Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Безопасность в Облаке", Евгений Сидоров, Яндекс

47a3212bc9721c62f1135ead56569f17?s=47 OWASP Moscow
April 03, 2019
Programming
0
260

"Безопасность в Облаке", Евгений Сидоров, Яндекс

OWASP Russia Meetup #8

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

April 03, 2019
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
150
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
290
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
520
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
260
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
240
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
260
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
220
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
0
210
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
47a3212bc9721c62f1135ead56569f17?s=48 owaspmoscow
1
190

Other Decks in Programming

See All in Programming
バンドル最適化マニアクス at tfconf
3aebd86547bfc5cdb451d5f2f95ed5d8?s=48 mizchi
4
2.3k
A technique to implement DSL in Ruby
110cd4dcaed019b3bd9809e541afdeb6?s=48 okuramasafumi
0
790
Micro Frontends with Module Federation: Beyond the Basics @codecrafts2022
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
120
Let's make a contract: the art of designing a Java API
9eafc29df96e6aaf4a3eb4c0209086ae?s=48 mariofusco
0
160
Node.js 最新動向 TFCon 2022
D76231a2114896dfcc7b79ac69558b79?s=48 yosuke_furukawa
PRO
6
2.9k
mrubyを1300円のボードで動かそう
9ec05c5a1b9b0ce9cd53ec3a63838b9a?s=48 yuuu
0
190
未経験QAの私が、よきQA(Question Asker) になっていく物語
F0a8d07597a19192791bf663504d2a17?s=48 atamaplus
0
330
Enterprise Angular: Frontend Moduliths with Nx and Standalone Components @jax2022
15934fa2aa7b2ce21f091e9b7cffa856?s=48 manfredsteyer
PRO
0
310
近況PHP / PHP in now a days
271fad8d53cd1f12f2b4b6d38e3d7bd3?s=48 uzulla
4
1.8k
GraphQL+KMM開発でわかったこと / What we learned from GraphQL+KMM development
E505897a79eede1a676f92740261e8f8?s=48 kubode
0
130
偏見と妄想で語るスクリプト言語としての Swift / Swift as a Scripting Language
Af64bc38c0ffcfcabdf430759ee491ce?s=48 lovee
2
270
競プロへの誘 -いざな-
Efbc292fd2e2c4caa0ede1d1532804a9?s=48 u76ner
0
380

Featured

See All Featured
Designing Dashboards & Data Visualisations in Web Apps
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
224
49k
How GitHub (no longer) Works
78b475797a14c84799063c7cd073962f?s=48 holman
296
140k
The Most Common Mistakes in Cover Letters
1ce0eb06fd6a9e9566a0cb310cfee635?s=48 jrick
PRO
4
24k
How to Ace a Technical Interview
2f5463832ccb768ccb4a1ca3607c27ef?s=48 jacobian
265
21k
The Brand Is Dead. Long Live the Brand.
A415db3ac9e9668acbc1fb36eead84ac?s=48 mthomps
45
2.7k
VelocityConf: Rendering Performance Case Studies
96270e4c3e5e9806cf7245475c00b275?s=48 addyosmani
316
22k
Fashionably flexible responsive web design (full day workshop)
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
396
62k
Creatively Recalculating Your Daily Design Routine
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
206
10k
5 minutes of I Can Smell Your CMS
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
196
18k
Designing Experiences People Love
1b75d89772b7eea1f6c89fbf362607d9?s=48 moore
130
22k
jQuery: Nuts, Bolts and Bling
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
56
6.4k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
95d9f37115fbb0d13135d0f77132f856?s=48 morganepeng
103
16k

Transcript

  1. None

  2. Безопасность Яндекс.Облака Евгений Сидоров, Инженер по информационной безопасности

  3. Agenda 1.0 ⎮ Зачем? 1.1 ⎮ INTRO 1.2 ⎮ Модель

    разграничения отвественности 1.3 ⎮ Базовая инфраструктура Облака 2.0 ⎮ Как? 2.1 ⎮ Безопасность инфраструктуры 2.2 ⎮ Процесс разработки 2.3 ⎮ Контроль доступов

  4. INTRO Yandex Cloud Security

  5. Безопасность в Облаке 5 › Продолжение серии рассказов о безопасности

    наших сервисов › В предыдущих выпусках: SDL в Браузере от Андрея Ковалева, SAST и т.д. › Этот рассказ об архитектуре, процессах и контролях и… › Об отношении к Безопасности :)

  6. Облако 6 › OpenStack, vmWare › Написанное с нуля публичное

    Облако с оригинальной архитектурой › Архитектура во многом определяет подход к Безопасности › Повышенные требования к безопасности со стороны клиентов › Безопасность закладывалась в архитектуру с нуля › Выделенная команда безопасности

  7. Безопасность Облаков 7 Модель разграничения ответственности за Безопасность Security IN

    the cloud › Базовый набор сервисов, которые предоставляются пользователю для обеспечения безопасности его приложений › Сервисы контроля и разграничения доступа, изоляция пользователей друг от друга, физическая безопасность, шифрование и т.д. Security OF the cloud › Безопасность самого облака, его инфраструктуры и сервисов

  8. Принципы построения Безопасности 8 Принципы › Defence in depth (нет

    “серебряной пули”, есть несколько слоев защиты) › Secure by default Постоянный поиск уязвимостей и аудит › Помогает понять, что надо защищать в первую очередь › Сильно влияет на Treat Modelling › Улучшает понимание Attack Surface

  9. Безопасность инфраструктуры Yandex Cloud Security

  10. Облако 10 › Все железные хосты собраны в один пул

    и одинаковы по конфигурации › На железе живет базовый набор приложений: распределенный storage, compute node daemon, token agent, contrail stuff и т.д. › Все остальные сервисы строятся поверх этого слоя › “Eat your own dog food” › Весь управляющий слой живет в VM › Сеть Underlay & Overlay

  11. Безопасность инфраструктуры 11 Сетевая безопасность › Host based firewall ›

    Дополнительные ACL на TOR › Для overlay правила FW применяются на гипервизоре › Overlay работает через MPLS, для клиента это как L3 VPN

  12. Межсервисная аутентификация - схема получения токена 12 Hardware Server Token

    Agent TPM grpc over unix socket Storage VM-metadata IAM Mgmt processes Compute

  13. Виртуальные машины 13 Qemu/KVM › Сильно урезанный qemu › Набор

    своих патчей › Свой NBS на базе virtio HV Attack Surface › Атака на гипервизор › Атаки на эмуляцию устройств › Атаки на SDN › Defcon NN “Устройство и безопасность гипервизоров”, Евгений Яковлев

  14. VM Sandbox 14 С точки зрения хоста VM это процесс

    в системе › Используем AppArmor для enforce MAC › Экспериментируем с Seccomp для qemu

  15. Seccomp 15 Seccomp-bpf › Позволяет ограничивать attack surface на ядро,

    фильтрует разрешенные системные вызовы и их параметры › C 4.14 появилась возможность логгировать нарушения профиля (learning mode) › Можно применять профиль для каждого треда › Доработали qemu, научили osquery работать с seccomp

  16. Osquery & AppArmor events pipeline 16 Host osquery AppArmor &

    Seccomp Kernel Audit Adapter Splunk Correlation Alerting Reporting

  17. SDN 17 Software defined network 〉Используем OpenContrail 〉Используем fuzzing для

    поиска уязвимостей в vrouter и vrouter-agent

  18. Процесс безопасной разработки Yandex Cloud Security

  19. Ответственность за безопасность сервиса 19 Ответственность за безопасность сервиса ›

    В первую очередь разработчики и team leaders › Команда безопасности помогает, обучает, консультирует, исследует и т.д. › Безопасник и разработчик лучшие друзья :) Поддержка senior management › Необходимость процессов безопасности исходит от бизнеса › Senior management вовлечен в процессы безопасности

  20. Процесс безопасной разработки 20 › Построен по проверенному шаблону (как

    в Браузере, например) › Адаптирован под требования комплаенса › У нас появились Security Champions

  21. 21 Education (developers, managers) Guides CTFs Checklists Security design review

    Design Threat model Consulting Automated Implementation analysis SAST DAST Response Incident Management Security Operations Security Audit Pentesting Code review Fixcheck Compliance Risk mgmt Compliance Security Champions

  22. Контроль доступа Yandex Cloud Security

  23. Контроль доступа 23 Бастионный хост › Служит единой точкой входа

    в prod/preprod Облака › Работает как SSH-MITM и записывает целиком все передаваемое в прод / из прода › ssh между хостами запрещен › Логи шифруются и хранятся в cold storage › Мета от логов летит в Splunk › Osquery как второй источник телеметрии (видит процессы, а не введенные команды)

  24. Спасибо Евгений Сидоров Инженер по Информационной Безопасности e-sidorov@yandex-team.ru