Знакомство с командой Crypto Services Team в Yandex Cloud.
https://yandex.ru/jobs/vacancies/dev/sectooling_dev_cloud/
Все вопросы по тексту ниже можно задать по email
[email protected] - Евгений Сидоров
[email protected] - Алексей Захаров
Команда Crypto Services разрабатывает и поддерживает несколько сервисов, непосредственно связанных с криптографией. Основная задача команды — сделать такую сложную область как криптография максимально простой и удобной для использования в Yandex Cloud.
Ниже будет короткое текстовое описание, но если вы любите смотреть видео, то вот рассказ о Crypto Services на конференции Yandex Scale 2021
Сервис управления ключами шифрования KMS позволяет создавать симметричные ключи шифрования в Yandex Cloud, выполнять на них операции encrypt и decrypt, а также гибко управлять доступом к ключам шифрования через механизмы сервиса IAM (Identity & Access Management).
<aside> 💡 Сервис KMS даёт клиенту Yandex Cloud дополнительный контроль над его данными, так как данные шифруются на ключах, которыми управляет клиент. Удаление ключа делает невозможным расшифровку данных и равносильно удалению самих данных.
</aside>
В настоящий момент сервис интегрирован с Object Storage (наше объектное хранилище с интерфейсом AWS S3) и позволяет создавать шифрованные бакеты или шифрованные объекты. При этом клиенту необходимо иметь права как на операции с данными, так и на операции с ключом шифрования данных.
Недавно, мы добавили возможность создавать ключи шифрования KMS внутри аппаратных модулей безопасности HSM. Это делает защиту ключей максимальной и позволяет пользователю не делать интеграцию с HSM самостоятельно, что часто довольно нетривиально.
Сервис CertManager — сервис управления TLS-ключами и сертификатами. Он поддерживает автоматизацию полного жизненного цикла TLS-сертификатов для пользователя, то есть создание сертификата и его автоматическое обновление. Этот сервис интегрирован с Application Load Balancer (ALB), Serverless API Gateway и Object Storage и, при правильном использовании, позволяет забыть о необходимости управления TLS-сертификатами.
<aside> 💡 В сложных системах количество TLS-сертификатов переваливает за тысячи, и сервис Certificate Manager призван решить целиком и полностью проблемы пользователя с менеджментом TLS-ключей и сертификатов: обеспечить простую выписку и автоматическое их обновление, а также инструменты мониторинга.
</aside>