Защита инфраструктуры облачных платформ Cloud.ru
Защита инфраструктуры и средств управления облачными платформами Cloud.ru обеспечивается на следующих уровнях:
Дополнительные меры защиты включают:
Физический уровень
На физическом уровне безопасность Cloud.ru обеспечивается следующими мерами:
Размещение всего оборудования инфраструктуры в ЦОДах, соответствующих требованиям надежности уровня Tier III.
Контроль и управление физическим доступом к оборудованию.
Наличие систем видеонаблюдения на объектах информатизации ЦОД.
Сетевой уровень
На сетевом уровне безопасность Cloud.ru обеспечивается следующими мерами:
Базовая защита инфраструктуры от DDoS-атак, направленных на переполнение ее канальной емкости.
Защита периметров инфраструктуры и ее сегментирование с использованием межсетевых экранов нового поколения (NGFW), осуществляющих (в числе прочего) выявление и предотвращение компьютерных атак.
Инфраструктурный уровень
Инфраструктурный уровень охватывает:
подсистему хранения;
вычислительную подсистему;
подсистему управления;
интеграционную подсистему;
уровень приложений.
На инфраструктурном уровне безопасность Cloud.ru обеспечивается следующими мерами:
Резервирование инфраструктурных компонентов.
Резервное копирование служебных виртуальных машин, баз данных и конфигураций инфраструктуры.
Контроль и управление процессами:
конфигурации инфраструктуры;
внесения изменений в инфраструктуру.
Контроль:
целостности образов и шаблонов виртуальных машин;
гипервизоров и служебных виртуальных машин инфраструктуры.
Антивирусная защита инфраструктуры с использованием антивирусных средств.
Управление доступом к инфраструктуре: администраторы подключаются с использованием двухфакторной аутентификации.
Контроль действий привилегированных пользователей (администраторов Cloud.ru): использование специализированных средств класса PIM&PAM.
Регулярный контроль и анализ защищенности инфраструктуры: использование специализированных средств по выявлению уязвимостей в используемом ПО и его некорректной конфигурации, влияющей на уровень защищенности ПО. Выявленные уязвимости и/или недостатки устраняются.
Сбор и анализ событий информационной безопасности средствами класса SIEM.
Круглосуточный мониторинг и реагирование на инциденты безопасности с помощью Security Operation Center (SOC).
Управление доступом к служебным сервисам внутри инфраструктуры.
Учет и защита межкомпонентных взаимодействий инфраструктуры.
Динамический анализ функционирующих в инфраструктуре приложений и сервисов Cloud.ru.
Аудиты
Cloud.ru осуществляет периодические внутренние и внешние аудиты системы управления информационной безопасностью и тестирования на проникновение инфраструктуры облачных платформ Cloud.ru. Для проведения аудитов и тестирований привлекаются компетентные внешние организации. Выявленные в ходе соответствующего тестирования и/или аудита недостатки устраняются по факту выявления.
Безопасная разработка ПО
Функционирующие в инфраструктуре приложения и сервисы облачных платформ Cloud.ru разрабатываются в рамках единого процесса безопасной разработки ПО, который включает следующие меры:
Создание DEV-, STAGE- и PROD-стендов под каждый разрабатываемый SaaS-сервис Cloud.ru (STAGE является полной копией PROD).
Ограничение доступа к DEV-стендам разработчиками и DevOps-ами сервиса.
Ограничение доступа к STAGE-стенду DevOps-ами и QA-инженерами сервиса.
Налаживание процессов CI/CD между DEV-, STAGE- и PROD-стендами соответствующими инструментами.
Использование процессов DevSecOps при разработке ПО.
Команда разработчиков Cloud.ru использует принципы безопасной разработки при создании защищенного программного обеспечения. Сотрудники компании проходят обучение для формирования безопасной среды разработки. Программное обеспечение проходит этапы тестирования SAST, DAST, Pentest. На этапе тестирования проводится обязательное сканирование STAGE-стенда разрабатываемых SaaS-сервисов средствами облачного сканера безопасности. Найденные уязвимости и недостатки устраняются перед переносом очередного релиза сервиса в PROD-стенд.
для Dev & Test