Рекомендации по Информационной Безопасности

Информационная безопасность — основа надёжной работы в облаке. Соблюдение этих рекомендаций поможет минимизировать риски утечек данных, несанкционированного доступа и других угроз, защитить конфиденциальную информацию клиентов и обеспечить бесперебойную работу сервисов. Регулярное применение этих мер значительно повышает устойчивость инфраструктуры к атакам и соответствует требованиям регуляторов.

Рекомендации по сервисным и внутренним учётным записям

Эффективное управление учётными записями — первый барьер против большинства атак. Правильная настройка учетных записей предотвращает компрометацию инфраструктуры через brute-force, credential stuffing и insider threats.

• Использование обезличенных имён. Создание учётных записей вида `admin`, `administrator`, `user`, `root` не рекомендуется так как атаки brute-force в первую очередь будут направлены именно на них. Используйте уникальные (сложные), описательные имена (например, `svc-cloud-admin-prod-01`, `user-web-team-lead`).
• Разграничение и типизация. Все сервисные и внутренние учётные записи должны иметь чёткое назначение и строго разделены по зонам ответственности. Сервисные УЗ управляют панелями управления сервисными ресурсами (облако, бэкапы, мониторинг, безопасность, почтовые сервисы, сервисы хранения данных), внутренние работают внутри приложений и систем (базы данных, сервисы, агенты, почтовые ящики). Исключите совпадение учётных записей между зонами — компрометация сервисной УЗ панели управления через внутреннюю системную УЗ (или наоборот) приведёт к полной потере контроля над инфраструктурой. Пересечение зон доступа недопустимо — каждая УЗ обслуживает только свою область ответственности.
• Для всех учётных записей определите зону действия и потенциального ущерба. Проведите моделирование угроз — разглашение каждой УЗ должно затрагивать минимальный круг активов и не приводить к компрометации всей инфраструктуры.
• Принцип минимальных привилегий. Назначайте минимальные права, необходимые для выполнения задач. Регулярно пересматривайте роли.
• Управление привилегированным доступом. Использование систем управления привилегированным доступом (PAM), где администраторы получают повышенные права только на время выполнения задачи, после чего права автоматически отзываются.
• Управление неактивными УЗ. Отключайте или блокируйте неиспользуемые учётные записи. Настройте автоматическое отключение после 60 дней неактивности через политики. Целесообразно после отключения учетных записей исключать их из привилегированных групп.
• Сервисные аккаунты. Для автоматизации (API, скрипты) используйте ротацию ключей и API-токенов каждые 90 дней. Храните секреты в Vault (HashiCorp) или аналогах, запрещайте интерактивный логин.
• Аудит изменений. Ведите полный аудит всех операций с УЗ — кто, когда и что создал/изменил/удалил.
• Внедрение MFA/2FA. При наличии возможности подключения двухфакторной аутентификации, обязательно, переведите на MFA/2FA все учётные записи — включая админов, операторов и сервисные аккаунты. Это снижает риск компрометации паролей. Избегайте использование общих учётных записей (shared accounts) так как это усложняет проведение внутренних расследований и выявления нарушителей. Каждый сотрудник — персональная УЗ с MFA и ролью по принципу минимальных привилегий. Если по функциональности сервиса MFA технически реализовать невозможно или требуется взаимодействие с внешними системами, для таких shared accounts применяйте повышенные меры защиты (Более сложные пароли \ ограничения доступности по IP\ Полное легирование и контроль всех сессий)
• Ограничение доступа по IP-адресам. При наличии, используйте встроенные возможности сервиса для ограничения доступа к административным интерфейсам и API только с доверенных (выделенных) IP-адресов или подсетей Вашей организации.

Рекомендации по смене пароля

Безопасность вашей учетной записи в облачном сервисе имеет первостепенное значение. Пароль является первой линией защиты от несанкционированного доступа.

• Уникальность: Ваш пароль должен быть уникальным. Не используйте один и тот же пароль для разных учетных записей.
• Длина пароля: Ваш пароль должен содержать не менее 12 символов.
• Сложность: Пароль должен включать комбинацию букв верхнего и нижнего регистра, цифр и специальных символов (например, !, @, #, $ и т. д.).
• Не использовать очевидную информацию: избегайте использования легко угадываемой информации, такой как ваше имя, дата рождения, имя питомца и т. д.
• Не используйте слова из словаря это снижает их стойкость, автоматизированные методы перебора в первую очередь используют их.
• Регулярное обновление паролей: Период смены пароля тесно связан с его сложностью, перед установкой политик пароля оцените период его взлома, можно использовать доверенные онлайн\локальные инструменты. Не рекомендуется менять пароль реже, чем раз в 90 дней.
• Компрометация пароля. если Вы подозреваете, что ваш пароль был скомпрометирован, немедленно смените его. Это поможет предотвратить несанкционированный доступ к вашей учетной записи. А также предотвратить риск дальнейшего перемещения злоумышленника, уже оказавшегося в инфраструктуре (lateral movement)
• Не записывайте пароли: никогда не записывайте пароли в видимом или доступном месте, используйте специализированные программы, обеспечивающие шифрование хранимых паролей.
• Повторение паролей: не используйте свои последние 4 пароля.
• Компрометация пароля: если Вы подозреваете, что ваш пароль был скомпрометирован, немедленно смените его. Это поможет предотвратить несанкционированный доступ к вашей учетной записи.
• Политика блокировки учетной записи. Рекомендуем установить политику блокировки учетной записи (например, не более 5 неудачных попыток за 10 минут с блокировкой на 30 минут или использованием CAPTCHA для предотвращения brute-force)

Помните, что безопасность вашей учетной записи — это ваша ответственность. Будьте внимательны при выборе паролей. Следуйте этим рекомендациям, чтобы обеспечить максимальную безопасность вашей учетной записи.

Общие рекомендации по настройке Firewall и NAT на граничном сетевом оборудовании

Правильная настройка виртуального firewall и NAT на физическом или виртуальном сетевом оборудовании (встроенном типа Edge Gateway, или внешнем типа pfSense, FortiGate и др.)- является ключевым элементом сетевой безопасности. Строгие правила блокируют 95% внешних атак и предотвращают латеральное движение внутри инфраструктуры.

• FireWall по принципу "не разрешено = запрещено". Устанавливайте «Default Policy = DROP» для всех интерфейсов. Разрешение трафика только явно через конкретные правила для бизнес-сервисов (конкретные порты\адреса).
• FireWall Правила внутреннего трафика (Internal → Internet). Если VM/сервисам требуется выход в Internet (обновления, API, лицензии), создайте, отдельное правило, с поддержкой состояний сессий. Stateful firewall автоматически разрешает ответный трафик (related/established) для всех исходящих сессий. Если ваше сетевое оборудование не поддерживает stateful - потребуется зеркальное правило для inbound. Если расширенного доступа в сеть Интернет не требуется, то необходимо ограничивать, куда VM и сервисы могут устанавливать соединения наружу. Разрешать исходящий трафик только до конкретных IP/CDN для обновлений и до внутренних репозиториев. Блокировка DNS-запросов к нелегитимным серверам.
• FireWall Запрет ICMP. Полностью блокировать ICMP (ping, traceroute) со стороны Internet. Исключение, только, для корпоративных IP мониторинга.
• NAT с переназначением портов (Port Address Translation). Для повышения безопасности используйте смещение портов — внешние сервисы доступны по нестандартным портам.
• Доступ из внешних площадок только через VPN/транспортные туннели. Прямой доступ с Internet запрещён. Используйте IPsec Site-to-Site, WireGuard или OpenVPN для филиалов/дата-центров.
• Сегментация и микросегментация сетей. Разделяйте сетевое пространство разного функционального назначения средствами межсетевого экранирования для снижения потенциальной поверхности атаки.

Рекомендации по ОС и хостингу

Правильная настройка операционных систем и хостинговой среды — финальный барьер защиты инфраструктуры. Hardening ОС, строгие политики доступа и антивирусная защита предотвращают компрометацию серверов и латеральное распространение угроз.

• ОС Hardening по принципу "не разрешено = запрещено". Отключите все ненужные службы, протоколы, роли. Оставьте только бизнес-критичные компоненты. Регулярно проверяйте состояние hardening.
• Windows Server — политики безопасности. Удалите все ненужные роли (Telnet, FTP, TFTP). Настройте строгую парольную политику (12+ символов, блокировка после 5 неудач на 15 минут). Включите UAC на максимальный уровень. Windows Firewall — блокировка всех входящих соединений кроме необходимых.
• Linux Hardening — SSH и системные политики. Запретите вход под root. Отключите парольную аутентификацию SSH — используйте только ключевую. Ограничьте круг пользователей, имеющих доступ (AllowUsers). Настройте автоматический разрыв неактивных SSH-сессий через 5 минут.

Определите перечень сотрудников, имеющих доступ к sudo

• Антивирусное ПО и EDR. Обязательная установка на все виртуальные машины. Для критической инфраструктуры — EDR-решения (MaxPatrol EDR от Positive Technologies, Kaspersky Endpoint Detection and Response). Для стандартных серверов \ рабочих станций — корпоративные антивирусы (Kaspersky Security для виртуальных сред, Dr.Web Enterprise Security Suite). Политика: сканирование в реальном времени + полная проверка еженедельно.
• Шифрование. Шифрование данных передаваемых по локальным сетям, использование https в том числе для внутренних веб сервисов.
• Локальный Firewall на хостах. На каждом сервере настройте отдельный firewall дополнительно к граничному. Целесообразен подход предполагающий, что потенциальный нарушитель проник в сеть. Доступ к серверам только с корпоративных IP или VPN. Все остальные входящие соединения — блокировка. Минимизация открытых портов и доступа к сетевым службам.
• Маршрутизация и сетевые политики. Полностью запретите транзитный трафик через хосты (IP forwarding). Запретите ICMP redirect и другие сетевые атаки на уровне ядра ОС.
• Управление доступом к хостам. RDP — только с Network Level Authentication и TLS 1.3. SSH — ключи ED25519 (не RSA), без паролей. WinRM/PSRemoting — только по HTTPS с Kerberos. Автоматический таймаут сессий — 15 минут неактивности.
• Обновления. Настройте централизованное управление патчами (WSUS для Windows, dnf-automatic для RHEL). Приоритет — критические обновления безопасности + ежемесячные пакеты (Patch Tuesday). Обновления должны устанавливаться только после тестирований, исключить использование продуктов, для которых не выпускаются патчи безопасности.
• Аудит и логирование. Включите аудит всех событий входа/выхода, изменений учётных записей, установки ПО. Организуйте централизованный сбор логов в SIEM-систему с хранением 90 дней и алертами на подозрительные события.
• Что требует регулярных проверок: проверка используемых продуктов на вновь выявленные уязвимости, открытых портов, использование слабых алгоритмов шифрования, действия принятых политик информационной безопасности, работы средств антивирусной защиты

Дополнительные внешние меры защиты приложений

Внешние меры защиты — многоуровневая система обнаружения и блокировки атак на уровне приложений. Web Application Firewall (WAF) + Anti-DDoS от провайдера значительно повышают устойчивость публичных сервисов к современным угрозам.

• Web Application Firewall (WAF). Задействуйте сервис WAF перед всеми публичными веб-приложениями. Блокирует SQL-инъекции, XSS, RCE, OWASP Top-10. Решения: Cloudflare WAF, Imperva, F5 ASM, NGINX App Protect.
• Anti-DDoS от оператора связи/провайдера. Подключите уровень L3-L7 DDoS-защиту от провайдера. Обязательно для всех публичных сервисов.
• Web Monitorix (WAF + Runtime Protection). Используйте анализ поведения для обнаружения аномалий. Ограничьте частоту запросов на IP-адрес (rate limiting). Блокируйте подозрительные географические регионы. Для автоматизированных запросов применяйте CAPTCHA или JavaScript-вызовы. Защищайте API дополнительными лимитами и проверкой схемы запросов.
• CDN с защитой. Все статический контент и API через CDN с WAF (Cloudflare, AWS CloudFront + Shield). Автоматическое масштабирование + глобальная DDoS-митингация.
• TLS/SSL Termination и Используйте только современные криптографические алгоритмы — отключите устаревшие протоколы TLS 1.0/1.1. Внедрите HSTS с preload для принудительного HTTPS. Настройте мониторинг Certificate Transparency. Включите OCSP Stapling для проверки сертификатов.
• Runtime Application Self-Protection (RASP). Внедрите RASP в код приложений (Signal Sciences, Sqreen). Блокирует атаки в runtime без изменения архитектуры.
• Дашборд мониторинга угроз. Интегрируйте логи WAF с SIEM-системой. Настройте алерты на высокий уровень ошибок 4xx/5xx. Организуйте дашборд реального времени с геолокацией атакующих IP.
• Тестирование. Ежеквартально проводите penetration testing публичных приложений (OWASP ZAP, Burp Suite). Проверяйте эффективность WAF rules.
• Комплексный еженедельный мониторинг WAF и Anti-DDoS. Анализируйте процент блокировок WAF (>1% = корректировка правил), интенсивность и частоту DDoS-атак, статистику геолокации атакующих. Рост атак >1 раза/неделю = пересмотр лимитов защиты.
• Контроль срока действия TLS-сертификатов. Проверяйте все SSL-сертификаты (<30 дней до истечения = автоматическая ротация через Let's Encrypt/AWS ACM). Просрочка = немедленный downtime публичных сервисов.

Рекомендации по резервному копированию

Правильная организация резервного копирования — гарантия восстановления данных после инцидентов. Многоуровневая стратегия (VM → Guest OS → БД → DR) обеспечивает высокие показатели RPO/RTO для критических систем.

• Бэкапирование на уровне VM в рамках сервисов BaaS. Используйте встроенные сервисы Backup-as-a-Service провайдера. Agentless бэкап через гипервизор API. Политики retention для ежедневных и ежемесячных копий. Регулярное тестирование восстановления.
• Бэкапирование гостевых ОС агентными системами. Для физических серверов и VM внешних провайдеров используйте агенты резервного копирования. Полный image-based + file-level бэкап. Шифрование в транзите и на хранении. Ограничение пропускной способности в рабочие часы.
• Бэкап баз данных средствами СУБД. Наиболее эффективный метод — нативные средства СУБД. Выгрузка на отдельные staging-серверы или хранилища. Последующее бэкапирование исходных серверов и staging-серверов централизованной системой.
• Построение DR площадки — репликация. Настройте асинхронную репликацию критических VM между площадками. Отдельная DR-сеть с выделенной пропускной способностью. Регулярное тестирование сценариев failover/failback по плану DRP.
• Политики хранения и retention. Правило 3-2-1 + неизменяемые копии. Три копии данных на двух типах носителей, одна копия вне дата-центра. Защита от ransomware через неизменяемость в течение определённого периода.
• Шифрование и безопасность бэкапов. Шифрование всех репозиториев на уровне объекта. Ролевая модель доступа к бэкапам. Air-gapped копии на отдельных носителях.
• Тестирование восстановления. Регулярное тестирование выборочных заданий бэкапа. Полные сценарии DR ежеквартально. Годовые учения по полному плану восстановления.
• Мониторинг и алерты. Контроль успешности заданий бэкапа, соответствия RPO, заполненности репозиториев. Автоматические уведомления о сбоях.

Рекомендации по внешнему аудиту, пентестам и работе с сотрудниками

Регулярный внешний аудит и обучение сотрудников — комплексный подход к безопасности. Технические меры без осведомлённости персонала оставляют 90% векторов атак открытыми.

• Обучение сотрудников по информационной безопасности. Проводите обязательные тренинги ежеквартально для всех сотрудников. Фокус: распознавание фишинга, безопасный пароль, обработка инцидентов, правила работы с данными.
• Симуляция фишинговых атак. Ежемесячно проводите контролируемые фишинг-кампании для всех сотрудников. Результаты — персональные тренинги для нарушителей. Цель: менее 5% кликов по фишингу.
• Подход минимальной информированности. Внедрите подход минимальной информированности сотрудников о деятельности других сотрудников, информации о применяемых технологиях и подходах к обеспечению информационной безопасности. Используйте подходы сегментации команд.
• Культура безопасности. Внедрите ежедневную дисциплину ИБ:

                      Проверка экрана блокировки при уходе

                      Отсутствие паролей на стикерах/мониторах

                      Шифрование всех USB-носителей

                      Двухфакторная аутентификация для корпоративных сервисов

• Ежегодный внешний аудит безопасности. Привлекайте сертифицированные компании для полного аудита инфраструктуры, приложений, политик и процессов. Результат — отчёт с рейтингом рисков и планом устранения уязвимостей.
• Penetration Testing (пентест). Проводите тестирование внешнего периметра ежеквартально, полное тестирование инфраструктуры ежегодно. Включайте проверку веб-приложений, сетевых сервисов и социальной инженерии.
• Критерии выбора подрядчиков. Сертифицированные специалисты с страховкой ответственности, подписанием NDA и возможностью перепроверки исправлений.
• Обработка результатов пентеста. Критические и высокие уязвимости устраняйте в приоритетном порядке с последующей перепроверкой. Для принятых рисков назначайте ответственных.
• Bug Bounty программы. Для публичных сервисов организуйте программы по поиску уязвимостей с финансовой мотивацией для исследователей безопасности.
• Compliance аудит. Ежегодно подтверждайте соответствие требованиям законодательства и стандартов безопасности через сертифицированных аудиторов.
• Проверяйте ежеквартально:

                      Результаты фишинг-тестов (<5% кликов)

                      Прохождение security-тренингов (100% покрытие)

                      Актуальность плана устранения уязвимостей