Защита облака

Обновлено: 30.10.2025

Помимо общих мер для надежности и безопасности, облачный сервис Timetta использует следующие средства и технологии.

Компонентная схемаКомпонентная схема

1. Вся инфраструктура размещена в облаке Yandex Cloud. Вопросы физической защиты центров обработки данных (ЦОД) находятся в зоне ответственности провайдера.
2. Используются управляемые сервисы (Managed Services). Иными словами, мы не работаем напрямую с виртуальными машинами или физическим оборудованием, а используем платформенные решения (PaaS) от Yandex Cloud. Благодаря этому многие задачи базового администрирования (например, на уровне операционной системы) решаются поставщиком облака.
3. Все используемые компоненты имеют избыточность и распределены по трём зонам доступности, что обеспечивает устойчивость к сбоям и авариям.

Защита доступаЗащита доступа

На «входе» в контур сервиса установлены следующие защитные механизмы:

1. Smart Protection — защита от DDoS-атак.
2. Web Application Firewall (WAF) — фильтрация и защита веб-трафика на основе правил OWASP Core Rule Set и дополнительных правил Yandex с использованием методов машинного обучения.
3. Advanced Rate Limiter — защита от резких скачков нагрузки и ограничение частоты запросов.

Публичный доступ к сервису открыт только по порту 443 (HTTPS).
Клиентские данные и сервисы размещаются в отдельном продуктивном контуре. Круг лиц, имеющих доступ к нему, строго ограничен, фиксирован и контролируется.

Аутентификация и управление доступомАутентификация и управление доступом

1. Многофакторная аутентификация (MFA) для административного доступа.
2. RBAC (Role-Based Access Control) — разграничение прав доступа на основе ролей и минимально необходимого уровня привилегий (principle of least privilege).
3. Все действия администраторов и сервисных аккаунтов журналируются и регулярно проверяются.
4. Доступ только из приватной сети.

Защита данныхЗащита данных

1. Разделение данных клиентов — данные разных клиентов изолированы логически и физически (отдельная база данных под абонента).
2. Шифрование данных:
   • Все данные при передаче шифруются по протоколу TLS 1.2+.
   • Хранимые «чувствительные» данные защищены с помощью AES-256.
3. Безопасное хранение секретов — используются сервисы управления секретами (Yandex Lockbox).

Резервное копирование и отказоустойчивостьРезервное копирование и отказоустойчивость

1. Поддерживается восстановление состояния кластера в любой момент времени (Point-in-Time Recovery, PITR) за счёт использования резервных копий и WAL-журналов.
2. Целостность резервных копий проверяется с использованием интеграционных тестов на синтетических данных.
3. Резервные копии хранятся в объектном хранилище, шифруются GPG и доступны в течение 30 дней.

Контроль уязвимостей и обновленияКонтроль уязвимостей и обновления

1. Сканирование контейнеров — все образы приложений, размещаемые в Yandex Cloud Container Registry, проходят автоматическое сканирование на уязвимости с использованием встроенных средств безопасности Yandex Cloud.
2. Контроль зависимостей — регулярно выполняется проверка библиотек и зависимостей на наличие известных уязвимостей (CVEs).
3. Оперативное обновление — уязвимости устраняются в кратчайшие сроки путём обновления пакетов и пересборки контейнеров.
4. Используются CI/CD-процессы с интеграцией проверок безопасности на этапах сборки и публикации образов.

Безопасность разработки (SDLC)Безопасность разработки (SDLC)

1. В процесс разработки встроены практики Secure Software Development Lifecycle (SSDLC).
2. Выполняется статический и динамический анализ кода (SAST/DAST) с помощью автоматизированных инструментов.
3. Все изменения проходят код-ревью и автоматические проверки на наличие уязвимостей перед релизом.
4. Используются защищённые репозитории исходного кода, доступ к которым ограничен и контролируется.

Мониторинг и аудитМониторинг и аудит

1. Постоянный мониторинг доступности и безопасности инфраструктуры.
2. Сбор и анализ логов с помощью централизованной системы логирования.
3. Настроенные оповещения о подозрительной активности и инцидентах безопасности.

Управление инцидентамиУправление инцидентами

1. Разработан и поддерживается план реагирования на инциденты безопасности (Incident Response Plan).
2. Все инциденты классифицируются по уровням критичности и фиксируются в системе учёта.
3. В случае выявления угрозы проводится оперативное расследование и уведомление заинтересованных сторон.
4. Результаты инцидентов анализируются для предотвращения повторения.