Окружения Security Deck

Окружение Security Deck — это контейнер, который содержит настройки и ресурсы модулей Security Deck, перечень контролируемых ресурсов, параметры контроля и другие настройки. Окружения позволяют более гранулярно управлять безопасностью инфраструктуры в Yandex Cloud, проверяя ее на соответствие отраслевым стандартам безопасности.

В качестве ресурсов, контролируемых окружением, можно выбирать организации Yandex Identity Hub, отдельные облака и каталоги в них. Доступ окружения к контролируемым ресурсам осуществляется с использованием коннекторов.

Создавать окружения и управлять ими может пользователь, которому назначены следующие роли:

• security-deck.admin на каталог, в котором будут храниться ресурсы Security Deck и его модули.
• auditor на организацию, облако или каталог, безопасность в которых будет контролироваться окружением.

Настройки окруженияНастройки окружения

Настройки и ресурсы используемых окружением модулей Security Deck хранятся в каталоге, который указывается при создании окружения. После создания окружения изменить выбранный каталог нельзя.

Стандарты безопасностиСтандарты безопасности

В настройках окружения Security Deck указывается набор отраслевых стандартов безопасности и нормативных актов, на соответствие которым проверяются контролируемые ресурсы:

• Базовые правила безопасности облачной платформы Yandex Cloud — минимальный набор требований безопасности, обеспечивающих базовую защиту облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.
• Стандарт по защите облачной инфраструктуры Yandex Cloud — стандарт предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud. Эти элементы помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.

• Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля Kubernetes Pod Security Standards (PSS) Restricted profile. Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
• Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности Kubernetes Pod Security Standards (PSS) Baseline profile. Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
• Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе Microsoft Threat Matrix for Kubernetes — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.

Для одного окружения вы можете выбрать одновременно несколько стандартов безопасности, на соответствие которым будут проверяться ваши ресурсы. В зависимости от выбранных стандартов безопасности окружение будет использовать модули Security Deck Контроль конфигурации (CSPM) и/или Контроль Kubernetes (KSPM).

КоннекторыКоннекторы

Доступ к контролируемым в окружении Security Deck ресурсам осуществляется с помощью коннекторов, которые обращаются к ресурсам от имени сервисного аккаунта, привязанного к коннектору. Коннекторы обеспечивают унифицированный доступ как к внутренним ресурсам Yandex Cloud, так и к внешним ресурсам, например к Яндекс 360.

Ресурсы, которые будут проверяться на соответствие стандартам безопасности, должны быть явно назначены коннектору, привязанному к окружению. Привязать контролируемые ресурсы к окружению можно при создании и изменении окружения.

Сервисному аккаунту, от имени которого коннектор будет осуществлять доступ к контролируемым ресурсам, должна быть назначена роль security-deck.worker на эти ресурсы.

При удалении окружения коннектор, использовавшийся окружением, сохраняется.

Приемники алертовПриемники алертов

К окружению Security Deck также привязывается приемник алертов, в который будут выгружаться алерты, поступающие из всех модулей сервиса. Приемник алертов должен располагаться в том же каталоге, который был указан при создании окружения.

При удалении окружения приемник алертов, использовавшийся окружением, сохраняется.

Доступ к окружениюДоступ к окружению

По умолчанию доступ к окружению предоставляется пользователю, создавшему это окружение.

Чтобы другие пользователи могли работать с определенным окружением, вы можете предоставить им доступ к этому окружению. При этом пользователь, которому предоставляется доступ к окружению, должен также иметь доступ к каталогу, в котором сохраняются ресурсы окружения, а также к облаку, в котором находится этот каталог.

В зависимости от задач, которые будут выполняться пользователем, назначьте ему на нужное окружение роль security-deck.viewer или выше.

Дашборд окруженияДашборд окружения

В зависимости от настроенных в окружении модулей Security Deck дашборд содержит карточки с общими сведениями:

• о количестве алертов в окружении;
• о количестве выявленных нарушений правил контроля;
• о выбранных стандартах (наборы требований), на соответствие которым проверяются контролируемые ресурсы;
• о проценте соответствия контролируемых ресурсов выбранным стандартам безопасности.

В дополнение к карточкам дашборд содержит виджеты используемых в окружении модулей Security Deck:

• Виджет модуля Контроль конфигурации (CSPM) позволяет настраивать этот модуль и отображает:

  • количество правил с нарушениями;
  • количество правил без нарушений.

• Виджет модуля Контроль Kubernetes (KSPM) позволяет настраивать этот модуль и отображает:

  • количество кластеров с ошибками;
  • количество кластеров, требующих внимания.

• Виджет алертов позволяет настраивать алерты и содержит список алертов в окружении.

  Список алертов содержит текстовые описания алертов, их источники и статусы, а также индикаторы уровня критичности.

См. такжеСм. также

• Создать окружение Security Deck
• Посмотреть дашборд и операции с окружением Security Deck
• Изменить окружение Security Deck и его компоненты
• Настроить права доступа к окружению Security Deck
• Удалить окружение Security Deck