- tocdepth
2
Защита инфраструктуры облачной платформы Evolution
Защита инфраструктуры и средств управления облачной платформой Cloud.ru Evolution обеспечивается на следующих уровнях:
Дополнительные меры защиты включают:
Физический уровень
На физическом уровне безопасность Evolution обеспечивается следующими мерами:
Размещение всего оборудования инфраструктуры в ЦОДах, соответствующих требованиям надежности уровня Tier III.
Контроль и управление физическим доступом к оборудованию.
Наличие систем видеонаблюдения на объектах информатизации ЦОД.
Сетевой уровень
На сетевом уровне безопасность Evolution обеспечивается следующими мерами:
Базовая защита инфраструктуры от DDoS-атак, направленных на переполнение ее канальной емкости.
Защита периметра инфраструктуры и ее сегментирование с использованием межсетевых экранов нового поколения (NGFW), осуществляющих (в числе прочего) выявление и предотвращение компьютерных атак.
Инфраструктурный уровень
Инфраструктурный уровень охватывает:
подсистему хранения;
вычислительную подсистему;
подсистему управления;
интеграционную подсистему;
уровень приложений.
На инфраструктурном уровне безопасность Evolution обеспечивается следующими мерами:
Резервирование инфраструктурных компонентов.
Резервное копирование служебных виртуальных машин, баз данных и конфигураций инфраструктуры.
Контроль и управление процессами:
конфигурации инфраструктуры;
внесения изменений в инфраструктуру.
Контроль:
целостности образов и шаблонов виртуальных машин;
гипервизоров и служебных виртуальных машин инфраструктуры.
Антивирусная защита инфраструктуры с использованием антивирусных средств.
Управление доступом к инфраструктуре: администраторы подключаются с использованием двухфакторной аутентификации.
Контроль действий привилегированных пользователей (администраторов Cloud.ru): использование специализированных средств класса PIM&PAM.
Регулярный контроль и анализ защищенности инфраструктуры: использование специализированных средств по выявлению уязвимостей в используемом ПО и его некорректной конфигурации, влияющей на уровень защищенности ПО. Выявленные уязвимости и/или недостатки устраняются.
Сбор и анализ событий информационной безопасности средствами класса SIEM.
Круглосуточный мониторинг и реагирование на инциденты безопасности с помощью Security Operation Center (SOC).
Управление доступом к служебным сервисам внутри инфраструктуры.
Учет и защита межкомпонентных взаимодействий инфраструктуры.
Динамический анализ функционирующих в инфраструктуре приложений и сервисов Evolution.
Аудиты
Cloud.ru осуществляет периодические внутренние и внешние аудиты системы управления информационной безопасностью и тестирования на проникновение инфраструктуры облачной платформы Evolution. Для проведения аудитов и тестирований привлекаются компетентные внешние организации. Выявленные в ходе соответствующего тестирования и/или аудита недостатки устраняются по факту выявления.
Безопасная разработка ПО
Функционирующие в инфраструктуре приложения и сервисы облачной платформы Evolution разрабатываются в рамках единого процесса безопасной разработки ПО, который включает следующие меры:
Создание DEV-, STAGE- и PROD-стендов под каждый разрабатываемый SaaS-сервис Evolution (STAGE является полной копией PROD).
Ограничение доступа к DEV-стендам разработчиками и DevOps-специалистами сервиса.
Ограничение доступа к STAGE-стенду DevOps-специалистами и QA-инженерами сервиса.
Налаживание процессов CI/CD между DEV-, STAGE- и PROD-стендами соответствующими инструментами.
Использование процессов DevSecOps при разработке ПО.
Команда разработчиков Evolution использует принципы безопасной разработки при создании защищенного программного обеспечения. Сотрудники компании проходят обучение для формирования безопасной среды разработки. Программное обеспечение проходит этапы тестирования SAST, DAST, Pentest. На этапе тестирования проводится обязательное сканирование STAGE-стенда разрабатываемых SaaS-сервисов средствами облачного сканера безопасности. Найденные уязвимости и недостатки устраняются перед переносом очередного релиза сервиса в PROD-стенд.
Была ли статья полезной?
для Dev & Test