Безопасность в Яндекс.Облаке

Грамотный подход к разработке и проектированию архитектуры, соответствие индустриальным стандартам и законодательным требованиям, безопасность физической инфраструктуры и защита данных.

Мы заботимся о безопасности на этапах создания и эксплуатации Яндекс.Облака

Безопасная разработка

Процесс безопасной разработки (Security Development Lifecycle, SDL) помогает нам идентифицировать риски и управлять ими с момента проектирования сервисов платформы и на протяжении всего срока эксплуатации. Внедрение SDL позволяет снизить количество и серьезность ошибок, приводящих к эксплуатируемым уязвимостям.

Многоуровневая защита

Безопасность Яндекс.Облака организована таким образом, что одной угрозе противостоит набор средств защиты на разных уровнях. Такой подход удорожает любую потенциальную атаку и позволяет оперативно выявлять и предотвращать несанкционированную деятельность злоумышленников.

Яндекс.Облако соответствует требованиям ФЗ-152 и индустриальных стандартов

ФЗ-152

Платформа Яндекс.Облако соответствует требованиям федерального закона № 152-ФЗ «О персональных данных».

Для сервисов Яндекс.Облака выполнены меры по защите персональных данных согласно Постановлению № 1119 и 21 приказу ФСТЭК в соответствии с требованиями к 3-му уровню защищенности (УЗ-3).

GDPR

Общий регламент о защите данных (General Data Protection Regulation, GDPR) регулирует сбор и обработку персональных данных (ПД) физических лиц, находящихся в Европейской экономической зоне. Он призван усилить защиту ПД и сделать прозрачными их сбор, хранение и обработку.

Стандарты ISO

Мы заботимся о том, чтобы обеспечить безопасность систем и данных, которые наши клиенты размещают на платформе Яндекс.Облако. Поэтому мы построили систему управления информационной безопасностью (СУИБ) в соответствии с высокими требованиями стандартов международной организации по стандартизации (ISO). Аудит СУИБ Яндекс.Облака проводила международная команда аудиторов компании BSI. По результатам аудита мы получили сертификаты соответствия стандартам ISO 27001, ISO 27017 и ISO 27018.

ISO 27001
ISO 27017
ISO 27018

Стандарт определяет требования к системе управления информационной безопасностью, ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO 27001 помогает организациям обеспечить высокий уровень защищенности основных информационных активов.

Стандарт определяет требования к системе управления информационной безопасностью, ее внедрению, поддержанию и непрерывному улучшению. Следование рекомендациям ISO 27001 помогает организациям обеспечить высокий уровень защищенности основных информационных активов.

Стандарт включает набор практических рекомендаций по обеспечению информационной безопасности для облачных провайдеров. Эти рекомендации дополняют требования по реализации системы управления информационной безопасностью, изложенные в стандарте ISO 27001, специально для провайдеров облачных сервисов.

Стандарт рассматривает вопросы защиты персональных данных при их обработке провайдерами облачных сервисов. В стандарте изложены практические рекомендации по обеспечению информационной безопасности для защиты доверенной облачному провайдеру личной информации клиентов. Эти рекомендации дополняют требования базового стандарта — ISO 27001.

PCI DSS

PCI DSS содержит набор требований для защиты данных держателей карт. Требования обязательны и распространяются на все компании, обрабатывающие данные платёжных систем Visa, MasterCard, American Express, JCB, МИР и др.

Мы обеспечиваем безопасность облачной инфраструктуры с разных сторон

Физическая безопасность

Все зоны доступности Яндекс.Облака имеют сертификат соответствия требованиям PCI DSS.

Аппаратные ресурсы Яндекс.Облака располагаются в собственных дата-центрах на территории Российской Федерации, связанных собственными каналами связи.

На объектах ведётся постоянное видео наблюдение.

Доступ на территорию дата-центров строго регламентирован и требует заранее согласованной заявки для гостей и сотрудников Яндекс.Облака, которые не работают в дата-центрах на постоянной основе.

Дополнительные меры защиты применятся в части хранения, уничтожения и доступа к носителям данных.

Мониторинг

Операционный центр безопасности (Security Operations Center, (SOC) Яндекса обеспечивает круглосуточный мониторинг облачной платформы. Логи, собираемые с различных компонентов инфраструктуры, передаются в SIEM-систему. Туда же передаются срабатывания различных средств защиты, контролирующих безопасность операционных систем физических серверов, баз данных, сети и других инфраструктурных сервисов платформы. Автоматическая корреляция событий вместе с действиями аналитиков SOC позволяют на ранних этапах идентифицировать нарушение безопасности и своевременно принять меры.

Защита данных

Владельцем данных, размещенных в облаке, всегда является пользователь облачной платформы. Яндекс.Облако не использует данные клиентов, размещенные на ресурсах платформы, иным образом, кроме как для выполнения целей договора и уведомляет клиента о всех инцидентах, затрагивающих пользовательские данные клиента, за исключением случаев, когда обратное установлено применимым законодательством или договором.

Шифрование данных

Все сервисы облака хранят пользовательские данные в зашифрованном виде.

Yandex Object Storage шифрует свои данные отдельным от остальных сервисов набором ключей непосредственно перед записью данных на физический диск.

Сервисы управляемых СУБД шифруют все создаваемые резервные копии перед отправкой в постоянное хранилище. Для шифрования используется отдельная для каждого пользователя пара ключей ассиметричного шифрования.

Защита данных при передаче по каналам интернет обеспечивается протоколом TLS.

Удаление данных

При удалении данных используется надежный способ очистки, гарантирующий невозможность их восстановления. Условия и сроки безвозвратного удаления данных прописаны в Договоре.

Разделение ответственности за обеспечение безопасности

Безопасность систем, использующих облачные сервисы, требует разделения ответственности между клиентом — владельцем конечной системой и провайдером — владельцем облачной инфраструктуры, используемой конечной системой. В зависимости от модели облачных сервисов, используемой клиентской системой (IaaS, PaaS), данное разделение меняется.

Процессы
Собственная инфраструктура
IaaS
PaaS
Управление доступом к данным
Безопасность ОС и приложений
Сетевая безопасность (Overlay)
Резервирование
Шифрование
Логи аудита
Безопасность хранилища данных и оборудования
Сетевая безопасность (Underlay)
Физическая безопасность и катастрофоустойчивость (DR)

Клиент

Яндекс.Облако

Разверните свою инфраструктуру на безопасной платформе

Нужна помощь с миграцией или остались вопросы по безопасности – напишите нам