Вы слышали такое высказывание: надежда — это не стратегия, когда дело касается безопасности. Вы должны подходить к безопасности со всех сторон, сводя к минимуму нагрузку на разработчиков и SecOps. Но с постоянно растущим числом конечных точек, сетей и поверхностей для атак установка автоматических и сквозных политик безопасности в вашей облачной инфраструктуре может стать проблемой. Вдобавок к этому администраторам необходимо установить ограждения, чтобы гарантировать, что их рабочие нагрузки всегда соответствуют требованиям безопасности и отраслевым нормам.

Общедоступные IP-адреса являются одними из наиболее распространенных способов доступа корпоративных сред к Интернету, что делает их уязвимыми для атак и кражи данных. Вот почему ограничение общедоступных IP-адресов имеет первостепенное значение для защиты этих сред. В Google Cloud Platform важно понимать, какие ресурсы используют общедоступные IP-адреса в вашей сети, в том числе:

• Виртуальные машины
• Балансировщики нагрузки
• VPN-шлюзы

Когда вы начинаете развертывать системы производственного уровня, вы видите потенциально тысячи экземпляров, в которых ваши разработчики могут развертывать общедоступные IP-адреса.

Политика организации
Политики организации предоставляют вам централизованный контроль над ресурсами Google Cloud вашей организации. Как администратор политики организации вы можете настраивать ограничения для всей иерархии ресурсов.

Например, вы можете установить политики организации для своей организации GCP верхнего уровня, для вложенных папок или для проектов. Эти политики могут быть унаследованы вложенными папками и проектами или переопределены в каждом конкретном случае. Используя политики организации, вы можете наложить ограничения на ресурсы Google Cloud, такие как виртуальные машины и балансировщики нагрузки, чтобы всегда соблюдать основные требования безопасности.


Вы можете использовать политики организации в качестве ограждения, чтобы гарантировать, что в вашей сети Google Cloud запрещены общедоступные IP-адреса. Это идеальный инструмент для ИТ-администраторов или администраторов безопасности, позволяющий убедиться, что все облачные развертывания соответствуют их стандартам безопасности. Давайте посмотрим, как их настроить.

Ограничение общедоступных IP-адресов для виртуальных машин
Экземпляры Compute Engine могут быть доступны в Интернете напрямую, если вы:

• Назначьте виртуальной машине общедоступный IP-адрес
• Использовать пересылку протокола с виртуальной машиной в качестве конечной точки

Чтобы экземпляры Compute Engine не получали общедоступные IP-адреса, сначала убедитесь, что у вас есть роль администратора политики организации в организации, чтобы вы могли добавлять и редактировать политики организации.

Затем на странице политик организации в Google Cloud Console найдите и отредактируйте ограничение политики организации с именем constraints / compute.vmExternalIpAccess. Это ограничение позволяет вам определить набор виртуальных машин Compute Engine, которым разрешено использовать общедоступные IP-адреса в вашей сети. (Другим виртуальным машинам нельзя назначить общедоступный IP-адрес.) Измените политику со следующими значениями:


В разделе «Пользовательские значения» вставьте путь к любому экземпляру, для которого вы хотите разрешить создание внешнего IP-адреса, например: projects / {project-id} / Zone / {zone} / instance / {instance-name}.

Теперь вы ограничили создание общедоступных IP-адресов только для явно указанных вами экземпляров и запретили создание общедоступных IP-адресов для любых других экземпляров в вашей организации.

Запретить перенаправление протокола на виртуальную машину
Чтобы предотвратить включение пересылки протокола, используйте ограничение политики организации с именем constraints / compute.restrictProtocolForwardingCreationForTypes и установите для него следующие значения. Обратите внимание, что значение политики чувствительно к регистру.


Это ограничение позволяет ограничить виртуальный хостинг общедоступных IP-адресов экземплярами ВМ Compute Engine в вашей организации.

Ограничить публичные IP-адреса VPN-шлюзов
Для виртуальных частных сетей VPN-шлюзу требуется общедоступный IP-адрес для подключения вашей локальной среды к Google Cloud. Чтобы убедиться, что ваш VPN-шлюз защищен, используйте ограничение политики организации с именем constraints / compute.restrictVpnPeerIPs. Это ограничение ограничит общедоступные IP-адреса, которым разрешено инициировать сеансы IPSec с вашим VPN-шлюзом.


Ограничение общедоступных IP-адресов балансировщиков нагрузки
Google Cloud предлагает множество внутренних и внешних балансировщиков нагрузки. Чтобы предотвратить создание всех типов внешних балансировщиков нагрузки, используйте ограничение политики организации с именем constraints / compute.restrictLoadBalancerCreationForTypes. Затем обязательно добавьте все внешние балансировщики нагрузки для значений политики, как показано ниже:


Вместо того, чтобы вручную вводить каждый балансировщик нагрузки, вы также можете просто добавить: EXTERNAL, который всегда будет охватывать все типы внешних балансировщиков нагрузки. По мере появления новых типов балансировщиков нагрузки вы можете быть уверены, что ваша инфраструктура останется безопасной.

Ограничение услуг GKE
Google Kubernetes Engine (GKE) позволяет разработчикам легко создавать и предоставлять свои сервисы в Интернете. Но если вы примените ранее описанные политики для виртуальных машин и балансировщиков нагрузки, никакие новые службы GKE не будут доступны в Интернете без ведома администратора организации.

Например, если разработчик пытается создать службу GKE с внешним балансировщиком нагрузки, правило переадресации для требуемого балансировщика нагрузки не может быть создано с ограничением политики организации. Кроме того, проверка статуса службы GKE доставит ожидающий внешний IP-адрес. Когда они запускают kubectl description service, они получат ошибку из-за ограничения политики организации балансировщика нагрузки.



Помните, что политики организации не имеют обратной силы. Они будут применяться к новым запросам инфраструктуры только после установки политики. Поэтому вам не нужно беспокоиться о нарушении существующих рабочих нагрузок при добавлении этих политик в свою организацию. Вы можете легко и эффективно применять организационные политики ко всей иерархии организации или к подмножеству ресурсов из единого централизованного места, а также предотвращать назначение общедоступных IP-адресов случайным ресурсам, когда они не должны иметь их. Попробуйте сами и узнайте больше в документации по ограничениям политики организации.

С 1 марта 2021 года Sectigo удалит информацию о полном адресе (Street address) и почтовом индексе (Postal/Zip code) из всех публичных сертификатов. Как отметили представители удостоверяющего центра, эта информация не является необходимой для включения в сертификаты. Технические спецификации ее не требуют. Изменение затрагивает все публичные OV/EV SSL и OV/EV Code Signing сертификаты.
www.leaderssl.ru

Расширение дискового пространства для бекапов на VPS, Dedicated и Collocation

Регулярное создание резервных копий, одна из обязательных задач при настройке сервера. Для наших клиентов мы расширили дисковое пространство, которое они могут бесплатно использовать для хранения резервных копий.

• виртуальный выделенный сервер — 35 Гб
• выделенные сервера — 100 Гб
• услуга Collocation — 100 Гб

Бекапы хранятся на отдельно стоящем файловом хранилище

Обновление модельного ряда серверов для аренды

Наша цель предоставлять для аренды самое современное оборудование, по выгодным ценам. Мы обновили модельный ряд серверов с процессором Intel, добавив семейство Comet Lake 2020 года выпуска. Увеличение количества ядер и технология Hyper Threading в процессорах Intel 10го поколения делает сервера на базе этих процессоров такими же производительными как и сервера с процессорами AMD.

Свежие статьи в блоге

Как подобрать партнерскую программу для хостинговых услуг?
freehost.com.ua/faq/articles/kak-podobrat-partnerskuju-programmu-dlja-hostingovih-uslug/

Как настроить ModSecurity с Apache в Debian / Ubuntu
freehost.com.ua/faq/articles/kak-nastroit-modsecurity-s-apache-v-debian--ubuntu/

SEO тренды в 2021 году — обновлено
freehost.com.ua/faq/articles/seo-trendi-v-2021-godu/

Правила работы с динамическими массивами и пользовательскими классами коллекций
freehost.com.ua/faq/articles/pravila-raboti-s-dinamicheskimi-massivami-i-polzovatelskimi-klassami-kollektsij/

Установка PHP 8.0 на сервер под Ubuntu 20
freehost.com.ua/faq/articles/ustanovka-php-80-na-server-pod-ubuntu-20/

Как настроить SSH с помощью ssh_config
freehost.com.ua/faq/articles/kak-nastroit-ssh-s-pomoschju--ssh-config/

Git — незаменимый инструмент контроля версий и его основные команды
freehost.com.ua/faq/articles/git---nezamenimij-instrument-kontrolja-versij-i-ego-osnovnie-komandi/

Доброго времени суток!

Мы уже в Германии.

В Германии наши серверы размещены в дата-центре Equinix, в финансовом сердце Германии – Франкфурте-на-Майне. Дата-центр напрямую подключен к крупнейшей мировой точке обмена траффиком – DE-CIX Frankfurt.

Это лучшее решение для тех, кому требуется прямое соединение с ведущими бизнес-ресурсами Германии, а также максимальная скорость работы на мировом финансовом рынке.

https://pq.hosting

• Протокол управления SNMP
• Структура и типы файловых систем в Linux
• Основные команды Linux: (почти) полное руководство с примерами

• Блогеры рекомендуют: что такое инфлюенс-маркетинг
• Почему они уходят: 6 разочарований пользователей на сайте
• Что может ИИ и машинное обучение в 2021 году

• Как выбрать CMS в 2021 году. Обзор вариантов, интерфейсы
• Мифы о новых тематических доменах
• Виды email-рассылок: какие именно письма нужны вашему бизнесу

Telegram становится неотъемлемой частью нашей жизни, аки Google, Youtube, Default и другие сервисы. Все чаще я вижу людей, которые нехотя удаляют VK Messenger, Whatsapp, Viber, а уже потом отказываются от своих претензий и навсегда связывают свое личное/рабочее/семейное общение в Telegram. На протяжении 8 лет работы, мессенджер оброс множеством функций, в частности ботами в Telegram. Этот пост про бота, который заменит Check-host.net, Ping.pe, DNSchecker, MXtoolbox в привычном понимании.




Читать дальше →

Безналичная оплата для юрлиц в «Джино.Магазине»
Оплачивайте товары в «Джино.Магазине» с расчётного счёта компании. Это особенно удобно для покупки продвинутых SSL-сертификатов и доменов в элитных и премиальных зонах, стоимость которых может достигать сотен тысяч рублей.
Вместе с оплаченным товаром вы получаете полный комплект финансовых документов, что упростит работу вашей бухгалтерии, в том числе в части учёта НДС.
jino.ru/about/news/articles/shop-cachless/


Увеличение памяти в тарифах OpenVZ
Мы улучшили характеристики практически всей линейки тарифов VPS OpenVZ. Объём оперативной памяти тарифа «Бета» вырос на 1 ГБ, тарифов «Гамма», «Гамма+» и «Дельта» — сразу на 2 ГБ.
Стоимость всех тарифов осталась прежней — от 99 рублей в месяц на минимальной конфигурации «Альфа» (1 ядро, 1,5 ГБ RAM и 10 ГБ на диске), до 1499 рублей в месяц на максимальной конфигурации «Дельта» (4 ядра, 10 ГБ RAM и 80 ГБ на диске).
jino.ru/about/news/articles/openvz-ram-update/


Завершён январский розыгрыш. Новый приз — наушники Skullcandy Crusher Evo Wireless
Подведены итоги очередного розыгрыша от «Джино». Обладателем умной колонки Harman/Kardon объявляется Дмитрий С. из Москвы. Поздравляем!
В следующем месяце мы определим обладателя наушников Skullcandy Crusher Evo Wireless. Акция уже началась, спешите принять участие!
jino.ru/about/news/articles/monthly-202102/

Вычисления

• Инстансы Amazon EC2 P4d теперь доступны в регионе Европа (Ирландия)
• Инстансы Amazon EC2 X1 и X1e теперь доступны в дополнительных регионах AWS
• Amazon ECS теперь поддерживает политики VPC Endpoint
• AWS Wavelength теперь соответствует требованиям PCI DSS
• Amazon CloudWatch Container Insights теперь доступен в AWS Graviton2

Хранилище данных

• Представляем три новых цифровых курса по Amazon S3

Базы данных

• В сервис Amazon DocumentDB (совместимом с MongoDB) добавлены шесть операторов агрегации и улучшенные возможности индексации
• Amazon RDS for PostgreSQL поддерживает расширение pg_cron для планирования заданий баз данных
• Представляем обновление архитектуры приложений с поддержкой множества регионов
• Amplify DataStore теперь поддерживает сортировку и выборочную синхронизацию данных приложений

Сеть и доставка контента

• Новая статья в Amazon Builders’ Library: безопасные повторные попытки с помощью идемпотентных API
• Новый цифровой курс: настройка и развертывание VPC с несколькими подсетями

Инструменты для разработчиков

• AWS SDK for Go версии 2 стал общедоступным
• Графический пользовательский интерфейс Porting Assistant для .NET теперь предоставляется с открытым исходным кодом

Инструменты управления

• В Amazon CloudWatch Application Insights добавлена поддержка мониторинга баз данных Oracle
• Представляем федеративные кластеры Amazon EKS в AWS

Безопасность, идентификация и соответствие требованиям

• Amazon Cognito Identity Pools позволяет применять атрибуты пользователей поставщиков идентификации для контроля доступа и упрощения управления разрешениями в AWS
• Частный центр сертификации AWS Certificate Manager теперь поддерживает дополнительную настройку сертификата

Машинное обучение

• Amazon Rekognition Custom Labels теперь доступен в таких Азиатско-Тихоокеанских регионах AWS, как Сингапур, Сидней, Сеул и Токио

Аналитика

• В Amazon MSK добавлена поддержка Apache Kafka версии 2.6.1

Мобильные сервисы

• Представляем новые возможности сегментации для Amazon Pinpoint

Обучение и ресурсы, сертификация

• В edX и Coursera доступен новый курс по проектированию озер данных для самостоятельного изучения
• Новый цифровой курс и лабораторное занятие: AWS Cloud Development Kit (CDK) Primer
• Доступны новые публичные наборы данных в AWS от Illumina, Аляскинского университета в Фэрбенксе, IntelinAir и других