Стандарт по защите облачной инфраструктуры Yandex Cloud 1.1
Введение
Этот документ содержит рекомендации по техническим мерам защиты и помогает выбрать меры обеспечения информационной безопасности (ИБ) при развёртывании информационных систем на облачной платформе Yandex Cloud.
Рекомендации и меры обеспечения безопасности в стандарте сопровождаются ссылками на Инструкции и решения по настройке безопасных конфигураций ресурсов с помощью штатных средств защиты информации и дополнительных средств защиты, доступных пользователям Yandex Cloud.
Также стандарт описывает способы и средства проверки выполнения рекомендаций, в том числе:
- с помощью интерфейса консоли управления;
- с помощью интерфейса командной строки Yandex Cloud CLI;
- вручную.
Что нового в версии 1.1
Список изменений в версии 1.1 по сравнению с версией 1.0:
-
Добавлены пункты:
- 1.20 Используется имперсонация, где это возможно.
- 1.21 На ресурсах используются метки.
- 1.22 Уведомления безопасности Yandex Cloud включены.
- 1.23 Используется роль
auditor
для исключения доступа к данным пользователей. - 3.4.2 Контроль среды запуска ВМ.
- 3.28 Используется антивирусная защита.
- 3.29 Используются рекомендации по безопасности Yandex Managed Service for Kubernetes.
- 4.16 Администратор облака имеет инструкцию по действиям в случае компрометации секретов его облака.
-
Обновлены пункты:
- 1.4, 1.14 добавлена рекомендация по использованию роли
auditor
. - 1.9 добавлена рекомендация по выделению критичных сервисных аккаунтов в отдельный каталог.
- 1.12 в список привилегированных ролей добавлен
editor
для уровней: организация, облако, каталог. - 4.7 добавлена инструкция по шифрованию данных в Yandex Managed Service for PostgreSQL и Yandex Managed Service for Greenplum® с помощью
pgcrypto
и KMS. - 4.13 добавлена рекомендация по использованию Yandex Lockbox в Terraform без записи в
.tfstate
.
- 1.4, 1.14 добавлена рекомендация по использованию роли
-
Добавлен раздел 9. Защита приложений:
- 9.1 Используется Yandex SmartCaptcha.
- 9.2 Для сканера уязвимостей контейнерных образов включена политика сканирования при загрузке.
- 9.3 Выполняется периодическое сканирование контейнерных образов.
- 9.4 Контейнерные образы, используемые в продакшн-среде имеют последнюю дату сканирования не позднее недели.
- 9.5 При сборке артефактов применяются аттестации.
- 9.6 Артефакты в рамках пайплайна подписываются с помощью стороннего инструмента Cosign.
- 9.7 Артефакты проверяются при развертывании в Yandex Managed Service for Kubernetes.
- 9.8 Применяются готовые блоки безопасного пайплайна.
Область применения
Рекомендации предназначены для архитекторов, технических специалистов и специалистов по ИБ, которые используют при создании защищённых облачных систем и разработке политик безопасности для работы на облачной платформе следующие сервисы:
- Identity and Access Management (IAM)
- Application Load Balancer
- Audit Trails
- Certificate Manager
- Cloud DNS
- Cloud Logging
- Compute Cloud
- Key Management Service
- Yandex Lockbox
- Managed Service for ClickHouse®
- Managed Service for GitLab
- Managed Service for MongoDB
- Managed Service for MySQL
- Managed Service for PostgreSQL
- Managed Service for Redis
- Network Load Balancer
- Object Storage
- Cloud Organization
- Resource Manager
- Virtual Private Cloud
- Managed Service for YDB
Стандарт можно рассматривать как основу для разработки рекомендаций, специфичных для организации. Не все меры обеспечения ИБ и рекомендации из настоящего документа могут быть применимы. Кроме того, могут потребоваться дополнительные меры и рекомендации, не включённые в настоящий стандарт.
Структура стандарта
Стандарт описывает рекомендации для следующих задач обеспечения безопасности:
- Аутентификация и управление доступом.
- Сетевая безопасность.
- Безопасная конфигурация виртуальной среды.
- Шифрование данных и управление ключами.
- Сбор, мониторинг и анализ аудитных логов.
- Управление уязвимостями.
- Резервное копирование.
- Физическая безопасность.
- Защита приложений.
Требования и подготовка
Для проверок убедитесь, что
- установлен и настроен YC CLI по инструкции;
- вы вошли в консоль управления
; - установлена утилита jq.
Вы можете автоматизировать аудит выполнения всех рекомендаций с помощью доступных решений наших партнёров:
- Neocat — продукт для управления безопасностью в облаке от компании Неофлекс. Устанавливается изолированно в периметре облака пользователя без необходимости выдачи административных прав.
- Cloud Advisor — безагентская платформа выявляет и приоритезириует риски безопасности, сокращает расходы, обеспечивает соответствие требованиям и упрощает управление вашей облачной инфраструктурой.
Ограничение ответственности
В Yandex Cloud применяется концепция разделения ответственности. Граница разделения ответственности за обеспечение безопасности зависит от сервисов, которые используются системой в облаке, от модели использования этих сервисов (IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга) и имеющихся у облачного провайдера защитных механизмов и политик.
Термины и сокращения
В настоящем документе используются термины и определения, введенные стандартом ISO/IEC 27000:2018 и ISO/IEC 29100:2011, а также термины, используемые в глоссарии Yandex Cloud.
ClickHouse® является зарегистрированным товарным знаком ClickHouse, Inc