6. Управление уязвимостями
Введение
Yandex Cloud отвечает за управление уязвимостями и обновлениями безопасности в управляемых сервисах. Клиент отвечает за управление уязвимостями и обновлениями безопасности для всех остальных компонентов системы.
Пример разделения ответственности за управление уязвимостями и обновлениями безопасности см. в разделе Requirement 5 матрицы разделения ответственности PCI DSS
6.1 Для образов контейнеров используется сканер уязвимостей
Рекомендуется использовать сканер уязвимостей в образах, встроенный в Container Registry.
- В консоли управления выберите облако или каталог, в которых необходимо проверить образы.
- В списке сервисов выберите Container Registry.
- Перейдите в каждый образ и проверьте столбец Статус сканирования.
6.2 Выполняется сканирование уязвимостей на уровне облачных IP-адресов
Рекомендуем клиентам самостоятельно выполнять сканирование хостов на наличие уязвимостей. Облачные ресурсы поддерживают возможность установки собственных виртуальных образов сканеров уязвимостей либо программных агентов на хостах. Для сканирования существует множество как платных, так и бесплатных решений.
Сетевые сканеры выполняют сканирование хостов, доступных по сети. Как правило, в сетевых сканерах возможна настройка аутентификации.
Примеры бесплатных сетевых сканеров:
Пример бесплатного сканера, который работает в виде агента на хостах: Wazuh
Вы также можете воспользоваться решением из Cloud Marketplace.
Выполните проверку вручную.
6.3 Внешние сканирования безопасности выполняются по правилам облака
Клиенты, размещающие в Yandex Cloud собственное программное обеспечение, могут проводить для размещенного ПО внешние сканирования безопасности, в том числе тесты на проникновение. Вы можете проводить сканирование самостоятельно либо с привлечением подрядчиков. Подробнее в разделе Правила проведения внешних сканирований безопасности.
Выполните проверку вручную.
6.4 Выстроен процесс обновлений безопасности
Клиент должен самостоятельно выполнять обновления безопасности в своей зоне ответственности. Возможно применение различных автоматизированных инструментов для централизованных автоматических обновлений ОС и ПО.
Yandex Cloud публикует бюллетени безопасности, чтобы оповещать клиентов о новых найденных уязвимостях и обновлениях безопасности.
6.5 Используется Web Application Firewall
Для снижения рисков, связанных с веб-атаками, рекомендуем использовать Web Application Firewall (WAF). Клиент может установить и обслуживать WAF самостоятельно либо воспользоваться услугой Managed WAF.
Самостоятельная установка WAF
Образы WAF доступны в Yandex Cloud Marketplace. Типы лицензий и другая необходимая информация доступны в описаниях продуктов.
Решение: Отказоустойчивая эксплуатация PT Application Firewall на базе Yandex Cloud
Возможна также установка Wallarm WAF в Managed Service for Kubernetes. См. инструкцию
Managed WAF
Клиент получает облачный WAF как услугу у Yandex Cloud. Предоставляется доступ в личный кабинет, возможность просмотра статистики и управления. Для подключения услуги и получения детальной информации обратитесь к своему менеджеру, отдел продаж или в службу поддержки
- В консоли управления выберите облако или каталог, в которых необходимо проверить образы.
- В списке сервисов выберите Compute Cloud.
- Убедитесь, что среди ВМ есть хотя бы одна с образом WAF.
Обратитесь к вашему менеджеру со стороны облака либо к службе безопасности вашей компании, чтобы узнать, используется ли Managed WAF для вашей организации.