Yandex.Cloud
  • Сервисы
  • Почему Yandex.Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Обзор платформы
  • Сервисы Yandex.Cloud
  • Мобильное приложение
    • Обзор
    • Для Android
    • Для iOS
  • Сопоставление с другими платформами
    • Обзор
    • Сопоставление с Amazon Web Services
    • Сопоставление с Google Cloud Platform
    • Сопоставление с Microsoft Azure
  • Зоны доступности
  • Начало работы
  • Стадии готовности сервисов
  • Квоты и лимиты
  • API
  • Безопасность и соответствие стандартам
    • Обзор
    • Архитектура платформы
    • Ключевые принципы безопасности
    • Разделение ответственности за обеспечение безопасности
    • Меры безопасности на стороне Yandex.Cloud
    • Соответствие требованиям
    • Средства защиты, доступные пользователям облачных сервисов
    • Бюллетени безопасности
    • Правила проведения внешних сканирований безопасности
  • Удаление данных пользователей
  • SLA
  • Вопросы и ответы
  1. Безопасность и соответствие стандартам
  2. Средства защиты, доступные пользователям облачных сервисов

Средства защиты, доступные пользователям облачных сервисов

  • Системы аутентификации
    • Аккаунты на Яндекс.Паспорте
    • Федеративные аккаунты
    • Сервисные аккаунты
  • Сетевая безопасность
  • Дополнительные инструменты защиты данных

Системы аутентификации

На данный момент пользователям доступны следующие виды аккаунтов в Yandex.Cloud:

  • Аккаунты на Яндекс.Паспорте
  • Федеративные аккаунты
  • Сервисные аккаунты

Аккаунты на Яндекс.Паспорте

Сервис Яндекс.Паспорт обеспечивает аутентификацию и авторизацию пользователей Яндекса, а также хранит личные данные пользователей. Для аутентификации через Яндекс.Паспорт необходимо использовать логин и пароль либо пин-код и приложение Яндекс.Ключ, если настроена двухфакторная аутентификация. Если аутентификация успешна, то Яндекс.Паспорт устанавливает в браузере пользователя cookie на домен yandex.TLD. Аутентификация пользователя и установка cookie проходят в Яндекс.Паспорте, который, в том числе, хранит криптографические ключи для контроля целостности cookie.

Cookie впоследствии используется сервисом IAM для аутентификации пользователя и выдачи ему IAM-токена для доступа к API Yandex.Cloud. Криптографические ключи, использующиеся для контроля целостности IAM-токена, хранятся в сервисе IAM.

Для работы с командной строкой (CLI) Яндекс.Паспорт выдает пользователю OAuth-токен, который хранится на диске пользователя и используется для получения временного IAM-токена. Во всех случаях время жизни IAM-токена — 24 часа, время жизни OAuth-токена — один год с момента выдачи. Криптографические ключи, использующиеся для контроля целостности OAuth-токена, хранятся в Яндекс.Паспорте.

Федеративные аккаунты

В случае использования федерации удостоверений сервис IAM принимает от стороннего поставщика удостоверений (Identity Provider) подписанный SAML-токен, который содержит информацию об аутентифицированном пользователе.

Ключ криптографической подписи SAML-токенов хранится у поставщика удостоверений клиента, поэтому управление этим ключом, его безопасное хранение и использование является ответственностью клиента. Открытая часть ключа, использующаяся для проверки подписи SAML-токенов, устанавливается клиентом при настройке федерации удостоверений и впоследствии хранится в сервисе IAM.

После получения и проверки подписи SAML-токена сервис IAM устанавливает пользователю cookie на домен cloud.yandex.TLD. Криптографические ключи, использующиеся для контроля целостности cookie, хранятся и управляются в сервисе IAM.

Сервисные аккаунты

Сервисные аккаунты представляют собой особый тип аккаунтов, которые используются для доступа к ресурсам Yandex.Cloud от имени приложения. Сервисные аккаунты могут аутентифицироваться при помощи ключей следующих видов:

  • Авторизованные ключи — RSA-ключи, которые генерируются в сервисе IAM и становятся доступными для скачивания пользователю один раз сразу после создания. В сервисе IAM хранится только открытая часть ключа, закрытая часть хранится у пользователя. Обеспечение безопасности закрытой части — ответственность пользователя. См. раздел Авторизованные ключи.
  • Статические ключи, которые используются для доступа к сервисам Message Queue (YMQ) и Yandex Object Storage. Копия статических ключей выдается пользователю сразу после их создания сервисом IAM. Статические ключи хранятся в сервисе IAM и нужны для проверки целостности запросов к YMQ и Yandex Object Storage. См. раздел Статические ключи доступа, совместимые с AWS API.
  • API-ключи, которые служат для доступа к API Yandex.Cloud. API-ключи используются в некоторых сервисах для упрощенной аутентификации. См. раздел API-ключ.

Сетевая безопасность

Для защиты облачной сети инфраструктуры, размещенной в Yandex.Cloud, рекомендуется управлять входящим и исходящим интернет-трафиком, а также разделять виртуальные сети среды Yandex.Cloud на сегменты исходя из задач.

Для управления входящим интернет-трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов и балансировщик нагрузки. Это позволит сократить поверхность атаки и ограничить трафик на виртуальные машины необходимыми протоколами. Балансировщик нагрузки может быть интегрирован с сервисом Yandex DDoS Protection, который защитит ваш сервис от DDoS-атак. Для защиты от атак на уровне L7 рекомендуется использовать виртуальные образы или облачные сервисы с защитным экраном Web Application Firewall (WAF).

Для управления исходящим трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов, предоставляя им доступ в интернет через NAT-инстанс, который выполняет функцию сетевого шлюза или прокси-сервера.

Для разграничения доступа в Yandex.Cloud можно создать отдельную сеть для каждой из команд разработки или для каждой из сред: разработки, тестирования, промышленной эксплуатации. При таком подходе для связки сетей между собой рекомендуется использовать образы сетевых устройств, доступные в Cloud Marketplace, чтобы контролировать сетевые потоки между сетями.

Связь с локальной инфраструктурой или интернетом рекомендуется обеспечивать с помощью VPN-инстанса, сетевых образов из Cloud Marketplace или Yandex Cloud Interconnect.

Дополнительные инструменты защиты данных

Yandex.Cloud защищает данные клиентов криптографическими средствами, при этом пользователь может дополнительно защищать свои данные с помощью сервиса KMS (Key Management Service). Он предназначен для управления криптографическими ключами пользователя в Yandex.Cloud и предоставляет дополнительные возможности по шифрованию данных.

Дополнительную информацию можно узнать в документации сервиса Yandex Key Management Service.

В этой статье:
  • Системы аутентификации
  • Аккаунты на Яндекс.Паспорте
  • Федеративные аккаунты
  • Сервисные аккаунты
  • Сетевая безопасность
  • Дополнительные инструменты защиты данных
Language
Вакансии
Политика конфиденциальности
Условия использования
© 2021 ООО «Яндекс.Облако»