Перейти к содержанию

Соответствие требованиям информационной безопасности

Общая информация

ПО VK People Hub входит в Реестр отечественного ПО Минцифры.

Безопасность на уровне архитектуры ПО

Общие меры

Архитектура развёртывания

ПО реализовано в соответствии с микросервисной архитектурой (каждый микросервис упакован в отдельный образ контейнера; последний является конечной единицей развёртывания), допускающей:

  1. Возможность вынесения СУБД (или отдельных БД) в отдельные подсети.
  2. Возможность разнесения отдельных микросервисов в различные подсети.

Шифрование трафика и данных in-transit

Доступ к веб-интерфейсу осуществляется через защищенное HTTPS-соединение.

Разрешённые протоколы: TLS 1.2, TLS 1.3 .

Разрешённые наборы шифров:

  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

Отдельные функциональные блоки

Дизайн пользовательской аутентификации

Аутентификация конечных пользователей в VK People Hub реализована в соответствии с протоколом OpenID Connect. В качестве ключа используется протокол JWT с солью.

Работа с сессиями возможна с использованием интерфейса KeyCloak.

Вход в сервисную админ-панель (Django / FastAPI) реализуется в соответствии с протоколом OpenID Connect.

Дизайн авторизации и модели доступов

Модель доступов предполагает под собой покрытие всех действий конечного пользователя рядом разрешений (например, разрешение на редактирование файла, разрешение на просмотр сайта, ...).

Модель доступов имеет незапрещающий характер - авторизация действия осуществляется только в случае наличия необходимого разрешения у пользователя. Не предусмотрено "запрещений" доступа.

Разрешения могут группироваться в роли - именованные наборы разрешений (зависит от дизайна конкретного бизнес-сервиса).

Разрешения и роли могут назначаться как на конечных пользователей, так и на управляемые группы пользователей - именованные наборы пользователей системы.

Отдельный интерфейс администрирования позволяет управлять составом групп пользователей, а также назначением глобальных ролей.

Глобальные роли могут управляться (назначение или отзыв) из корпоративного LDAP-каталога.