Yandex Cloud. Эпизод 2. Разделяемая ответственность (shared responsibility). На стороне клиента

В предыдущей статье подробно описывалось разделение ответственности для различных моделей использования облачных сервисов и что Yandex Cloud делает для обеспечения безопасности. Этот материал посвящён возможностям клиентов облака.

Ещё про разделение ответственностиЕщё про разделение ответственности

Концепция разделения ответственности проходит сквозь большинство типичных процессов безопасности. Например, процесс мониторинга лежит как на облачном провайдере (он должен успевать реагировать на потенциальные угрозы для своей инфраструктуры и сервисов), так и на конечном клиенте облака (прикладная часть системы находится под контролем клиента, а значит, безопасность на этом уровне настраивает клиент).

Ответственность за соблюдение требований законодательства тоже в определённой степени разделяется, ведь без помощи со стороны провайдера у клиента практически нет возможности соблюсти требования регулирующих документов, так как доступа на уровне инфраструктуры облака у клиента нет, а требования обычно предусматривают меры в части физической безопасности и инфраструктуры виртуализации. С другой стороны, и провайдер не имеет возможности полностью выполнить все меры в отношении системы клиента «из коробки», так как в каждом случае приведение системы, размещаемой в облаке, в соответствие с требованиями стандарта — это отдельный проект, который требуется выполнять для каждой системы. Максимум, что может предложить провайдер — это типовую услугу для реализации таких проектов.

Ещё одна особенность облака связана с возможностями, которые используются для обеспечения безопасности конечной системы. В некоторых ситуациях заменить механизмы более привычными просто не получится. К числу таких средств безопасности можно отнести сервис IAM — без него невозможна работа с облаком в принципе, следовательно, конечная система должна учитывать особенности этого сервиса.

Возможности обеспечения безопасности, которые есть у клиентовВозможности обеспечения безопасности, которые есть у клиентов

Последний штрих в безопасности системы клиента в облаке — это её защита в части зоны ответственности клиента. Для этого можно использовать как привычные инструменты «из мира собственных локальных инфраструктур», так и некоторые готовые облачные сервисы. Итоговый выбор за клиентом, но с частью облачных сервисов безопасности придётся научиться работать в любом случае. Ниже кратко разобраны основные аспекты выстраивания безопасности на стороне клиентской системы в облаке.

Управление доступом пользователейУправление доступом пользователей

Управление учётными записями — это одна из важнейших возможностей клиентов облака для обеспечения безопасности. Для IaaS, PaaS и SaaS управление учётными записями и доступом является общей ответственностью, требующей настройки контроля доступа на основе ролей и применения различных способов аутентификации, контроля и мониторинга. В Yandex Cloud на данный момент пользователям доступны следующие виды аккаунтов:

• Аккаунты на Яндексе. Для аутентификации необходимо использовать логин и пароль либо ПИН-код и приложение Яндекс.Ключ, если настроена двухфакторная аутентификация.
• Федеративные аккаунты. Сервис IAM принимает от стороннего поставщика удостоверений (identity provider) подписанный SAML-токен, который содержит информацию об аутентифицированном пользователе.
• Сервисные аккаунты — особый тип аккаунтов, которые используются для доступа к ресурсам Yandex Cloud от имени приложения.

То есть, провайдер предоставляет способы идентификации/аутентификации, а пользователь уже самостоятельно выбирает наиболее подходящий в зависимости от своего сценария применения облачной платформы.

Управление ресурсамиУправление ресурсами

С помощью механизма управления ресурсами и назначения ролей пользователь может довольно точно ограничить права групп пользователей (в соответствии с собственной моделью доступа), тем самым реализуя концепцию separation of duties. Для упрощения этой задачи платформа предлагает большой выбор сервисных ролей, которые реализуют множество сценариев доступа к ресурсам.

Сетевая безопасность и контроль сетиСетевая безопасность и контроль сети

Сетевой контроль на стороне клиента включает в себя настройку и использование сетевых средств безопасности, таких как VPN, балансировщики нагрузки (load balancers), шлюзы и прочее.

• В решениях SaaS управление и безопасность для клиента заключается в настройке программного обеспечения, так как конфигурация сети выполняется поставщиком услуг.
• В решениях IaaS клиент разделяет с облачным провайдером ответственность за развёртывание, защиту, настройку сетевых решений и управление ими.

Для защиты виртуальных машин и выделения зон разного уровня безопасности пользователям также доступен механизм групп безопасности (security groups). Для повышения доступности инфраструктуры в Yandex Cloud есть возможность управлять входящим и исходящим интернет-трафиком, в том числе с помощью балансировщика нагрузки Yandex Network Load Balancer, а также сегментировать виртуальные сети среды Yandex Cloud. Балансировщик нагрузки может быть интегрирован с сервисом для защиты от DDoS атак — Yandex DDoS Protection, который защитит ваш сервис от DDoS-атак. Для защиты от атак на уровне L7 рекомендуется использовать виртуальные образы или облачные сервисы с web application firewall (WAF).

Связь с локальной инфраструктурой можно обеспечивать с помощью VPN-инстанса, сетевых образов из Cloud Marketplace или Yandex Cloud Interconnect.

Выделенный хостВыделенный хост

Выделенный хост — физический сервер, предназначенный для размещения виртуальных машин только одного клиента в Yandex Cloud. Эта возможность помогает в ряде сценариев, не связанных с безопасностью, и, в том числе, обеспечивает физическую изоляцию от виртуальных машин других пользователей, что может быть полезно при обработке высоко критичных данных в облаке.

Защита данныхЗащита данных

Для шифрования данных на управляемых пользователем ключах у клиентов Yandex Cloud есть возможность применять сервис Yandex Key Management Service. Сервис предназначен для управления криптографическими ключами пользователя и предоставляет возможность шифрования данных при сохранении пользовательского контроля над ключами шифрования. Отдельного внимания заслуживает интеграция сервиса KMS с хранилищем данных Yandex Object Storage: в этом случае пользователю достаточно указать ключ KMS, на котором необходимо шифровать данные бакета, и все данные будут защищены с помощью указанного ключа, а просмотр или модификация данных станут невозможны без прав доступа на указанных ключ. Таким образом, можно контролировать использование данных.

ЗаключениеЗаключение

Компаниям, которые хотят перейти в облако, важно понимать модель разделения ответственности. Облачные провайдеры прилагают значительные усилия и предлагают очень много возможностей для обеспечения безопасности и соответствия нормативным требованиям, но эти преимущества не освобождают клиента от защиты своих пользователей и приложений.

При выборе облачной платформы вам придётся понять, как, сочетая привычные вам средства безопасности и облачную функциональность защиты, обеспечить безопасность системы в облаке в рамках своей зоны ответственности. Облачный провайдер заинтересован помогать конечным пользователям, поэтому регулярно рассказывает подробности о безопасности на своей стороне и о деталях сервисов безопасности платформы, которые полезны для безопасности конечных систем клиентов облака.