Безопасность

Защита инфраструктуры и данных на всех уровнях в соответствии со стандартами безопасности и законодательными требованиями

Получить консультацию

Ключевые возможности

Гибкая настройка прав доступа

Сервис IAM позволяет управлять проектами, пользователями и их правами и гибко регулировать права доступа пользователей к облачным ресурсам и сервисам.

Журнал действий

Сервис CloudTrail помогает отслеживать действия пользователей, такие как изменение ресурсов, за счет логирования вызовов API, в том числе внутренних при работе в веб-интерфейсе.

Доступ по SSH-ключу

Использование SSH-ключей обеспечивает более высокий уровень безопасности при доступе к экземплярам виртуальных машин, чем ввод пароля.

Двухфакторная аутентификация

Для дополнительной защиты учетной записи можно включить обязательную двухфакторную аутентификацию для пользователей. В качестве второго фактора используется код TOTP (Time based One Time Password), генерируемый соответствующим приложением — OTP-генератором.

Провайдеры удостоверений

Для авторизации пользователей в K2 Облаке можно использовать внешнего провайдера удостоверений. В качестве такого провайдера может выступать любой OIDC-совместимый провайдер, в частности, AD FS, Azure и Keycloak.

Меры по обеспечению безопасности

Используемая в K2 Облаке система управления защитой ИТ-инфраструктуры, предусматривает политики и процедуры для минимизации рисков. СУИБ также устанавливает и контролирует процессы безопасной разработки, правила установки обновлений ПО, действия при возникновении событий и инцидентов. Специалисты K2 Cloud отвечают за мониторинг, соблюдение и совершенствование установленных процессов СУИБ.

Безопасная разработка

Платформа и сервисы K2 Облака разрабатываются в соответствие с принципами безопасной разработки (Security Development Lifecycle, SDLC), что позволяет минимизировать риски появления критических уязвимостей.

Тесты на проникновение

Тестирование на проникновение и на наличие критических уязвимостей проводится с периодичностью не реже одного раза в полгода и одного раза в квартал, соответственно, после устранения уязвимостей и при внесении любых критичных изменений в инфраструктуру.

Управление инцидентами

Выявление и реагирование на инциденты осуществляется с использованием автоматизированных средств под контролем выделенных специалистов по защите ИТ-инфраструктуры.

Ограничение доступа

Все права персоналу предоставляются исходя из принципа наименьших привилегий. Процесс управления и контроля доступа гарантирует, что только авторизованный персонал получает доступ к помещениям, зонам безопасности, серверным и сетевым и информационным ресурсам и только в том объеме, который необходим для выполнения их функциональных обязанностей.

Типовое разграничение зон ответственности

Мы реализуем все необходимые меры для обеспечения безопасности облачной инфраструктуры, однако добиться этого можно только совместными усилиями. Если при использовании собственной инфраструктуры (on premise) ответственность за защиту ИТ-инфраструктуры полностью лежит на пользователе, то в случае облачных услуг она разделяется между провайдером и заказчиком в зависимости от того, какой сервис используется — размещение оборудования (colocation), инфраструктура как услуга (IaaS), платформа как услуга (PaaS) или программное обеспечение как услуга (SaaS).

Часто задаваемые вопросы

Каким образом и как часто проводятся проверки защищенности ИТ-инфраструктуры?

Системы защиты ИТ-инфраструктуры регулярно проходят независимые проверки. Это позволяет добиться надлежащего функционирования систем защиты информации и процессов управления защитой ИТ-инфраструктуры. Проверки проводятся уполномоченными органами со следующей периодичностью:

Кроме того, регулярно независимыми компаниями выполняется тестирование на проникновения (не менее 1 раза в год и после внесения критичных изменений) и сканирование уязвимостей (не реже 1 раза в квартал и после внесения критичных изменений) элементов инфраструктуры K2 Облака.

Как обеспечивается безопасность виртуальных машин?

Безопасность виртуальных машин обеспечивается на нескольких уровнях:

Управление конфигурациями операционных систем. Процесс изменения конфигураций в K2 Облаке регламентирован и включает их обязательную проверку в тестовых средах перед переносом в продуктивную среду. Сами конфигурации операционных систем описаны кодом и хранятся в репозитории.
Организация защиты на инфраструктурном уровне. Пограничные (бастион) хосты обеспечивают сегментацию сети при доступе к облачной инфраструктуре. На каждом хосте осуществляется логирование действий администраторов K2 Облака, которые регулярно анализируются специалистами, отвечающими за защиту ИТ-инфраструктуры в облаке.
Аутентификация по SSH-ключам по умолчанию. Этот способ аутентификации снижает риски кражи учетных данных сотрудников с правами доступа в продуктивную среду. В K2 Облаке хранится только публичная часть — приватная часть ключа хранится на локальном компьютере пользователя.
Управление уязвимостями. Все установленные в продуктивном окружении пакеты регулярно проверяются на наличие уязвимостей и обновляются до последних версий. Внешний и внутренний периметры регулярно подвергаются тестированию на проникновение и сканированию на наличие уязвимостей.

Какие меры принимаются для устранения и предотвращения уязвимостей?

В K2 Облаке внедрен регламентированный процесс управления уязвимостями, который предусматривает:

проведение регулярного сканирования инфраструктуры внутри и извне периметра;
регулярный мониторинг ресурсов, публикующих последние уязвимости;
использование стандарта конфигурации устройств, которые вводятся в продуктивную среду.

При нахождении уязвимости осуществляется ее анализ, согласуются сроки по принятия мер для ее устранения и контролируется корректность их реализации. Кроме того, специалисты по защите ИТ-инфраструктуры осуществляют постоянный мониторинг ресурсов, где публикуются последние найденные уязвимости. Если они касаются инфраструктуры K2 Облака, то принимаются все меры по их устранению в кратчайшие сроки посредством установки обновлений по безопасности или реализации компенсационных мер.

Каким образом осуществляется реагирование на инциденты в области защиты ИТ-инфраструктуры?

Управление событиями и инцидентами защиты ИТ-инфраструктуры, а также уязвимостями осуществляется в соответствии с разработанными процедурами. За их корректное функционирование отвечают выделенные специалисты K2 Cloud. Данные процедуры включают:

сбор событий защиты ИТ-инфраструктуры из средств мониторинга, сообщений пользователей и других источников;
выявление инцидентов защиты ИТ-инфраструктуры с использованием автоматизированных средств, а также знаний и опыта сотрудников K2 Cloud;
реагирование на инциденты защиты ИТ-инфраструктуры в соответствии с планами реагирования с привлечением специалистов к решению нестандартных проблем;
анализ инцидентов защиты ИТ-инфраструктуры сразу после устранения их последствий;
принятие необходимых корректирующих действий и улучшений по результатам анализа инцидентов защиты ИТ-инфраструктуры.

Если инцидент способен повлиять на ресурсы заказчика, то специалист по безопасности K2 Cloud проинформирует вас о произошедшем событии и/или инциденте защиты ИТ-инфраструктуры, а также о возможности отслеживания его статуса. Ситуации, когда заказчик уведомляется об инцидентах, оговорены в соглашении между сторонами. Если заказчика требуется проинформировать об инциденте/событии защиты ИТ-инфраструктуры, то в кратчайшие сроки, но не позднее чем через 24 часа ему высылается уведомление по электронной почте. Письмо может содержать описание мер, которые заказчик может предпринять в случае, если это поможет воспрепятствовать инциденту или смягчить его последствия. Кроме того, заказчикам предоставляются необходимые цифровые доказательства или другая информация на основании мотивированного запроса.

Что происходит с данными по окончании действия соглашения или при его досрочном расторжении?

В случае окончании действия соглашения или его досрочного расторжения активируется архивный режим. В течение 72 часов с момента перевода заказчика в архивный режим действует режим блокировки с ограничением возможностей заказчика работы в облаке (условия описываются в соглашении между сторонами). Затем учетная запись и все ресурсы заказчика уничтожаются без возможности их восстановления. Мы всегда уведомляем наших заказчиков по электронной почте о том, что их ресурсы переведены в архивный режим и будут удалены. Записи о запросах к ресурсам пользователя через api хранятся в течение года для анализа инцидентов защиты ИТ-инфраструктуры и противодействия мошенничеству. По истечении года записи также безвозвратно удаляются.

Может ли третья сторона получить доступ к моим данным?

Мы не раскрываем информацию заказчиков третьим лицам. Исключениями могут быть выполнение требований действующего законодательства Российской Федерации или положения заключенного с вами соглашения. В любом случае мы предпринимаем все возможные меры для перенаправления запроса третьей стороны заказчику.