Upgrade to Pro — share decks privately, control downloads, hide ads and more …

"Безопасность в Облаке", Евгений Сидоров, Яндекс

OWASP Moscow
April 03, 2019
Programming
0
350

"Безопасность в Облаке", Евгений Сидоров, Яндекс

OWASP Russia Meetup #8

OWASP Moscow

April 03, 2019
Tweet

More Decks by OWASP Moscow

See All by OWASP Moscow
"Evolution of Application Security Programs through OWASP SAMM 2.0", Yan Kravchenko
owaspmoscow
0
330
«Проекты OWASP: SAMM выпуск 2», Тарас Иващенко, OZON
owaspmoscow
0
520
«Типичные ошибки реализации SMS-аутентификации», Ramazan (r0hack), DETEACT
owaspmoscow
0
760
«Dev, Sec, Oops: How Agile Security increases Attack Surface», Денис Макрушин
owaspmoscow
0
450
«From captcha to RCE. Сложности реализации механизма CAPTCHA в изолированных системах», Виталий Малкин
owaspmoscow
0
400
«OWASP Сheat Sheet Series. Microservices-based security architecture documentation», Александр Барабанов
owaspmoscow
0
460
«Проекты OWASP: следим за безопасностью 3rd-party-компонент с помощью Dependency Track», Тарас Иващенко, OZON.
owaspmoscow
0
450
«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.
owaspmoscow
0
390
«CTFZone, или как перестать ресёрчить и полюбить CTF», Никита Вдовушкин, BI.ZONE.
owaspmoscow
1
380

Other Decks in Programming

See All in Programming
SpringBoot+MyBatisで例外が出たときどこを見るか
syukai
0
110
OpenAPIを中心に考えるAPI開発入門 / Introduction to API Development with a Focus on OpenAPI
seike460
PRO
2
120
try!Swift Tokyo 2024 参加報告 LT
akidon0000
1
190
CQRS/ES avec Symfony, c’est (trop) bien !
jeremyfreeagent
1
630
Doctrine ORMでValue Objectを扱う方法4選 #phpstudy / 4 ways to handle Value Objects with Doctrine ORM
77web
4
110
オブジェクト指向のリ・オリエンテーション~歴史を振り返り、AI時代に向きなおる~
hanyudaeiiti
10
5.6k
StreamlitとTerraformでデータカタログを作った話
gussan0223
0
300
PHP8.3の機能を振り返る / Review of PHP 8.3 features
seike460
PRO
1
110
今、知っておきたい! 生成AIエージェントの世界
elith
3
340
Java 22 Overview
kishida
1
170
⼤規模⾔語モデルの拡張(RAG)が 終わったかも知れない件について
nearme_tech
22
15k
[SF Ruby, March 2024] Rails on Wasm
palkan
0
370

Featured

See All Featured
Docker and Python
trallard
33
2.7k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
1
3.4k
Agile that works and the tools we love
rasmusluckow
324
20k
Rails Girls Zürich Keynote
gr2m
91
13k
5 minutes of I Can Smell Your CMS
philhawksworth
199
19k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
501
140k
Large-scale JavaScript Application Architecture
addyosmani
503
110k
Become a Pro
speakerdeck
PRO
10
4.5k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
273
13k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
15
1.4k

Transcript

  1. None

  2. Безопасность Яндекс.Облака Евгений Сидоров, Инженер по информационной безопасности

  3. Agenda 1.0 ⎮ Зачем? 1.1 ⎮ INTRO 1.2 ⎮ Модель

    разграничения отвественности 1.3 ⎮ Базовая инфраструктура Облака 2.0 ⎮ Как? 2.1 ⎮ Безопасность инфраструктуры 2.2 ⎮ Процесс разработки 2.3 ⎮ Контроль доступов

  4. INTRO Yandex Cloud Security

  5. Безопасность в Облаке 5 › Продолжение серии рассказов о безопасности

    наших сервисов › В предыдущих выпусках: SDL в Браузере от Андрея Ковалева, SAST и т.д. › Этот рассказ об архитектуре, процессах и контролях и… › Об отношении к Безопасности :)

  6. Облако 6 › OpenStack, vmWare › Написанное с нуля публичное

    Облако с оригинальной архитектурой › Архитектура во многом определяет подход к Безопасности › Повышенные требования к безопасности со стороны клиентов › Безопасность закладывалась в архитектуру с нуля › Выделенная команда безопасности

  7. Безопасность Облаков 7 Модель разграничения ответственности за Безопасность Security IN

    the cloud › Базовый набор сервисов, которые предоставляются пользователю для обеспечения безопасности его приложений › Сервисы контроля и разграничения доступа, изоляция пользователей друг от друга, физическая безопасность, шифрование и т.д. Security OF the cloud › Безопасность самого облака, его инфраструктуры и сервисов

  8. Принципы построения Безопасности 8 Принципы › Defence in depth (нет

    “серебряной пули”, есть несколько слоев защиты) › Secure by default Постоянный поиск уязвимостей и аудит › Помогает понять, что надо защищать в первую очередь › Сильно влияет на Treat Modelling › Улучшает понимание Attack Surface

  9. Безопасность инфраструктуры Yandex Cloud Security

  10. Облако 10 › Все железные хосты собраны в один пул

    и одинаковы по конфигурации › На железе живет базовый набор приложений: распределенный storage, compute node daemon, token agent, contrail stuff и т.д. › Все остальные сервисы строятся поверх этого слоя › “Eat your own dog food” › Весь управляющий слой живет в VM › Сеть Underlay & Overlay

  11. Безопасность инфраструктуры 11 Сетевая безопасность › Host based firewall ›

    Дополнительные ACL на TOR › Для overlay правила FW применяются на гипервизоре › Overlay работает через MPLS, для клиента это как L3 VPN

  12. Межсервисная аутентификация - схема получения токена 12 Hardware Server Token

    Agent TPM grpc over unix socket Storage VM-metadata IAM Mgmt processes Compute

  13. Виртуальные машины 13 Qemu/KVM › Сильно урезанный qemu › Набор

    своих патчей › Свой NBS на базе virtio HV Attack Surface › Атака на гипервизор › Атаки на эмуляцию устройств › Атаки на SDN › Defcon NN “Устройство и безопасность гипервизоров”, Евгений Яковлев

  14. VM Sandbox 14 С точки зрения хоста VM это процесс

    в системе › Используем AppArmor для enforce MAC › Экспериментируем с Seccomp для qemu

  15. Seccomp 15 Seccomp-bpf › Позволяет ограничивать attack surface на ядро,

    фильтрует разрешенные системные вызовы и их параметры › C 4.14 появилась возможность логгировать нарушения профиля (learning mode) › Можно применять профиль для каждого треда › Доработали qemu, научили osquery работать с seccomp

  16. Osquery & AppArmor events pipeline 16 Host osquery AppArmor &

    Seccomp Kernel Audit Adapter Splunk Correlation Alerting Reporting

  17. SDN 17 Software defined network 〉Используем OpenContrail 〉Используем fuzzing для

    поиска уязвимостей в vrouter и vrouter-agent

  18. Процесс безопасной разработки Yandex Cloud Security

  19. Ответственность за безопасность сервиса 19 Ответственность за безопасность сервиса ›

    В первую очередь разработчики и team leaders › Команда безопасности помогает, обучает, консультирует, исследует и т.д. › Безопасник и разработчик лучшие друзья :) Поддержка senior management › Необходимость процессов безопасности исходит от бизнеса › Senior management вовлечен в процессы безопасности

  20. Процесс безопасной разработки 20 › Построен по проверенному шаблону (как

    в Браузере, например) › Адаптирован под требования комплаенса › У нас появились Security Champions

  21. 21 Education (developers, managers) Guides CTFs Checklists Security design review

    Design Threat model Consulting Automated Implementation analysis SAST DAST Response Incident Management Security Operations Security Audit Pentesting Code review Fixcheck Compliance Risk mgmt Compliance Security Champions

  22. Контроль доступа Yandex Cloud Security

  23. Контроль доступа 23 Бастионный хост › Служит единой точкой входа

    в prod/preprod Облака › Работает как SSH-MITM и записывает целиком все передаваемое в прод / из прода › ssh между хостами запрещен › Логи шифруются и хранятся в cold storage › Мета от логов летит в Splunk › Osquery как второй источник телеметрии (видит процессы, а не введенные команды)

  24. Спасибо Евгений Сидоров Инженер по Информационной Безопасности [email protected]