Политика поддержки пользователей при проведении проверки уязвимостей

Пользователи Yandex Cloud могут самостоятельно или с помощью подрядчиков оценивать безопасность собственного программного обеспечения, если это не противоречит данному документу. В число таких проверок входит:

• сканирование на уязвимости;
• тесты на проникновение;
• проверки проблем работоспособности и соответствия условий эксплуатации.

Пользователи и поставщики услуг анализа уязвимостей также могут оставить заявку на размещение внутри IP-пространства Yandex Cloud собственных инструментов оценки безопасности. См. Правила проведения внешних сканирований безопасности. Для проведения сканирования вам потребуется активный платежный аккаунт.

Случаи, на которые распространяется документСлучаи, на которые распространяется документ

Политика распространяется на следующие случаи:

• Самостоятельные проверки защищенности своих ресурсов.
• Проверки своих ресурсов с привлечением третьей стороны.
• Размещение инструментов для анализа защищенности после одобрения заявки специалистами Yandex Cloud.

Если ваша инфраструктура пользователя попадает под требования «Приказа ФСБ России от 11 мая 2023 г. № 213», воспользуйтесь рекомендациями.

Заявка на авторизацию для тестирования ресурсов третьих лицЗаявка на авторизацию для тестирования ресурсов третьих лиц

Если вы оказываете услуги по анализу защищенности и планируете использовать для этого ресурсы Yandex Cloud (в том числе для размещения инструментов оценки безопасности), то для проведения таких работ потребуется разрешение со стороны Yandex Cloud.

Заявку необходимо отправить в службу поддержки Yandex Cloud cloud@support.yandex.ru не позже чем за 2 (две) недели до даты начала тестирования. В сообщении укажите:

• описание видов деятельности и/или запланированных мероприятий;
• идентификатор аккаунта и сервисы, которые планируете задействовать при проведении работ;
• внешние IP адреса, с которых будут проводиться работы;
• время проведения работ;
• контактную информацию для оперативной связи, включая номер телефона.

Ответ придет в течение нескольких рабочих дней (обычно два дня) с момента подачи заявки.

Сервисы для которых возможно проведение работ по анализу защищенностиСервисы для которых возможно проведение работ по анализу защищенности

• Yandex Application Load Balancer
• Yandex API Gateway
• Yandex Cloud CDN
• Yandex Compute Cloud
• Yandex Cloud Functions
• Yandex Container Registry
• Yandex Data Processing
• Yandex Data Transfer
• Yandex Managed Service for Apache Kafka®
• Yandex Managed Service for ClickHouse®
• Yandex Managed Service for Greenplum®
• Yandex Managed Service for Kubernetes
• Yandex Managed Service for MongoDB
• Yandex Managed Service for MySQL®
• Yandex Managed Service for PostgreSQL
• Yandex Managed Service for Redis
• Yandex Managed Service for YDB
• Yandex Network Load Balancer
• Yandex Object Storage
• Yandex Serverless Containers

Рекомендации по проведению сканированияРекомендации по проведению сканирования

• Используйте зарезервированный внешний статический IP-адрес, чтобы обеспечить его неизменность.

• Передавайте в органы власти данную политику Yandex Cloud вместе с доменами и внешними IP-адресами, для которых проводится тестирование.

• Передавайте только те IP-адреса, которые относятся к вашим ресурсам.

• Для обеспечения безопасности ваших ресурсов следуйте Стандарту по защите облачной инфраструктуры Yandex Cloud.

Запрещенные действияЗапрещенные действия

Yandex Cloud не ограничивет пользователей в выборе инструментов или сервисов для оценки безопасности используемых ресурсов, кроме следующих атак:

• DDoS-атаки уровней L3, L4 и L7 модели OSI или их имитация;
• TCP SYN Flood / UDP Flood / ICMP Flood / spoofed packet DDoS или симуляция таковых;
• фрагментированный UDP / ICMP / TCP (Teardrop);
• ICMP Smurf;
• усиление атак (усиление DNS/NTP / LDAP / memcached и т. д.).

Любое сканирование портов должно выполняться в неагрессивном режиме. Запрещается получать доступ к среде или данным другого пользователя или выходить за пределы контейнера (например, виртуальной машины).

Политику не нарушают:

• Инструменты для определения имени и версии программного обеспечения сервисов Yandex Cloud и последующего их сравнения со списком версий, известных своей уязвимостью к DDoS‑атакам (например, banner grabbing).
• Инструменты, которые аварийно завершают работающий процесс на используемом ресурсе Yandex Cloud, если это необходимо для удаленного или локального использования в рамках оценки безопасности.

Однако, такие инструменты нельзя использовать для флудинга запросами, которые описаны выше. Пользователь несет ответственность за любой ущерб, вызванный несоблюдением данной политики.

Использование инструментов оценки безопасностиИспользование инструментов оценки безопасности

Термин «оценка безопасности» включает в себя любые действия, предпринимаемые для определения наличия и эффективности мер безопасности в отношении принадлежащих пользователю ресурсов Yandex Cloud, например:

• сканирование портов;
• проверки на предмет уязвимости;
• проверки на подверженность эксплойтам;
• сканирование интернет‑приложениями;
• любые формы внедрения кода, подделок или отвлекающих действий.

Инструменты или сервисы обеспечения безопасности, создающие, определяющие существование или демонстрирующие условия для реального выполнения атак типа DDoS или их моделирования любым другим способом, категорически запрещены.

Некоторые инструменты или сервисы включают в себя скрытые или встроенные возможности для выполнения описанных атак типа DDoS. Их можно использовать только в том случае, если они имеют явную возможность отключить, сбросить или иным образом обезвредить такую возможность.

Если в ходе оценки безопасности собственного программного обеспечения вы обнаружили уязвимость какого-либо компонента Yandex Cloud, свяжитесь со службой поддержки Yandex Cloud: cloud@support.yandex.ru.

Ответственность при выполнении работОтветственность при выполнении работ

Если Yandex Cloud получит сообщение о возможных нарушениях, оно будет перенаправлено вам. При получении такого сообщения вы должны предоставить подробное описание приведших к нарушению действий, а также контактные данные, которые можно будет передать составителям отчетов третьих сторон. При отсутствии ответа Yandex Cloud вправе без предварительного уведомления заблокировать аккаунт или виртуальную машину пользователя, с которой было совершено нарушение.

Пользователь несет единоличную ответственность за:

• правильную настройку инструментов и сервисов, используемых для оценки безопасности;
• работу инструментов и сервисов, не допускающую выполнения или моделирования запрещенных векторов атак;
• надлежащее проведение оценки безопасности с соблюдением положений данной политики сторонними подрядчиками;
• любой ущерб Yandex Cloud, его пользователям, а также пользователям других юнитов группы компаний Яндекс, причиненный в результате действий пользователя по тестированию или оценке безопасности.