Связаться с экспертомПопробовать бесплатно
Создавайте контент и получайте гранты!Готовы написать своё руководство? Участвуйте в контент-программе и получайте гранты на работу с облачными сервисами!
Подробнее о программе
Проект Яндекса
© 2026 ООО «Яндекс.Облако»

Окружения Security Deck

Статья создана
Обновлена 10 марта 2026 г.

Примечание

Функциональность находится на стадии Preview.

Окружение Security Deck — это контейнер, который содержит настройки и ресурсы модулей Security Deck, перечень контролируемых ресурсов, параметры контроля и другие настройки. Окружения позволяют более гранулярно управлять безопасностью инфраструктуры в Yandex Cloud, проверяя ее на соответствие отраслевым стандартам безопасности.

В качестве ресурсов, контролируемых окружением, можно выбирать организации Yandex Identity Hub, отдельные облака и каталоги в них. Доступ окружения к контролируемым ресурсам осуществляется с использованием коннекторов.

Создавать окружения и управлять ими может пользователь, которому назначены следующие роли:

  • security-deck.admin на каталог, в котором будут храниться ресурсы Security Deck и его модули.
  • auditor на организацию, облако или каталог, безопасность в которых будет контролироваться окружением.

Настройки окружения

Настройки и ресурсы используемых окружением модулей Security Deck хранятся в каталоге, который указывается при создании окружения. После создания окружения изменить выбранный каталог нельзя.

Совет

В целях безопасности ресурсы Security Deck рекомендуется хранить в отдельном облаке и каталоге, доступ к которым есть только у сотрудников, отвечающих за безопасность.

Стандарты безопасности

В настройках окружения Security Deck указывается набор отраслевых стандартов безопасности и нормативных актов, на соответствие которым проверяются контролируемые ресурсы:

  • Базовые правила безопасности облачной платформы Yandex Cloud — минимальный набор требований безопасности, обеспечивающих базовую защиту облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.
  • Стандарт по защите облачной инфраструктуры Yandex Cloudстандарт предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud. Эти элементы помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.
  • PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных платежных карт, включающий требования к управлению безопасностью, правилам, процедурам, сетевой архитектуре, разработке программного обеспечения и другим критически важным мерам защиты.
  • Требования ФСТЭК (Приказ № 21) для защиты персональных данных — стандарт содержит меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
  • Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля Kubernetes Pod Security Standards (PSS) Restricted profile. Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
  • Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности Kubernetes Pod Security Standards (PSS) Baseline profile. Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
  • Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе Microsoft Threat Matrix for Kubernetes — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.
  • CIS Kubernetes Benchmark — стандарт содержит рекомендации CIS Kubernetes Benchmark для безопасной настройки компонентов на рабочих узлах Kubernetes. Включает только автоматические проверки из раздела 4 Worker Nodes.

Для одного окружения вы можете выбрать одновременно несколько стандартов безопасности, на соответствие которым будут проверяться ваши ресурсы. В зависимости от выбранных стандартов безопасности окружение будет использовать модули Security Deck Контроль конфигурации (CSPM) и/или Контроль Kubernetes (KSPM).

Коннекторы

Доступ к контролируемым в окружении Security Deck ресурсам осуществляется с помощью коннекторов, которые обращаются к ресурсам от имени сервисного аккаунта, привязанного к коннектору. Коннекторы обеспечивают унифицированный доступ как к внутренним ресурсам Yandex Cloud, так и к внешним ресурсам, например к Яндекс 360.

Ресурсы, которые будут проверяться на соответствие стандартам безопасности, должны быть явно назначены коннектору, привязанному к окружению. Привязать контролируемые ресурсы к окружению можно при создании и изменении окружения.

Сервисному аккаунту, от имени которого коннектор будет осуществлять доступ к контролируемым ресурсам, должна быть назначена роль security-deck.worker на эти ресурсы.

При удалении окружения коннектор, использовавшийся окружением, сохраняется.

Приемники алертов

К окружению Security Deck также привязывается приемник алертов, в который будут выгружаться алерты, поступающие из всех модулей сервиса. Приемник алертов должен располагаться в том же каталоге, который был указан при создании окружения.

При удалении окружения приемник алертов, использовавшийся окружением, сохраняется.

Доступ к окружению

По умолчанию доступ к окружению предоставляется пользователю, создавшему это окружение.

Чтобы другие пользователи могли работать с определенным окружением, вы можете предоставить им доступ к этому окружению. При этом пользователь, которому предоставляется доступ к окружению, должен также иметь доступ к каталогу, в котором сохраняются ресурсы окружения, а также к облаку, в котором находится этот каталог.

В зависимости от задач, которые будут выполняться пользователем, назначьте ему на нужное окружение роль security-deck.viewer или выше.

Дашборд окружения

В зависимости от настроенных в окружении модулей Security Deck дашборд содержит карточки с общими сведениями:

  • о количестве алертов в окружении;
  • о количестве выявленных нарушений правил контроля;
  • о выбранных стандартах (наборы требований), на соответствие которым проверяются контролируемые ресурсы;
  • о проценте соответствия контролируемых ресурсов выбранным стандартам безопасности.

В дополнение к карточкам дашборд содержит виджеты используемых в окружении модулей Security Deck:

  • Виджет модуля Контроль конфигурации (CSPM) позволяет настраивать этот модуль и отображает:

    • количество правил с нарушениями;
    • количество правил без нарушений.

  • Виджет модуля Контроль Kubernetes (KSPM) позволяет настраивать этот модуль и отображает:

    • количество кластеров с ошибками;
    • количество кластеров, требующих внимания.

  • Виджет алертов позволяет настраивать алерты и содержит список алертов в окружении.

    Список алертов содержит текстовые описания алертов, их источники и статусы, а также индикаторы уровня критичности.

См. также

Предыдущая
Обзор
Следующая
Алерты в Security Deck