Data Science

BVS. Принципы обеспечения сетевой безопасности

Принципы обеспечения сетевой безопасности

Кратко:

  • Обеспечение сетевой безопасности в облачных сетях важно для их надежного функционирования.
  • Высокая доступность ресурсов достигается путем размещения их в нескольких зонах доступности.
  • Создание периметра безопасности включает использование трансляции адресов (NAT) и ограничение числа открытых портов и IP-адресов.
  • Принцип наименьших привилегий требует связывания ресурсов только с теми, которые необходимы для их корректной работы.
  • Группы безопасности определяют правила для получения и отправки трафика и ограничивают доступ к ресурсам.
  • Использование VPN-шлюзов и сервисов защиты от DDoS-атак помогает обеспечить безопасность облачной инфраструктуры.

Принципы обеспечения сетевой безопасности

Чтобы передавать информацию между ресурсами облака и подключить облако к интернету, нужны облачные сети. В курсе «Виртуальные машины» вы уже познакомились с сервисом Yandex Virtual Private Cloud. С помощью этого сервиса создают сети и подсети в разных зонах доступности Yandex Cloud, назначают облачным ресурсам — виртуальным машинам и кластерам баз данных — внутренние и публичные IP-адреса, конфигурируют сеть так, чтобы она работала надёжно и безопасно.
На этом уроке мы разберём принципы, лежащие в основе безопасного функционирования облачных сетей. Их общую архитектуру можно представить следующим образом.
image
По этой схеме можно понять, какие механизмы и инструменты обеспечения безопасности следует использовать.

Доступность ресурсов

Прежде всего, сеть должна надёжно выполнять свои функции — в том числе, обеспечивать высокую доступность ресурсов. Для этого в Yandex Cloud используются три зоны доступности. Облачная сеть является глобальным объектом, а в зонах доступности размещаются зональные элементы инфраструктуры — например, виртуальные машины. Для связи элементов внутри каждой зоны создаются подсети.
Чтобы обеспечить высокую доступность ресурсов, следует размещать их в нескольких зонах доступности. Некоторые сервисы, например, управляемые базы данных, поддерживают размещение хостов в разных дата-центрах сразу из коробки.

Периметр безопасности

Следующий принцип построения сетей — создание периметра безопасности. Идея заключается в том, чтобы предусмотреть минимально необходимое количество точек выхода в интернет и обеспечить их защиту.
Здесь напрашивается аналогия. Представьте две крепости. В первую можно войти только через одни хорошо укреплённые ворота. Во вторую — через несколько ворот: часть из них укреплена хорошо, часть — так себе, а о существовании одного прохода с обычной калиткой помнят лишь немногие старожилы. Не надо быть Сунь-Цзы, чтобы сказать, какую из крепостей легче защитить в случае атаки неприятеля.
Для построения периметра безопасности используются следующие подходы:
  • В сети создают несколько подсетей с разными политиками выхода в интернет с помощью трансляции адресов (NAT). В Yandex Cloud есть два варианта: непосредственно включить NAT для подсети или создать NAT-инстанс — хост с сетевым интерфейсом, публичным IP-адресом и преднастроенными правилами маршрутизации и трансляции IP-адресов, через который ресурсы подсети получат доступ в интернет. NAT обеспечивает сетевую безопасность за счёт того, что сетевая топология и внутренние IP-адреса ресурсов не видны из-за пределов сети. Однако нужно понимать, что сам по себе NAT не может заменить межсетевые экраны.
  • Если виртуальной машине не нужна связь с ресурсами в интернете, её следует размещать в подсети, для которой выход в интернет отключён.
  • Для работы со входящим трафиком следует использовать лишь минимально необходимое число открытых портов и внешних IP-адресов для подключения. Целесообразно использовать сетевой балансировщик трафика для группы виртуальных машин во внутренней сети.
  • Безопасно администрировать виртуальные машины можно через консоль управления Yandex Cloud. Также поможет VPN-шлюз на виртуальной машине с внешним IP-адресом. Это позволит сократить количество внешних адресов и открытых портов для обслуживания облачной инфраструктуры.
  • Для ресурсов с внешними IP-адресами следует включить сервис защиты от DDoS-атак. Этот сервис помогает бороться с атаками на уровень L7 сетевой модели OSI, которые направлены на исчерпание ёмкости канала и вычислительных ресурсов виртуальных машин. Для защиты веб-ресурсов в этом случае можно использовать один из сервисов WAF (Web Application Firewall), доступных на Marketplace.

Принцип наименьших привилегий

Третий элемент обеспечения сетевой безопасности в облаке — реализация принципа наименьших привилегий. Этот принцип требует, чтобы каждый ресурс в вашем облаке был связан только с теми ресурсами в облаке или интернете, которые необходимы для его корректной работы.
Чтобы реализовать этот принцип на практике, используют группы безопасности. Такая группа назначается сетевому интерфейсу при создании или изменении виртуальной машины. Она содержит правила, которые определяют протоколы и IP-адреса для получения и отправки трафика. Группы безопасности действуют по принципу «запрещено всё, что не разрешено».
В группе безопасности может быть определено несколько правил, а для одной виртуальной машины можно назначить несколько групп. То, что может делать виртуальная машина в сети, определяется совокупностью всех правил назначенных для нее групп безопасности. Подробнее о том, как использовать группы безопасности, вы узнаете на одном из следующих уроков.
 
В чём заключается основная идея принципа наименьших привилегий, используемого для обеспечения информационной безопасности инфраструктуры?
 
Правильный ответ:
  • Каждый элемент должен иметь доступ только к той информации и ресурсам, которые необходимы для их функционирования

 

Категория: Cloud Services Engineer
Просмотров: 162