Новые решения в области безопасности Yandex.Cloud
Новые сервисы и инфраструктурные решения в области безопасности облачной платформы.
Новые сервисы безопасности
В этом году мы запустили сервисы, которые помогают управлять составом организации, разграничивать доступы пользователей и получать информацию о событиях, происходящих с облачными ресурсами.
Сервис Yandex Cloud Organization — новое решение, которое вводит необходимую связь между управлением облачной инфраструктурой и управлением пользователями. С его помощью можно управлять списком ваших сотрудников, обеспечивать им единую авторизацию и назначать роли в подключенных сервисах Yandex.Cloud. Пользователи, федерации удостоверений, облака и сервисы будут собраны внутри одной организации, что поможет централизованно управлять доступами и ресурсами.
Мы разработали новый сервис для сбора и выгрузки аудитных логов облака пользователя — Audit Trails. Он позволяет получать информацию о событиях, происходящих с ресурсами, и на основе этих данных строить процессы поиска аномалий.
Audit Trails уже интегрирован с Yandex Cloud Organization. Собирайте события централизованно по всей организации, сохраняйте их Object Storage для долговременного хранения, а также просматривайте в интерфейсе Cloud Logging и обрабатывайте при помощи триггеров.
Также мы подготовили решения по интеграции Audit Trails с Yandex Managed Service for Elasticsearch, SIEM ArcSight и Splunk. Они содержат заготовленные правила корреляции, дэшборды и запросы для поиска событий безопасности.
Безопасность платформы и развитие функциональности сервисов
Мы постоянно совершенствуем наши процессы информационной безопасности и механизмы защиты, чтобы соответствовать лучшим мировым практикам. В этом году мы получили сертификат соответствия стандарту ГОСТ 57580 «Безопасность банковских финансовых операций», аттестат соответствия требованиям 152-ФЗ по уровню защищенности УЗ-1, а также прошли сертификацию CSA (Cloud Security Alliance — ведущая мировая организация, занимающаяся определением и повышением осведомленности о лучших практиках, помогающих обеспечить безопасность среды облачных вычислений). Как и прежде, мы сделали это для всего технологического стека IaaS, PaaS, Data Platform и Serverless, то есть целиком для всей платформы.
У сервиса управления криптографическими ключами Yandex Key Management Service появился новый тип ключей, создание и использование которого проходит в специальных аппаратных модулях безопасности HSM. Это делает защиту ключей максимальной, а также убирает сложности самостоятельной работы с модулями HSM.
В Yandex Container Registry вышла в стадии Public Preview функция сканирования безопасности образов контейнеров. Это позволяет отслеживать уязвимости в docker-образах средствами облака, делать приложения безопаснее и в том числе выполнять требования регуляторов.
Также с помощью открытого решения External Secrets мы провели интеграцию Yandex Lockbox в Yandex Managed Service for Kubernetes® для еще более надежного хранения ваших секретов в Kubernetes.
Интеграция балансировщика нагрузки уровня приложений (Application LB) с контроллером входящего трафика (Ingress Controller) в сервисе Kubernetes
Новая возможность Yandex Application Load Balancer — управление через ingress-контроллер трафиком приложений, запущенных в кластере Managed Service for Kubernetes. Это позволяет управлять сертификатами и подачей трафика в интерфейсе облака.
Библиотека решений по безопасности (Solution Library for Security)
Мы рады представить Yandex Cloud Solution Library for Security — библиотеку решений по безопасности Yandex.Cloud с набором примеров и рекомендаций, собранных в публичном репозитории на GitHub. Они помогут компаниям, которые хотят построить безопасную инфраструктуру в облаке и соответствовать требованиям различных регуляторов и стандартов.
Наша команда проработала распространенные задачи, которые возникают при построении безопасности в облаке, например:
-
интеграция Audit Trails с SIEM;
-
шифрование диска ВМ с помощью KMS;
-
сбор, мониторинг и анализ логов Managed k8s.
А в середине октября будет опубликован Security Checklist для быстрого самоконтроля выполнения обязательных практик по безопасности в Yandex.Cloud.
Сбор и анализ логов безопасности Managed Service for Kubernetes
Подготовлено решение, которое позволяет выгружать и отправлять в SIEM (Managed ELK) штатные аудит-логи Kubernetes, алерты Falco (с помощью официальной интеграции Falco с Yandex Cloud Object Storage) и алерты Policy Engine (OPA Gatekeeper/Kyverno).
Решение содержит заготовленные правила детектирования и интерактивные панели с визуализацией ключевой информации на базе собранных событий.
Поддержка Cilium в Managed Service for Kubernetes
Также мы реализовали поддержку Cilium в Managed Service for Kubernetes. Теперь у пользователей появились следующие возможности:
-
создавать расширенные сетевые политики, работающие на прикладном уровне: REST/HTTP, gRPC и Apache Kafka;
-
использовать туннельный режим, позволяющий создавать большие кластеры, в том числе в одной сети с пересекающимися диапазонами подов;
-
с помощью утилиты Hubble можно наглядно видеть, что происходит в сети кластера.