Обработка секретов, попавших в открытый доступ

Yandex Cloud автоматически ищет секреты в открытом доступе. Чтобы обеспечить безопасность ваших данных и инфраструктуры, внимательно следите за использованием секретов. Если секреты были скомпрометированы:

1. Отзовите и перевыпустите секреты.
2. Проверьте наличие несанкционированных действий.
3. Удалите несанкционированные ресурсы.
4. Обратитесь в службу технической поддержки.
5. Выполните рекомендации по построению безопасной инфраструктуры.

Отзовите и перевыпустите секретыОтзовите и перевыпустите секреты

IAM-токенIAM-токен

Чтобы злоумышленник не смог использовать токен:

1. Отзовите скомпрометированный IAM-токен.

2. Создайте новый IAM-токен:

   • Для аккаунта на Яндексе;
   • Для сервисного аккаунта;
   • Для федеративного аккаунта.

OAuth-токенOAuth-токен

OAuth-токен можно отозвать. При этом IAM-токены, для получения которых использовался OAuth-токен, продолжат действовать. Поэтому все такие IAM-токены также должны быть отозваны.

Чтобы злоумышленник не смог использовать токен:

1. Отзовите OAuth-токен.
2. Отзовите все IAM-токены, для получения которых использовался скомпрометированный OAuth-токен.
3. Получите новый OAuth-токен.

Авторизованный ключАвторизованный ключ

Если вам нужно максимально быстро пресечь угрозы со стороны скомпрометированного ключа, удалите сервисный аккаунт.

Если для вас важнее непрерывность процесса, в котором участвует сервисный аккаунт, перевыпустите авторизованные ключи:

1. Создайте новый авторизованный ключ для сервисного аккаунта.
2. Предоставьте новый авторизованный ключ сервисам и пользователям, которые его используют.
3. Получите IAM-токен для нового авторизованного ключа.
4. Удалите старый авторизованный ключ.

Когда вы удалите авторизованный ключ, соответствующий ему IAM-токен перестанет действовать. Этого достаточно, чтобы исключить угрозы со стороны скомпрометированного ключа.

JWTJWT

Выполните действия, описанные в разделе Авторизованный ключ.

Статический ключСтатический ключ

1. Создайте новый статический ключ для сервисного аккаунта.
2. Предоставьте новый статический ключ сервисам и пользователям, которые его используют.
3. Удалите старый статический ключ.

API-ключAPI-ключ

1. Создайте новый API-ключ для сервисного аккаунта.
2. Предоставьте новый API-ключ сервисам и пользователям, которые его используют.
3. Удалите старый API-ключ.

Серверный ключ SmartCaptchaСерверный ключ SmartCaptcha

Создайте новую капчу и на странице сайта замените ей старую капчу, серверный ключ которой попал в открытый доступ.

CookieCookie

Прекратите действие cookie:

1. Измените пароль Яндекс ID.
2. Авторизуйтесь в Яндекс ID с новым паролем.

Проверьте наличие несанкционированных действийПроверьте наличие несанкционированных действий

Проанализируйте доступ к вашим ресурсам Yandex Cloud:

1. Изучите записи Cloud Logging.
2. Выполните поиск событий в бакете и поиск событий в лог-группе Audit Trails.
3. Убедитесь, что все события, в том числе связанные с утечкой секретов, соответствуют ожиданиям.

Удалите несанкционированные ресурсыУдалите несанкционированные ресурсы

1. Проверьте, не появились ли в Yandex Cloud ресурсы, которые вы не создавали, например виртуальные машины, хранилища данных, базы данных, функции, API-шлюзы и т. д.
2. Удалите несанкционированные ресурсы.

Обратитесь в службу технической поддержкиОбратитесь в службу технической поддержки

Сообщите в службу технической поддержки об инциденте. Эта информация поможет усовершенствовать защиту секретов в будущих релизах Yandex Cloud.

Подробнее о порядке оказания технической поддержки.

Выполните рекомендации по построению безопасной инфраструктурыВыполните рекомендации по построению безопасной инфраструктуры

1. Отделите секреты от исходного кода, чтобы они не попали вместе с кодом в публичные репозитории, например на GitHub, и не стали уязвимыми.
2. Обеспечьте управление секретами в облаке.
3. Обеспечьте сбор, мониторинг и анализ аудитных логов.