Управление уязвимостями
Yandex Cloud отвечает за управление уязвимостями и обновлениями безопасности в управляемых сервисах. Клиент отвечает за управление уязвимостями и обновлениями безопасности для всех остальных компонентов системы.
Пример разделения ответственности за управление уязвимостями и обновлениями безопасности см. в разделе Requirement 5 матрицы разделения ответственности PCI DSS
Сканирование уязвимостей
Рекомендуем клиентам самостоятельно выполнять сканирование хостов на наличие уязвимостей. Облачные ресурсы поддерживают возможность установки собственных виртуальных образов сканеров уязвимостей либо программных агентов на хостах. Для сканирования существует множество как платных, так и бесплатных решений.
Сетевые сканеры выполняют сканирование хостов, доступных по сети. Как правило, в сетевых сканерах возможна настройка аутентификации. Примеры бесплатных сетевых сканеров:
Пример бесплатного сканера, который работает в виде агента на хостах: Wazuh
Проведение внешних сканирований безопасности
Клиенты, размещающие в Yandex Cloud собственное программное обеспечение, могут проводить для размещенного ПО внешние сканирования безопасности, в том числе тесты на проникновение. Вы можете проводить сканирование самостоятельно либо с привлечением подрядчиков. Подробнее в разделе Политика поддержки пользователей при проведении проверки уязвимостей.
Управление обновлениями по безопасности
Клиент должен самостоятельно выполнять обновления безопасности в своей зоне ответственности. Возможно применение различных автоматизированных инструментов для централизованных автоматических обновлений ОС и ПО.
Yandex Cloud публикует бюллетени безопасности, чтобы оповещать клиентов о новых найденных уязвимостях и обновлениях безопасности.
Web Application Firewall (WAF)
Для снижения рисков, связанных с веб-атаками, рекомендуем использовать Web Application Firewall (WAF). Клиент может установить и обслуживать WAF самостоятельно либо воспользоваться услугой Managed WAF.
Самостоятельная установка WAF
Образы WAF доступны в Yandex Cloud Marketplace. Типы лицензий и другая необходимая информация доступны в описаниях продуктов.
Возможна также установка Wallarm WAF в Managed Service for Kubernetes. См. инструкцию
Managed WAF
Клиент получает облачный WAF как услугу у Yandex Cloud. Предоставляется доступ в личный кабинет, возможность просмотра статистики и управления. Для подключения услуги и получения детальной информации обратитесь к своему менеджеру, отдел продаж или в службу поддержки