Топ-8 технологий, которые делают наше облако безопасным

EdgeCloud — надёжное и безопасное облако.

В этом материале расскажем о 8 главных технологиях, которые позволяют нам надёжно защищать данные клиентов от нелегального доступа, модификации и потери.

1. Intel SGX

Intel SGX — это набор инструкций процессора, которые позволяют приложениям выделять приватные области кода и данных. Пользовательский код помещается в анклавы — частные области памяти. Данные в анклавах надёжно защищены от внешних процессов и ПО, выполняющихся на более привилегированных уровнях, таких как ОС и гипервизоры.

Данным обеспечивается дополнительная защита от раскрытия и модификации. Доступ к ним не может получить ни облачный провайдер, ни кто-либо извне, даже если облачные серверы будут взломаны.

В основе интеграции Intel SGX с нашим облаком лежит платформа для конфиденциальных вычислений SCONE. С её помощью шифруются сетевой трафик, файлы, потоки ввода/вывода и обеспечивается защита от нелегального доступа через ОС, гипервизор или другое ПО. Кроме того, она проводит аттестацию приложений, чтобы гарантировать подлинность выполняемого кода, и позволяет безопасно конфигурировать приложения с конфиденциальными данными.

Подробнее о технологии вы можете почитать в статье «Зачем мы интегрировали Intel SGX в EdgeCloud».

В мае 2021 года мы запустили первые виртуальные машины с поддержкой Intel SGX. Сейчас арендовать виртуальную машину с поддержкой технологии можно в любой core-локации.

Такие виртуальные машины будут особенно актуальны для проектов с повышенными требованиями к безопасности. В анклавах можно размещать любую конфиденциальную информацию, в том числе платёжные данные клиентов.

2. Изолированная защищённая сеть

Все виртуальные и физические серверы EdgeCloud можно объединять в изолированные приватные сети (VLAN).

У каждого сервера в сети приватный IP-адрес, к которому нельзя подключиться извне. Для связи с интернетом машинам присваивается плавающий IP — специальный адрес, от имени которого сервер взаимодействует с интернетом.

Для отказоустойчивости и безопасности сети мы применяем такие меры:

• Все компоненты задублированы.
• Сетевые интерфейсы на серверах агрегируются по умолчанию.
• На коммутаторах доступа используются настройки безопасности: защита от ARP-спуфинга и других сетевых атак.

3. Облачный файрвол

Все виртуальные машины в нашем облаке можно защитить от сетевых угроз с помощью файрвола. Это специальный сетевой экран, который регулирует входящий и исходящий трафик на основе настроенных правил.

Правила указывают, какой тип трафика, по каким портам и из каких источников может поступать на сервер. Весь остальной трафик будет заблокирован.

Вы можете использовать файрвол по умолчанию, с уже заданными правилами или настроить экран самостоятельно с учётом особенностей вашего проекта.

Подключить и настроить файрвол можно бесплатно в панели управления. Подробнее об этом читайте в нашей базе знаний.

4. WAF

Облачный файрвол обеспечивает базовую защиту от сетевых угроз. А для надёжной защиты веб-приложений от взлома и несанкционированного доступа к данным мы можем предложить умный сетевой экран — WAF (Web Application Firewall).

Этот файрвол надёжно скрывает любые уязвимости веб-приложений от злоумышленников; имеет собственную систему обнаружения уязвимостей; предупредит о найденных слабых местах и даст рекомендации по их устранению.

WAF может работать с большим объёмом трафика и при этом не просто блокирует его по установленным правилам. Файрвол оснащён алгоритмами самообучения. Это позволяет избежать ложных срабатываний. Заблокированы будут только подозрительные запросы, и на легитимном трафике это никак не отразится.

Все атаки блокируются в реальном времени, и остановка работы веб-приложения не требуется.

5. Защита от DDoS-атак

Защищаем виртуальные машины и физические серверы от всех известных DDoS-атак на сетевом (L3) и транспортном (L4) уровнях.

Весь трафик, который идёт к вашим ресурсам, пропускается через специальную платформу фильтрации. Система анализирует каждый из пакетов, сравнивает их с актуальными сигнатурами и блокирует подозрительные.

Таким образом, до ресурса доходит только легитимный трафик, а вредоносные пакеты останавливаются ещё на подходе.

Такая модель защиты эффективна даже против низкочастотных атак. Вредоносный трафик блокируется с первого пакета.

На всех виртуальных машинах и выделенных серверах нашего облака защита от DDoS-атак бесплатна и доступна по умолчанию.

6. Управление секретами

Эта функция позволяет безопасно хранить SSL-сертификаты и ключи в системе, а также устанавливать защищённое HTTPS-соединение между вашими балансировщиками нагрузки и клиентами.

Секреты — это PKCS12-файлы, специальные файлы двоичного формата, помогающие безопасно хранить и передавать сертификаты. В такой файл помещаются:

• основной SSL-сертификат — цифровая подпись сайта, подтверждающая, что он принадлежит вам;
• цепочка сертификатов — информация об удостоверяющих центрах, которые участвовали в выпуске сертификата и подтверждают его подлинность;
• закрытый ключ — уникальный набор символов, с помощью которого шифруются передаваемые данные.

Файл добавляется в панель управления нашим облаком, и после его добавления можно создать балансировщик с HTTPS-слушателем — балансировщик, который сможет устанавливать безопасное соединение с клиентами.

Подробнее о том, как пользоваться функцией, читайте в нашей базе знаний.

7. Безопасный доступ к ресурсам

В нашем облаке у клиентов есть полный контроль над доступом.

1. Двухфакторная аутентификация. Её можно подключить в панели управления. Это будет дополнительная защита вашего аккаунта от взлома.

2. Управление доступом. Вы можете предоставить разный уровень доступа членам вашей команды, разграничить доступ для разных проектов. Таким образом, ресурсы облака будут доступны только тем, кто имеет на это право.

3. API-токены — специальный код с определённым сроком действия для получения доступа к аккаунту через API и настройки автоматизированной работы вашего приложения с облаком.

Мы используем перманентные API-токены. При их создании вы сами можете задать срок жизни — вплоть до неограниченного. Это позволяет настроить более удобную логику автоматической работы и реже передавать логин и пароль, что повышает безопасность.

8. Защита данных от потери

Мы защищаем данные наших клиентов не только от несанкционированного доступа и модификации. Мы также гарантируем сохранность данных при различных сбоях.

Для этого мы используем различные инструменты.

Например, для всех клиентов по умолчанию доступна трёхфакторная репликация на СХД (системе хранения данных). Вся информация в облаке имеет ещё три копии, распределённые по СХД. Таким образом, даже если случится какой-то инцидент и часть файлов будет потеряна, их можно будет легко восстановить с помощью копий.

Подведём итоги

Технологии и фичи, которые делают наше облако безопасным:

1. Intel SGX — набор инструкций процессора, которые позволяют поместить часть кода и конфиденциальные данные в анклавы, надёжно защитив их от любых внешних воздействий.
2. Изолированные безопасные сети, в которые можно объединить виртуальные машины и физические серверы.
   Облачный файрвол — защита от сетевых угроз.
3. WAF — умный экран, который надёжно скрывает любые уязвимости веб-приложений от злоумышленников.
4. Защита от DDoS-атак — фильтрация запросов через специальную платформу и блокирование нелегитимного трафика.
5. Управление секретами — надёжное хранение SSL-сертификатов и ключей в системе, установка безопасного HTTPS-соединения между балансировщиками нагрузки и клиентами.
6. Безопасный доступ к ресурсам — двухфакторная аутентификация, полное управление доступами в панель, API-токены для подключения через API.
7. Защита данных от потерь (трёхфакторная репликация на СХД).