Создать окружение Security Deck

Перейдите в сервис Yandex Security Deck.

На панели слева выберите Окружение.

Если у вас еще нет окружений, нажмите кнопку Создать окружение.

Если у вас уже есть окружение и вы хотите создать еще одно окружение в дополнение к уже имеющемуся, в верхней части окна нажмите кнопку Ещё и нажмите Создать окружение.

В открывшемся окне Создание и настройка окружения в разделе Основные параметры:

1. В блоке Имя окружения введите имя создаваемого окружения. Требования к имени:

   • длина — от 1 до 63 символов;
   • может содержать строчные буквы латинского алфавита, цифры и дефисы;
   • первый символ — буква, последний — не дефис.

   При необходимости задайте краткое описание для создаваемого окружения.

2. В блоке Каталог для хранения ресурсов выберите каталог, в котором будут храниться ресурсы Security Deck для создаваемого окружения.

   В целях безопасности ресурсы Security Deck рекомендуется хранить в отдельном облаке и каталоге, доступ к которым есть только у сотрудников, отвечающих за безопасность.

   Примечание

   После создания окружения изменить выбранный каталог нельзя.

3. В блоке Оплата ресурсов привяжите платежный аккаунт, который будет использоваться для оплаты ресурсов модулей безопасности, используемых окружением.

4. В блоке Приёмник алертов выберите нужный приемник алертов, в который будут выгружаться все алерты, сгенерированные в окружении.

   При необходимости создайте новый приемник алертов. Для этого нажмите кнопку Создать приёмник, в открывшемся окне введите имя приемника и нажмите Создать.

5. Нажмите кнопку Создать и продолжить, чтобы перейти к следующему этапу — настройке ресурсов окружения.

В открывшемся разделе Ресурсы:

1. В блоке Ресурсы окружения выберите коннектор, который будет использоваться в создаваемом окружении для доступа к контролируемым ресурсам.

   При необходимости создайте новый коннектор:

   1. Нажмите кнопку Создать коннектор и в открывшемся окне:

      1. В поле Имя укажите имя коннектора.

      2. (Опционально) В поле Описание задайте произвольное описание коннектора.

      3. В поле Сервисный аккаунт выберите сервисный аккаунт, от имени которого будет осуществляться доступ к облачным ресурсам.

         В блоке ниже вы можете посмотреть, к каким ресурсам выбранный сервисный аккаунт имеет доступ.

         Сервисному аккаунту должна быть назначена роль security-deck.worker на контролируемые в создаваемом окружении ресурсы.

      4. Нажмите кнопку Создать коннектор.

2. В появившемся блоке с коннектором нажмите кнопку Выбрать облако/каталог, чтобы выбрать ресурсы (облака и каталоги), безопасность в которых будет контролироваться в создаваемом окружении:

   1. Отметьте ресурсы, безопасность которых вы хотите контролировать в окружении. Для выбора доступны только те ресурсы, к которым есть доступ у выбранного ранее сервисного аккаунта.
   2. Нажмите кнопку Сохранить выбор.

3. Нажмите кнопку Сохранить и продолжить.

В открывшемся разделе Соответствие требованиям:

1. В блоке Наборы требований выберите отраслевые стандарты и нормативные акты, на соответствие которым будут проверяться выбранные на предыдущем шаге ресурсы:

   • Базовые правила безопасности облачной платформы Yandex Cloud — минимальный набор требований безопасности, обеспечивающих базовую защиту облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.
   • Стандарт по защите облачной инфраструктуры Yandex Cloud — стандарт предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud. Эти элементы помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.
   • Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля Kubernetes Pod Security Standards (PSS) Restricted profile. Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
   • Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности Kubernetes Pod Security Standards (PSS) Baseline profile. Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
   • Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе Microsoft Threat Matrix for Kubernetes — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.

   Вы можете выбрать одновременно несколько стандартов. При этом в блоке Модули контроля будут отображаться модули Security Deck, которые будут активированы в создаваемом окружении для проверки ресурсов на соответствие выбранным стандартам и нормативным актам.

2. Нажмите кнопку Сохранить и продолжить.

(Опционально) В открывшемся разделе Участники добавьте пользователей, которым будет доступно создаваемое окружение, и назначьте им роли в этом окружении:

1. Нажмите кнопку Добавить пользователей и в открывшемся окне:

   1. Выберите нужного пользователя из списка. При необходимости воспользуйтесь строкой поиска.
   2. В открывшемся окне нажмите кнопку Добавить роль и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.
   3. Нажмите кнопку Сохранить.

2. Нажмите кнопку Завершить, чтобы завершить создание окружения Security Deck.

Вы можете не добавлять в окружение дополнительных пользователей. В этом случае окружение будет доступно только его создателю.