Рекомендации по информационной безопасности
В документе приведены базовые правила информационной безопасности, мы рекомендуем соблюдать их для обеспечения сохранности ваших данных в Prime Cloud.
Общие правила информационной безопасности
- Предоставляйте только минимально необходимый доступ к системам
- Используйте Firewall для управдения доступом к виртуальным машинам, находящимся в облачном аккаунте
- Публикуйте в Интернет только те сервисы, которые должны быть доступны всему миру
- Не публикуйте в Интернет интерфейсы для администрирования, такие как SSH, RDP, Telnet, административные веб-приложения.
- Используйте VPN Prime CLoud для администрирования серверов
- Используйте TLS-сертификаты для шифрования HTTP трафика в сервисе Load Balancer
- Регулярно устанавливайте обновления операционных систем, системного и прикладного ПО
- Используйте функции аудита и выполняйте мониторинг событий информационной безопасности
- Используйте секреты (secrets) в исходном коде и конфигурационных файлах, храните секреты в специализированном хранилище
Учетные записи пользователей
- Никому не передавайте пароль для вашей учетной записи
- У каждого пользователя Prime Cloud должна быть своя учетная запись, не делите учетные записи между несколькими пользователями
- Назначайте пользователям роли в соответствии с их полномочиями. Не предоставляйте пользователям административных полномочий без необходимости.
- Смените пароли на облачном сервере сразу после его получения
- По возможности, используйте доступ по SSH-ключам, вместо паролей.
- Не используйте одинаковые пароли администратора на нескольких серверах
Сохранность данных
- Всегда делайте резервные копии ваших данных
- Для сервисов, критичных к времени простоя используйте горячее резервирование. Это может быть реализовано как средствами сервиса Load Balancer, DNS так и сторонними средствами и прикладным ПО.
- Без необходимости не предоставляйте публичный доступ к бакетам s3
- Используйте политики доступа Bucket Policy для ограничения доступа к бакетам s3