Связаться с намиПодключиться

Начало работы с Yandex Security Deck

Статья создана
Обновлена 10 ноября 2025 г.

Сервис Security Deck предлагает инструменты для обеспечения безопасности данных и соответствия нормативным требованиям и отраслевым стандартам.

Примечание

Функциональность находится на стадии Preview. Чтобы получить доступ, обратитесь в техническую поддержку или к вашему аккаунт-менеджеру.

Перед началом работы

Чтобы начать работать c Security Deck в Yandex Cloud:

  1. Если вы еще не зарегистрированы в Yandex Cloud, перейдите в консоль управления и следуйте инструкциям.

  2. В сервисе Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его.

  3. Если у вас еще нет каталога, создайте его.

  4. Убедитесь, что у вас есть необходимые права для работы с модулями Security Deck. Оптимальные роли для работы:

    • security-deck.admin на каталог, в котором будут храниться ресурсы Security Deck и его модули.
    • auditor на организацию, облако или каталог, безопасность в которых будет контролироваться окружением.

  5. Создайте сервисный аккаунт и назначьте ему роль security-deck.worker на организацию, облако или каталог, безопасность в которых будет контролироваться окружением.

Создайте окружение Security Deck

Окружение — это контейнер, который содержит настройки и ресурсы модулей Security Deck, перечень контролируемых ресурсов, параметры контроля и другие настройки. Окружения позволяют более гранулярно управлять безопасностью инфраструктуры в Yandex Cloud.

Чтобы создать ваше первое окружение Security Deck:

  1. Перейдите в сервис Yandex Security Deck.
  2. На панели слева выберите Окружение и нажмите кнопку Создать окружение.

  3. В открывшемся окне Создание и настройка окружения в разделе Основные параметры:

    1. В блоке Имя окружения введите имя создаваемого окружения. Требования к имени:

      • длина — от 1 до 63 символов;
      • может содержать строчные буквы латинского алфавита, цифры и дефисы;
      • первый символ — буква, последний — не дефис.

      При необходимости задайте краткое описание для создаваемого окружения.

    2. В блоке Каталог для хранения ресурсов выберите каталог, в котором будут храниться ресурсы Security Deck для создаваемого окружения.

      В целях безопасности ресурсы Security Deck рекомендуется хранить в отдельном облаке и каталоге, доступ к которым есть только у сотрудников, отвечающих за безопасность.

      Примечание

      После создания окружения изменить выбранный каталог нельзя.

    3. В блоке Оплата ресурсов привяжите платежный аккаунт, который будет использоваться для оплаты ресурсов модулей безопасности, используемых окружением.

    4. В блоке Приёмник алертов выберите нужный приемник алертов, в который будут выгружаться все алерты, сгенерированные в окружении.

      При необходимости создайте новый приемник алертов. Для этого нажмите кнопку Создать приёмник, в открывшемся окне введите имя приемника и нажмите Создать.

    5. Нажмите кнопку Создать и продолжить, чтобы перейти к следующему этапу — настройке ресурсов окружения.

  4. В открывшемся разделе Ресурсы:

    1. В блоке Ресурсы окружения выберите коннектор, который будет использоваться в создаваемом окружении для доступа к контролируемым ресурсам.

      При необходимости создайте новый коннектор:

      1. Нажмите кнопку Создать коннектор и в открывшемся окне:

        1. В поле Имя укажите имя коннектора.

        2. (Опционально) В поле Описание задайте произвольное описание коннектора.

        3. В поле Сервисный аккаунт выберите сервисный аккаунт, от имени которого будет осуществляться доступ к облачным ресурсам.

          В блоке ниже вы можете посмотреть, к каким ресурсам выбранный сервисный аккаунт имеет доступ.

          Сервисному аккаунту должна быть назначена роль security-deck.worker на контролируемые в создаваемом окружении ресурсы.

        4. Нажмите кнопку Создать коннектор.

    2. В появившемся блоке с коннектором нажмите кнопку Выбрать облако/каталог, чтобы выбрать ресурсы (облака и каталоги), безопасность в которых будет контролироваться в создаваемом окружении:

      1. Отметьте ресурсы, безопасность которых вы хотите контролировать в окружении. Для выбора доступны только те ресурсы, к которым есть доступ у выбранного ранее сервисного аккаунта.
      2. Нажмите кнопку Сохранить выбор.

    3. Нажмите кнопку Сохранить и продолжить.

  5. В открывшемся разделе Соответствие требованиям:

    1. В блоке Наборы требований выберите отраслевые стандарты и нормативные акты, на соответствие которым будут проверяться выбранные на предыдущем шаге ресурсы:

      • Базовые правила безопасности облачной платформы Yandex Cloud — минимальный набор требований безопасности, обеспечивающих базовую защиту облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.
      • Стандарт по защите облачной инфраструктуры Yandex Cloudстандарт предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud. Эти элементы помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.
      • Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля Kubernetes Pod Security Standards (PSS) Restricted profile. Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
      • Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности Kubernetes Pod Security Standards (PSS) Baseline profile. Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
      • Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе Microsoft Threat Matrix for Kubernetes — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.

      Вы можете выбрать одновременно несколько стандартов. При этом в блоке Модули контроля будут отображаться модули Security Deck, которые будут активированы в создаваемом окружении для проверки ресурсов на соответствие выбранным стандартам и нормативным актам.

    2. Нажмите кнопку Сохранить и продолжить.

  6. (Опционально) В открывшемся разделе Участники добавьте пользователей, которым будет доступно создаваемое окружение, и назначьте им роли в этом окружении:

    1. Нажмите кнопку Добавить пользователей и в открывшемся окне:

      1. Выберите нужного пользователя из списка. При необходимости воспользуйтесь строкой поиска.
      2. В открывшемся окне нажмите кнопку Добавить роль и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.
      3. Нажмите кнопку Сохранить.

    2. Нажмите кнопку Завершить, чтобы завершить создание окружения Security Deck.

    Вы можете не добавлять в окружение дополнительных пользователей. В этом случае окружение будет доступно только его создателю.

Модули Yandex Security Deck

В сервис Security Deck входят следующие модули:

Чтобы использовать какой-либо из модулей, перейдите в интерфейс Security Deck и выберите нужный модуль на панели слева. На открывшейся странице вы сможете подробнее ознакомиться с возможностями инструмента и условиями его использования. Чтобы использовать выбранный модуль, выполните необходимые для его работы настройки.

Yandex Cloud Detection and Response

Yandex Cloud Detection and Response (YCDR) — это модуль для мониторинга и реагирования на инциденты в инфраструктуре Yandex Cloud. YCDR разработан на базе собственного центра мониторинга безопасности (SOC) Yandex Cloud. За обнаружение угроз в сервисе будет отвечать команда специалистов по информационной безопасности. Для анализа используются SIEM-система собственной разработки, а также алгоритмы и инструменты анализа больших данных Security Data Lake.

Контроль данных (DSPM)

Контроль данных или DSPM (Data Security Posture Management) — это инструмент, помогающий оперативно обнаруживать чувствительную информацию, сохраненную в бакетах Yandex Object Storage, с тем чтобы своевременно принимать необходимые меры для ее защиты от несанкционированного доступа или утечки. Подробнее см. в разделе Модуль контроля данных (DSPM).

Чтобы начать работать с модулем DSPM, воспользуйтесь инструкциями по созданию источника данных и созданию сканирования информации в бакете.

Контроль Kubernetes (KSPM)

Контроль Kubernetes (KSPM) — это инструмент, позволяющий обеспечивать безопасность использования контейнеризованных приложений.

Модуль KSPM автоматически обнаруживает все имеющиеся в заданном окружении кластеры Kubernetes и контейнеры и устанавливает в них компоненты защиты в соответствии с заданной конфигурацией. Защита новых кластеров включается автоматически, без ручного поиска и установки компонентов.

Модуль обеспечивает проверку рабочей нагрузки на предмет некорректных конфигураций и контроль безопасности среды выполнения с помощью сенсоров, выявляющих атаки на узлы и контейнеры.

Диагностика доступов (CIEM)

Диагностика доступов Security Deck — это инструмент, позволяющий централизованно просматривать полный список доступов субъектов: пользователей, сервисных аккаунтов, групп пользователей, системных групп и публичных групп к ресурсам организации. Этот инструмент также позволяет легко отзывать у субъектов лишние доступы. Подробнее см. в разделе Модуль диагностики доступов (CIEM).

Чтобы начать работать с модулем CIEM, воспользуйтесь инструкциями по просмотру и отзыву доступов.

Контроль конфигурации (CSPM)

Контроль конфигурации (CSPM) — это инструмент, контролирующий уровень безопасности инфраструктуры на основе стандартов безопасности, таких как Стандарт по защите облачной инфраструктуры Yandex Cloud.

Контроль конфигурации (CSPM) в заданном окружении выполняет проверки соответствия облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud, комплексным требованиям и лучшим практикам в сфере безопасности. Правила и исключения модуля позволяют обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.

Access Transparency

Access Transparency — это автоматизированный инструмент, предназначенный для просмотра аналитической информации о действиях, которые инженеры Yandex Cloud производили с ресурсами организации. Такие действия могли выполняться в ходе технического обслуживания, работы с обращениями или решения задач безопасности.

Этот инструмент позволяет обеспечить прозрачность работы и контроль над действиями инженеров Yandex Cloud: логи их работы автоматически анализирует специально обученная модель на базе YandexGPT и при необходимости создает эскалацию для проверки сессии специалистом по информационной безопасности Yandex Cloud.

Чтобы подключить и использовать сервис Access Transparency, ваша организация должна быть привязана к платежному аккаунту. Чтобы привязать организацию к платежному аккаунту, воспользуйтесь инструкцией.

Когда к организации будет привязан платежный аккаунт, выберите его в модуле Access Transparency.

Подробнее см. в разделе Access Transparency.

Портал соответствия требованиям

Портал соответствия требованиям Security Deck содержит все необходимые документы, отчеты, инструкции и дополнительные сведения о системе безопасности Yandex Cloud.

Здесь вы можете как скачать публичные документы, так и запросить документы, содержащие конфиденциальные данные и доступные по запросу.

Подробнее см. в разделе Портал соответствия требованиям.

Что дальше

Следующая
Все инструкции