Стандарт по защите облачной инфраструктуры Yandex Cloud

Статья создана

Обновлена 13 апреля 2026 г.

Примечание

Функциональность находится на стадии Preview.

Приведенный набор правил содержит элементы управления безопасностью на основе Стандарта по защите облачной инфраструктуры Yandex Cloud.

Стандарт по защите облачной инфраструктуры Yandex Cloud предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.

Эти элементы управления помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей безопасности облачных сред:

Идентификатор требования	Требование стандарта безопасности	Идентификаторы проверки в модуле CSPM
Аутентификация и управление доступом
`IAM1`	Настроена федерация удостоверений (Single Sign-On, SSO)	cspm.access.uses-federation
`IAM2`	Настроено сопоставление групп пользователей в федерации удостоверений	cspm.access.user-groups-mapping
`IAM4`	Таймаут жизни cookie в федерации меньше 6 часов	cspm.cookie-timeout.organization
`IAM5`	Только необходимые администраторы управляют членством в IAM-группах	cspm.access.user-groups-access
`IAM6`	Используются сервисные роли вместо примитивных: admin, editor, viewer, auditor	cspm.access.min-privileges
`IAM9`	Сервисным аккаунтам назначены минимальные привилегии	cspm.access.sa-privileges-org-roles cspm.access.sa-privileges-service-roles
`IAM10`	Только доверенные администраторы имеют доступ к сервисным аккаунтам	cspm.access.privileged-sa-access
`IAM11`	Выполняется периодическая ротация ключей сервисных аккаунтов	cspm.crypto.sa-key-rotation
`IAM12`	Для API-ключей сервисных аккаунтов задана область действия	cspm.access.defined-key-scopes
`IAM16`	На ВМ отключено получение токена через AWS IMDSv1	cspm.aws-token
`IAM18`	Привилегированные роли назначены только доверенным администраторам	cspm.access.check-privileged-roles
`IAM22`	Для ресурсов в организации отсутствует публичный доступ	cspm.access.public-access
`IAM23`	Контактные данные ответственного за организацию актуальны	cspm.procedure.organization-contacts
`IAM24`	На ресурсах используются метки	cspm.o11y.labeled-resources
`IAM27`	Регулярно проводится аудит прав доступа пользователей и сервисных аккаунтов с использованием Yandex Security Deck CIEM	cspm.access.check-bindings
Сетевая безопасность
`NET1`	Для объектов облака используется межсетевой экран или группы безопасности	cspm.network.firewall
`NET2`	В Yandex Virtual Private Cloud существует как минимум одна группа безопасности	cspm.network.network-firewall
`NET3`	В группах безопасности отсутствует слишком широкое правило доступа	cspm.network.network-firewall-scope cspm.k8s.network-firewall-scope
`NET4`	Доступ по управляющим портам открыт только для доверенных IP-адресов	cspm.trusted-ip cspm.trusted-ip-k8s
`NET5`	Включена защита от DDoS-атак	cspm.appsec.ddos-protection.l3 cspm.appsec.ddos-protection.l7
Безопасная конфигурация виртуальной среды
`ENV1`	Использование серийной консоли контролируется либо отсутствует	cspm.access.serial-console
`ENV7`	Отсутствует публичный доступ к бакету Object Storage	cspm.access.bucket-public-access
`ENV8`	В Object Storage используются политики доступа (Bucket Policy)	cspm.access.bucket-access-policy
`ENV9`	В Object Storage включена функция «Блокировка версии объекта» (objectlock)	cspm.s3.used-object-lock
`ENV14`	На управляемых базах данных назначена Группа безопасности	cspm.network.db-security-group
`ENV15`	На управляемых базах данных не назначен публичный IP-адрес	cspm.network.db-ip
`ENV16`	Включена настройка защиты от удаления (deletion protection)	cspm.db.db-deletion-protection
`ENV17`	Выключена настройка доступа из DataLens без необходимости	cspm.access.db-datalens-access
`ENV18`	На управляемых БД выключен доступ из консоли управления	cspm.access.db-console-access
`ENV19`	Serverless Containers/Cloud Functions использует внутреннюю сеть VPC	cspm.network.serverless-uses-vpc
`ENV26`	Публичный доступ отсутствует для YDB	cspm.network.ydb-public
`ENV28`	Настроен ACL по IP-адресам для Yandex Container Registry	cspm.access.acl-container-registry
`ENV29`	Срок действия сертификата Yandex Certificate Manager составляет как минимум 30 дней	cspm.crypto.certificate-validity
`ENV33`	Для подключения к виртуальной машине или узлу Kubernetes используется OS Login	cspm.access.os-login-onto-hosts.vm
`ENV34`	Проводится сканирование уязвимостей на уровне облачных IP-адресов	cspm.active.ip-vulnerability-scan
`ENV37`	Используется Cloud Backup или механизм snapshot по расписанию	cspm.compute.snapshot cspm.backup.compute-disks
Шифрование данных и управление ключами
`CRYPT1`	В Yandex Object Storage включено шифрование данных at rest с ключом KMS	cspm.data.object-storage-encryption
`CRYPT2`	В Yandex Object Storage включено HTTPS для хостинга статического сайта	cspm.data.storage-https
`CRYPT3`	В Yandex Application Load Balancer используется HTTPS	cspm.appsec.alb-https
`CRYPT4`	В Yandex API Gateway используется HTTPS и собственный домен	cspm.appsec.api-gateway-https
`CRYPT5`	В Yandex Cloud CDN используется HTTPS и собственный SSL-сертификат	cspm.appsec.cdn-https
`CRYPT7`	Используется шифрование данных на уровне приложения	cspm.data.application-encryption
`CRYPT8`	Используется шифрование дисков и снимков виртуальных машин	cspm.crypto.managed-vm-kms
`CRYPT9`	Ключи Key Management Service хранятся в аппаратном модуле безопасности (HSM)	cspm.crypto.keys-hsm
`CRYPT10`	Права на управление ключами в KMS выданы контролируемым пользователям	cspm.access.kms-keys-access
`CRYPT11`	Для ключей KMS включена ротация	cspm.crypto.keys-rotation
`CRYPT12`	Для ключей KMS включена защита от удаления	cspm.crypto.keys-deletion-protection
`CRYPT13`	В организации используется Yandex Lockbox для безопасного хранения секретов	cspm.crypto.secrets-lockbox
`CRYPT14`	Для Serverless Containers и Cloud Functions используются секреты Lockbox	cspm.crypto.secrets-serverless
Сбор, мониторинг и анализ аудитных логов
`AUDIT1`	Включен сервис Yandex Audit Trails на уровне организации	cspm.o11y.audit-trails cspm.o11y.audit-trails-no-errors
`AUDIT5`	Выполняется сбор аудит-логов с уровня ОС	cspm.o11y.os-logs-audited
`AUDIT8`	Отслеживаются события уровня сервисов	cspm.o11y.data-plane-events
Защита приложений
`APPSEC1`	Используется Yandex SmartCaptcha	cspm.appsec.use-smartcaptcha
`APPSEC2`	Docker-образы сканируются при загрузке в Yandex Container Registry	cspm.appsec.secure-registry
`APPSEC3`	Выполняется периодическое сканирование Docker-образов, хранящихся в Container Registry	cspm.appsec.periodic-scan
`APPSEC4`	Контейнерные образы, используемые в продакшн-среде, имеют последнюю дату сканирования не позднее недели	cspm.appsec.registry-recently-scan
`APPSEC9`	Используется профиль безопасности Smart Web Security	cspm.appsec.use-sws
`APPSEC10`	Используется Web Application Firewall	cspm.appsec.use-waf
`APPSEC11`	Используется Advanced Rate Limiter	cspm.appsec.use-arl
Безопасность Kubernetes
`K8S3`	Нет доступа к API Kubernetes	cspm.k8s.api-security
`K8S4`	В Managed Service for Kubernetes настроены аутентификация и управление доступом	cspm.k8s.access
`K8S5`	В Yandex Managed Service for Kubernetes используется безопасная конфигурация	cspm.k8s.secure-configuration
`K8S8`	Используется одна из трех последних версий Kubernetes и ведется мониторинг обновлений	cspm.k8s.version-update
`K8S11`	Используется политика безопасности Kubernetes	cspm.k8s.kspm
`K8S12`	Настроен сбор аудитных логов для расследований инцидентов	cspm.k8s.audit-logs

Стандарт по защите облачной инфраструктуры Yandex Cloud

Была ли статья полезна?