Чеклист безопасности IaaS
Безопасность виртуальных машин
✓ Отключение серийной консоли: не используйте серийную консоль, а если это необходимо, то оценивайте риски и отключайте серийную консоль по окончании работы.
✓ Отключение аутентификации по паролю: аутентификация по паролю в Yandex Cloud по умолчанию отключена, не включайте доступ по паролю без необходиомсти.
✓ Подключение с помощью OS Login: свяжите учетную запись пользователя ВМ с учетной записью пользователя организации при помощи OS Login. Чтобы подключиться к ВМ по OS Login, настройте OS Login при создании или на уже существующей ВМ вместо стандартного подключения по SSH.
✓ Использование эталонного образа для развертывания ВМ: подготовьте образ ВМ, настройки которого соответствуют политикам безопасности вашей организации и используйте этот образ для создания ВМ.
✓ Настройка сетевых интерфейсов виртуальных машин: для стабильной устойчивой работы сети настройте сетевые интерфейсы на создаваемых и остановленных действующих ВМ: подсеть, внутренний и публичный IP-адреса, группы безопасности. Подробнее о группах безопасности и других сетевых аспектах работы ВМ в разделе Безопасность сети.
Узнайте больше о настройке безопасной конфигурации виртуальной среды и о безопасном управлении доступом в соответствующих разделах стандарта безопасности Yandex Cloud.
Управление уязвимостями
✓ Обновления ПО, ОС: самостоятельно устанавливайте обновления, используйте автоматизированные инструменты обновлений.
✓ Автоматизированное сканирование уязвимостей: используйте бесплатные сетевые сканеры, например, nmap, OpenVAS, OWASP ZAP, или агенты на хостах, например, Wazuh.
✓ Регулярные резервные копии: настройте создание снимков дисков по расписанию используя возможности Yandex Compute Cloud, или настройте автоматическое резервное копирование ВМ с помощью Yandex Cloud Backup.
Безопасность сети
✓ Контролируемое использование публичных IP-адресов: следуйте рекомендациям, чтобы минимизировать использование публичных IP-адресов и построить более устойчивую инфраструктуру.
✓ Группы безопасности: разделите ресурсы и ограничьте сетевой доступ с помощью групп безопасности. Группы безопасности позволяют:
- настроить доступ к вашей облачной инфраструктуре только с доверенных IP-адресов;
- ограничить трафик по различным протоколам и другим параметрам, которые определяются правилами.
✓ Web Application Firewall (WAF): WAF анализирует входящие HTTP-запросы к веб-приложению по предварительно настроенным правилам. На основе результатов анализа к HTTP-запросам применяются определенные действия. Настройте профиль WAF и подключите его к вашему профилю безопасности в Yandex Smart Web Security.
✓ Безопасный удаленный доступ: создайте бастионную ВМ для доступа в инфраструктуру по управляющим протоколам (например, SSH, RDP).
✓ Исходящий доступ (NAT): используйте NAT-шлюз для безопасного исходящего доступа в интернет. Шлюз транслирует ваши IP-адреса в общий пул адресов. Если необходимо, чтобы выход в интернет был из вашего контролируемого пула IP-адресов, используйте NAT-инстанс (выделенную ВМ).
✓ Защита от DDoS: при назначении публичных IP-адресов на ресурсы облака используйте Yandex DDoS Protection (услуга L4-защиты от DDoS). Для защиты от DDoS на уровне L7 используйте сервис Smart Web Security.
Ознакомьтесь с примером реализации архитектуры и защиты базового интернет-сервиса.
Узнайте больше о безопасной настройке и эксплуатации сетей в соответствующей секции стандарта безопасности Yandex Cloud.
Безопасность Object Storage
✓ Шифрование: включите шифрование бакетов (server-side encryption) для защиты от случайной или намеренной публикации содержимого бакета.
✓ Ограничение доступа к бакету:
- По возможности отключите публичный доступ. Чтобы предоставить доступ к конкретному объекту, сгенерируйте публичную ссылку с ограниченным сроком жизни.
- Для гибкой настройки доступа к бакету используйте IAM, Bucket Policy или другие механизмы, описанные на странице Обзор способов управления доступом в Object Storage. Используйте настройку доступа через ACL только в крайнем случае — если выдать публичный доступ на объект через ACL, то все остальные проверки безопасности игнорируются.
✓ Защита от удаления: настройте механизм блокировки версий объектов для защиты данных от удаления (object lock).
✓ Логирование действий с бакетом: настройте механизм логирования действий с бакетом и включите сбор аудитных логов сервиса в Yandex Audit Trails.
✓ Безопасное использование AWS-совместимых инструментов: настройте доступ AWS-совместимых инструментов к хранилищу с помощью статических ключей и храните ключи в секрете Yandex Lockbox.
✓ Управление кросс-доменными запросами (CORS): настройте конфигурацию CORS в соответствии с требованиями политик безопасности вашей компании. Если вы используете бакет для хостинга статического сайта, включите доступ по протоколу HTTPS помощью сертификата Certificate Manager.
✓ Безопасная конфигурация Object Storage:
Узнайте больше о безопасной настройке и эксплуатации Object Storage в соответствующей секции стандарта безопасности Yandex Cloud.