Средства защиты, доступные пользователям облачных сервисов
Системы аутентификации
На данный момент пользователям доступны следующие виды аккаунтов в Облаке:
Аккаунты на Яндекс.Паспорте
Для аутентификации через Яндекс.Паспорт необходимо использовать логин и пароль либо пин-код и приложение Яндекс.Ключ, если настроена двухфакторная аутентификация.
Если аутентификация успешна, то Яндекс.Паспорт устанавливает в браузере пользователя cookie на домен yandex.TLD. Аутентификация пользователя и установка cookie проходят в сервисе Яндекс.Паспорт, в котором, в том числе, хранятся криптографические ключи для контроля целостности cookie.
Cookie впоследствии используется сервисом IAM для аутентификации пользователя и выдачи ему IAM-токена для доступа к API Яндекс.Облака. Криптографические ключи, использующиеся для контроля целостности IAM-токена, хранятся в сервисе IAM.
Для работы с командной строкой (CLI) Яндекс.Паспорт выдает пользователю OAuth-токен, который хранится на диске пользователя и используется для получения временного IAM-токена. Во всех случаях время жизни IAM-токена — 24 часа, время жизни OAuth-токена — один год с момента выдачи. Криптографические ключи, использующиеся для контроля целостности OAuth-токена, хранятся в сервисе Яндекс.Паспорт.
Федеративные аккаунты
В случае использования федерации удостоверений сервис IAM принимает от стороннего поставщика удостоверений (Identity Provider) подписанный SAML-токен, который содержит информацию об аутентифицированном пользователе.
Ключ криптографической подписи SAML-токенов хранится у поставщика удостоверений клиента, поэтому управление этим ключом, его безопасное хранение и использование является ответственностью клиента. Открытая часть ключа, использующаяся для проверки подписи SAML-токенов, устанавливается клиентом при настройке федерации удостоверений и впоследствии хранится в сервисе IAM.
После получения и проверки подписи SAML-токена сервис IAM устанавливает пользователю cookie на домен cloud.yandex.TLD. Криптографические ключи, использующиеся для контроля целостности cookie, хранятся и управляются в сервисе IAM.
Сервисные аккаунты
Сервисные аккаунты представляют собой особый тип аккаунтов, которые используются для доступа к ресурсам Облака от имени приложения. Сервисные аккаунты могут аутентифицироваться при помощи:
- авторизованных ключей — RSA-ключей, которые генерируются в сервисе IAM и становятся доступными для скачивания пользователю один раз сразу после создания. В сервисе IAM хранится только открытая часть ключа, закрытая часть хранится у пользователя. Обеспечение безопасности закрытой части — ответственность пользователя.
- статических ключей, которые используются для доступа к сервисам Message Queue (YMQ) и Yandex Object Storage. Копия статических ключей выдается пользователю сразу после их создания сервисом IAM. Статические ключи хранятся в сервисе IAM и нужны для проверки целостности запросов к YMQ и Yandex Object Storage. Статические ключи хранятся в сервисе IAM.
- API-ключей, который служит для доступа к API Облака. API-ключи хранятся в сервисе IAM.
Сетевая безопасность
Для защиты облачной сети инфраструктуры, размещенной в Яндекс.Облаке, рекомендуется управлять входящим и исходящим интернет-трафиком, а также разделять среды Облака на сегменты, исходя из задач.
Для управления входящим интернет-трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов и использовать балансировщик нагрузки. Это позволит сократить поверхность атаки и ограничить трафик на виртуальные машины необходимыми протоколами.
Балансировщик нагрузки может быть интегрирован с сервисом Yandex DDoS Protection, который защитит ваш сервис от DDoS-атак. Для защиты от атак на уровне L7 рекомендуется использовать виртуальные образы или облачные сервисы с защитным экраном Web Application Firewall (WAF).
Для управления исходящим трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов, предоставляя им доступ в интернет через NAT-инстанс, который выполняет функцию сетевого шлюза или прокси-сервера.
Для сегментирования доступа в Облаке можно создать отдельную сеть для каждой из команд разработки или для каждой из сред компании (dev-stage-prod). При таком подходе для связки сетей между собой рекомендуется использовать образы сетевых устройств, доступные в Yandex Cloud Marketplace, чтобы контролировать сетевые потоки между сегментами.
Связь с локальной инфраструктурой или интернетом рекомендуется обеспечивать с помощью VPN-инстанса, сетевых образов из Yandex Cloud Marketplace или Yandex Interconnect.
Дополнительные инструменты защиты данных
Облако защищает данные клиентов криптографическими средствами, при этом пользователь может дополнительно защищать свои данные с помощью сервиса KMS (Key Management Service). Он предназначен для управления криптографическими ключами пользователя в Облаке и предоставляет дополнительные возможности по шифрованию данных.
Дополнительную информацию можно узнать в документации сервиса Yandex Key Management Service.