Доступность ресурсов
Прежде всего, сеть должна надёжно выполнять свои функции — в том числе, обеспечивать высокую доступность ресурсов. Для этого в Yandex Cloud используются три зоны доступности. Облачная сеть является глобальным объектом, а в зонах доступности размещаются зональные элементы инфраструктуры — например, виртуальные машины. Для связи элементов внутри каждой зоны создаются подсети.
Чтобы обеспечить высокую доступность ресурсов, следует размещать их в нескольких зонах доступности. Некоторые сервисы, например, управляемые базы данных, поддерживают размещение хостов в разных дата-центрах сразу из коробки.
Периметр безопасности
Следующий принцип построения сетей — создание периметра безопасности. Идея заключается в том, чтобы предусмотреть минимально необходимое количество точек выхода в интернет и обеспечить их защиту.
Для построения периметра безопасности используются следующие подходы:
- В сети создают несколько подсетей с разными политиками выхода в интернет с помощью трансляции адресов (NAT). В Yandex Cloud есть два варианта: непосредственно включить NAT для подсети или создать NAT-инстанс — хост с сетевым интерфейсом, публичным IP-адресом и преднастроенными правилами маршрутизации и трансляции IP-адресов, через который ресурсы подсети получат доступ в интернет. NAT обеспечивает сетевую безопасность за счёт того, что сетевая топология и внутренние IP-адреса ресурсов не видны из-за пределов сети. Однако нужно понимать, что сам по себе NAT не может заменить межсетевые экраны.
- Если виртуальной машине не нужна связь с ресурсами в интернете, её следует размещать в подсети, для которой выход в интернет отключён.
- Для работы со входящим трафиком следует использовать лишь минимально необходимое число открытых портов и внешних IP-адресов для подключения. Целесообразно использовать сетевой балансировщик трафика для группы виртуальных машин во внутренней сети.
- Безопасно администрировать виртуальные машины можно через консоль управления Yandex Cloud. Также поможет VPN-шлюз на виртуальной машине с внешним IP-адресом. Это позволит сократить количество внешних адресов и открытых портов для обслуживания облачной инфраструктуры.
- Для ресурсов с внешними IP-адресами следует включить сервис защиты от DDoS-атак. Этот сервис помогает бороться с атаками на уровень L7 сетевой модели OSI, которые направлены на исчерпание ёмкости канала и вычислительных ресурсов виртуальных машин. Для защиты веб-ресурсов в этом случае можно использовать один из сервисов WAF (Web Application Firewall), доступных на Marketplace.
Принцип наименьших привилегий
Третий элемент обеспечения сетевой безопасности в облаке — реализация принципа наименьших привилегий. Этот принцип требует, чтобы каждый ресурс в вашем облаке был связан только с теми ресурсами в облаке или интернете, которые необходимы для его корректной работы.
Чтобы реализовать этот принцип на практике, используют группы безопасности. Такая группа назначается сетевому интерфейсу при создании или изменении виртуальной машины. Она содержит правила, которые определяют протоколы и IP-адреса для получения и отправки трафика. Группы безопасности действуют по принципу «запрещено всё, что не разрешено».
В группе безопасности может быть определено несколько правил, а для одной виртуальной машины можно назначить несколько групп. То, что может делать виртуальная машина в сети, определяется совокупностью всех правил назначенных для нее групп безопасности.
Практика. Организация защищённого канала
Защита данных, передаваемых между вашей локальной инфраструктурой и облаком, — важный элемент информационной безопасности. А удалённая работа, которая получила распространение в период пандемии коронавируса и сейчас закрепилась в практиках многих компаний, сделала эту задачу ещё более актуальной.
Чтобы защитить передаваемую информацию, используют VPN (Virtual Private Network) — технологию, позволяющую развернуть защищённое сетевое соединение «поверх» незащищённой сети (чаще всего это интернет). VPN-соединение представляет собой канал передачи данных между двумя узлами. Этот канал обычно называют VPN-туннелем. Если за одним из узлов находится целая сеть, то его называют VPN-шлюзом.
Механизм работы VPN:
- Перед созданием туннеля узлы идентифицируют друг друга, чтобы удостовериться, что шифрованные данные будут отправлены на нужный узел.
- На обоих узлах нужно заранее определить, какие протоколы будут использоваться для шифрования и обеспечения целостности данных.
- Узлы сверяют настройки, чтобы договориться об используемых алгоритмах. Если настройки разные, туннель не создаётся.
- Если сверка прошла успешно, то создаётся ключ, который используется для симметричного шифрования.
Этот механизм регламентируют несколько стандартов. Один из самых популярных — IPSec (Internet Protocol Security).
На этом уроке вы научитесь настраивать IPSec VPN-туннель между двумя VPN-шлюзами с помощью демона strongSwan. Один шлюз вы настроите на виртуальной машине в Yandex Cloud, второй — на своей локальной машине или виртуальной машине в другой облачной сети.
Практика: https://practicum.yandex.ru/trainer/ycloud/lesson/c360c1f9-2cda-477f-818f-2a4f6a5de988/
📂 YandexCloud | Последнее изменение: 15.08.2024 13:31