Используем сами, рекомендуем другим: об используемых в VK инструментах безопасности и новых сервисах VK Cloud / forpes.ru

Главная
Используем сами, рекомендуем другим: об используемых в VK инструментах безопасности и новых сервисах VK Cloud

Используем сами, рекомендуем другим: об используемых в VK инструментах безопасности и новых сервисах VK Cloud +3

26.09.2025 08:16

kykini 0 598 Источник

По прогнозам экспертов, количество кибератак на ИТ-инфраструктуру российских компаний в 2025 году может вырасти на 70–200% по сравнению с 2024 годом. При этом ожидается, что атаки станут более сложными, использующими множественные векторы одновременно. Это повышает требования к защите ИТ на всех уровнях: от контроля действий пользователей до отслеживания уязвимостей в коде. Соответственно, приоритетом становится комплексная защита. И касается это компаний всех размеров и профилей.

Привет, Хабр. Меня зовут Дмитрий Куколев. Я руководитель VK SOC. В этой статье я расскажу о мерах обеспечения надежности и защиты VK Cloud, о собственных ИБ-продуктах и новых сервисах безопасности для пользователей нашего облака.

Погрузимся в контекст

VK Cloud — технологичная платформа с широким набором облачных сервисов для эффективной разработки и работы с данными. Среди доступных инструментов: S3-совместимое объектное хранилище Object Storage, Managed Kubernetes Cloud Containers, облачные базы данных Cloud Database и десятки других сервисов.

Уже сейчас с решениями VK Cloud работает более 8 тысяч компаний, в том числе отдельные бизнес-юниты VK, продуктами которых ежедневно пользуется более 100 млн пользователей. Именно поэтому мы тщательно контролируем надежность и защищенность платформы и всех сервисов. Для этого мы:

проходим регулярные внешние и внутренние аудиты информационной безопасности;
имеем одну из лучших в СНГ Bug Bounty программ для поиска и исправления уязвимостей;
предоставляем клиентам набор средств для дополнительной защиты на разных уровнях;
разрабатываем платформу, продукты и сервисы с учетом концепции безопасной разработки SSDL;
обеспечиваем мониторинг облачной платформы через SOC, выявляем атаки и оперативно на них реагируем.

Благодаря этому уже сейчас облако VK Cloud:

соответствует требованиям 152-ФЗ по уровню защищенности УЗ-1;
соответствует национальному стандарту безопасности банковских и финансовых операций ГОСТ Р 57580;
соответствует стандарту безопасности данных инструкции платежный карт (PCI DSS);
входит в реестр российского ПО (запись в реестре № 6092);
соответствует международному стандарту по информационной безопасности ISO 27001, 27017 и 27018.

Наряду с защитой самой платформы, мы также предоставляем пользователям VK Cloud собственные и партнерские сервисы безопасности. Из числа собственных сервисов облачной платформы можно выделить такие решения, как Cloud Audit, IAM, Cloud Monitoring, Cloud Networks, Cloud Backup, Cloud Disaster Recovery и другие.

Но сейчас в продуктовой линейке VK Tech также появилась собственная линейка по информационной безопасности.

Предпосылки создания собственных ИБ-продуктов

Сервисами всех бизнес-юнитов VK (ВКонтакте, Дзен, Одноклассники и другие) ежедневно пользуется более 100 млн человек. И обеспечение защищенности и безопасности пользовательских данных — одна из наших ключевых задач, в решении которой мы не можем полагаться на инструменты сторонних вендоров. Именно поэтому VK разрабатывает и использует собственные продукты кибербезопасности для защиты компании, своих сервисов и своих клиентов. Например, уже сейчас для контроля информационной безопасности мы ежедневно анализируем на предмет индикаторов компрометации и при расследовании инцидентов более 10 Пб данных и до 2,5–3,5 млн событий в секунду (EPS).

В этом нам помогает несколько аспектов, среди которых:

опыт защиты огромного количества данных и собственных сервисов с миллиардами запросов в день;
опыт работы с высоконагруженными системами и потоковой обработкой данных;
детальное понимание всех аспектов защиты и создания ультимативных продуктов кибербезопасности.

ИБ-продукты VK и сценарии их применения

В VK есть несколько продуктов для решения задач информационной безопасности на разных уровнях.

Для защиты учетных данных применяется решение ZTA (Zero Trust Architecture). Инструмент позволяет получать сетевой доступ только со взаимной аутентификацией, а также однозначно идентифицировать пользователя и устройство, то есть дает возможность отказаться от паролей и исключить вероятность их утечки.
Задача обеспечения безопасности конечных устройств решается также с применением инструмента ZTA. С его помощью мы осуществляем контроль соответствия устройства требованиям безопасности (NAC), а также реализуем контекстно зависимый доступ: проводим детализированный контроль на основе пользователя, местоположения, устройства и IP-адреса.
Для защиты экзабайтов пользовательских данных, которые мы используем для рекомендаций и других сценариев, был разработан инструмент DSPM. Он позволяет решать широкий пул задачи: от обнаружения и категоризации чувствительных данных до маскирования данных, аудита доступа к ним и контроля защищенности.
Для защиты на уровне приложений, автоматизации проверок безопасности кода в процессе разработки, поиска уязвимостей и ошибки, которые могут влиять на безопасность разрабатываемого ПО, мы применяем собственное решение Security Gate.
Защита инфраструктуры обеспечивается комплексно. Так, для мониторинга событий ИБ и аудита событий безопасности на серверах у нас применяется собственная SIEM-система, которая уже сейчас принимает в потоке около 2,5–3,5 млн событий в секунду (EPS). Помимо SIEM-системы, задачи обеспечения безопасности инфраструктуры также решаются с помощью ZTA, который в данном случае осуществляет контроль привилегированных доступов.
Для обеспечения безопасности на уровне сети также применены SIEM и ZTA. В данном контексте SIEM отвечает за мониторинг NetFlow, а ZTA — за функциональность Temporary Access Pass для доступа к инфраструктуре VPN на основе неизвлекаемых сертификатов mTLS до пользовательских сервисов.

Таким образом, с учетом распределения сервисов по доменам и «многослойности» выстроенных мер безопасности у нас реализована модель Zero Trust Security, которая подразумевает, что все пользователи, устройства и системы считаются потенциально ненадежными и обязательно проверяются.

Теперь о каждом из этих решений подробнее.

SIEM-система

SIEM — решение класса SIEM для мониторинга событий ИБ в реальном времени. Система способна обрабатывать миллионы EPS и расследовать инциденты на петабайтах данных.

SIEM обеспечивает централизованный сбор, анализ и корреляцию огромного объема событий безопасности из множества источников, помогая оперативно реагировать на инциденты безопасности.

Система проектируется и оптимизируется под возможность обработки до 10 млн EPS во входящем потоке, а также хранения до 10 Пб телеметрии в сжатом виде для быстрого поиска (при необходимости может быть расширено).

У SIEM есть несколько преимуществ, которые позволяют нам эффективно решать задачи обеспечения безопасности инфраструктуры и сети. Среди них:

возможность централизованного сбора данных;
функциональный интерфейс с дашбордами и гибкими настройками, который позволяет быстро искать данные и проводить аналитику как в потоке, так и ретроспективно;
высокая производительность, благодаря которой мы можем находить аномалии при анализе петабайтов данных всего за десятки секунд;
возможность длительного хранения телеметрии (например, сейчас мы храним телеметрию за последний год, что позволяет быстрее и точнее выявлять сложные нетривиальные атаки на инфраструктуру и другие слои).

DSPM

DSPM — платформа для непрерывного мониторинга, классификации и защиты данных в облачных и гибридных средах.

DSPM обеспечивает видимость того, где находятся конфиденциальные данные, что именно это за данные, кто имеет доступ к этим данным и как они могут распространяться.

Уже сейчас с помощью DSPM мы ежедневно анализируем:

более 1 Пб данных;
более 1 млн таблиц;
более тысячи доступов.

При этом платформа дает возможность выявлять более 30 категорий информации, благодаря чему мы можем гранулярно настраивать доступы.

Мы применяем DSPM сразу для нескольких задач:

отслеживание конфиденциальных данных, чтобы фокусироваться на важном;
классификация и категоризация данных для правильной настройки системы мониторинга;
контроль доступа и распространения данных в рамках информационных потоков для понимания того, что происходит с данными;
контроль безопасности данных из единого места для повышения удобства аналитиков и специалистов по ИБ.

ZTA

ZTA — решение для контроля безопасности рабочих станций (NAC) и доступов в инфраструктуру, реализующее элементы подхода Zero Trust.

Сервис помогает сфокусироваться на поддержании строгого контроля доступа и механизмов аутентификации, основанных на неизвлекаемых криптографических ключах, и контроля соответствия устройства требованиям безопасности.

ZTA активно применяется во всех бизнес-юнитах VK:

более чем на 14 тысячах устройств стоит NAC-агент;
более 3 тысяч сотрудников пользуются биометрической аутентификацией ежедневно;
более 2 тысяч сотрудников используют ZTA SSH для доступа в прод;
более 10 критичных ресурсов заведено по Access Proxy.

В контексте наших задач ZTA предоставляет:

Network Access Control;
расширенный мониторинг;
функционал биометрической аутентификации;
mTLS-канал до всех сервисов;
поддержку неизвлекаемых аппаратных ключей;
возможность однозначно идентифицировать пользователей и устройства.

Security Gate

Security Gate — платформа, которая позволяет автоматизировать проверку безопасности кода в процессе разработки. Решение помогает найти уязвимости в коде и ошибки, которые могут влиять на безопасность разрабатываемого ПО.

Инструмент объединяет возможности анализаторов разного типа, что позволяет ему решать большой пул задач, среди которых сканирование контейнеров, поиск зависимостей и их проверка, анализ исходного кода, выявление секретов в репозиториях и не только.

Подробнее о Security Gate можно прочитать в нашей статье «Как VK выстроил отслеживание уязвимостей в собственных приложениях, и при чем здесь новый сервис VK Cloud».

Вместо выводов

В условиях повышенной активности злоумышленников лучшей практикой при разработке ИТ-сервисов является следование методологии Zero Trust. Безусловно, это повышает требования к экспертности команды, расширяет используемый стек и добавляет задач администрирования, но практика подтверждает, что чем больше контуров проверки ПО, тем лучше. Именно поэтому для обеспечения защиты платформы и сервисов VK Cloud мы задействуем большой стек инструментов.

Но дальше — больше. С недавних пор все упомянутые инструменты ИБ от VK Tech перестали быть чисто внутренними решениями и стали доступны всем пользователям облачной платформы VK Cloud. При этом:

они полностью соответствуют требованиям законодательства РФ и могут быть универсально интегрированы в любую инфраструктуру заказчика;
команда VK Cloud обеспечивает полную поддержку при внедрении и эксплуатации решений.

Теперь мер обеспечения безопасности стало еще больше, а защита — надежнее.

А как вы выстраиваете контуры безопасности в своих проектах? Делитесь в комментариях.