Чек-
лист по разработке облачных приложений. Часть 2 —
аспекты безопасности
Чек-лист по разработке облачных приложений. Часть 2 — аспекты безопасности
Уровень• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) сложности
Простой
Время на прочтение
10 мин
Количество просмотров
33
Блог компании• Объект организация » Организации по алфавиту » Организации на на » НАМИ Nixys Управление разработкой * Информационная безопасность• Безопасность » Информационная безопасность *
Облачные сервисы * DevOps *
Обзор
Перевод
Автор• Коммуникации » Контент оригинала: Eyal Estrin
Всем добрый день, я Станислав Тибекин, CEO компании• Объект организация » Организации по алфавиту » Организации на на » НАМИ Nixys . Мы продолжаем
серию переводов статей Эяля Эстрина из AWS про особенности создания
cloud-native приложений• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись.
В первой главе мы говорили про бизнес-требования, инфраструктуру,
автоматизацию, отказоустойчивость и экологичность. Во второй части обсудим
вопросы безопасности.
Прежде чем начать, хочу предложить вам подписаться на наш блог Хабр , TG‑канал
DevOps FM , vc.ru и познакомиться с YouTube . Везде выходит разный, но
интересный и полезный контент• Коммуникации » Контент.
Полезного чтения!
Управляем индентификацией и контролем доступа• Информационные технологии » Информатика » Защита информации » Аутентификация
Что такое Identity and Access Management (IAM)? (прим. переводчика)
Разговор о безопасности стоит начать с Identity and Access Management (IAM) .
Фактически IAM — это пропускная система: она представляет собой набор практик,
технологий и политик для централизованного управления доступом к
инфраструктуре. Благодаря IAM вы будете уверены, что права доступа ваших
сотрудников применяются только по мере необходимости (в зависимости от их
бизнес-ролей или взаимоотношений в организации• Объект организация » Организации по алфавиту » Организации на на » НАМИ).
Настраиваем аутентификацию• Информационные технологии » Информатика » Защита информации » Аутентификация
Важно задать себе вопрос: кто наши клиенты?
Если мы создаем приложение• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, которое будет обслуживать внутренних клиентов (т.
е. сотрудников компании), нам• Объект организация » Организации по алфавиту » Организации на на » НАМИ необходимо убедиться, что наше приложение• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись сможет
синхронизировать удостоверения от нашего поставщика удостоверений (IdP).
С другой стороны, если нашим приложением• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись будут пользоваться внешние клиенты,
то в большинстве случаев мы не станем управлять идентификаторами
самостоятельно, а разрешим аутентификацию• Информационные технологии » Информатика » Защита информации » Аутентификация на основе SAML, OAuth• Информационные технологии » Информатика » Защита информации » Аутентификация » OAuth или OpenID• Информационные технологии » URI » OpenID
• Информационные технологии » Информатика » Защита информации » Аутентификация » OpenID
• Телекоммуникации и связь » Компьютерная сеть » Интернет » OpenID
connect и будем управлять авторизацией в нашем приложении• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись.
Примеры управляемых облачных сервисов идентификации: AWS IAM Identity Center,
Microsoft Entra ID и Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) Cloud Identity.
Настраиваем авторизацию
Content Security Policy (CSP, политика защиты контента• Коммуникации » Контент) — это стандарт
безопасности веб-приложений• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение. Он позволяет контролировать, откуда браузер может
загружать ресурсы (например, скрипты или элементы оформления). CSP помогает
защититься от угроз• Происшествия » Чрезвычайные происшествия межсайтового выполнения сценариев (XSS) или внедрения
нежелательного кода (инъекций).
Когда наше приложение• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись использует сервисы• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись из экосистемы CSP (хранилища, базы
данных и т. д.), каждый CSP имеет свои механизмы управления разрешениями на
доступ к сервисам• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись и действиям и свой способ реализации RBAC — управления
доступом на основе ролей.
Важно: независимо от встроенных механизмов использования облачной
инфраструктуры• Информационные технологии » Облачные вычисления, мы всегда должны следовать принципу наименьших привилегий (то
есть минимальных разрешений).
На уровне приложений• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » Сетевая модель OSI
• Телекоммуникации и связь » Телекоммуникации » Компьютерные и телекоммуникационные стандарты » Рекомендации Itu-T » Сетевая модель OSI нам необходимо разработать механизм авторизации, который
будет проверять каждую личность, прошедшую аутентификацию• Информационные технологии » Информатика » Защита информации » Аутентификация в нашем приложении• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись,
на соответствие механизму авторизации. Здесь нам потребуется интерактивная
аутентификация• Информационные технологии » Информатика » Защита информации » Аутентификация, неинтерактивная аутентификация• Информационные технологии » Информатика » Защита информации » Аутентификация или даже доступ на основе API.
Конечно, вы можете управлять авторизацией с помощью разработанного вами
механизма RBAC. Однако пришло время рассмотреть те механизмы политики
авторизации, что соответствуют концепции cloud native. Например, Open Policy
Agent (OPA). Это open source• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение проект, который является частью ландшафта CNCF .
Основное преимущество OPA заключается в том, что его механизм не
ограничивается авторизацией в приложении• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись. Это значит, что вы сможете
использовать его для авторизации в Kubernetes, для Linux (используя PAM) и
многого другого.
Policy-as-Code
Что такое политика? (прим. переводчика)
Давайте разъясним термин «политика». В контексте нашей статьи (да и сферы IT
в целом) «политика» — это любой тип правил, условий или инструкций, которые
управляют ИТ-операциями или процессами. Политика может быть правилом, которое
определяет, какие условия должны быть выполнены, например, для того, чтобы код
прошел контроль безопасности и был развернут. Или это может быть набор
процедур, которые выполняются автоматически в ответ на событие безопасности.
Policy-as-code (PaC, политика как код) — это подход к управлению политиками,
при котором политики определяются, обновляются, делятся и применяются с
помощью кода. Policy-as-Code позволяет настраивать guardrails (защитные
барьеры) для различных аспектов рабочей нагрузки вашего приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись.
В каждом облачном провайдере есть своя система защиты. Она выходит за пределы
облачного аккаунта• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись и влияет на конфигурацию или максимально допустимое
потребление ресурсов.
Некоторые примеры барьеров:
Ограничение допустимого региона для развертывания ресурсов (вычислительных,
хранилищ, баз данных, сетей и т. д.);
Принудительное шифрование в режиме ожидания;
Запрет на создание общедоступных ресурсов (например, виртуальных машин• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины с
общедоступным IP);
Использование экземпляров виртуалок только определенного размера (т. е.
ограничение количества процессоров и объемов памяти).
В целях автоматизации защитные барьеры также могут быть применены как часть
конвейера• Электроника » Электронные компоненты » Интегральные схемы » Цифровые интегральные схемы » Микропроцессоры » Технологии процессоров » Вычислительный конвейер CI/CD при развертывании ресурсов с Infrastructure as Code. Код IaC
проверяется перед фактическим этапом развертывания, и, если он не нарушает
Policy-as-Code, то ресурсы обновляются.
В качестве примеров PaC можно вспомнить AWS Service control policies (SCPs),
Azure Policy, Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) Organization Policy Service, HashiCorp Sentinel и Open
Policy Agent (OPA).
Защищаем данные
Практически любое приложение• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись содержит ценные данные, — от документов до
персональных данных• Безопасность » Информационная безопасность » Персональные данные
• Государство » Законы и право » Права человека » Персональные данные, — поэтому мы должны защитить их от несанкционированного
доступа.
Один из самых распространенных способов защиты — хранение в зашифрованном
виде:
Шифрование при передаче : осуществляется с помощью таких протоколов, как TLS
(последняя версия — 1.3).
Шифрование неактивных данных : выполняется на уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) тома, диска, хранилища
или базы данных с использованием алгоритмов по типу AES.
Шифрование в процессе использования : выполняется с помощью аппаратного
устройства, поддерживающего TEE (Trusted Execution Environment, доверенную
среду исполнения), которая еще называется конфиденциальными вычислениями.
При шифровании данных• Информационные технологии » Информатика » Защита информации » Криптография » Шифрование данных нам необходимо позаботиться о генерации ключей,
защищенном хранилище для их хранения, их извлечении и уничтожении. Все крупные
CSP имеют свои службы управления на всех этапах жизненного цикла ключа.
Если вы разворачиваете ваше приложение• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись на базе инфраструктуры одной политики
защиты контента• Коммуникации » Контент, то лучше пользуйтесь теми управляемыми сервисами• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, которые
предлагает эта политика.
Для шифрования в процессе использования выбирайте те сервисы• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, что поддерживают
конфиденциальные вычисления, например, экземпляры виртуальных машин• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины или
рабочие узлы Kubernetes.
Управляем секретами
Секреты — это статические учетные данные, которые позволяют получить доступ к
службам и ресурсам. Примерами секретов являются ключи API, пароли, учетные
данные баз данных и др.
Секреты, как и ключи шифрования• Информационные технологии » Информатика » Защита информации » Криптография » Шифры » Ключ Шифрования, являются конфиденциальными и должны быть
защищены от неавторизованных лиц. Поэтому еще на первых этапах проектирования
приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись вам нужно выбрать безопасное место для хранения секретов.
Все крупные CSP имеют собственные службы управления секретами, которые
контролируют весь жизненный цикл секретной информации.
В рамках конвейера• Электроника » Электронные компоненты » Интегральные схемы » Цифровые интегральные схемы » Микропроцессоры » Технологии процессоров » Вычислительный конвейер CI/CD стоит внедрить автоматизированный процесс
сканирования для обнаружения секретов, встроенных в код, скрипты и
конфигурационные файлы• Информационные технологии » Информатика » Программирование » Программное обеспечение » Форматы данных » Формат файла » Конфигурация программного обеспечения
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Конфигурация программного обеспечения
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Форматы данных » Формат файла » Конфигурация программного обеспечения, чтобы не хранить секреты вне защищенного хранилища.
Примеры сервисов• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись управления секретами: AWS Secrets Manager, Azure Key Vault,
Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) Secret Manager и HashiCorp Vault.
Защищаем сеть
Приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись должны быть защищены на сетевом уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент), неважно, открываете ли вы
доступ к приложению• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись для внутренних клиентов или для клиентов через публичный
интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет.
Основной способ защиты инфраструктуры на сетевом уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) — использование
средств контроля доступа• Информационные технологии » Информатика » Защита информации » Аутентификация, которыми в нашем случае являются файерволы третьего
или четвертого уровней• Метрология » Измерительные приборы и оборудование » Уровень (инструмент). Что такое файервол• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран? (прим. переводчика)
Файервол• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран (межсетевой экран• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран, брандмауэр• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран) — это своеобразный сетевой щит,
программа, которая фильтрует входящий и исходящий трафик, пропуская только
безопасные данные, и блокирует подозрительную информацию• Коммуникации » Контент. Межсетевой экран• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран
третьего уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) (L3 firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран) обеспечивает фильтрацию пакетов на основе
информации• Коммуникации » Контент об IP-адресах, масках подсетей и маршрутах и предназначен для
защиты сети от внешних угроз• Происшествия » Чрезвычайные происшествия и контроля доступа• Информационные технологии » Информатика » Защита информации » Аутентификация к сетевым ресурсам. А
брандмауэр• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран четвертого уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) анализирует заголовки протоколов TCP, UDP• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт и ICMP.
Он проверяет IP-адреса и порты• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт, а также сервисы• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, предоставляемые на основе
этих протоколов. L4 firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран использует технологию stateful inspection для
запоминания и хранения состояния запросов, что позволяет разрешать необходимые
ответные соединения.
Все CSP имеют механизмы контроля доступа• Информационные технологии » Информатика » Защита информации » Аутентификация для ограничения этого самого доступа
к сервисам• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись (виртуальным машинам• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины, базам данных и т. д.).
Примерами управляемых сервисов• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись L3 и L4 являются AWS Security groups, Azure
Network security groups и Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) VPC firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран rules.
Некоторые облачные провайдеры поддерживают частный доступ к своим сервисам• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись,
добавляя к различным сервисам• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись сетевой балансировщик нагрузки с внутренним
IP-адресом из частной подсети клиента. Таким образом весь трафик будет
проходить внутри магистрали CSP, а не через публичный интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет. В качестве
решений для частных подключений можно рассмотреть AWS PrivateLink, Azure
Private Link и Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) VPC Service Controls.
Некоторые политики защиты контента• Коммуникации » Контент предлагают управляемые брандмауэры• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран седьмого
уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент). Чем хорош брандмауэр• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран седьмого уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент)? (прим. переводчика)
L7 Firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран — это продвинутый тип межсетевого экрана• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран, который работает на
прикладном уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) модели OSI• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » Сетевая модель OSI
• Телекоммуникации и связь » Телекоммуникации » Компьютерные и телекоммуникационные стандарты » Рекомендации Itu-T » Сетевая модель OSI. Он обеспечивает более высокий уровень• Метрология » Измерительные приборы и оборудование » Уровень (инструмент)
безопасности и контроля над сетевым трафиком• Телекоммуникации и связь » Сети передачи данных » Сетевой Трафик, фильтруя данные на основе
содержимого пакетов, включая протоколы приложений• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись, такие как HTTP, FTP и SMTP.
Этот межсетевой экран• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Межсетевые экраны
• Безопасность » Компьютерная безопасность » Межсетевые экраны
• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран предоставляет возможности управления портами• Телекоммуникации и связь » Компьютерная сеть » Интернет » Протокол передачи данных » TCP/IP » Tcp-порт, фильтрации
трафика и обеспечения безопасности с использованием протоколов SSL и TLS.
В качестве примеров брандмауэров• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран 7-го уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) можно назвать AWS Network
Firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран, Azure Firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран и Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) Cloud NGFW.
Защищаем приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
Любое приложение• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись подвержено атакам. Существует множество разновидностей атак:
внедрение вредоносного кода• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус
• Безопасность » Компьютерная безопасность » Компьютерный вирус (инъекции), утечки данных• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления, фальсификация данных,
несанкционированный доступ и многие другие. Независимо от того, используете ли
вы API, веб-приложение• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение или мобильное приложение• Телекоммуникации и связь » Радио » Радиосвязь » Сотовая связь » Сотовые телефоны » Программное обеспечение мобильных телефонов » Мобильное приложение
• Телекоммуникации и связь » Телефонная связь » Сотовая связь » Сотовые телефоны » Программное обеспечение мобильных телефонов » Мобильное приложение, важно внедрить защиту на
прикладном уровне• Метрология » Измерительные приборы и оборудование » Уровень (инструмент), например, файервол• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран веб-приложений• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение. Все крупные CSP
предлагают услуги управляемых WAF. Также существует множество SaaS-решений от
коммерческих поставщиков. Что такое WAF? (прим. переводчика)
WAF (Web Application• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение Firewall• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран) — это совокупность мониторов и фильтров,
предназначенных для обнаружения и блокирования сетевых атак• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты
• Безопасность » Компьютерная безопасность » Атаки и эксплойты на веб-приложение• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение.
Примеры управляемых WAF-сервисов• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись: AWS WAF, Azure WAF и Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) Cloud Armor.
Защищаемся от DoS- и DDoS-атак• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
Каждое веб-приложение• Телекоммуникации и связь » Компьютерная сеть » Интернет » Веб-программирование » Веб-приложение имеет риск подвергнуться DoS- (Denial of Service• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака, отказ
в обслуживании• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака) или DDoS-атаке• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака (Distributed DoS, распределенный DoS). Чем
опасны DDoS-атаки• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака? (прим. переводчика)
DDos-атаки• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака представляют б о льшую угрозу• Происшествия » Чрезвычайные происшествия, так как они распределены и
направлены на один целевой хост. Они могут вызвать серьезные проблемы с
доступностью веб-ресурсов и привести к финансовым потерям (а иногда — и к
репутационным).
У вас снова есть 2 варианта: это предложенная CSP защита от DDoS-атак• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака или
решения от частных поставщиков. Примеры услуг управляемой защиты от DDoS• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака: AWS
Shield, Azure DDoS• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака Protection, Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) Cloud Armor и Cloudflare• Объект организация » Организации по алфавиту » Организации на Cl » Cloudflare DDoS• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
protection.
Управляем патчами
Программное обеспечение, как правило, уязвимо, и поэтому его необходимо
регулярно исправлять.
Для приложений, развернутых на виртуальных машинах• Информационные технологии » Информатика » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Платформы программирования » Операционные системы » Системное программное обеспечение » Виртуальные машины:
создайте «золотой образ» виртуалки и регулярно обновляйте его систему
безопасности и ПО;
настройте процесс регулярных релизов патчей.
Для приложений, упакованных в контейнеры, вам тоже нужно создать «золотой
образ» каждого из компонентов приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись и регулярно обновлять его.
Обязательно внедрите инструменты (SCA). Что такое SCA? (прим. переводчика)
SCA-анализ кода (Software Composition Analysis) — это автоматизированный
процесс сканирования программного обеспечения с целью обнаружения фрагментов с
открытым исходным кодом• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение (OSS) и их последующей проверки на наличие
уязвимостей• Безопасность » Информационная безопасность » Уязвимость (компьютерная безопасность), устаревших элементов и проблем с лицензированием. Этот анализ
помогает контролировать безопасность используемых компонентов, отслеживать
сторонние библиотеки и разрабатывать политики для программного обеспечения с
открытым кодом• Информационные технологии » Информатика » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Программное обеспечение » Свободное программное обеспечение » Открытое программное обеспечение
В случае обнаружения уязвимых компонентов или их зависимостей вы сможете
вовремя начать процесс их замены. Примеры решений для управления
исправлениями: AWS Systems Manager Patch Manager, Azure Update Manager и
Google• Объект организация » Организации по алфавиту » Организации на Go » Google (компания) VM Manager Patch.
Соблюдаем юридические и нормативные требования
Соответствие нормативным требованиям — немаловажный фактор безопасности при
разработке приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись.
Нередко приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись содержат личную (ее еще называют PII — персонально
идентифицируемой) информацию• Коммуникации » Контент о сотрудниках или клиентах. Взаимодействие с
персональными данными• Безопасность » Информационная безопасность » Персональные данные
• Государство » Законы и право » Права человека » Персональные данные должно соответствовать законам и нормативным актам о
конфиденциальности и сохранении данных (например, GDPR в Европе, CPRA в
Калифорнии, LGPD в Бразилии и т. д.). Какие законы в России• Россия регулируют
действия с персональными данными• Безопасность » Информационная безопасность » Персональные данные
• Государство » Законы и право » Права человека » Персональные данные? (прим. переводчика)
В России• Россия регулирование осуществляется с применением ряда нормативно-правовых
актов: № 152-ФЗ• Безопасность » Информационная безопасность » Персональные данные » Защита персональных данных
• Государство » Законы и право » Права человека » Персональные данные » Защита персональных данных
• Государство » Законы и право » Правовая система России » Нормативные акты » Федеральные законы РФ » Защита персональных данных «О персональных данных• Безопасность » Информационная безопасность » Персональные данные » Защита персональных данных
• Государство » Законы и право » Права человека » Персональные данные » Защита персональных данных
• Государство » Законы и право » Правовая система России » Нормативные акты » Федеральные законы РФ » Защита персональных данных»; № 149-ФЗ• Государство » Законы и право » Правовая система России » Нормативные акты » Федеральные законы РФ » Об информации, информационных технологиях и о защите информации «Об информации,
информационных технологиях и о• Государство » Законы и право » Правовая система России » Нормативные акты » Федеральные законы РФ » Об информации, информационных технологиях и о защите информации защите информации».
Некоторые организации• Объект организация » Организации по алфавиту » Организации на на » НАМИ принимают решение соответствовать высоким отраслевым
стандартам и следовать лучшим практикам в области безопасности, таким как
набор рекомендаций по настройке широкого спектра ПО Benchmark от Center for
Internet• Телекоммуникации и связь » Компьютерная сеть » Интернет Security (CIS• Объект организация » Организации по алфавиту » Организации на Со » Содружество Независимых Государств (СНГ)) для повышения надежности компонентов инфраструктуры.
Оценить уровень• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) безопасности можно с помощью, например, решений Cloud security
posture management (CSPM). Что такое CSPM? (прим. переводчика)
Cloud security posture management (CSPM, управление состоянием защиты облачных
сред• Информационные технологии » Облачные вычисления) — это процесс управления безопасностью в облачной среде• Информационные технологии » Облачные вычисления. Он помогает
организациям• Объект организация » Организации по алфавиту » Организации на на » НАМИ выявлять и устранять риски безопасности, связанные с неправильно
сконфигурированными публичными облачными сервисами. CSPM использует различные
инструменты и методы для оценки рисков, визуализации, реагирования на
инциденты• Происшествия, обеспечения соответствия нормативным требованиям и мониторинга• Информационные технологии » Мониторинг
безопасности в облаке• Информационные технологии » Облачные вычисления.
Кстати, наша команда может помочь вам настроить CSPM.
Реагируем на инциденты• Происшествия
При разработке приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись в облаке• Информационные технологии » Облачные вычисления важно быть готовым к быстрому реагированию
на потенциальные ЧП• Происшествия » Чрезвычайные происшествия
• Происшествия. Для этого вам нужно создать организовать SOC. Что такое
SOC? (прим. переводчика)
SOC (Security Operations Center) — центр обеспечения безопасности. Он
объединяет людей, процессы и технологии для снижения рисков и повышения
киберзащиты организации• Объект организация » Организации по алфавиту » Организации на на » НАМИ. SOC состоит из команды экспертов по безопасности,
которые занимаются мониторингом• Информационные технологии » Мониторинг, анализом, предотвращением киберугроз и
реагируют на подтвержденные инциденты• Происшествия.
Советуем соблюдать следующие рекомендации:
Включите логирование изменений как инфраструктуры, так и компонентов
приложения• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись и передайте все журналы в центральный агрегатор журналов.
Убедитесь, что журналы хранятся в централизованном, неизменяемом хранилище с
ограниченными правами доступа для команды SOC. Выберите инструмент, который
позволит просматривать журналы, обнаруживать аномалии и создавать полезные
аналитические материалы для SOC.
Если понадобится, позаботьтесь о повышении уровня• Метрология » Измерительные приборы и оборудование » Уровень (инструмент) компетенций для
сформированной вами команды SOC. Например, вы можете разработать учебные
пособия, в которых будут расписаны дальнейшие действия при после случившегося
инцидента• Происшествия.
Создайте автоматизированные решения, которые позволят вам в случае
катастрофических событий (например, при взломе сети или заражении
вирусом-вымогателем• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Компьютерный вирус » Вирусы и черви » Вирусы-вымогатели
• Безопасность » Компьютерная безопасность » Компьютерный вирус » Вирусы и черви » Вирусы-вымогатели) поместить затронутые сервисы• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись в карантин и развернуть
новую среду с нуля.
Подведем итог
Во второй статье этого цикла мы раскрыли многие аспекты безопасности, которые
компании• Объект организация » Организации по алфавиту » Организации на на » НАМИ должны учитывать при разработке новых cloud-native приложений• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись
• Высокие технологии » Информационные технологии и телекоммуникации » Вычислительная техника » Компьютер » Учётная запись.
Рекомендуем использовать этот чек-лист как базу и постоянно дополнять и
совершенствовать его при документировании своих проектов.