Безопасность Yandex Data Platform + Краткий обзор по возможностям доступа

Команда Ёлва

Подпишитесь, чтобы получать новые статьи

Подписаться

Защита пользовательских данных — одно из основных требований, которые предъявляются к облачным сервисам. Команда Yandex Cloud использует все лучшие практики процесса безопасной разработки (Security Development Lifecycle, SDLC), выстраивая основу безопасности облачных сервисов путем предсказания и идентификации рисков и управлению ими с момента проектирования сервисов платформы и на протяжении всего срока эксплуатации. Внедрение SDL позволяет снизить количество серьезных ошибок, приводящих к эксплуатируемым уязвимостям.

Дополняющая эту основу эшелонированная оборона (Defense in Depth) создает многослойную защиту, которая организована таким образом, что одной угрозе противостоит набор средств защиты на разных уровнях. Такой подход препятствует действиям злоумышленников и способствует раскрытию их несанкционированной деятельности еще при подготовке атаки.

Yandex Data Platform успешно работает над обеспечением физической безопасности, мониторингом, шифрованием данных и над надежным способом очистки, который гарантирует невозможность их восстановления. Благодаря открытости и прозрачности внутренних устройств облачной платформы и действующих процессов обеспечения безопасности, платформа повышает лояльность клиентов.

Платформа включена в Реестр российских программ для электронных вычислительных машин и баз данных, это подтверждает, что платформа Yandex Cloud и отдельные ее сервисы различных классов являются российской разработкой, что может являться преимуществом для организаций, где предъявляются повышенные требования к использованию отечественного программного обеспечения. А также проводятся регулярные внутренние и внешние аудиты, чтобы оценить соответствие платформы стандартам и требованиям, обеспечивается безопасность на всех этапах создания и предоставления сервисов.

Обеспечение физической безопасности Yandex Data Platform

Аппаратные ресурсы Yandex DataPlatform располагаются в собственных дата-центрах, доступ на территорию которых строго регламентирован. Специалисты разработали и используют политику контроля доступа, согласно которой только авторизованный персонал получает доступ к помещениям, зонам безопасности, серверным и сетевым ресурсам. Гостям и сотрудникам Yandex Cloud, которые не работают в дата-центре постоянно, нужна заранее одобренная заявка. У сотрудников есть доступ только к тем ресурсам, которые они должны использовать, исходя из должностных обязанностей (Need-to-know principle), права предоставляются по принципу наименьших привилегий (Principle of least privilege).

Права на доступ ко всем помещениям, зонам безопасности, серверным и сетевым ресурсам утверждаются руководителями организации. Интерфейсы управления аппаратными и сетевыми ресурсами находятся в выделенной сети, доступ к которой строго ограничен. Исходный код предоставляется только авторизованному персоналу в соответствии с действующей политикой безопасности. Технические сотрудники компании не имеют доступа к персональным данным пользователя, что, конечно, увеличивает уровень безопасности, однако, в связи с этим зачастую снижается скорость обработки запроса из-за поэтапного прохождения многоуровневой защиты или пошагового объяснения решения вопроса клиенту.

Объекты облачных сервисов (стойки, железные ящики, зона диагностики) находятся под постоянным видеонаблюдением, а записи видеокамер хранятся на серверах Yandex в оперативном доступе не менее трех месяцев. Данные клиентов Yandex Cloud, сохраненные на дисках, обязательно шифруются.

Вышедшее из строя оборудование заменяется только по заявке, однако при выводе оборудования из эксплуатации по истечении нормативного срока годности комплектующие уничтожаются, а данные с носителей удаляются. Неисправное оборудование хранится в сейфах в специальных сейф-пакетах и не выносится из помещений без одобренной заявки, что позволяет сотрудникам службы безопасности полностью контролировать доступ к защищенным зонам и стойкам сервиса.

Защита данных на уровне шифрования и дешифрования

В облачном сервисе Yandex Data Platform владельцем данных всегда является пользователь облачной платформы. Компания использует информацию клиента, размещенную на платформе, только для выполнения целей договора и уведомляет клиента об инцидентах, затрагивающих пользовательские данные, шифруя их отдельным от остальных сервисов набором ключей на нескольких уровнях безопасности.

Шифрование на уровне Storage — мультитенантная система и шифрует свои данные отдельным набором ключей перед записью данных на физический диск. Ключи шифрования хранятся на физических хостах, на которых работает Storage. Данные шифруются по схеме envelope encryption, следовательно удаление ключа равносильно уничтожению зашифрованных им данных.

Шифрование на уровне баз данных Yandex Managed Service for YDB производится непосредственно перед отправкой в Storage. Данный тип шифрования происходит в различных системах, построенных на базе YDB (например, Yandex Message Queue), и других сервисах платформы, которые используют YDB для хранения данных.

Шифрование резервных копий данных в Managed Services for Databases (MDB). Все резервные копии, создаваемые сервисами MDB, шифруются перед отправкой в постоянное хранилище. Для каждого пользователя генерируется пара ключей ассиметричного шифрования, которая хранится в сервисе MDB.

Шифрование данных при передаче производится при помощи протокола TLS (англ. transport layer security — Протокол защиты транспортного уровня). Ключи для работы протокола TLS хранятся на хостах, на которых он используется, чтобы надежно защитить взаимодействие между клиентом и сервисом.

Соответствует требованиям ФЗ-152 и индустриальных стандартов

Облачная платформа Yandex Data Platform имеет наивысший уровень защиты персональных данных УЗ-1, следовательно каждое из свойств безопасности информации: конфиденциальность, целостность, доступность соответствуют первому классу защищенности информационной системы.

Когда клиент размещает на ресурсах Yandex Data Platform персональные данные (ПДн), в отношении которых он выступает оператором, то Yandex обязуется соблюдать конфиденциальность ПДн, обеспечивать их безопасность при обработке и выполнять все требования к защите обрабатываемых ПДн, установленные законодательством.

  • Федеральный закон Российской Федерации «О персональных данных» № 152-ФЗ
  • GDPR (General Data Protection Regulation)
  • Сертификация ISO
  • PCI DSS
  • ГОСТ Р 57580.1-2017
  • Cloud Security Alliance
  • Единый реестр российских программ для электронных вычислительных машин и баз данных

Разделяет ответственность за обеспечение безопасности

Безопасность систем, использующих облачные сервисы, требует разделения ответственности между клиентом — владельцем конечной системой и провайдером — владельцем облачной инфраструктуры, используемой конечной системой. Существуют три ситуации по разделению ответственности:

  • Собственная инфраструктура. В данном случае вся ответственность за обеспечение безопасности на всех уровнях лежит на клиенте.
  • IaaS (Infrastructure as a Service). Провайдер отвечает за физическую безопасность и отказоустойчивость самой платформы, защищает сеть, собирает и анализирует события безопасности гипервизоров и других компонентов инфраструктуры. Клиент должен сам выполнять резервное копирование виртуальных машин, защищать виртуальную сеть, обеспечивать безопасность гостевых операционных систем, контролировать доступ и оберегать учетные записи пользователей облака.
  • PaaS (Platform as a Service). При использовании управляемых сервисов (PaaS/SaaS) забот на стороне клиента становится еще меньше, так как провайдер уже обеспечивает защиту более высокоуровневых слоев инфраструктуры. Он защищает виртуальные машины и выполняет резервное копирование базы данных.

Управление доступом к Yandex DataLens

Доступ к сервису Yandex DataLens регулируется путем назначения прав на уровнях организации и каталога облака. Для предоставления доступа к системе необходимо назначить определенную роль из списка предложенных сервисом.

Вы можете предоставить пользователю права доступа к папке или к любому объекту сервиса, которые определяют допустимые операции:

  • Подключение
  • Датасет
  • Чарт
  • Дашборд

Основным требованием добавления пользователя и предоставление ему различных прав к сервису является авторизация под аккаунтом Яндекса, можно также настроить интеграцию с корпоративными аккаунтами. В сервисе Cloud Organization имеется возможность настройки федерации удостоверений и управления параметрами авторизации для сотрудников организации, которые используют рабочие аккаунты для доступа к сервисам Yandex Data Platform.

Права доступа можно назначить отдельным пользователям или группе, в которую входят пользователи, прошедшие аутентификацию. Объедините пользователей с одинаковыми правами в группу и управляйте ими одновременно. Участники группы наследуют все права доступа этой группы.

Вы можете назначить следующие права доступа на объекты и папки в сервисе DataLens:

  • Исполнение. Данный тип предназначен только на подключения и датасеты. Пользователь с правом доступа «Исполнение» на подключение или на датасет может выполнять только запросы, при этом нет возможности создания или редактирования чартов и просмотра датасета.
  • Просмотр. Право доступа «Просмотр» не позволяет копировать датасеты, потому что они содержат настройки RLS, однако разрешает просматривать дашборды, виджеты, датасеты и папки.
  • Редактирование. Пользователь с правом доступа «Редактирование» включает в себя все разрешения на просмотр и изменение визуальных элементов, датасетов, подключений и папок.
  • Администрирование позволяет редактировать любые доступные объекты и папки, изменять права доступа

Yandex DataLens предоставляет возможность управления доступом на уровне строк данных (Row-level security, RLS) для разграничения прав пользователей на уровне датасета и источника данных. Каждому пользователю могут быть выданы права на неограниченное количество значений любых измерений. Однако настройка RLS на уровне датасета предполагает его редактирование при каждом изменении настроек RLS. Чтобы избежать подобных сложностей, можно перенести логику разграничения прав доступа на уровне строк на сторону источника данных.

Таким образом, мы исследовали Yandex Data Platform с точки зрения грамотного подхода к разработке и проектированию архитектуры, соответствия индустриальным стандартам и законодательным требованиям, безопасности физической инфраструктуры и защиты данных, пришли к выводу, что облако является безопасной и надежной платформой. Yandex Cloud и отдельные сервисы различных классов соответствуют требованиям семи сертификатов и стандартов безопасности данных. Для прохождения сертификации специалисты Yandex DataPlatform предоставили необходимый пакет документов, в том числе по сетевой безопасности, управлению доступом, уязвимостями, активами и инцидентами. Проверка только одного из семи сертификатов проходила по 190 параметрам, опубликованным на сайте Cloud Security Alliance (CSA), по результатам которой был выдан первый уровень сертификации Security, Trust, Assurance and Risk (STAR). Кроме того, платформа получила отметку CSA Trusted Cloud Provider за демонстрацию преданности обеспечению безопасности, непрерывное повышение квалификации сотрудников и активное участие в соответствующих международных инициативах.

Платформа Yandex Data Platform не стоит на месте и постоянно совершенствует процессы информационной безопасности, механизмы создания и эксплуатации сервисов, чтобы соответствовать не только федеральным, но и мировым стандартам. Если вы хотите получить консультацию по различным инструментам безопасности, по библиотеке распространенных задач, сценариев, примеров и рекомендаций при построении безопасной и надежной инфраструктуры, обращайтесь к нам в компанию «Ёлва». Наши сотрудники с удовольствием проконсультируют и помогут прояснить актуальную информацию по всем интересующим вопросам.

#Big data#DataLens#DataPlatform#DB#Yandex Cloud

Подпишитесь на наши статьи