Обработка секретов, попавших в открытый доступ
Yandex Cloud автоматически ищет секреты в открытом доступе. Чтобы обеспечить безопасность ваших данных и инфраструктуры, внимательно следите за использованием секретов. Если секреты были скомпрометированы:
- Отзовите и перевыпустите секреты.
- Проверьте наличие несанкционированных действий.
- Удалите несанкционированные ресурсы.
- Обратитесь в службу технической поддержки.
- Выполните рекомендации по построению безопасной инфраструктуры.
Отзовите и перевыпустите секреты
IAM-токен
Чтобы злоумышленник не смог использовать токен:
-
Отзовите скомпрометированный IAM-токен.
-
Создайте новый IAM-токен:
OAuth-токен
OAuth-токен можно отозвать. При этом IAM-токены, для получения которых использовался OAuth-токен, продолжат действовать. Поэтому все такие IAM-токены также должны быть отозваны.
Чтобы злоумышленник не смог использовать токен:
- Отзовите OAuth-токен
. - Отзовите все IAM-токены, для получения которых использовался скомпрометированный OAuth-токен.
- Получите новый OAuth-токен
.
Авторизованный ключ
Если вам нужно максимально быстро пресечь угрозы со стороны скомпрометированного ключа, удалите сервисный аккаунт.
Если для вас важнее непрерывность процесса, в котором участвует сервисный аккаунт, перевыпустите авторизованные ключи:
- Создайте новый авторизованный ключ для сервисного аккаунта.
- Предоставьте новый авторизованный ключ сервисам и пользователям, которые его используют.
- Получите IAM-токен для нового авторизованного ключа.
- Удалите старый авторизованный ключ.
Когда вы удалите авторизованный ключ, соответствующий ему IAM-токен перестанет действовать. Этого достаточно, чтобы исключить угрозы со стороны скомпрометированного ключа.
JWT
Выполните действия, описанные в разделе Авторизованный ключ.
Статический ключ
- Создайте новый статический ключ для сервисного аккаунта.
- Предоставьте новый статический ключ сервисам и пользователям, которые его используют.
- Удалите старый статический ключ.
API-ключ
- Создайте новый API-ключ для сервисного аккаунта.
- Предоставьте новый API-ключ сервисам и пользователям, которые его используют.
- Удалите старый API-ключ.
Серверный ключ SmartCaptcha
Создайте новую капчу и на странице сайта замените ей старую капчу, серверный ключ которой попал в открытый доступ.
Cookie
Прекратите действие cookie:
- Измените пароль
Яндекс ID. - Авторизуйтесь в Яндекс ID
с новым паролем.
Проверьте наличие несанкционированных действий
Проанализируйте доступ к вашим ресурсам Yandex Cloud:
- Изучите записи Cloud Logging.
- Выполните поиск событий в бакете и поиск событий в лог-группе Audit Trails.
- Убедитесь, что все события, в том числе связанные с утечкой секретов, соответствуют ожиданиям.
Совет
Вы можете настроить экспорт аудитных логов в SIEM.
Удалите несанкционированные ресурсы
- Проверьте, не появились ли в Yandex Cloud ресурсы, которые вы не создавали, например виртуальные машины, хранилища данных, базы данных, функции, API-шлюзы и т. д.
- Удалите несанкционированные ресурсы.
Обратитесь в службу технической поддержки
Сообщите в службу технической поддержки
Подробнее о порядке оказания технической поддержки.
Выполните рекомендации по построению безопасной инфраструктуры
- Отделите секреты от исходного кода, чтобы они не попали вместе с кодом в публичные репозитории, например на GitHub, и не стали уязвимыми.
- Обеспечьте управление секретами в облаке.
- Обеспечьте сбор, мониторинг и анализ аудитных логов.