EdgeCloud — надёжное и безопасное облако. Наша инфраструктура соответствует требованиям PCI DSS и ISO 27001, GDPR и 152-ФЗ.
В этом материале расскажем о 8 главных технологиях, которые позволяют нам надёжно защищать данные клиентов от нелегального доступа, модификации и потери.
Intel SGX — это набор инструкций процессора, которые позволяют приложениям выделять приватные области кода и данных. Пользовательский код помещается в анклавы — частные области памяти. Данные в анклавах надёжно защищены от внешних процессов и ПО, выполняющихся на более привилегированных уровнях, таких как ОС и гипервизоры.
Данным обеспечивается дополнительная защита от раскрытия и модификации. Доступ к ним не может получить ни облачный провайдер, ни кто-либо извне, даже если облачные серверы будут взломаны.
В основе интеграции Intel SGX с нашим облаком лежит платформа для конфиденциальных вычислений SCONE. С её помощью шифруются сетевой трафик, файлы, потоки ввода/вывода и обеспечивается защита от нелегального доступа через ОС, гипервизор или другое ПО. Кроме того, она проводит аттестацию приложений, чтобы гарантировать подлинность выполняемого кода, и позволяет безопасно конфигурировать приложения с конфиденциальными данными.
Подробнее о технологии вы можете почитать в статье «Зачем мы интегрировали Intel SGX в EdgeCloud».
В мае 2021 года мы запустили первые виртуальные машины с поддержкой Intel SGX. Сейчас арендовать виртуальную машину с поддержкой технологии можно в любой core-локации.
Такие виртуальные машины будут особенно актуальны для проектов с повышенными требованиями к безопасности. В анклавах можно размещать любую конфиденциальную информацию, в том числе платёжные данные клиентов.
Все виртуальные и физические серверы EdgeCloud можно объединять в изолированные приватные сети (VLAN).
У каждого сервера в сети приватный IP-адрес, к которому нельзя подключиться извне. Для связи с интернетом машинам присваивается плавающий IP — специальный адрес, от имени которого сервер взаимодействует с интернетом.
Для отказоустойчивости и безопасности сети мы применяем такие меры:
Все виртуальные машины в нашем облаке можно защитить от сетевых угроз с помощью файрвола. Это специальный сетевой экран, который регулирует входящий и исходящий трафик на основе настроенных правил.
Правила указывают, какой тип трафика, по каким портам и из каких источников может поступать на сервер. Весь остальной трафик будет заблокирован.
Вы можете использовать файрвол по умолчанию, с уже заданными правилами или настроить экран самостоятельно с учётом особенностей вашего проекта.
Подключить и настроить файрвол можно бесплатно в панели управления. Подробнее об этом читайте в нашей базе знаний.
Облачный файрвол обеспечивает базовую защиту от сетевых угроз. А для надёжной защиты веб-приложений от взлома и несанкционированного доступа к данным мы можем предложить умный сетевой экран — WAF (Web Application Firewall).
Этот файрвол надёжно скрывает любые уязвимости веб-приложений от злоумышленников; имеет собственную систему обнаружения уязвимостей; предупредит о найденных слабых местах и даст рекомендации по их устранению.
WAF может работать с большим объёмом трафика и при этом не просто блокирует его по установленным правилам. Файрвол оснащён алгоритмами самообучения. Это позволяет избежать ложных срабатываний. Заблокированы будут только подозрительные запросы, и на легитимном трафике это никак не отразится.
Все атаки блокируются в реальном времени, и остановка работы веб-приложения не требуется.
Защищаем виртуальные машины и физические серверы от всех известных DDoS-атак на сетевом (L3) и транспортном (L4) уровнях.
Весь трафик, который идёт к вашим ресурсам, пропускается через специальную платформу фильтрации. Система анализирует каждый из пакетов, сравнивает их с актуальными сигнатурами и блокирует подозрительные.
Таким образом, до ресурса доходит только легитимный трафик, а вредоносные пакеты останавливаются ещё на подходе.
Такая модель защиты эффективна даже против низкочастотных атак. Вредоносный трафик блокируется с первого пакета.
На всех виртуальных машинах и выделенных серверах нашего облака защита от DDoS-атак бесплатна и доступна по умолчанию.
Эта функция позволяет безопасно хранить SSL-сертификаты и ключи в системе, а также устанавливать защищённое HTTPS-соединение между вашими балансировщиками нагрузки и клиентами.
Секреты — это PKCS12-файлы, специальные файлы двоичного формата, помогающие безопасно хранить и передавать сертификаты. В такой файл помещаются:
Файл добавляется в панель управления нашим облаком, и после его добавления можно создать балансировщик с HTTPS-слушателем — балансировщик, который сможет устанавливать безопасное соединение с клиентами.
Подробнее о том, как пользоваться функцией, читайте в нашей базе знаний.
В нашем облаке у клиентов есть полный контроль над доступом.
1. Двухфакторная аутентификация. Её можно подключить в панели управления. Это будет дополнительная защита вашего аккаунта от взлома.
2. Управление доступом. Вы можете предоставить разный уровень доступа членам вашей команды, разграничить доступ для разных проектов. Таким образом, ресурсы облака будут доступны только тем, кто имеет на это право.
3. API-токены — специальный код с определённым сроком действия для получения доступа к аккаунту через API и настройки автоматизированной работы вашего приложения с облаком.
Мы используем перманентные API-токены. При их создании вы сами можете задать срок жизни — вплоть до неограниченного. Это позволяет настроить более удобную логику автоматической работы и реже передавать логин и пароль, что повышает безопасность.
Мы защищаем данные наших клиентов не только от несанкционированного доступа и модификации. Мы также гарантируем сохранность данных при различных сбоях.
Для этого мы используем различные инструменты.
Например, для всех клиентов по умолчанию доступна трёхфакторная репликация на СХД (системе хранения данных). Вся информация в облаке имеет ещё три копии, распределённые по СХД. Таким образом, даже если случится какой-то инцидент и часть файлов будет потеряна, их можно будет легко восстановить с помощью копий.
Технологии и фичи, которые делают наше облако безопасным, полностью соответствующим требованиям PCI DSS и ISO 27001:
