Yandex Cloud
  • Сервисы
  • Решения
  • Почему Yandex Cloud
  • Сообщество
  • Тарифы
  • Документация
  • Связаться с нами
Подключиться
Language / Region
© 2022 ООО «Яндекс.Облако»
Безопасность в Yandex Cloud
  • Ключевые принципы безопасности
  • Разделение ответственности за обеспечение безопасности
  • Соответствие требованиям
  • Меры безопасности на стороне Yandex Cloud
  • Средства защиты, доступные пользователям облачных сервисов
  • Рекомендации по защите облачной инфраструктуры
    • Чеклист
    • Сетевая безопасность
    • Аутентификация и управление доступом
    • Шифрование данных и управление ключами
    • Безопасная конфигурация
    • Управление уязвимостями
    • Аудитные логи
    • Физическая безопасность
    • Безопасность Kubernetes
  • Инструкции
    • Удаление паспортного аккаунта из организации
  • Правила проведения внешних сканирований безопасности
  • Бюллетени безопасности
  1. Средства защиты, доступные пользователям облачных сервисов

Средства защиты, доступные пользователям облачных сервисов

Статья создана
Yandex.Cloud
  • Системы аутентификации
    • Аккаунты в Яндекс ID
    • Федеративные аккаунты
    • Сервисные аккаунты
  • Сетевая безопасность
  • Дополнительные инструменты защиты данных

Системы аутентификации

На данный момент пользователям доступны следующие виды аккаунтов в Yandex Cloud:

  • Аккаунты на Яндексе
  • Федеративные аккаунты
  • Сервисные аккаунты

Аккаунты в Яндекс ID

Сервис Яндекс ID обеспечивает аутентификацию и авторизацию пользователей Яндекса, а также хранит личные данные пользователей. Для аутентификации c Яндекс ID необходимо использовать логин и пароль либо пин-код и приложение Яндекс.Ключ, если настроена двухфакторная аутентификация. Если аутентификация успешна, то Яндекс ID устанавливает в браузере пользователя cookie на домен yandex.TLD. Аутентификация пользователя и установка cookie проходят в Яндекс ID, который, в том числе, хранит криптографические ключи для контроля целостности cookie.

Cookie впоследствии используется сервисом IAM для аутентификации пользователя и выдачи ему IAM-токена для доступа к API Yandex Cloud. Криптографические ключи, использующиеся для контроля целостности IAM-токена, хранятся в сервисе IAM.

Для работы с командной строкой (CLI) Яндекс ID выдает пользователю OAuth-токен, который хранится на диске пользователя и используется для получения временного IAM-токена. Во всех случаях время жизни IAM-токена — 24 часа, время жизни OAuth-токена — один год с момента выдачи. Криптографические ключи, использующиеся для контроля целостности OAuth-токена, хранятся в Яндекс ID.

Федеративные аккаунты

В случае использования федерации удостоверений сервис IAM принимает от стороннего поставщика удостоверений (Identity Provider) подписанный SAML-токен, который содержит информацию об аутентифицированном пользователе.

Ключ криптографической подписи SAML-токенов хранится у поставщика удостоверений клиента, поэтому управление этим ключом, его безопасное хранение и использование является ответственностью клиента. Открытая часть ключа, использующаяся для проверки подписи SAML-токенов, устанавливается клиентом при настройке федерации удостоверений и впоследствии хранится в сервисе IAM.

После получения и проверки подписи SAML-токена сервис IAM устанавливает пользователю cookie на домен cloud.yandex.TLD. Криптографические ключи, использующиеся для контроля целостности cookie, хранятся и управляются в сервисе IAM.

Сервисные аккаунты

Сервисные аккаунты представляют собой особый тип аккаунтов, которые используются для доступа к ресурсам Yandex Cloud от имени приложения. Сервисные аккаунты могут аутентифицироваться при помощи ключей следующих видов:

  • Авторизованные ключи — RSA-ключи, которые генерируются в сервисе IAM и становятся доступными для скачивания пользователю один раз сразу после создания. В сервисе IAM хранится только открытая часть ключа, закрытая часть хранится у пользователя. Обеспечение безопасности закрытой части — ответственность пользователя. См. раздел Авторизованные ключи.
  • Статические ключи, которые используются для доступа к сервисам Message Queue (YMQ) и Yandex Object Storage. Копия статических ключей выдается пользователю сразу после их создания сервисом IAM. Статические ключи хранятся в сервисе IAM и нужны для проверки целостности запросов к YMQ и Yandex Object Storage. См. раздел Статические ключи доступа, совместимые с AWS API.
  • API-ключи, которые служат для доступа к API Yandex Cloud. API-ключи используются в некоторых сервисах для упрощенной аутентификации. См. раздел API-ключ.

Сетевая безопасность

Для защиты облачной сети инфраструктуры, размещенной в Yandex Cloud, рекомендуется управлять входящим и исходящим интернет-трафиком, а также разделять виртуальные сети среды Yandex Cloud на сегменты исходя из задач.

Для управления входящим интернет-трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов и балансировщик нагрузки. Это позволит сократить поверхность атаки и ограничить трафик на виртуальные машины необходимыми протоколами. Сетевой балансировщик нагрузки может быть интегрирован с сервисом Yandex DDoS Protection, который защитит ваш сервис от DDoS-атак. Для защиты от атак на уровне L7 рекомендуется использовать виртуальные образы или облачные сервисы с защитным экраном Web Application Firewall (WAF).

Для управления исходящим трафиком рекомендуется использовать виртуальные машины без публичных IP-адресов, предоставляя им доступ в интернет через NAT-инстанс, который выполняет функцию сетевого шлюза или прокси-сервера.

Для разграничения доступа в Yandex Cloud можно создать отдельную сеть для каждой из команд разработки или для каждой из сред: разработки, тестирования, промышленной эксплуатации. При таком подходе для связки сетей между собой рекомендуется использовать образы сетевых устройств, доступные в Cloud Marketplace, чтобы контролировать сетевые потоки между сетями.

Связь с локальной инфраструктурой или интернетом рекомендуется обеспечивать с помощью VPN-инстанса, сетевых образов из Cloud Marketplace или Yandex Cloud Interconnect.

Дополнительные инструменты защиты данных

Yandex Cloud защищает данные клиентов криптографическими средствами, при этом пользователь может дополнительно защищать свои данные с помощью сервиса KMS (Key Management Service). Он предназначен для управления криптографическими ключами пользователя в Yandex Cloud и предоставляет дополнительные возможности по шифрованию данных.

Дополнительную информацию можно узнать в документации сервиса Yandex Key Management Service.

Была ли статья полезна?

Language / Region
© 2022 ООО «Яндекс.Облако»
В этой статье:
  • Системы аутентификации
  • Аккаунты в Яндекс ID
  • Федеративные аккаунты
  • Сервисные аккаунты
  • Сетевая безопасность
  • Дополнительные инструменты защиты данных