Связаться с намиПодключиться

Чеклист безопасности IaaS

Статья создана
Обновлена 9 октября 2024 г.

Безопасность виртуальных машин

Отключение серийной консоли: не используйте серийную консоль, а если это необходимо, то оценивайте риски и отключайте серийную консоль по окончании работы.

Отключение аутентификации по паролю: аутентификация по паролю в Yandex Cloud по умолчанию отключена, не включайте доступ по паролю без необходиомсти.

Подключение с помощью OS Login: свяжите учетную запись пользователя ВМ с учетной записью пользователя организации при помощи OS Login. Чтобы подключиться к ВМ по OS Login, настройте OS Login при создании или на уже существующей ВМ вместо стандартного подключения по SSH.

Использование эталонного образа для развертывания ВМ: подготовьте образ ВМ, настройки которого соответствуют политикам безопасности вашей организации и используйте этот образ для создания ВМ.

Настройка сетевых интерфейсов виртуальных машин: для стабильной устойчивой работы сети настройте сетевые интерфейсы на создаваемых и остановленных действующих ВМ: подсеть, внутренний и публичный IP-адреса, группы безопасности. Подробнее о группах безопасности и других сетевых аспектах работы ВМ в разделе Безопасность сети.

Узнайте больше о настройке безопасной конфигурации виртуальной среды и о безопасном управлении доступом в соответствующих разделах стандарта безопасности Yandex Cloud.

Управление уязвимостями

Обновления ПО, ОС: самостоятельно устанавливайте обновления, используйте автоматизированные инструменты обновлений.

Автоматизированное сканирование уязвимостей: используйте бесплатные сетевые сканеры, например, nmap, OpenVAS, OWASP ZAP, или агенты на хостах, например, Wazuh.

Регулярные резервные копии: настройте создание снимков дисков по расписанию используя возможности Yandex Compute Cloud, или настройте автоматическое резервное копирование ВМ с помощью Yandex Cloud Backup.

Безопасность сети

Контролируемое использование публичных IP-адресов: следуйте рекомендациям, чтобы минимизировать использование публичных IP-адресов и построить более устойчивую инфраструктуру.

Группы безопасности: разделите ресурсы и ограничьте сетевой доступ с помощью групп безопасности. Группы безопасности позволяют:

  • настроить доступ к вашей облачной инфраструктуре только с доверенных IP-адресов;
  • ограничить трафик по различным протоколам и другим параметрам, которые определяются правилами.

Web Application Firewall (WAF): WAF анализирует входящие HTTP-запросы к веб-приложению по предварительно настроенным правилам. На основе результатов анализа к HTTP-запросам применяются определенные действия. Настройте профиль WAF и подключите его к вашему профилю безопасности в Yandex Smart Web Security.

Безопасный удаленный доступ: создайте бастионную ВМ для доступа в инфраструктуру по управляющим протоколам (например, SSH, RDP).

Исходящий доступ (NAT): используйте NAT-шлюз для безопасного исходящего доступа в интернет. Шлюз транслирует ваши IP-адреса в общий пул адресов. Если необходимо, чтобы выход в интернет был из вашего контролируемого пула IP-адресов, используйте NAT-инстанс (выделенную ВМ).

Защита от DDoS: при назначении публичных IP-адресов на ресурсы облака используйте Yandex DDoS Protection (услуга L4-защиты от DDoS). Для защиты от DDoS на уровне L7 используйте сервис Smart Web Security.

Ознакомьтесь с примером реализации архитектуры и защиты базового интернет-сервиса.

Узнайте больше о безопасной настройке и эксплуатации сетей в соответствующей секции стандарта безопасности Yandex Cloud.

Безопасность Object Storage

Шифрование: включите шифрование бакетов (server-side encryption) для защиты от случайной или намеренной публикации содержимого бакета.

Ограничение доступа к бакету:

  • По возможности отключите публичный доступ. Чтобы предоставить доступ к конкретному объекту, сгенерируйте публичную ссылку с ограниченным сроком жизни.
  • Для гибкой настройки доступа к бакету используйте IAM, Bucket Policy или другие механизмы, описанные на странице Обзор способов управления доступом в Object Storage. Используйте настройку доступа через ACL только в крайнем случае — если выдать публичный доступ на объект через ACL, то все остальные проверки безопасности игнорируются.

Защита от удаления: настройте механизм блокировки версий объектов для защиты данных от удаления (object lock).

Логирование действий с бакетом: настройте механизм логирования действий с бакетом и включите сбор аудитных логов сервиса в Yandex Audit Trails.

Безопасное использование AWS-совместимых инструментов: настройте доступ AWS-совместимых инструментов к хранилищу с помощью статических ключей и храните ключи в секрете Yandex Lockbox.

Управление кросс-доменными запросами (CORS): настройте конфигурацию CORS в соответствии с требованиями политик безопасности вашей компании. Если вы используете бакет для хостинга статического сайта, включите доступ по протоколу HTTPS помощью сертификата Certificate Manager.

Безопасная конфигурация Object Storage:
Ознакомьтесь с примером реализации безопасной конфигурации Object Storage в Terraform.

Узнайте больше о безопасной настройке и эксплуатации Object Storage в соответствующей секции стандарта безопасности Yandex Cloud.

Предыдущая
Все рекомендации
Следующая
Чеклист безопасности аутентификации и авторизации