инструменты для защиты ресурсов и данных в облаке: группы безопасности, NAT, сервисы платформы безопасности, ПО в Marketplace.
  • Контроль доступа: сервис IAM для идентификации пользователей и управления доступом к ресурсам.
  • Шифрование данных: сервис KMS для создания ключей шифрования и управления ими, сервис Lockbox для защиты секретов.
  • Защита передаваемых данных: использование сертификатов с помощью сервиса Certificate Manager.
  • Сетевая безопасность: управление входящим и исходящим трафиком с помощью балансировщика нагрузки и групп безопасности.
  • Безопасный доступ к облачной инфраструктуре с помощью виртуальных каналов VPN и сервиса Cloud Interconnect.
  • Мониторинг доступности ресурсов: сервис Yandex Monitoring.
  • Внешнее сканирование безопасности: проведение пентестов по согласованию с Yandex Cloud.
  • Marketplace: комплексные системы защиты ресурсов, межсетевые экраны, образы для развёртывания серверов удалённого доступа.
  • ПО в Marketplace: оплата по моделям Pay as you go или BYOL.

Клиентские инструменты обеспечения безопасности

Ответственность за безопасную работу в облаке разделяется между провайдером и пользователем. На прошлом уроке мы выяснили, что для безопасности делает облачный провайдер. Теперь давайте рассмотрим, какими инструментами для защиты своих ресурсов и данных в облаке располагает пользователь.
Некоторые из этих инструментов — например, группы безопасности или NAT — доступны при настройке ресурсов. Некоторые представлены в виде отдельных сервисов платформы безопасности. Кроме того, нужное ПО можно найти в Marketplace облака.
image
В этом уроке мы сделаем краткий обзор имеющихся инструментов. Подробно они будут разбираться в следующих темах.

Контроль доступа

За идентификацию пользователей и контроль доступа к ресурсам отвечает сервис IAM (Identity and Access Management). Сервис даёт возможность настроить права доступа: вы определяете, кто и какие права имеет на конкретный ресурс, а IAM предоставляет к нему доступ в соответствии с назначенными правами.
С помощью IAM вы можете:
  • добавлять и удалять пользователей своих ресурсов;
  • тонко управлять правами доступа, назначая и отзывая роли;
  • создавать сервисные аккаунты — специальные учётные записи, от имени которых программы могут управлять ресурсами в Yandex Cloud;
  • получать IAM-токен, необходимый для авторизации в API Yandex Cloud и выполнения операций с ресурсами.

Шифрование данных

Для защиты конфиденциальности и целостности пользовательских данных Yandex Cloud использует их шифрование. При этом возможность использовать криптографическую защиту данных есть и у самого пользователя.
С помощью сервиса KMS (Key Management Service) вы можете:
  • создавать ключи шифрования и управлять ими;
  • использовать ключи в популярных библиотеках;
  • шифровать и расшифровывать данные небольшого объёма;
  • организовывать криптографическую защиту больших объёмов данных с использованием схемы envelope encryption.
Сервис Lockbox помогает защитить ваши секреты, то есть любую информацию, которую нужно хранить в тайне. Это могут быть, например, логины и пароли или ключи сервисного аккаунта.
Используйте Lockbox, чтобы обеспечить:
  • безопасное хранение и доступ к значениям секретов;
  • централизованное хранение секретов в облаке;
  • удобное управление жизненным циклом секретов.
Чтобы защищать передаваемые данные с использованием протокола HTTPS, необходимо использовать сертификаты. Управлять жизненным циклом сертификатов — устанавливать их, отслеживать окончание срока действия, формировать запросы на получение новых — можно с помощью сервиса Certificate Manager.

Сетевая безопасность

Важным элементом безопасности является защита виртуальных сетей. Чтобы её обеспечить, нужно управлять входящим и исходящим трафиком, а также трафиком между сетями в облаке.
Для управления входящим трафиком используется балансировщик нагрузки. Он позволяет снизить риски для безопасности, поскольку уменьшает поверхность атаки и ограничивает трафик на виртуальные машины только необходимыми протоколами. Балансировщик может быть интегрирован с сервисом DDoS Protection для защиты от DDoS-атак.
Чтобы управлять исходящим трафиком, рекомендуется предоставлять виртуальным машинам доступ в интернет через NAT (Network Address Translation) — механизм преобразования сетевых адресов, который работает в качестве сетевого шлюза или прокси-сервера.
Контроль над всеми видами трафика обеспечивается группами безопасности. Этот инструмент — фактически набор правил получения и отправки трафика — позволяет управлять доступом виртуальных машин к ресурсам, расположенным в облаке или в интернете.
Безопасный доступ к облачной инфраструктуре можно обеспечить с помощью виртуальных каналов VPN (Virtual Private Network). Для этого на отдельной виртуальной машине настраивают VPN-сервер или используют готовые образы VPN-серверов из Marketplace.
Выделенное сетевое соединение между локальной инфраструктурой и ресурсами в облаке организуют при помощи сервиса Cloud Interconnect. Такое соединение надёжнее, быстрее и безопаснее подключения через интернет.

Мониторинг доступности ресурсов

Одним из принципов информационной безопасности является обеспечение доступности ресурсов. Но только спроектировать систему в соответствии с этим принципом недостаточно. Нужно иметь инструменты, позволяющие контролировать работу ваших ресурсов.
Для этих целей предназначен сервис Yandex Monitoring. О его возможностях подробно рассказывается в курсе «DevOps и автоматизация».

Внешнее сканирование безопасности

Чтобы убедиться в том, что ваша система хорошо защищена, её можно проверить на наличие уязвимостей. Для этого проводят внешний поиск уязвимостей (пентесты).
Внешнее сканирование безопасности может проводиться как самим пользователем, так и привлечённым подрядчиком. В любом случае обязательно делать это по согласованию с Yandex Cloud и в соответствии с правилами организации сканирования.
Для проведения пентеста нужно отправить анкету в службу технической поддержки и получить одобрение этой заявки со стороны службы информационной безопасности.

Marketplace

Необходимые вам инструменты обеспечения безопасности можно найти и в Marketplace. В нём размещено несколько комплексных систем защиты ресурсов, межсетевых экранов, в том числе для веб-приложений (WAF, Web Application Firewall), образы для развёртывания серверов удалённого доступа OpenVPN и IPSec VPN.
ПО в Marketplace в основном платное. Оплата производится по моделям Pay as you go или BYOL. В первом случае тарифицируется только время фактического использования ПО. Во втором вам понадобится приобрести у поставщика ПО собственную лицензию.
 
Поздравляем! Вы завершили тему «Основы безопасности в облаке». В следующих темах этого курса вы научитесь защищать свои облачные ресурсы на практике.

 

Категория: Cloud Services Engineer
Просмотров: 134