Средства защиты, доступные пользователям облачных сервисов
Системы аутентификации
На данный момент пользователям доступны следующие виды аккаунтов в Yandex.Cloud:
Аккаунты на Яндекс.Паспорте
Сервис Яндекс.Паспорт обеспечивает аутентификацию и авторизацию пользователей Яндекса, а также хранит личные данные пользователей. Для аутентификации через Яндекс.Паспорт необходимо использовать логин и пароль либо пин-код и приложение Яндекс.Ключ, если настроена двухфакторная аутентификация. Если аутентификация успешна, то Яндекс.Паспорт устанавливает в браузере пользователя cookie на домен yandex.TLD. Аутентификация пользователя и установка cookie проходят в Яндекс.Паспорте, который, в том числе, хранит криптографические ключи для контроля целостности cookie.
Cookie впоследствии используется сервисом IAM для аутентификации пользователя и выдачи ему IAM-токена для доступа к API Yandex.Cloud. Криптографические ключи, использующиеся для контроля целостности IAM-токена, хранятся в сервисе IAM.
Для работы с командной строкой (CLI) Яндекс.Паспорт выдает пользователю OAuth-токен, который хранится на диске пользователя и используется для получения временного IAM-токена. Во всех случаях время жизни IAM-токена — 24 часа, время жизни OAuth-токена — один год с момента выдачи. Криптографические ключи, использующиеся для контроля целостности OAuth-токена, хранятся в Яндекс.Паспорте.
Федеративные аккаунты
В случае использования федерации удостоверений сервис IAM принимает от стороннего поставщика удостоверений (Identity Provider) подписанный SAML-токен, который содержит информацию об аутентифицированном пользователе.
Ключ криптографической подписи SAML-токенов хранится у поставщика удостоверений клиента, поэтому управление этим ключом, его безопасное хранение и использование является ответственностью клиента. Открытая часть ключа, использующаяся для проверки подписи SAML-токенов, устанавливается клиентом при настройке федерации удостоверений и впоследствии хранится в сервисе IAM.
После получения и проверки подписи SAML-токена сервис IAM устанавливает пользователю cookie на домен cloud.yandex.TLD. Криптографические ключи, использующиеся для контроля целостности cookie, хранятся и управляются в сервисе IAM.
Сервисные аккаунты
Сервисные аккаунты представляют собой особый тип аккаунтов, которые используются для доступа к ресурсам Yandex.Cloud от имени приложения. Сервисные аккаунты могут аутентифицироваться при помощи ключей следующих видов:
- Авторизованные ключи — RSA-ключи, которые генерируются в сервисе IAM и становятся доступными для скачивания пользователю один раз сразу после создания. В сервисе IAM хранится только открытая часть ключа, закрытая часть хранится у пользователя. Обеспечение безопасности закрытой части — ответственность пользователя. См. раздел Авторизованные ключи.
- Статические ключи, которые используются для доступа к сервисам Message Queue (YMQ) и Yandex Object Storage. Копия статических ключей выдается пользователю сразу после их создания сервисом IAM. Статические ключи хранятся в сервисе IAM и нужны для проверки целостности запросов к YMQ и Yandex Object Storage. См. раздел Статические ключи доступа, совместимые с AWS API.
- API-ключи, которые служат для доступа к API Yandex.Cloud. API-ключи используются в некоторых сервисах для упрощенной аутентификации. См. раздел API-ключ.
Сетевая безопасность
Для защиты облачной сети инфраструктуры, размещенной в Yandex.Cloud, рекомендуется управлять входящим и исходящим интернет-трафиком, а также разделять виртуальные сети среды Yandex.Cloud на сегменты исходя из задач.
Для управления входящим интернет-трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов и балансировщик нагрузки. Это позволит сократить поверхность атаки и ограничить трафик на виртуальные машины необходимыми протоколами. Балансировщик нагрузки может быть интегрирован с сервисом Yandex DDoS Protection, который защитит ваш сервис от DDoS-атак. Для защиты от атак на уровне L7 рекомендуется использовать виртуальные образы или облачные сервисы с защитным экраном Web Application Firewall (WAF).
Для управления исходящим трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов, предоставляя им доступ в интернет через NAT-инстанс, который выполняет функцию сетевого шлюза или прокси-сервера.
Для разграничения доступа в Yandex.Cloud можно создать отдельную сеть для каждой из команд разработки или для каждой из сред: разработки, тестирования, промышленной эксплуатации. При таком подходе для связки сетей между собой рекомендуется использовать образы сетевых устройств, доступные в Cloud Marketplace, чтобы контролировать сетевые потоки между сетями.
Связь с локальной инфраструктурой или интернетом рекомендуется обеспечивать с помощью VPN-инстанса, сетевых образов из Cloud Marketplace или Yandex Cloud Interconnect.
Дополнительные инструменты защиты данных
Yandex.Cloud защищает данные клиентов криптографическими средствами, при этом пользователь может дополнительно защищать свои данные с помощью сервиса KMS (Key Management Service). Он предназначен для управления криптографическими ключами пользователя в Yandex.Cloud и предоставляет дополнительные возможности по шифрованию данных.
Дополнительную информацию можно узнать в документации сервиса Yandex Key Management Service.