Новые интеграции в Yandex Audit Trails, поддержка Yandex Cloud в популярных инструментах и другие новости платформы в области безопасности.
Сегодня Yandex Cloud предоставляет возможность разработки и проектирования архитектуры по принципам security-by-design, полностью соответствует индустриальным стандартам и законодательным требованиям, всестороннее обеспечивает безопасность инфраструктуры и защиту данных.
Yandex Audit Trails — сервис для сбора и выгрузки аудитных логов ресурсов Yandex Cloud. Сегодня мы хотим рассказать про новые интеграции, которые были добавлены:
Интеграция Yandex Audit Trails с Yandex Data Streams позволит пользователям поставлять аудитные логи в управляемые базы данных сервиса для дальнейшего анализа.
Yandex Audit Trails собирает аудитные логи с облака и предоставляет возможность анализировать их в облаке и экспортировать в ваши внешние SIEM системы (Arcsight, Splunk, Elasticsearch и др.). В нашей документации описано какими способами можно это делать. Ранее вы могли указать два варианта отгрузки аудитных логов при создании Audit trails:
— Object Storage (для долгосрочного хранения и экспорта);
— Cloud Logging (для анализа, написания запросов и просмотра, реагирования).
Теперь появился еще один вариант — это отгрузка в сервис Data Streams. Здесь вы можете найти инструкцию, как это сделать.
Преимущества интеграции Audit Trails с Data Streams:
выполнять легкий экспорт событий Audit Trails из Yandex Data Streams в другие сервисы облака с помощью Data Transfer. Например, вот инструкция для экспорта в ClickHouse для анализа и визуализации с помощью DataLens.
выполнять экспорт событий во внешние SIEM системы совместимые c AWS Kinesis Datastreams. Пример работы fluentd с Yandex Data Streams.
упростить разработку коннекторов для вендоров SIEM систем.
Также некоторые SIEM системы имеют интеграцию с Kinesis API (YDS умеет отдавать данные по Kinesis API). С помощью YDS можно будет анализировать и искать события с помощью сервиса Yandex Query.
Yandex Audit Trails и Yandex Query интегрированы между собой, что позволяет как решать типичные задачи поиска в аудитных логах, так и выполнять свои собственные поиски, выраженные на языке YQL.
MaxPatrol SIEM — система выявления инцидентов информационной безопасности. Теперь MaxPatrol SIEM может читать аудитные логи Yandex Cloud из потока данных Yandex Data Streams. Подробнее.
Чтобы обеспечить безопасность ваших данных и инфраструктуры, внимательно следите за использованием секретов. Если секреты были скомпрометированы, исключите использование этих секретов. В Yandex Cloud используются следующие секреты:
Мы написали подробную инструкцию о том, как обрабатывать секреты, попавшие в открытый доступ.
Появилось управление группами пользователей. Вы можете группировать пользователей по любому признаку, например, в соответствии с их должностными обязанностями или отделом.
Теперь в Yandex Managed Service for Greenplum® можно использовать расширение pgcrypto, которое предоставляет криптографические функции, позволяющие администраторам баз данных хранить определённые столбцы данных в зашифрованном виде. Подробности.
Osquery — это открытый инструмент безопасности, который превращает операционную систему в единую базу данных с таблицами, позволяющую отправлять запросы с помощью SQL-подобных операторов. Теперь с помощью этих запросов можно в Yandex Cloud отслеживать целостность файлов, проверять состояние и конфигурацию сетевого экрана, выполнять проверки безопасности целевого сервера и многое другое. Подробности.
Cloud Query — это высокопроизводительная платформа, обеспечивающая интеграцию данных для упрощения анализа командами безопасности. Cloud Query извлекает, преобразует и загружает данные из облачных API с помощью готовых интеграций в различные базы данных и платформы данных для дальнейшего анализа. Подробности.
checkov — лидирующий инструмент по сканированию terraform манифестов на предмет мисконфигураций безопасности теперь поддерживает Yandex Cloud terraform ресурсы.
Это означает, что клиенты Yandex Cloud теперь могут определять и блокировать создание потенциально опасных облачных объектов в рамках Infrastracture as a code подхода с помощью проверок.
Например:
наличие публичного адреса на ВМ или кластере k8s;
наличие публичного доступа к бакету object storage;
отсутствие шифрования бакета либо секретов k8s;
и многое другое в соответствии с нашим чеклистом по безопасности.
Подробно со списком проверок и с тем, как можно встроить данный инструмент в ваш CI/CD инстанс Managed Service for GitLab (в режиме блокировки либо аудита) можно ознакомиться в решении Checkov + Yandex Cloud в нашей библиотеке решений по безопасности.
Напомню, обычная интеграция с Lockbox позволяет создавать секреты в нашем Lockbox и синхронизировать их в k8s. Интеграция с Certificate Manager позволит вам работать с сертификатами в Certificate Manager и синхронизировать их в нативные объекты k8s secret type tls.
Подробнее про стандартную интеграцию в нашей документации. Немного позже мы планируем оформить в документации сценарий, который позволит использовать NGINX Ingress Controller с отсылкой на сертификат из CM.
