Чеклист по безопасности
- Сетевая безопасность
- Аутентификация и управление доступом
- Шифрование данных и управление ключами/секретами
- Безопасная конфигурация
- Защита от вредоносного кода
- Управление уязвимостями
- Сбор, мониторинг и анализ аудитных логов
- Физическая безопасность
- Резервное копирование
- Управление бюджетами
- Реагирование на инциденты
- Безопасность Yandex Managed Service for Kubernetes
Сетевая безопасность
-
Сегментация: разделите ресурсы по группам и поместите их в разные каталоги, а если требуется наиболее строгая изоляция — в разные VPC. Трафик внутри VPC по умолчанию разрешен, между VPC — нет (только через виртуальную машину с двумя сетевыми интерфейсами в разных сетях, VPN или Yandex Cloud Interconnect). Посмотрите вебинар Как работает сеть в Yandex Cloud
. -
Ограничение сетевого доступа, группы безопасности: ограничьте сетевой доступ между ресурсами с помощью групп безопасности.
Решение: настройка групп безопасности (dev/stage/prod) с помощью Terraform -
NGFW из Marketplace: если требуется продвинутая сетевая защита, используйте NGFW из Yandex Cloud Marketplace или разверните инфраструктуру самостоятельно, см. руководство по настройке высокодоступной отказоустойчивой сетевой инфраструктуры с выделенным DMZ сегментом и комплексной защитой на основе Next-Generation Firewall.
Решение: установка в Yandex Cloud ВМ — межсетевого экрана (NGFW): Check Point -
Безопасный доступ извне облачной инфраструктуры (VPN): если требуется удаленный доступ к ресурсам облака, настройте site-to-site VPN, см. инструкцию по настройке с использованием демона strongSwan, либо воспользуйтесь Cloud Interconnect (также доступна услуга ГОСТ VPN).
Решение: создание site-to-site VPN-соединения с Yandex Cloud с помощью Terraform -
Безопасный удаленный доступ администраторов (VPN): настройте VPN-соединение между удаленными устройствами и Yandex Cloud, используя решение из Cloud Marketplace, см. руководство по настройке на базе OpenVPN, или разверните инфраструктуру самостоятельно, см. руководство по настройке на базе WireGuard VPN.
-
Bastion host: создайте бастионную ВМ для доступа в инфраструктуру по управляющим протоколам (например, SSH, RDP).
-
Исходящий доступ (NAT): используйте NAT-шлюз для безопасного исходящего доступа в интернет. Шлюз транслирует ваши IP-адреса в общий пул адресов. Если необходимо, чтобы выход в интернет был из вашего контролируемого пула IP-адресов, используйте NAT-инстанс (выделенную ВМ).
-
Защита от DDoS: при назначении публичных IP-адресов на ресурсы облака используйте сервис Yandex DDoS Protection по кнопке (услуга L4-защиты от DDoS). Если необходима защита от DDoS на уровне L7, обратитесь к своему менеджеру.
Аутентификация и управление доступом
-
Централизованное управление и федерации удостоверений: создайте организацию в сервисе Yandex Cloud Organization и настройте систему единого входа (Single Sign-On) в Yandex Cloud через свой сервер IdP, см. инструкции по настройке с помощью AD FS, Keycloak
, Google Workspace. -
Федеративные аккаунты: используйте федеративные аккаунты вместо аккаунтов на Яндексе, где это возможно.
-
Принцип минимальных привилегий: назначайте сервисные роли (например,
compute.images.user
) вместо примитивных (viewer
,editor
,admin
), см. список всех ролей и примеры назначения ролей. Посмотрите вебинар Управление доступами в облаке . -
Terraform Yandex Cloud Yandex Identity and Access Management module: организуйте группы доступов для пользователей облака.
Решение: Identity and Access Management в Terraform для Yandex Cloud -
Работа с сервисными аккаунтами: применяйте механизм назначения сервисного аккаунта ВМ и получения токена через сервис метаданных. Настройте локальный файрвол на ВМ, чтобы только необходимые процессы и пользователи системы имели доступ к сервису метаданных (IP-адрес: 169.254.169.254).
-
2FA: для федерации удостоверений настройте 2FA на стороне вашего IdP, для аккаунта на Яндексе настройте 2FA согласно инструкции
. -
Защита billing.accounts.owner: после выполнения первоначальных операций не используйте учетную запись с этой ролью. Для управления платежным аккаунтом назначьте роль
admin
,editor
илиviewer
на платежный аккаунт выделенному сотруднику организации с федеративным аккаунтом. -
Защита organization-manager.organizations.owner:
В федерации удостоверенийБез федерации удостоверенийПередайте роль
organization-manager.organizations.owner
федеративному аккаунту, затем удалите из организации паспортный аккаунт с этой ролью. Чтобы минимизировать риски возможных сбоев в работе федерации, выполните шаги, описанные в статье Удаление паспортного аккаунта из организации.Установите сложный пароль для аккаунта на Яндексе, с которым создана организация. Администраторам организации назначьте менее привилегированную роль
organization-manager.admin
и используйте аккаунт с рольюorganization-manager.organizations.owner
только в случае крайней необходимости. -
Ресурсная модель: все критичные ресурсы, которые входят в область соответствия стандартам, поместите в отдельное облако. Группы ресурсов разделите по каталогам. Общие ресурсы (например, сеть и группы безопасности) поместите в отдельный каталог для разделяемых ресурсов.
Шифрование данных и управление ключами/секретами
- Шифрование в Yandex Object Storage: включите шифрование бакетов (server-side encryption), см. инструкцию. Такое шифрование защищает данные бакета от опубликования в интернете.
- Шифрование дисков ВМ (если требуется).
Решение: Шифрование диска ВМ с помощью Yandex Key Management Service - Client-side encryption (если требуется): используйте шифрование данных с помощью ключей Key Management Service, см. обзор способов шифрования.
- Защита ключей Key Management Service: выдавайте только гранулярные доступы к отдельным ключам Key Management Service — роли
kms.keys.encrypter
,kms.keys.decrypter
илиkms.keys.encrypterDecrypter
; используйте ротацию ключей. - Управление секретами: используйте сервисы управления секретами, такие как Yandex Lockbox или HashiCorp Vault с поддержкой Key Management Service из Cloud Marketplace.
Безопасная конфигурация
- Пароли по умолчанию: следите за паролями по умолчанию в программном обеспечении внутри ВМ организационно и технически с помощью различных сканеров уязвимостей.
- Стандарты и baseline: конфигурируйте операционные системы и ПО в соответствии с baseline и стандартами (CIS, PCI DSS и др.), для автоматизации соответствия используйте, например, утилиту OpenSCAP
. - Отключение серийной консоли: не используйте серийную консоль, а если это необходимо, то оценивайте риски и отключайте по окончании работы.
- Безопасное использование Terraform: используйте
terraform remote state
на базе Object Storage с функцией блокировки в Yandex Managed Service for YDB, см. пример настройки . Используйте параметр sensitive = true , если требуется. Не передавайте приватные данные в конфигурацию, а если это необходимо, используйте сервисы управления секретами или переменные среды. Подробнее.
Пример: сканирование tf-файлов с помощью Checkov - Контроль целостности на гостевых ОС: применяйте бесплатные host-based решения, такие как Wazuh, Osquery, или платные решения из Cloud Marketplace.
- Безопасная конфигурация Object Storage: используйте шифрование, политики доступа (bucket policy) и ACL, версионирование для защиты от удаления, включите встроенный аудит доступа и настройте CORS (при необходимости).
Решение: безопасная конфигурация Object Storage в Terraform - Безопасная конфигурация Yandex Cloud Functions: предоставляйте токен сервисного аккаунта через нативный механизм с помощью назначенного сервисного аккаунта и метаданных. По возможности используйте приватные функции.
- Безопасная конфигурация Yandex Container Registry: не рекомендуется использовать привилегированные контейнеры для запуска нагрузок. Используйте встроенный в сервис сканер уязвимостей в образах.
- Yandex Certificate Manager: используйте Certificate Manager для хранения, получения и обновления TLS-сертификатов от Let's Encrypt®, а также для загрузки собственных сертификатов. Сервис интегрирован с Yandex API Gateway, Yandex Application Load Balancer и Object Storage.
Защита от вредоносного кода
- Защита на уровне ОС: устанавливайте на ВМ антивирусные решения из Cloud Marketplace.
- Защита на уровне сети: используйте NGFW/IDS/IPS, представленные в Cloud Marketplace (некоторые из них имеют встроенные песочницы).
- Защита на уровне образов контейнеров: используйте сканер уязвимостей в образах, встроенный в сервис Container Registry.
Управление уязвимостями
- Автоматизированное сканирование уязвимостей: используйте бесплатные сетевые сканеры, например, nmap, OpenVAS, OWASP ZAP, или агенты на хостах, например, Wazuh, Tripwire.
- Внешние сканирования безопасности: проводите сканирования в соответствии с правилами.
- Обновления ПО, ОС: самостоятельно устанавливайте обновления, используйте автоматизированные инструменты обновлений.
- Web Application Firewall: установите WAF из Cloud Marketplace или воспользуйтесь Managed WAF — для получения доступа обратитесь к своему менеджеру.
Решение: PT Application Firewall на базе Yandex Cloud
Сбор, мониторинг и анализ аудитных логов
- Yandex Audit Trails: включите Audit Trails для всех облаков и каталогов.
- Сбор событий с уровня гостевых ОС и приложений: собирайте события, например, с помощью бесплатных решений Osquery, Wazuh и др.
- Сбор Flow logs (если требуется): например, с помощью NGFW из Cloud Marketplace или бесплатного ПО (в планах встроенные возможности).
- Экспорт событий Audit Trails в SIEM.
Решение: экспорт в ArcSight
Решение: экспорт в Splunk
Возможен экспорт в любой SIEM с помощью s3fs, см. инструкцию. - Use cases.
Use cases и важные события безопасности в аудитных логах - Реагирование на Audit Trails с Cloud Functions:
Решение: уведомления и реагирование на события ИБ Audit Trails с помощью Yandex Cloud Logging / Cloud Functions + Telegram - Регулярный аудит состояния: используйте Yandex Cloud CLI для запросов к текущему состоянию облачной инфраструктуры либо партнерское решение Cloud Advisor.
Физическая безопасность
- Меры физической безопасности: ознакомьтесь с подробным описанием мер физической безопасности Yandex Cloud.
Резервное копирование
- Регулярные резервные копии: настройте создание снимков дисков по расписанию с Cloud Functions, см. руководство.
Управление бюджетами
- Уведомления для контроля расходов: настройте уведомления на пороги бюджета в сервисе Yandex Cloud Billing, см. инструкцию.
Реагирование на инциденты
- Процедура реагирования: постройте процесс реагирования на инциденты. Для получения дополнительных логов следуйте процедуре запроса данных.
Безопасность Yandex Managed Service for Kubernetes
Шифрование данных и управление ключами/секретами
- Server-side шифрование: включите шифрование секретов в etcd, см. руководство. Делайте это всегда, вне зависимости от того, будете ли вы использовать сервисы управления секретами.
- Управление секретами: используйте Yandex Lockbox или HashiCorp Vault с поддержкой Key Management Service из Cloud Marketplace.
Решение: управление секретами с SecretManager (Yandex Lockbox, Vault)
Сетевая безопасность
- Группы безопасности: настройте группы безопасности для Kubernetes, см. инструкцию. Не рекомендуется выдавать публичный доступ и публичные адреса компонентам Kubernetes.
- Ingress-контроллер: для доступа извне к сервисам Kubernetes используйте Ingress-контроллер (HTTPS) с типом LoadBalancer (внешний или внутренний): Application Load Balancer Ingress-контроллер или другой, например NGINX Ingress-контроллер.
- Защита от DDoS: создайте IP-адрес с защитой от DDoS и назначьте его сервису либо Ingress-контроллеру.
- Сетевые политики (network policy): ограничьте доступ на уровне Kubernetes с помощью сетевых политик Calico либо продвинутых сетевых политик Cilium.
- Доступ только из ограниченного пула адресов (если требуется): для Application Load Balancer Ingress-контроллера назначьте группы безопасности, для других Ingress-контроллеров используйте сетевые политики.
Аутентификация и управление доступом
- Управление доступом: настройте роли для доступа к Kubernetes, см. инструкцию. Контролируйте права доступа сервисного аккаунта группы узлов (как правило, достаточно роли
container-registry.images.puller
).
Решение: настройка ролевых моделей и политик в Managed Service for Kubernetes
Безопасная конфигурация
- Конфигурация группы узлов в соответствии с baseline и стандартами: настройте группы узлов в соответствии со стандартами и baseline: NIST, CIS и др. Возможно использовать автоматизированные инструменты: kube-bench, kubescape.
- Runtime security и policy engine: используйте решения для runtime security, например Falco, а также решения для policy engine, например OPA Gatekeeper, Kyverno.
- Обновления безопасности: выберите подходящий канал обновления и настройте автоматическое применение обновлений либо применяйте их вручную сразу после публикации в выбранном канале. Также выполняйте своевременное обновление собственного ПО на группах узлов.
- Распределение подов на разные группы узлов: настройте node taints and tolerations + node affinity (по нагрузке и степени приватности).
Сбор, мониторинг и анализ аудитных логов
-
Сбор и анализ аудитных логов workloads и группы узлов: например, с помощью открытых инструментов Fluent Bit, Beats и др.
-
Мониторинг аномальной нагрузки: используйте Yandex Monitoring.
Резервное копирование
- Резервное копирование: настройте резервное копирование кластера Kubernetes в Object Storage, см. руководство. Следуйте рекомендациям раздела Безопасная конфигурация Object Storage.