Новые решения в области безопасности Yandex.Cloud

Новые сервисы безопасности

В этом году мы запустили сервисы, которые помогают управлять составом организации, разграничивать доступы пользователей и получать информацию о событиях, происходящих с облачными ресурсами.

Сервис Yandex Cloud Organization — новое решение, которое вводит необходимую связь между управлением облачной инфраструктурой и управлением пользователями. С его помощью можно управлять списком ваших сотрудников, обеспечивать им единую авторизацию и назначать роли в подключенных сервисах Yandex.Cloud. Пользователи, федерации удостоверений, облака и сервисы будут собраны внутри одной организации, что поможет централизованно управлять доступами и ресурсами.

Документация | Тарифы

Мы разработали новый сервис для сбора и выгрузки аудитных логов облака пользователя — Audit Trails. Он позволяет получать информацию о событиях, происходящих с ресурсами, и на основе этих данных строить процессы поиска аномалий.

Audit Trails уже интегрирован с Yandex Cloud Organization. Собирайте события централизованно по всей организации, сохраняйте их Object Storage для долговременного хранения, а также просматривайте в интерфейсе Cloud Logging и обрабатывайте при помощи триггеров.

Документация | Тарифы

Также мы подготовили решения по интеграции Audit Trails с Yandex Managed Service for Elasticsearch, SIEM ArcSight и Splunk. Они содержат заготовленные правила корреляции, дэшборды и запросы для поиска событий безопасности.

Безопасность платформы и развитие функциональности сервисов

Мы постоянно совершенствуем наши процессы информационной безопасности и механизмы защиты, чтобы соответствовать лучшим мировым практикам. В этом году мы получили сертификат соответствия стандарту ГОСТ 57580 «Безопасность банковских финансовых операций», аттестат соответствия требованиям 152-ФЗ по уровню защищенности УЗ-1, а также прошли сертификацию CSA (Cloud Security Alliance — ведущая мировая организация, занимающаяся определением и повышением осведомленности о лучших практиках, помогающих обеспечить безопасность среды облачных вычислений). Как и прежде, мы сделали это для всего технологического стека IaaS, PaaS, Data Platform и Serverless, то есть целиком для всей платформы.

У сервиса управления криптографическими ключами Yandex Key Management Service появился новый тип ключей, создание и использование которого проходит в специальных аппаратных модулях безопасности HSM. Это делает защиту ключей максимальной, а также убирает сложности самостоятельной работы с модулями HSM.

В Yandex Container Registry вышла в стадии Public Preview функция сканирования безопасности образов контейнеров. Это позволяет отслеживать уязвимости в docker-образах средствами облака, делать приложения безопаснее и в том числе выполнять требования регуляторов.

Также с помощью открытого решения External Secrets мы провели интеграцию Yandex Lockbox в Yandex Managed Service for Kubernetes® для еще более надежного хранения ваших секретов в Kubernetes.

Интеграция балансировщика нагрузки уровня приложений (Application LB) с контроллером входящего трафика (Ingress Controller) в сервисе Kubernettes

Новая возможность Yandex Application Load Balancer — управление через ingress-контроллер трафиком приложений, запущенных в кластере Managed Service for Kubernetes. Это позволяет управлять сертификатами и подачей трафика в интерфейсе облака.

Тарифы | Документация

Библиотека решений по безопасности (Solution Library for Security)

Мы рады представить Yandex Cloud Solution Library for Security — библиотеку решений по безопасности Yandex.Cloud с набором примеров и рекомендаций, собранных в публичном репозитории на GitHub. Они помогут компаниям, которые хотят построить безопасную инфраструктуру в облаке и соответствовать требованиям различных регуляторов и стандартов.
Наша команда проработала распространенные задачи, которые возникают при построении безопасности в облаке, например:

  • интеграция Audit Trails с SIEM;

  • шифрование диска ВМ с помощью KMS;

  • сбор, мониторинг и анализ логов Managed k8s.

А в середине октября будет опубликован Security Checklist для быстрого самоконтроля выполнения обязательных практик по безопасности в Yandex.Cloud.

Solution Library for Security

Сбор и анализ логов безопасности Managed Service for Kubernetes

Подготовлено решение, которое позволяет выгружать и отправлять в SIEM (Managed ELK) штатные аудит-логи Kubernetes, алерты Falco (с помощью официальной интеграции Falco с Yandex Cloud Object Storage) и алерты Policy Engine (OPA Gatekeeper/Kyverno).

Решение содержит заготовленные правила детектирования и интерактивные панели с визуализацией ключевой информации на базе собранных событий.

Поддержка Cilium в Managed Service for Kubernetes

Также мы реализовали поддержку Cilium в Managed Service for Kubernetes. Теперь у пользователей появились следующие возможности:

  • создавать расширенные сетевые политики, работающие на прикладном уровне: REST/HTTP, gRPC и Apache Kafka;

  • использовать туннельный режим, позволяющий создавать большие кластеры, в том числе в одной сети с пересекающимися диапазонами подов;

  • с помощью утилиты Hubble можно наглядно видеть, что происходит в сети кластера.

  • Scale 2021