Cheshir mushuki qizga Elisga maslahat berganidek, boshidan boshlaymiz. Ya'ni, javobgarlikni belgilash masalasidan. Yandex.Cloud-da, shunga o'xshash boshqa platformalarda bo'lgani kabi, provayder foydalanuvchilarga taqdim etilayotgan xizmatlarning xavfsizligi uchun javob beradi, mijoz o'zi ishlab chiqadigan dasturlarning to'g'ri ishlashini ta'minlash, ajratilgan resurslarga masofaviy kirishni tashkil qilish va chegaralash, ma'lumotlar bazalarini sozlash uchun javobgardir. va virtual mashinalar, jurnalni boshqarish. Biroq, buning uchun u barcha kerakli vositalar bilan ta'minlangan.
Yandex bulutli infratuzilmasining xavfsizligi bir nechta darajalarga ega, ularning har biri o'zining xavfsizlik tamoyillarini amalga oshiradi va texnologiyalarning alohida arsenalidan foydalanadi.
Jismoniy qatlam
Yandeksning o'z xavfsizlik markazlari tomonidan xizmat ko'rsatadigan o'z ma'lumot markazlari borligi sir emas. Gap nafaqat serverlar xonalariga begona odamlar kirib kelishining oldini olish uchun mo'ljallangan videokuzatuv va kirishni boshqarish xizmatlari haqida, balki iqlim nazorati tizimlari, yong'inni o'chirish va uzluksiz quvvat manbalari haqida ham ketmoqda. Agar sizning serveringiz tokchasiga bir marta yong'inga qarshi purkagichlardan suv quyilsa yoki ular konditsioner ishlamay qolgandan keyin qizib ketsa, Stern xavfsizlik xodimlarining foydasi yo'q. Yandeks ma'lumot markazlarida ular bilan bu aniq bo'lmaydi.
Bundan tashqari, Cloud apparati jismonan "katta Yandeks" dan ajratilgan: ular har xil javonlarda joylashgan, ammo aynan shu tarzda ular muntazam ravishda parvarishlash va tarkibiy qismlarni almashtirishdan o'tadilar. Ushbu ikkita infratuzilmaning chegarasida qo'shimcha xavfsizlik devorlari va Cloud ichida - Xostga asoslangan dasturiy ta'minot. Bundan tashqari, tokchali kalitlarda Access Control List (ACL) tizimi ishlatiladi, bu esa butun infratuzilmaning xavfsizligini sezilarli darajada oshiradi. Yandeks doimiy ravishda ochiq portlarni va konfiguratsiya xatolarini qidirishda Bulutni tashqaridan tekshiradi, shunda potentsial zaiflik oldindan tan olinishi va yo'q qilinishi mumkin. Cloud resurslari bilan ishlaydigan xodimlar uchun rolga asoslangan kirish modeli bilan SSH tugmachalaridan foydalangan holda markazlashtirilgan autentifikatsiya tizimi amalga oshirildi va administratorning barcha sessiyalari qayd qilindi. Ushbu yondashuv "Yandeks" tomonidan keng qo'llaniladigan "Secure default" modelining bir qismidir: xavfsizlik IT-infratuzilmasiga uni loyihalashtirish va ishlab chiqish bosqichida kiritilgan va keyinchalik hamma narsa allaqachon ishga tushirilganda qo'shilmaydi.
Infratuzilma darajasi
"Uskuna-dasturiy ta'minot mantig'i" darajasida Yandex.Cloud uchta infratuzilma xizmatidan foydalanadi: Compute Cloud, Virtual Private Cloud va Yandex tomonidan boshqariladigan xizmatlar. Va endi ularning har biri haqida batafsilroq.
Hisoblash buluti
Ushbu xizmat veb-loyihalar va yuqori yuklangan xizmatlarni joylashtirish, sinovdan o'tkazish va prototiplarni yaratish yoki o'z uskunalarini ta'mirlash yoki almashtirish davrida IT-infratuzilmaning vaqtincha ko'chishi kabi turli xil vazifalar uchun miqyosli hisoblash quvvatini ta'minlaydi. Siz konsol orqali xizmatni boshqarishingiz mumkin, buyruq satri (CLI), SDK yoki API.
Compute Cloud xavfsizligi barcha mijoz virtual mashinalarida kamida ikkita yadro ishlatilishiga va xotirani ajratishda ortiqcha majburiyat yo'qligiga asoslanadi. Bu holda yadroda faqat mijoz kodi bajarilganligi sababli tizim L1TF, Spectre va Meltdown kabi zaifliklarga yoki yon kanal hujumlariga ta'sir qilmaydi.
Bundan tashqari, Yandeks o'z Qemu / KVM assambleyasidan foydalanadi, unda keraksiz hamma narsa o'chirib qo'yilib, faqat gipervizatorlar ishlashi uchun zarur bo'lgan minimal kodlar to'plami va kutubxonalar qoldiriladi. Bunday holda, jarayonlar AppArmor-ga asoslangan asboblar nazorati ostida boshlanadi, bu xavfsizlik siyosati yordamida qaysi birini aniqlaydi tizim resurslari va u yoki bu dastur qanday imtiyozlar bilan kirishi mumkinligi. Har bir virtual mashinaning yuqori qismida ishlaydigan AppArmor mijoz dasturining VM-dan gipervizatorga kirish imkoniyatini kamaytiradi. Kundaliklarni qabul qilish va qayta ishlash uchun Yandex AppArmor va qum qutilaridan ma'lumotlarni o'z Splunk-ga etkazib berish jarayonini qurdi.
Virtual xususiy bulut
Virtual Private Cloud xizmati turli xil manbalar va ularning Internetga ulanishi o'rtasida ma'lumot uzatish uchun foydalaniladigan bulutli tarmoqlarni yaratishga imkon beradi. Ushbu xizmatni uchta mustaqil ma'lumotlar markazlari jismoniy qo'llab-quvvatlaydi. Ushbu muhitda mantiqiy izolyatsiya ko'p protokolli aloqa - MPLS darajasida amalga oshiriladi. Shu bilan birga, Yandeks doimiy ravishda SDN interfeysi va gipervizektorni xiralashtiradi, ya'ni virtual mashinalar tomonidan noto'g'ri o'rnatilgan paketlar oqimi doimiy ravishda tashqi muhitga yuborilib, SDN-dan javob olish, uni tahlil qilish va mumkin bo'lgan konfiguratsion bo'shliqlarni yopish uchun. DDoS himoyasi virtual mashinalarni yaratishda avtomatik ravishda yoqiladi.
Yandex tomonidan boshqariladigan xizmatlar
Yandex tomonidan boshqariladigan xizmatlar - bu turli xil xizmatlarni boshqarish uchun dasturiy muhit: DBMS, Kubernetes klasterlari, virtual serverlar Yandex.Cloud infratuzilmasida. Xizmat xavfsizlik ishlarining ko'p qismini bu erda oladi. Barcha zaxira, zaxira shifrlash, zaifliklarni boshqarish va boshqalar avtomatik ravishda ta'minlanadi dasturiy ta'minot orqali Yandex.Clouds.
Do'stlaringiz bilan baham: |