Безопасность в облаке
Обеспечиваем высокий уровень безопасности клиентских данных и предоставляем сервисы для защиты информации в облаке
Поддерживаем комплексную безопасность облака на физическом, сетевом, инфраструктурном и организационном уровне
Доступность, целостность и конфиденциальность данных — наши главные ориентиры при обеспечении безопасности в облаке. Для их достижения мы придерживаемся SLA 99,982%, используем современное оборудование и последние версии ПО. Что касается уровней защиты:
Ограничиваем доступ посторонних к физическим серверам
Наше оборудование размещено в охраняемых дата-центрах Tier III. Этот сертификат характеризует отказоустойчивость и надежность инфраструктуры ЦОД. Территория таких предприятий огорожена, там действует контрольно-пропускной режим, дежурит охрана. Физический доступ к «железу» имеет крайне ограниченный круг доверенных лиц. Дополнительный уровень защиты обеспечивает система видеонаблюдения с архивом записей.
Защищаем периметр облачной инфраструктуры
Используем метод сегментации на уровне облачной платформы встроенными средствами консоли управления и на сетевом уровне средствами SDN. Дополнительную безопасность инфраструктуры обеспечивают системы контроля целостности образов виртуальных машин и гипервизоров, а также инструменты защиты от DDoS-атак. В то же время за сбор и анализ событий, представляющих интерес с точки зрения информационной безопасности, отвечают средства класса SIEM. Они помогают обнаружить нелегитимную деятельность в сети и вовремя принять меры.
Разрабатываем безопасные приложения
Наши инженеры применяют безопасные принципы написания кода, а также инструменты SAST и DAST. Это статические и динамические анализаторы, которые помогают находить уязвимости в программах и решать проблемы аутентификации и конфигурации. Разрабатываемые сервисы в обязательном порядке проходят пентесты. ИБ-специалисты моделируют действия хакеров, ищут уязвимости и демонстрируют гипотетические возможности злоумышленников. Такие «контролируемые взломы» проходят минимум раз в год с привлечением сторонней экспертизы.
Совершенствуем систему управления информационной безопасностью
Мы создали СУИБ с целью непрерывного предоставления облачных сервисов и услуг клиентам и поддерживания прозрачного управления процессами обеспечения кибербезопасности и защиты персональных данных. В системы определены процедуры и процессы, направленные на снижение рисков кибербезопасности и выполнение требований законодательства.
Подтверждаем безопасность аттестатами, сертификатами и лицензиями
Наша многоуровневая система защиты информации соответствует требованиям законодательства РФ и реализует лучшие мировые практики кибербезопасности. Это подтверждено имеющимися аттестатами, сертификатами и лицензиями:
Аттестаты
152-ФЗ
Все облачные платформы Cloud.ru соблюдают требования ФЗ №152 «О персональных данных» и обеспечивают безопасность персональных данных в соответствии с приказом ФСТЭК России №21 на первом уровне защищенности (УЗ-1). Это значит, что персональные данные пользователей могут передаваться и храниться в Cloud.ru.
Защита ГИС
Платформа Облако VMware аттестована на соответствие требованиям безопасности информации, предъявляемым к государственным информационным системам (ГИС) при обеспечении первого класса защищенности (К1).
187-ФЗ
Данный закон определяет правила обеспечения безопасности критической информационной инфраструктуры РФ. Платформа Облако VMware аттестована на соответствие требованиям безопасности информации, предъявляемым к третьей категории значимости объектов критической информационной инфраструктуры.
Стандарты ISO
ISO/IEC 27001:2013
Сертификат подтверждает соответствие облака Cloud.ru международным требованиям для создания и поддержания системы менеджмента информационной безопасности (Privacy Information Management System, PIMS).
ISO/IEC 27701:2019
Сертификат подтверждает соответствие облака Cloud.ru международным требованиям и следование рекомендациям по внедрению, применению, поддержке и непрерывному улучшение системы менеджмента информационной безопасности, изложенным в стандарте ISO/IEC 27701:2019. Стандарт является дополнением к ISO/IEC 27001:2013.
ISO/IEC 27017:2015
Сертификат подтверждает соответствие облака Cloud.ru международным требованиям к сервис-провайдерам облачных услуг для обеспечения безопасности облачного окружения и снижения рисков информационной безопасности.
ISO/IEC 27018:2019
Сертификат подтверждает соответствие облака Cloud.ru международным требованиям по определению общепринятых целей/средств контроля и принципов внедрения комплекса мер по обеспечению безопасности персональных данных в соответствии с принципами, изложенными в стандарте ISO/IEC 29100.
Сертификаты и лицензии
PCI DSS 3.2.1
Платформа Облако VMware имеет зоны доступности, которые соответствуют требованиям стандарта безопасности индустрии платежных карт PCI DSS 3.2.1. Это позволяет клиентам использовать платформу для обработки, хранения и передачи данных о держателях платежных карт международных платежных систем «Мир», Visa, MasterCard, JCB, China UnionPay, American Express и других без рисков, которые возникают при обработке и хранении данных.
Сертификаты дата-центров
ЦОД, в которых размещается инфраструктура Cloud.ru, соответствует следующим стандартам:
- ISO/IES 27001:2006
- ISO 9001:20011
- ISO/IES 20000-1:2013
- Uptime Institute Tier III Design
- Uptime Institute Tier III Facility
- Uptime Institute Tier III Operation
- PCI DSS 3.2.1
ГОСТ 57580.1–2017
Регионы PD01, PD11 и PD12 платформы Облако VMware соответствуют требованиям ГОСТ 57580.1–2017 «Защита информации финансовых организаций. Базовый состав организационных и технических мер» — имеют пятый уровень соответствия, R = 0,93.
Зоны ответственности провайдера и клиента за безопасность
Безопасность облачной инфраструктуры — одна из ключевых задач провайдера, при этом клиент также несет ответственность за настройку доступов и сохранность данных в системе, проводит аттестации и сертификации в отношении собственной инфраструктуры, построенной поверх инфраструктуры облачных платформ Cloud.ru, в случаях, когда это необходимо.
Разделение ответственности
Зоны ответственности провайдера и клиента меняются в зависимости от модели облачных сервисов и типа облака:
Частное облако
Публичное облако
Управление рисками ИБ
Построение модели угроз, выбора типа сервиса и необходимых средств защиты информации
Безопасность данных
Управление доступом, шифрование, управление ключами
Безопасность приложений
Управление доступом, сканирование уязвимостей, патчи безопасности, защита от DDoS (L5-L7 OSI), межсетевой экран уровня приложения (WAF)
Безопасность виртуальных машин и сервисов
Управление доступом, защита от malware, мониторинг, управление конфигурациям, патчи безопасности
Сетевая безопасность*
Защита канала связи, интерфейсов управления облаком, IP от DDoS (L3-L4 OSI), сегментация сетей, шифрование трафика, фильтрация трафика, защита от сетевых атак
Безопасность инфраструктуры
Среда виртуализации, сканирование на уязвимости
Физическая безопасность
Контроль физического доступа к инфраструктуре, резервирование каналов передачи и электроснабжения
* Cloud.ru отвечает за доступность консолей управления облаком, включая бекапы и т.д., но не отвечает за доступность IP адресов, выделенных клиентам, с помощью которых они публикуются в сеть интернет (белый IP адрес, API, Web серверы).
Согласно п.3.4 «Соглашения об SLA» стороны соглашаются учитывать периоды недоступности услуг и (или) деградации как предоставление услуг в штатном режиме и не учитывать их при расчете времени недоступности услуг, если:
3.4.6. Недоступность услуг возникла в результате совершения третьими лицами противоправных действий, в том числе в случае проведения DoS/DDoS-атак на вычислительные системы заказчика;
3.4.7. Нарушение доступности услуг возникло из-за DoS/DDoS-атаки на вычислительные системы заказчика при отсутствии подключения заказчиком услуги «Защита от DDoS-атак».
Используйте сервисы безопасности при решении задач по защите компонентов вашей инфраструктуры
Используйте сервисы фильтрации трафика и виртуальный межсетевой экран для защиты опубликованных веб-приложений. Размещайте ваши средства защиты информации в дата-центрах Cloud.ru.
Anti-DDoS
Инструмент фильтрации трафика и защиты от DDoS-атак. Помогает обеспечить бесперебойную работу ресурсов по протоколам HTTP/HTTPS
Anti-DDoS+WAF
Инструмент защиты от DDoS-атак. Помогает обеспечить стабильную работу клиентских сайтов и веб-сервисов по протоколам HTTP/HTTPS
Identity and Access Management
Система управления пользователями, группами пользователей, ролями и политиками. Позволяет организовать доступ к облачным ресурсам
Двухфакторная аутентификация
Двухфакторная аутентификация (2FA) позволяет защитить учетную запись надежнее, чем традиционный пароль.
VPN Site-to-Site
Технология VPN site-to-site представляет собой способ безопасного соединения двух или нескольких территориально-распределенных офисов с собственной локальной сетью или вычислительных площадок через общедоступную сеть Интернет.
Web Application Firewall
Межсетевой экран для выявления и блокировки множества распространенных атак на веб-приложения
Anti-DDoS+WAF
Инструмент защиты от DDoS-атак. Помогает обеспечить стабильную работу клиентских сайтов и веб-сервисов по протоколам HTTP/HTTPS
Key Manager
Ключ — набор секретных данных, который определяет алгоритм и криптографический материал для операций шифрования или расшифровки данных.
Secret Manager
Secret Manager — сервис для безопасного хранения секретов: личных данных, ключей API, паролей, сертификатов и другой конфиденциальной информации, которая может храниться в облаке.
Professional Services
Это комплекс инженерных и консультационных услуг по внедрению и адаптации облачных сервисов Cloud.ru, включая технологический консалтинг, миграцию, а также установку и настройку сопутствующего и корпоративного ПО в нашем облаке.
Managed Services
Это администрирование IT-инфраструктуры клиента в рамках используемых услуг Cloud.ru силами наших специалистов. Услуга освободит вас от рутинных операций, связанных с инфраструктурой, и позволит сфокусироваться на более значимых задачах.
Как размещаются средства безопасности в облаке
Ниже представлена общая схема размещения и применения основных и дополнительных сервисов безопасности, предоставляемых нашим клиентам.
Как это работает
Обозначения и сокращения в документации.