Раздел с перечнем сканирований. На экране представлен раздел «Контроль данных» в интерфейсе Yandex Security Deck. Отображается список проведённых сканирований с информацией о размере проверенных данных, статусе выполнения и времени запуска. Видны как завершённые сканирования, так и процессы, находящиеся в работе.
Как защитить конфиденциальные данные в облаке с помощью Yandex Security Deck
Находим, контролируем и предотвращаем утечки с помощью нашей CNAPP‑платформы.
22 августа 2025 г.
15 минут чтения
Краткий пересказ YandexGPT
- DSPM (Data Security Posture Management) — модуль платформы Yandex Security Deck для управления безопасностью данных, который сканирует IT-инфраструктуру и хранилища данных, автоматически обнаруживая и классифицируя конфиденциальные данные (финансовые, персональные, секреты).
- DSPM распознаёт разные типы персональной информации в текстовых документах и изображениях, например серии и номера паспортов, номера телефонов.
- Модуль позволяет настроить регулярные проверки хранилищ на наличие конфиденциальных данных.
- Результаты сканирования DSPM отображаются в интерфейсе Yandex Security Deck в виде алертов с деталями о затронутых ресурсах, типе найденных данных и степени критичности события.
- DSPM интегрирован со смежными инструментами платформы и внешними системами оповещения. Это позволяет отслеживать уведомления о найденных данных через стандартные механизмы Yandex Cloud.
- Инвентаризация данных с помощью DSPM помогает компаниям соответствовать требованиям 152-ФЗ, подготавливать необходимые документы для аудита и снижать риски штрафов.
- DSPM помогает предотвращать утечки данных, связанные с человеческим фактором и ошибками конфигурации, а также защищает от инсайдерских угроз.
Cloud‑Native Application Protection Platform.
Более 38% инцидентов начинаются с компрометации облачной идентификации — цифровые ключи от корпоративной инфраструктуры становятся главной мишенью для группировок типа Tempest, которые превратили кибератаки в отлаженный бизнес с моделью Ransomware as a Service (RaaS).
Ландшафт облачных угроз трансформировался за последние полгода. По нашим данным, финальной целью 76% атак являются облачные базы данных и S3‑хранилища — злоумышленники идут прямо к самому ценному активу компаний. Финансовая мотивация стала доминирующей: более 61% атакующих преследуют конкретную цель — либо получить выкуп за расшифровку данных, либо шантажировать компании угрозой их публикации.
Параллельно ужесточается законодательство. С 30 мая 2025 года вступили в силу поправки к 152‑ФЗ «О персональных данных». Теперь операторы обязаны обрабатывать персональные данные исключительно на территории России и уведомлять Роскомнадзор о начале такой обработки. Штрафы выросли кратно: если скомпрометированы данные более 100 тыс. человек, компании грозит штраф до 15 млн рублей. За повторное нарушение — оборотный штраф от 1 до 3% годового дохода, но не менее 20 млн и не более 500 млн рублей.
В статье расскажем, как обеспечить безопасность конфиденциальных данных в облаке с помощью современных CNAPP — платформ защиты облачных систем и приложений, которые объединяют инструменты для мониторинга конфигураций облака, безопасности контейнеров и защиты данных. Наша платформа Yandex Security Deck реализует эту концепцию и включает DSPM — систему обнаружения и классификации конфиденциальных данных, на которой мы сосредоточимся в этой статье.
DSPM — автоматический поиск конфиденциальных данных
DSPM, или Data Security Posture Management, представляет собой модуль платформы Yandex Security Deck для управления безопасностью данных. Модуль сканирует IT‑инфраструктуру компании и хранилища данных, автоматически обнаруживая места размещения и обработки чувствительной информации. DSPM классифицирует три категории конфиденциальных данных:
- финансовые данные, включая информацию банковских карт;
- персональные данные — ФИО, адреса электронной почты, номера телефонов и СНИЛС;
- а также секреты — облачные ключи доступа, пароли, токены и SSH‑ключи.
Модуль DSPM решает эту проблему комплексно: проводит инвентаризацию данных во всех подключённых хранилищах и автоматически определяет файлы с конфиденциальными данными — персональными, финансовыми или секретами компании. В Yandex Security Deck модуль работает в рамках ролевой модели Yandex Cloud, что позволяет точечно управлять доступом к хранилищам и инвентаризировать их на наличие чувствительных данных. Система может обнаружить тысячи отдельных срабатываний, которые затем агрегируются в критичные алерты в зависимости от количества найденных вхождений и типа данных. Например, обнаружение утекших секретов сразу формирует критичный алерт для немедленного реагирования.
Главная задача DSPM — провести полную инвентаризацию данных для снижения рисков утечек. Согласно нашему внутреннему исследованию, для большинства специалистов по информационной безопасности критически важен комплексный подход к защите конфиденциальных данных, который включает средства шифрования, управление доступом и другие инструменты защиты. DSPM решает свою часть этой комплексной задачи. Инструмент полезен разным участникам процесса защиты данных. CISO он помогает снизить риски и выполнить требования законодательства и отраслевых стандартов типа PCI DSS.
Подключение DSPM в Yandex Security Deck
Чтобы начать работу, откройте веб‑интерфейс облака и перейдите в раздел Yandex Security Deck — он находится во вкладке «Безопасность» в центре управления облаком. Нужно активировать функцию контроля данных DSPM. Система предложит выбрать источники данных: можно указать конкретный бакет Yandex Object Storage или просканировать всё облако или всю организацию.
После запуска DSPM автоматически проанализирует содержимое указанных хранилищ и выявит файлы с ПД. Первое сканирование может занять время — всё зависит от объёма информации. В дальнейшем можно настроить регулярные проверки, чтобы новые бакеты сканировались автоматически по расписанию.
Важный момент: убедитесь, что у вашей учётной записи есть необходимые права доступа для использования Yandex Security Deck. Результаты работы DSPM будут видны всем членам команды информационной безопасности, имеющим доступ к соответствующему облаку или каталогу.
Защита данных в Yandex Object Storage
Рассмотрим типичную ситуацию: компания хранит документы пользователей в бакете Yandex Object Storage. Это удобное решение для хранения больших объёмов информации, но только в том случае, если бакет настроен правильно и закрыт для общего доступа. Мы также можем анализировать изображения, выявляя в них персональные данные.
Даже опытные администраторы иногда случайно делают хранилище публичным. В мире известны десятки случаев утечек через открытые S3‑бакеты в разных облачных провайдерах. DSPM помогает предотвратить такие инциденты: сервис автоматически обнаружит, что в бакете хранятся файлы с ПД, и предупредит об этом.
Детали конкретного сканирования. На экране показана статистика обработки: из 23 705 файлов общим объёмом 3,67 ГБ система обнаружила 122 непрочитанных файла, пропустила 1 590 и успешно проверила 16 941 файл. Отображены настройки сканирования и категории поиска.
Модуль умеет распознавать разные типы персональной информации. Он найдёт серии и номера паспортов в текстовых документах, определит номера телефонов. Более того, DSPM анализирует содержимое изображений — он «прочитает» загруженную скан‑копию паспорта и определит тип документа.
Получив такой сигнал, команда безопасности сразу проверит настройки доступа к бакету. При необходимости специалисты ограничат права, закроют публичный доступ или дополнительно зашифруют данные. В результате даже если кто‑то извне попытается найти открытое хранилище, критичные сведения уже будут защищены.
Соответствие требованиям 152‑ФЗ
Представим, что организация готовится к аудиту на соответствие требованиям по защите персональных данных. 152‑ФЗ требует, чтобы операторы чётко знали, где и как обрабатываются ПД, и применяли необходимые меры защиты. На практике в крупной компании трудно вручную отследить все места хранения.
Во‑первых, можно навести порядок и удалить или изолировать те данные, которые не должны храниться в определённых средах. Например, персональные сведения клиентов точно не должны лежать в открытом доступе или в незашифрованном виде на тестовых бакетах. Во‑вторых, имея полную картину, проще подготовить обязательные документы: политику обработки персональных данных, модель угроз, перечень мер защиты. Все эти документы будут соответствовать фактическому состоянию дел.
В‑третьих, в случае проверки или инцидента вы сможете быстро показать, какие данные у вас есть и как они защищены. Это критически важно для снижения рисков оборотных штрафов. Облачный провайдер не управляет доступом к самим клиентским данным — ответственность за них остаётся на операторе ПД. Именно оператор будет отчитываться перед надзорными органами в случае утечки.
Бизнесу важно иметь собственные инструменты контроля. DSPM позволяет доказать, что компания предпринимает проактивные шаги для защиты информации. Проактивная инвентаризация данных серьёзно снижает шанс получить штраф, ведь риск крупной утечки становится намного ниже.
Предотвращение утечек
Многие инциденты с утечкой данных случаются не из‑за сложных хакерских атак, а по банальным причинам: человеческий фактор или ошибки конфигурации. По исследованиям, слабые пароли, неотключённые статические ключи доступа и ошибки настроек лежат в основе большого числа инцидентов.
DSPM помогает обнаружить подобные проблемы до того, как ими воспользуются злоумышленники. Пользователь может настроить регулярное сканирование инфраструктуры, а система будет оповещать, если найдёт файлы с персональными данными в нетипичном месте. Это работает как сигнализация: вы сразу узнаёте, что кто‑то разместил чувствительную информацию там, где ей не место.
Особенно актуально это для защиты от инсайдерских угроз. Внутренние пользователи тоже могут случайно или намеренно копировать данные, и такая активность всё чаще происходит именно в облачных средах. Регулярный автоматический контроль повышает шанс перехватить утечку на самой ранней стадии, ещё до того, как данные покинут периметр компании или будут скомпрометированы.
Анализ результатов сканирования
Все результаты сканирования DSPM наглядно отображаются в интерфейсе Yandex Security Deck. Сработавшие алерты — обнаруженные факты наличия персональных данных — собираются в едином журнале. По каждому алерту указаны детали: какой ресурс затронут, какого типа данные найдены, степень критичности события. Например, система сообщит: «Каталог Production — бакет photos — обнаружены сканы паспортов».
Для каждого алерта доступна подробная информация. Можно увидеть путь к файлу в бакете, время обнаружения и какие именно шаблоны сработали — например, совпадение с форматом паспортных данных.
Таблица с обнаруженными персональными данными. В таблице показаны файлы, содержащие информацию типа FULL‑NAME‑RU — имена и фамилии на русском языке, найденные в различных документах Excel с данными о клиентах и финансовых показателях.
Команда информационной безопасности может добавлять пометки к инциденту: указать ответственного сотрудника или поставить статус «на проверке». После устранения проблемы алерт закрывается. Все действия фиксируются, сохраняется полная история работы с инцидентом.
Security Deck обеспечивает централизованный цикл работы с инцидентами: от обнаружения проблемы до её анализа и устранения. Всё происходит в едином интерфейсе — это упрощает взаимодействие между членами команды безопасности.
Интеграция с системами безопасности
DSPM не работает изолированно — модуль интегрирован со смежными инструментами платформы и внешними системами оповещения. Все уведомления о найденных данных можно отслеживать через стандартные механизмы Yandex Cloud. Алерты поступают в облако клиента и могут передаваться дальше по цепочке реагирования.
Внутри платформы Yandex Security Deck разные модули тесно взаимосвязаны. Это единое решение объединяет инструменты управления доступом, контроля конфигураций, мониторинга данных и других аспектов облачной безопасности. События DSPM автоматически обогащаются информацией из других модулей.
Почему важна прозрачность данных
Чтобы надёжно защитить информацию, нужно начать с прозрачности данных. Невозможно обезопасить то, о существовании чего не знаешь. Инвентаризация данных в облаке — базовый шаг, без которого остальные меры информационной безопасности теряют эффективность.
DSPM даёт компании полное представление о том, какие данные она хранит и где именно они находятся. Наше внутреннее исследование подтверждает: наличие инструментов контроля конфиденциальности — один из ключевых признаков безопасного облака. Модуль DSPM в составе Yandex Security Deck обеспечивает такую прозрачность, находя все хранилища и процессы, затрагивающие персональные данные.
