Yandex Cloud
Поиск
Связаться с экспертомПопробовать бесплатно
  • Кейсы
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
  • Marketplace
    • Доступны в регионе
    • Инфраструктура и сеть
    • Платформа данных
    • Искусственный интеллект
    • Безопасность
    • Инструменты DevOps
    • Бессерверные вычисления
    • Управление ресурсами
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Партнёрская программа
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Калькулятор цен
    • Тарифы
    • Акции и free tier
  • Кейсы
  • Документация
  • Блог
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»
Yandex Security Deck
RU
    • Обзор
  • Правила тарификации
  • Аудитные логи Audit Trails
  • История изменений

В этой статье:

  • Перед началом работы
  • Создайте окружение Security Deck
  • Модули Yandex Security Deck
  • Контроль данных (DSPM)
  • Контроль Kubernetes (KSPM)
  • Диагностика доступов (CIEM)
  • Контроль конфигурации (CSPM)
  • Обнаружение угроз (TD)
  • Управление уязвимостями
  • Access Transparency
  • Портал соответствия требованиям
  • Что дальше
  1. Начало работы
  2. Обзор

Начало работы с Yandex Security Deck

Статья создана
Yandex Cloud
Обновлена 1 июля 2026 г.
Открыть в Markdown
  • Перед началом работы
  • Создайте окружение Security Deck
  • Модули Yandex Security Deck
    • Контроль данных (DSPM)
    • Контроль Kubernetes (KSPM)
    • Диагностика доступов (CIEM)
    • Контроль конфигурации (CSPM)
    • Обнаружение угроз (TD)
    • Управление уязвимостями
    • Access Transparency
    • Портал соответствия требованиям
  • Что дальше

Сервис Security Deck предлагает инструменты для обеспечения безопасности данных и соответствия нормативным требованиям и отраслевым стандартам.

Перед началом работыПеред началом работы

Чтобы начать работать с Security Deck в Yandex Cloud:

  1. Если вы еще не зарегистрированы в Yandex Cloud, перейдите в консоль управления и следуйте инструкциям.

  2. В сервисе Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

  3. Если у вас еще нет каталога, создайте его.

  4. Убедитесь, что у вас есть необходимые права для работы с модулями Security Deck. Оптимальные роли для работы:

    • security-deck.admin на каталог, в котором будут храниться ресурсы Security Deck и его модули.
    • auditor на организацию, облако или каталог, безопасность в которых будет контролироваться окружением.
  5. Создайте сервисный аккаунт и назначьте ему роль security-deck.worker на организацию, облако или каталог, безопасность в которых будет контролироваться окружением.

Создайте окружение Security DeckСоздайте окружение Security Deck

Окружение — это контейнер, который содержит настройки и ресурсы модулей Security Deck, перечень контролируемых ресурсов, параметры контроля и другие настройки. Окружения позволяют более гранулярно управлять безопасностью инфраструктуры в Yandex Cloud.

Чтобы создать ваше первое окружение Security Deck:

Интерфейс Security Deck
  1. Перейдите в сервис Yandex Security Deck.
  2. На панели слева выберите Окружение и нажмите кнопку Создать окружение.
  3. В открывшемся окне Создание и настройка окружения в разделе Основные параметры:

    1. В блоке Имя окружения введите имя создаваемого окружения. Требования к имени:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

      При необходимости задайте краткое описание для создаваемого окружения.

    2. В блоке Каталог для хранения ресурсов выберите каталог, в котором будут храниться ресурсы Security Deck для создаваемого окружения.

      В целях безопасности ресурсы Security Deck рекомендуется хранить в отдельном облаке и каталоге, доступ к которым есть только у сотрудников, отвечающих за безопасность.

      Примечание

      После создания окружения изменить выбранный каталог нельзя.

    3. В блоке Оплата ресурсов привяжите платежный аккаунт, который будет использоваться для оплаты ресурсов модулей безопасности, используемых окружением.

    4. В блоке Приёмник алертов выберите нужный приемник алертов, в который будут выгружаться все алерты, сгенерированные в окружении.

      Совет

      Вы можете пропустить создание приемника алертов. Для этого нажмите Создать и продолжить.
      Приемник с именем default будет создан автоматически.

      При необходимости создайте новый приемник алертов. Для этого нажмите кнопку Создать приёмник, в открывшемся окне введите имя приемника и нажмите Создать.

    5. Нажмите кнопку Создать и продолжить, чтобы перейти к следующему этапу — настройке ресурсов окружения.

  4. В открывшемся разделе Ресурсы:

    1. В блоке Ресурсы окружения выберите коннектор, который будет использоваться в создаваемом окружении для доступа к контролируемым ресурсам.

      При необходимости создайте новый коннектор:

      1. Нажмите кнопку Создать коннектор и в открывшемся окне:

        1. В поле Имя укажите имя коннектора.

        2. (Опционально) В поле Описание задайте произвольное описание коннектора.

        3. В поле Сервисный аккаунт выберите сервисный аккаунт, от имени которого будет осуществляться доступ к облачным ресурсам.

          В блоке ниже вы можете посмотреть, к каким ресурсам выбранный сервисный аккаунт имеет доступ.

          Сервисному аккаунту должна быть назначена роль security-deck.worker на контролируемые в создаваемом окружении ресурсы.

        4. Нажмите кнопку Создать коннектор.

    2. В появившемся блоке с коннектором нажмите кнопку Выбрать облако/каталог, чтобы выбрать ресурсы (облака и каталоги), безопасность в которых будет контролироваться в создаваемом окружении:

      1. Отметьте ресурсы, безопасность которых вы хотите контролировать в окружении. Для выбора доступны только те ресурсы, к которым есть доступ у выбранного ранее сервисного аккаунта.
      2. Нажмите кнопку Сохранить выбор.
    3. Нажмите кнопку Сохранить и продолжить.

  5. В открывшемся разделе Модули контроля:

    1. В блоке Наборы требований выберите отраслевые стандарты и нормативные акты, на соответствие которым будут проверяться выбранные на предыдущем шаге ресурсы:

      • Базовые правила безопасности облачной платформы Yandex Cloud — минимальный набор требований безопасности, обеспечивающих базовую защиту облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.
      • Стандарт по защите облачной инфраструктуры Yandex Cloud — стандарт предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud. Эти элементы помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.
      • PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных платежных карт, включающий требования к управлению безопасностью, правилам, процедурам, сетевой архитектуре, разработке программного обеспечения и другим критически важным мерам защиты.
      • Требования ФСТЭК (Приказ № 21) для защиты персональных данных — стандарт содержит меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
      • Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля Kubernetes Pod Security Standards (PSS) Restricted profile. Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
      • Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности Kubernetes Pod Security Standards (PSS) Baseline profile. Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
      • Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе Microsoft Threat Matrix for Kubernetes — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.
      • CIS Kubernetes Benchmark — стандарт содержит рекомендации CIS Kubernetes Benchmark для безопасной настройки компонентов на рабочих узлах Kubernetes. Включает только автоматические проверки из раздела 4 Worker Nodes.

      Вы можете выбрать одновременно несколько стандартов. При этом в блоке Модули контроля будут отображаться модули Security Deck, которые будут активированы в создаваемом окружении для проверки ресурсов на соответствие выбранным стандартам и нормативным актам.

    2. (Опционально) В блоке Модули контроля активируйте дополнительные модули Security Deck, необходимые вам в окружении.

      Например, модуль Контроль данных (DSPM) не зависит от выбранных в окружении стандартов и нормативных актов, и его необходимо активировать для окружения вручную.

    3. Нажмите кнопку Сохранить и продолжить.

  6. (Опционально) В открывшемся разделе Права доступа добавьте пользователей, которым будет доступно создаваемое окружение, и назначьте им роли в этом окружении:

    1. Нажмите кнопку Добавить пользователей и в открывшемся окне:

      1. Выберите нужного пользователя из списка. При необходимости воспользуйтесь строкой поиска.
      2. В открывшемся окне нажмите кнопку Добавить роль и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.
      3. Нажмите кнопку Сохранить.
    2. Нажмите кнопку Завершить, чтобы завершить создание окружения Security Deck.

    Вы можете не добавлять в окружение дополнительных пользователей. В этом случае окружение будет доступно только его создателю.

Модули Yandex Security DeckМодули Yandex Security Deck

В сервис Security Deck входят следующие модули:

  • Контроль данных (DSPM)
  • Контроль Kubernetes (KSPM)
  • Диагностика доступов (CIEM)
  • Контроль конфигурации (CSPM)
  • Обнаружение угроз (TD)
  • Управление уязвимостями
  • Access Transparency
  • Портал соответствия требованиям

Чтобы использовать какой-либо из модулей, перейдите в интерфейс Security Deck и выберите нужный модуль на панели слева. На открывшейся странице вы сможете подробнее ознакомиться с возможностями инструмента и условиями его использования. Чтобы использовать выбранный модуль, выполните необходимые для его работы настройки.

Контроль данных (DSPM)Контроль данных (DSPM)

Модуль контроля данных или DSPM (Data Security Posture Management) — это инструмент, помогающий оперативно обнаруживать чувствительную информацию, сохраненную в бакетах Yandex Object Storage и Яндекс Дисках в Яндекс 360, с тем чтобы своевременно принимать необходимые меры для ее защиты от несанкционированного доступа или утечки (настраивать политики доступа, обезличивать данные и т. п.).

Одна из ключевых возможностей DSPM — это анализ всех данных, хранящихся в бакетах в заданном окружении. Анализ запускается автоматически при создании окружения, сканируются все данные в бакетах.

С помощью анализа вы можете точнее определять, в каких ресурсах могут находиться чувствительные данные, и получить готовый источник данных для последующего подробного сканирования. Поиск чувствительных данных при этом занимает меньше времени, чем сканирование источника данных, созданного вручную.

Примечание

Анализ данных тарифицируется отдельно от сканирований источников данных.

Чтобы начать работать с модулем DSPM, активируйте его в настройках текущего окружения Security Deck и воспользуйтесь инструкциями по анализу данных, созданию источника данных и созданию сканирования информации.

Подробнее в разделе Модуль контроля данных (DSPM).

Контроль Kubernetes (KSPM)Контроль Kubernetes (KSPM)

Контроль Kubernetes (KSPM) — это инструмент, позволяющий обеспечивать безопасность использования контейнеризованных приложений.

Модуль KSPM автоматически обнаруживает все имеющиеся в заданном окружении кластеры Kubernetes и контейнеры и устанавливает в них компоненты защиты в соответствии с заданной конфигурацией. Защита новых кластеров включается автоматически, без ручного поиска и установки компонентов.

Модуль обеспечивает проверку рабочей нагрузки на предмет некорректных конфигураций и контроль безопасности среды выполнения с помощью сенсоров, выявляющих атаки на узлы и контейнеры.

Диагностика доступов (CIEM)Диагностика доступов (CIEM)

Диагностика доступов Security Deck — это инструмент, позволяющий централизованно просматривать полный список доступов субъектов: пользователей, сервисных аккаунтов, групп пользователей, системных групп и публичных групп к ресурсам организации. Этот инструмент также позволяет легко отзывать у субъектов лишние доступы. Подробнее в разделе Модуль диагностики доступов (CIEM).

Чтобы начать работать с модулем CIEM, воспользуйтесь инструкциями по просмотру и отзыву доступов.

Контроль конфигурации (CSPM)Контроль конфигурации (CSPM)

Контроль конфигурации (CSPM) — это инструмент, контролирующий уровень безопасности инфраструктуры на основе стандартов безопасности, таких как Стандарт по защите облачной инфраструктуры Yandex Cloud.

Контроль конфигурации (CSPM) в заданном окружении выполняет проверки соответствия облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud, комплексным требованиям и лучшим практикам в сфере безопасности. Правила и исключения модуля позволяют обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.

Обнаружение угроз (TD)Обнаружение угроз (TD)

Модуль Обнаружение угроз (TD) представляет собой первую линию защиты облачной инфраструктуры пользователя в Yandex Security Deck и позволяет в автоматическом режиме обнаруживать подозрительную активность и уведомлять пользователя об обнаруженных угрозах.

Модуль Обнаружение угроз анализирует события аудита, фиксируемые в инфраструктуре клиента и регистрируемые с помощью сервиса Yandex Audit Trails. Модуль не требует настройки правил или привлечения экспертов в сфере безопасности и активируется автоматически при настройке окружения Security Deck.

При каждом срабатывании правила на потенциальную угрозу безопасности Security Deck формирует алерт с подробной информацией о событии и советами по устранению выявленной угрозы. К анализу алерта и поиску решения по устранению вы можете привлечь AI-ассистента, который более подробно изложит суть проблемы и предложит оптимальные способы ее решения.

Управление уязвимостямиУправление уязвимостями

Модуль управления уязвимостями позволяет централизованно управлять сканированием контейнерных образов на уязвимости и просматривать результаты сканирований ресурсов в окружении. Модуль поддерживает сканирование образов из реестров Container Registry и Cloud Registry, а также образов, запущенных в кластерах Managed Service for Kubernetes.

Сканирование может запускаться автоматически при загрузке образа в реестр, по расписанию или при использовании образа в кластере Kubernetes. Модуль интегрирован с KSPM для определения запущенных образов и отображения информации о том, какие образы с уязвимостями используются в проверяемом окружении.

Подробнее в разделе О модуле Управление уязвимостями (VM).

Access TransparencyAccess Transparency

Access Transparency — это автоматизированный инструмент, предназначенный для просмотра аналитической информации о действиях, которые инженеры Yandex Cloud производили с ресурсами организации. Такие действия могли выполняться в ходе технического обслуживания, работы с обращениями или решения задач безопасности.

Этот инструмент позволяет обеспечить прозрачность работы и контроль над действиями инженеров Yandex Cloud: логи их работы автоматически анализирует специально обученная модель на базе YandexGPT и при необходимости создает эскалацию для проверки сессии специалистом по информационной безопасности Yandex Cloud.

Чтобы подключить и использовать сервис Access Transparency, ваша организация должна быть привязана к платежному аккаунту. Чтобы привязать организацию к платежному аккаунту, воспользуйтесь инструкцией.

Когда к организации будет привязан платежный аккаунт, выберите его в модуле Access Transparency.

Подробнее в разделе Access Transparency.

Портал соответствия требованиямПортал соответствия требованиям

Портал соответствия требованиям Security Deck содержит все необходимые документы, отчеты, инструкции и дополнительные сведения о системе безопасности Yandex Cloud.

Здесь вы можете как скачать публичные документы, так и запросить документы, содержащие конфиденциальные данные и доступные по запросу.

Подробнее в разделе Портал соответствия требованиям.

Что дальшеЧто дальше

  • Узнайте, как посмотреть правила контроля безопасности модуля CSPM и их нарушения.
  • Узнайте, как сканировать данные в бакетах на наличие чувствительной информации в Security Deck.
  • Узнайте, как просмотреть список доступов субъекта в Security Deck.
  • Узнайте о необходимых правах доступа для работы с Security Deck.

Была ли статья полезна?

Следующая
Все инструкции
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ТОО «Облачные Сервисы Казахстан»