Обеспечение защиты данных на уровне инфраструктуры
In this article:
Обеспечение защиты данных на уровне инфраструктуры#
Архитектура К2 Облака и политика безопасности#
Общую информацию об архитектуре К2 Облака вы можете найти на главной странице документации.
Кроме того, мы разработали и внедрили политику информационной безопасности для виртуальных сетей в К2 Облаке. И мы регулярно контролируем, чтобы конфигурация виртуальных сетей соответствовала установленным требованиям.
На странице Информационная безопасность вы можете ознакомиться с дополнительными сервисами ИБ, которые предлагает К2 Облако.
Разделение и изоляция ресурсов#
Инфраструктура, обеспечивающая работоспособность К2 Облака, отделена от инфраструктуры заказчиков — они используют разные компоненты.
Для разделения ресурсов в К2 Облаке используется принцип изоляции на уровне сети. Вся инфраструктура К2 Облака, обеспечивающая его работоспособность, функционирует в физически или логически изолированных сетях.
Доступ к компонентам инфраструктуры К2 Облака и обмен трафиком между ними контролируется автоматически с помощью динамических и хостовых межсетевых экранов, а также списков контроля доступа на маршрутизаторах. Инфраструктура облака находится в выделенном контуре, и к ней нет прямого доступа извне.
Виртуальные машины, расположенные на одном гипервизоре, разделены на логическом и сетевом уровнях. Кроме того, для повышения надёжности можно использовать группы размещения, при выборе которых виртуальные машины из одной группы размещения распределяются по разным гипервизорам.
Компания может гибко настраивать права доступа внутри своего проекта различным пользователям с помощью сервиса IAM.
Поддерживаемые версии TLS#
Так как некоторым пользователям К2 Облака необходим TLS 1.0, мы не отключаем поддержку данного протокола у наших сервисов. При этом сервисы также поддерживают TLS версии 1.1 и 1.2.
Если в вашей инфраструктуре необходимо отказаться от использования TLS 1.0, в том числе для соответствия стандарту PCI DSS, вы можете настроить прокси сервер с отключённым TLS 1.0 для обращения к ресурсам облака.
Безопасность виртуальных машин#
Безопасность виртуальных машин обеспечивается на нескольких уровнях:
Управление конфигурациями операционных систем.
Изменение конфигурации в К2 Облаке — это управляемый и регламентированный процесс, который как одну из составляющих предусматривает обязательную проверку изменений в тестовых средах перед переносом в продуктивную среду. Сами конфигурации операционных систем описаны кодом и хранятся в репозитории.
Организация защиты на инфраструктурном уровне.
При доступе к инфраструктуре К2 Облака используются пограничные (бастион) хосты для сегментации сети. На каждом хосте запущены сервисы для логирования действий администраторов К2 Облака. Логи регулярно анализируются специалистами, отвечающими за ИБ в К2 Облаке.
Аутентификация по SSH-ключам по умолчанию.
Этот способ обеспечивает более высокий уровень безопасности и во многих ситуациях удобнее для доступа к экземплярам виртуальных машин. Публичная часть ключа хранится в К2 Облаке, а приватная часть — у пользователя на локальном компьютере. Этот способ аутентификации снижает риски, связанные с кражей учётных данных сотрудников, у которых есть доступ в продуктивную среду.
Управление уязвимостями.
Все установленные в продуктивном окружении пакеты регулярно проверяются на наличие уязвимостей и обновляются до последних версий. Внешний и внутренний периметры регулярно подвергаются тестированиям на проникновение и сканированию на наличие уязвимостей.
Шифрование данных#
Криптографические методы защиты используются в следующих сервисах К2 Облака.
Виртуальная частная сеть VPNaaS#
При использовании услуги облачного VPN поддерживается два типа VPN-соединения на базе IPsec:
ipsec.1 для туннельного режима;
ipsec.legacy для транспортного режима.
По умолчанию создаётся отказоустойчивое VPN-соединение. Для обеспечения отказоустойчивости устанавливаются два туннеля, которые терминируются в разных зонах доступности. При отказе одного из туннелей весь трафик автоматически перенаправляется через второй, так что облачные ресурсы остаются по-прежнему доступны.
В К2 Облаке вы можете выбрать, какие туннельные опции использовать при организации VPN-соединения. В случае отказоустойчивого VPN вы можете указать туннельные опции отдельно для каждого туннеля. Подробнее о VPNaaS можно прочитать в документации на сервис.
SSH#
Если экземпляр виртуальной машины создан из предоставляемых К2 Облаком образов, то доступ в систему осуществляется только по SSH-ключу. Ключи можно сгенерировать в веб-интерфейсе или API, для шифрования используется 2048-разрядный ключ и алгоритм хеширования SHA256.
Пользователь может импортировать публичную часть ключа и применять её для аутентификации на виртуальной машине S3 (объектное хранилище). В объектном хранилище К2 Облака можно использовать индексную страницу с включённым SSL-сертификатом.
Синхронизация времени#
Во всей инфраструктуре, в том числе на применяемых средствах защиты К2 Облака, используется единое время, которое постоянно синхронизируется c вышестоящим сервисом предоставления точного времени.
Контроль физического доступа#
В АО «К2 Интеграция» разработана и внедрена процедура управления и контроля доступа к информационным ресурсам, в том числе и к ресурсам К2 Облака. Эффективный процесс управления и контроля доступа гарантирует, что только авторизованный персонал получает доступ к помещениям, зонам безопасности, серверным и сетевым и информационным ресурсам и только в том объёме, который необходим для выполнения их функциональных обязанностей.
Все права персоналу предоставляются исходя из принципа наименьших привилегий. Действия по регистрации и отмены регистрации пользователей и их полномочий логируются. Процедуры идентификации и аутентификации пользователей регламентированы и находятся под контролем.
Права на доступ ко всем помещениям, зонам безопасности, серверным, сетевым и информационным ресурсам согласуются и утверждаются руководством компании.
Мы осуществляем строгий контроль за использованием привилегированных утилит — они доступны только уполномоченному персоналу и их использование регулярно подвергается аудиту.