Связаться с намиПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»

Стандарт по защите облачной инфраструктуры Yandex Cloud

Статья создана
Обновлена 11 февраля 2026 г.

Примечание

Функциональность находится на стадии Preview.

Приведенный набор правил содержит элементы управления безопасностью на основе Стандарта по защите облачной инфраструктуры Yandex Cloud.

Стандарт по защите облачной инфраструктуры Yandex Cloud предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.

Эти элементы управления помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей безопасности облачных сред:

Идентификатор требования Требование стандарта безопасности Идентификатор проверки в модуле CSPM
IAM6 Используются сервисные роли вместо примитивных: admin, editor, viewer, auditor cspm.access.min-privileges
IAM9 Сервисным аккаунтам назначены минимальные привилегии cspm.access.sa-privileges
IAM12 Для API-ключей сервисных аккаунтов задана область действия cspm.access.defined-key-scopes
IAM22 Для ресурсов в организации отсутствует публичный доступ cspm.access.public-access
NET2 В Yandex Virtual Private Cloud существует как минимум одна группа безопасности cspm.network.network-firewall
NET3 В группах безопасности отсутствует слишком широкое правило доступа cspm.network.network-firewall-scope
NET5 Включена защита от DDoS-атак cspm.appsec.ddos-protection.l7
ENV1 Использование серийной консоли контролируется либо отсутствует cspm.access.serial-console
ENV7 Отсутствует публичный доступ к бакету Yandex Object Storage cspm.access.bucket-public-access
ENV14 На управляемых базах данных назначена Группа безопасности cspm.network.db-security-group
ENV15 На управляемых базах данных не назначен публичный IP-адрес cspm.network.db-ip
ENV16 Включена настройка защиты от удаления (deletion protection) cspm.db.db-deletion-protection
ENV17 Выключена настройка доступа из Yandex DataLens без необходимости cspm.access.db-datalens-access
ENV18 На управляемых БД выключен доступ из консоли управления cspm.access.db-console-access
ENV26 Публичный доступ отсутствует для YDB cspm.network.ydb-public
ENV28 Настроен ACL по IP-адресам для Yandex Container Registry cspm.access.acl-container-registry
ENV29 Срок действия сертификата Yandex Certificate Manager составляет как минимум 30 дней cspm.crypto.certificate-validity
ENV33 Для подключения к виртуальной машине или узлу Kubernetes используется OS Login cspm.access.os-login-onto-hosts.vm
ENV34 Проводится сканирование уязвимостей на уровне облачных IP-адресов cspm.active.ip-vulnerability-scan
CRYPT1 В Yandex Object Storage включено шифрование данных at rest с ключом KMS cspm.data.object-storage-encryption
CRYPT3 В Yandex Application Load Balancer используется HTTPS cspm.appsec.alb-https
CRYPT5 В Yandex Cloud CDN используется HTTPS и собственный SSL-сертификат cspm.appsec.cdn-https
CRYPT7 Используется шифрование данных на уровне приложения cspm.data.application-encryption
CRYPT8 Используется шифрование дисков и снимков виртуальных машин cspm.crypto.managed-vm-kms
CRYPT11 Для ключей KMS включена ротация cspm.crypto.keys-rotation
CRYPT12 Для ключей KMS включена защита от удаления cspm.crypto.keys-deletion-protection
CRYPT13 В организации используется Yandex Lockbox для безопасного хранения секретов cspm.crypto.secrets-lockbox
CRYPT14 Для Yandex Serverless Containers и Yandex Cloud Functions используются секреты Yandex Lockbox cspm.crypto.secrets-serverless
AUDIT1 Включен сервис Yandex Audit Trails на уровне организации cspm.o11y.audit-trails
AUDIT8 Отслеживаются события уровня сервисов cspm.o11y.data-plane-events
APPSEC2 Docker-образы сканируются при загрузке в Yandex Container Registry appsec.secure-registry
APPSEC3 Выполняется периодическое сканирование Docker-образов, хранящихся в Container Registry cspm.appsec.periodic-scan
APPSEC9 Используется профиль безопасности Yandex Smart Web Security cspm.appsec.use-sws
APPSEC11 Используется Advanced Rate Limiter cspm.appsec.use-arl
K8S5 В Yandex Managed Service for Kubernetes используется безопасная конфигурация cspm.k8s.secure-configuration
K8S8 Используется одна из трех последних версий Kubernetes и ведется мониторинг обновлений cspm.k8s.version-update
K8S12 Настроен сбор аудитных логов для расследований инцидентов cspm.k8s.audit-logs
Предыдущая
Базовые правила безопасности облачной платформы Yandex Cloud
Следующая
Контроль данных (DSPM)