На этой странице:
IAM (Identity Access Management) — совокупность технологических и административных решений, которые обеспечивают предоставление корректных уровней доступа сотрудникам внутри
.Основные задачи IAM:
Идентификация, аутентификация и авторизация администраторов с возможностью гибкого управления доступом к облачным ресурсам
Обеспечение механизма единого входа (SSO) для всех внутренних сервисов облачных платформ Cloud.ru.
Предоставление необходимых и достаточных привилегий для управления облачными ресурсами обеспечивается встроенными средствами консоли управления облачными ресурсами.
Для обеспечения двухфакторной аутентификации (2FA) можно использовать Google Authenticator, FreeOTP или MS Authenticator.
Дополнительным способом ограничения доступа к данным, хранящимся в облаке, является сервис шифрование
, позволяющий хранить файлы виртуальной машины (файл конфигурации, файлы виртуальных дисков, снапшоты и т.п.) в зашифрованном виде на СХД.Возможные варианты шифрования:
Полное шифрование данных ВМ и дисков средствами платформы Облако VMware.
Гибридное шифрование: данные ВМ шифруются средствами платформы Облако VMware, диски шифруются средствами гостевой ОС (BitLocker для Windows, LUKS для Linux).
Для создания единой точки управления компонентами информационной системы, размещенной в облачной инфраструктуре, рекомендуется создать выделенную виртуальную машину (JumpHost/Bastion) для организации доступа администраторов ОС, БД и ППО. Для этих целей можно использовать протоколы удаленного доступа (например, SSH, RDP) и ограничить сетевые взаимодействия только самыми необходимыми.
Настоятельно рекомендуется организовать доступ администраторов к JumpHost/Bastion по VPN в облаке Cloud.ru и применять аутентификацию по сертификатам либо 2FA. Назначение прав администраторам и пользователям должно производиться с учетом принципа минимальных привилегий.
На всех уровнях информационной системы, размещенной в облаке, следует создавать и назначать роли в соответствии с функциональными потребностями пользователей.