Сетевая безопасность

В данном разделе представлены рекомендации клиентам по настройкам безопасности в Yandex Virtual Private Cloud.

Подробно о том, как настроить сетевую инфраструктуру, рассказывается в вебинаре Как работает сеть в Облаке.

Создание сегментированного защищенного контураСоздание сегментированного защищенного контура

Чтобы контролировать сетевой доступ к ресурсам, используйте одно из следующих решений:

• Группы безопасности.

  Встроенный механизм групп безопасности позволяет управлять доступом виртуальных машин к ресурсам и группам безопасности Yandex Cloud или ресурсам в интернете. Группа безопасности — это набор правил для входящего и исходящего трафика, который можно назначить на сетевой интерфейс виртуальной машины. Группы безопасности работают как stateful firewall, то есть отслеживают состояние сессий: если правило разрешает создать сессию, ответный трафик будет автоматически разрешен. Инструкцию по настройке групп безопасности см. в разделе Создать группу безопасности. Указать группу безопасности можно в настройках ВМ.

  Решение: настройка групп безопасности (dev/stage/prod) с помощью Terraform

• Отдельная виртуальная машина — межсетевой экран на основе образа NGFW из Cloud Marketplace.

  Решение: установка в Yandex Cloud ВМ — межсетевого экрана (NGFW): Check Point

• Схема Router-on-a-Stick на основе Cloud Interconnect: вы можете подключить собственный файрвол к инфраструктуре Yandex Cloud по выделенному каналу и маршрутизировать трафик в облачные сети через этот файрвол.

Для доставки трафика в приложение, находящееся в облачной инфраструктуре, рекомендуется использовать сетевой балансировщик нагрузки, например Yandex Application Load Balancer, который пропускает трафик только по заданным портам. Сетевой балансировщик нагрузки рекомендуется использовать совместно с группами безопасности для ограничения списка IP-адресов, имеющих доступ к приложению.

Чтобы изолировать приложения друг от друга, поместите ресурсы в разные группы безопасности, а если требуется наиболее строгая изоляция — в разные VPC. Трафик внутри VPC по умолчанию разрешен, между VPC нет (только через ВМ с двумя сетевыми интерфейсами в разных сетях, VPN или Cloud Interconnect).

Защита от DDoSЗащита от DDoS

При назначении публичных IP-адресов на ресурсы облака включите встроенную защиту от DDoS на уровне L4. Если необходима защита от DDoS на уровне L7, обратитесь к своему менеджеру.

Организация удаленного доступа и каналов связиОрганизация удаленного доступа и каналов связи

Чтобы обеспечить удаленное подключение администраторов к облачным ресурсам, используйте одно из следующих решений:

• Site-to-site VPN между удаленной площадкой (например, вашим офисом) и облаком. В качестве шлюза для удаленного доступа используйте ВМ с функцией site-to-site VPN на основе образа из Cloud Marketplace.

  Варианты настройки:

  • Создание туннеля IPSec VPN с использованием демона strongSwan.
  • Решение: создание site-to-site VPN-соединения с Yandex Cloud с помощью Terraform.

• Client VPN между удаленными устройствами и Yandex Cloud. В качестве шлюза для удаленного доступа используйте ВМ с функцией client VPN на основе образа из Cloud Marketplace. См. инструкцию в разделе Создание VPN-соединения с помощью OpenVPN.

• Приватное выделенное соединение между удаленной площадкой и Yandex Cloud с помощью сервиса Cloud Interconnect.

• VPN на сертифицированных СКЗИ:

  • ГОСТ VPN. Если вам требуется защищенный канал, построенный на аппаратных сертифицированных СКЗИ, обратитесь к своему менеджеру. Услуга ГОСТ VPN включает установку аппаратного криптошлюза на стороне Yandex Cloud и, при необходимости, на стороне клиента, а также настройку и дальнейшую поддержку защищенного канала. Криптошлюзы предоставляются в аренду. Услуга оказывается совместно с партнером Yandex Cloud.
  • Виртуальный криптошлюз. Вы можете использовать сертифицированные виртуальные криптошлюзы таких российских компаний как ИнфоТеКС, С-Терра СиЭсПи, КРИПТО-ПРО и др. Криптошлюз работает как обычная ВМ. Приобретение лицензии и сопровождение криптошлюза вы осуществляете самостоятельно.

Для доступа в инфраструктуру по управляющим протоколам (например, SSH, RDP) рекомендуется создать бастионную виртуальную машину. Для этого можно использовать бесплатное решение Teleport. Доступ к бастионной виртуальной машине или VPN-шлюзу из интернета должен быть ограничен.

Для дополнительного контроля действий администраторов рекомендуется использовать решения PAM (Privileged Access Management) с записью сессии администратора (например, Teleport). Для доступа по SSH и VPN рекомендуется отказаться от использования паролей и вместо этого использовать открытые ключи, X.509-сертификаты и SSH-сертификаты. При настройке SSH для виртуальных машин рекомендуется использовать SSH-сертификаты в том числе и для хостовой части SSH.

Для доступа к веб-сервисам, развернутым в облаке, рекомендуется использовать TLS версий 1.2 и выше.

Исходящий доступ в интернетИсходящий доступ в интернет

Возможные варианты организации исходящего доступа в интернет:

• Публичный IP-адрес. Адрес назначается ВМ по принципу one-to-one NAT.
• NAT-шлюз. Включает доступ в интернет для подсети через общий пул публичных адресов Yandex Cloud. Не рекомендуется использовать NAT-шлюз для критичных взаимодействий, так как IP-адрес NAT-шлюза может использоваться несколькими клиентами одновременно. Следует учитывать эту особенность при моделировании угроз для инфраструктуры.
• NAT-инстанс. Функцию NAT выполняет отдельная ВМ. Для создания такой ВМ можно использовать образ NAT-инстанс из Cloud Marketplace.

Сравнение способов доступа в интернет:

Публичный IP-адрес	NAT-шлюз	NAT-инстанс
Плюсы: - Не требует настройки - Выделенный адрес для каждой ВМ	Плюсы: - Работает только на исходящих соединениях	Плюсы: - Возможность фильтровать трафик на NAT-инстансе - Возможность использовать собственный файрвол - Экономия IP-адресов
Минусы: - Выставлять ВМ напрямую в интернет может быть небезопасно - Стоимость резервирования каждого адреса	Минусы: - Общий пул IP-адресов	Минусы: - Требуется настройка - Стоимость использования ВМ (vCPU, RAM, диска)

Вне зависимости от выбранного варианта организации исходящего доступа в интернет, ограничивайте трафик с помощью одного из механизмов, описанных выше в подразделе Создание сегментированного защищенного контура. Для построения защищенной системы необходимо использовать статические IP-адреса, так как их можно внести в список исключений файрвола принимающей стороны.

Безопасность DNSБезопасность DNS

Для повышения отказоустойчивости часть трафика может передаваться в сторонние рекурсивные резолверы. Если вам необходимо избежать этого, обратитесь в службу технической поддержки.