Обработка секретов, попавших в открытый доступ

В Yandex Cloud используются следующие секреты:

• IAM-токен;
• OAuth-токен;
• авторизованные ключи;
• JWT;
• статические ключи;
• API-ключи;
• cookie в браузере.

Чтобы обеспечить безопасность ваших данных и инфраструктуры, внимательно следите за использованием секретов. Если секреты были скомпрометированы, исключите использование этих секретов.

Отозвать и перевыпустить секреты

Не все секреты можно отозвать, например IAM-токен или JWT. Если скомпрометирован такой секрет, выполните одно из следующих действий:

• Отзовите права у аккаунта, которому принадлежит секрет.
• Удалите сервисный аккаунт или исключите из организации пользовательский аккаунт.
• Удалите ключ, с помощью которого создан секрет. Например, если скомпрометирован JWT или IAM-токен, который создан с помощью JWT, удалите авторизованный ключ сервисного аккаунта.

Yandex Cloud позволяет выпускать несколько авторизованных, статических и API-ключей одновременно. Сначала выпустите новые ключи, предоставьте их соответствующим сервисам и пользователям, а потом отзовите старые.

IAM-токен

Удалить IAM-токен нельзя. Если вы создадите новый IAM-токен, старый продолжит действовать.

1. Чтобы злоумышленник не смог использовать токен:

   • Для сервисного аккаунта – перевыпустите авторизованный ключ сервисного аккаунта, на который выдан токен, или удалите аккаунт.

   • Для аккаунта на Яндексе или федеративного аккаунта выполните одно из действий:

     • исключите аккаунт из всех организаций на время действия токена;

     • отзовите права у аккаунта в облаках и организациях на время, пока действует токен.

       Примечание

       IAM-токен действует не больше 12 часов. Подробнее о времени жизни IAM-токена.

2. Создайте новый IAM-токен:

   • Инструкция для аккаунта на Яндексе;
   • Инструкция для сервисного аккаунта;
   • Инструкция для федеративного аккаунта.

OAuth-токен

OAuth-токен можно отозвать. При этом IAM-токен, для получения которого используется OAuth-токен, продолжит действовать.

Чтобы злоумышленник не смог использовать токен:

1. Отзовите OAuth-токен.

2. Отзовите права у аккаунта, которому принадлежит OAuth-токен, одним из способов:

   • исключите аккаунт из всех организаций на время, пока действует IAM-токен;

   • отзовите права у аккаунта в облаках и организациях на время, пока действует IAM-токен.

     Примечание

     IAM-токен действует не больше 12 часов. Подробнее о времени жизни IAM-токена.

3. Получите новый OAuth-токен.

Авторизованный ключ

Если вам нужно максимально быстро пресечь угрозы со стороны скомпрометированного ключа, удалите сервисный аккаунт.

Если для вас важнее непрерывность процесса, в котором участвует сервисный аккаунт, перевыпустите авторизованные ключи:

1. Создайте новый авторизованный ключ для сервисного аккаунта.
2. Предоставьте новый авторизованный ключ сервисам и пользователям, которые его используют.
3. Получите IAM-токен для нового авторизованного ключа.
4. Удалите старый авторизованный ключ.

Когда вы удалите авторизованный ключ, соответствующий ему IAM-токен перестанет действовать. Чтобы исключить угрозы со стороны скомпрометированного ключа, больше делать ничего не требуется.

JWT

Выполните действия, описанные в разделе Авторизованный ключ.

Статический ключ

1. Создайте новый статический ключ для сервисного аккаунта.
2. Предоставьте новый статический ключ сервисам и пользователям, которые его используют.
3. Удалите старый статический ключ.

API-ключ

1. Создайте новый API-ключ для сервисного аккаунта.
2. Предоставьте новый API-ключ сервисам и пользователям, которые его используют.
3. Удалите старый API-ключ.

Прекратить действие cookie

1. Измените пароль Яндекс ID.
2. Авторизуйтесь в Яндекс ID с новым паролем.

Поиск несанкционированных действий и ресурсов

После того как отзовете и перевыпустите секреты, проанализируйте доступ к вашим ресурсам Yandex Cloud.

1. Изучите записи Cloud Logging.
2. Выполните поиск событий в бакете и поиск событий в лог-группе Audit Trails.
3. Убедитесь, что все события, в том числе связанные с утечкой секретов, соответствуют ожиданиям.

Удалить несанкционированные ресурсы

1. Проверьте, не появились ли в Yandex Cloud ресурсы, которые вы не создавали, например виртуальные машины, хранилища данных, базы данных, функции, API-шлюзы и т.д.
2. Удалите несанкционированные ресурсы, прежде всего те, которые могут обрабатывать данные или другим образом компрометировать вашу информацию.

Обратиться в службу технической поддержки

Сообщите в службу технической поддержки об инциденте. Эта информация поможет усовершенствовать защиту секретов в будущих релизах облака.

Подробнее о порядке оказания технической поддержки.

Рекомендации по построению безопасной инфраструктуры

1. Отделите секреты от кода.

   Не используйте секреты в исходном коде. Вместе с ним они могут попасть в публичные репозитории, например на GitHub, и стать уязвимыми.

2. Обеспечьте управление секретами в облаке.

3. Обеспечьте cбор, мониторинг и анализ аудитных логов.