Средства защиты, доступные пользователям облачных сервисов

Системы аутентификации

На данный момент пользователям доступны следующие виды аккаунтов в Yandex.Cloud:

• Аккаунты на Яндексе
• Федеративные аккаунты
• Сервисные аккаунты

Аккаунты в Яндекс ID

Сервис Яндекс ID обеспечивает аутентификацию и авторизацию пользователей Яндекса, а также хранит личные данные пользователей. Для аутентификации c Яндекс ID необходимо использовать логин и пароль либо пин-код и приложение Яндекс.Ключ, если настроена двухфакторная аутентификация. Если аутентификация успешна, то Яндекс ID устанавливает в браузере пользователя cookie на домен yandex.TLD. Аутентификация пользователя и установка cookie проходят в Яндекс ID, который, в том числе, хранит криптографические ключи для контроля целостности cookie.

Cookie впоследствии используется сервисом IAM для аутентификации пользователя и выдачи ему IAM-токена для доступа к API Yandex.Cloud. Криптографические ключи, использующиеся для контроля целостности IAM-токена, хранятся в сервисе IAM.

Для работы с командной строкой (CLI) Яндекс ID выдает пользователю OAuth-токен, который хранится на диске пользователя и используется для получения временного IAM-токена. Во всех случаях время жизни IAM-токена — 24 часа, время жизни OAuth-токена — один год с момента выдачи. Криптографические ключи, использующиеся для контроля целостности OAuth-токена, хранятся в Яндекс ID.

Федеративные аккаунты

В случае использования федерации удостоверений сервис IAM принимает от стороннего поставщика удостоверений (Identity Provider) подписанный SAML-токен, который содержит информацию об аутентифицированном пользователе.

Ключ криптографической подписи SAML-токенов хранится у поставщика удостоверений клиента, поэтому управление этим ключом, его безопасное хранение и использование является ответственностью клиента. Открытая часть ключа, использующаяся для проверки подписи SAML-токенов, устанавливается клиентом при настройке федерации удостоверений и впоследствии хранится в сервисе IAM.

После получения и проверки подписи SAML-токена сервис IAM устанавливает пользователю cookie на домен cloud.yandex.TLD. Криптографические ключи, использующиеся для контроля целостности cookie, хранятся и управляются в сервисе IAM.

Сервисные аккаунты

Сервисные аккаунты представляют собой особый тип аккаунтов, которые используются для доступа к ресурсам Yandex.Cloud от имени приложения. Сервисные аккаунты могут аутентифицироваться при помощи ключей следующих видов:

• Авторизованные ключи — RSA-ключи, которые генерируются в сервисе IAM и становятся доступными для скачивания пользователю один раз сразу после создания. В сервисе IAM хранится только открытая часть ключа, закрытая часть хранится у пользователя. Обеспечение безопасности закрытой части — ответственность пользователя. См. раздел Авторизованные ключи.
• Статические ключи, которые используются для доступа к сервисам Message Queue (YMQ) и Yandex Object Storage. Копия статических ключей выдается пользователю сразу после их создания сервисом IAM. Статические ключи хранятся в сервисе IAM и нужны для проверки целостности запросов к YMQ и Yandex Object Storage. См. раздел Статические ключи доступа, совместимые с AWS API.
• API-ключи, которые служат для доступа к API Yandex.Cloud. API-ключи используются в некоторых сервисах для упрощенной аутентификации. См. раздел API-ключ.

Сетевая безопасность

Для защиты облачной сети инфраструктуры, размещенной в Yandex.Cloud, рекомендуется управлять входящим и исходящим интернет-трафиком, а также разделять виртуальные сети среды Yandex.Cloud на сегменты исходя из задач.

Для управления входящим интернет-трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов и балансировщик нагрузки. Это позволит сократить поверхность атаки и ограничить трафик на виртуальные машины необходимыми протоколами. Сетевой балансировщик нагрузки может быть интегрирован с сервисом Yandex DDoS Protection, который защитит ваш сервис от DDoS-атак. Для защиты от атак на уровне L7 рекомендуется использовать виртуальные образы или облачные сервисы с защитным экраном Web Application Firewall (WAF).

Для управления исходящим трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов, предоставляя им доступ в интернет через NAT-инстанс, который выполняет функцию сетевого шлюза или прокси-сервера.

Для разграничения доступа в Yandex.Cloud можно создать отдельную сеть для каждой из команд разработки или для каждой из сред: разработки, тестирования, промышленной эксплуатации. При таком подходе для связки сетей между собой рекомендуется использовать образы сетевых устройств, доступные в Cloud Marketplace, чтобы контролировать сетевые потоки между сетями.

Связь с локальной инфраструктурой или интернетом рекомендуется обеспечивать с помощью VPN-инстанса, сетевых образов из Cloud Marketplace или Yandex Cloud Interconnect.

Дополнительные инструменты защиты данных

Yandex.Cloud защищает данные клиентов криптографическими средствами, при этом пользователь может дополнительно защищать свои данные с помощью сервиса KMS (Key Management Service). Он предназначен для управления криптографическими ключами пользователя в Yandex.Cloud и предоставляет дополнительные возможности по шифрованию данных.

Дополнительную информацию можно узнать в документации сервиса Yandex Key Management Service.