Yandex Cloud
Поиск
Связаться с намиПодключиться
  • Документация
  • Блог
  • Все сервисы
  • Статус работы сервисов
    • Популярные
    • Инфраструктура и сеть
    • Платформа данных
    • Контейнеры
    • Инструменты разработчика
    • Бессерверные вычисления
    • Безопасность
    • Мониторинг и управление ресурсами
    • Машинное обучение
    • Бизнес-инструменты
  • Все решения
    • По отраслям
    • По типу задач
    • Экономика платформы
    • Безопасность
    • Техническая поддержка
    • Каталог партнёров
    • Обучение и сертификация
    • Облако для стартапов
    • Облако для крупного бизнеса
    • Центр технологий для общества
    • Облако для интеграторов
    • Поддержка IT-бизнеса
    • Облако для фрилансеров
    • Обучение и сертификация
    • Блог
    • Документация
    • Контент-программа
    • Мероприятия и вебинары
    • Контакты, чаты и сообщества
    • Идеи
    • Истории успеха
    • Тарифы Yandex Cloud
    • Промоакции и free tier
    • Правила тарификации
  • Документация
  • Блог
Проект Яндекса
© 2025 ООО «Яндекс.Облако»
Безопасность в Yandex Cloud
  • Ключевые принципы безопасности
  • Разделение ответственности за обеспечение безопасности
  • Соответствие требованиям
  • Меры безопасности на стороне Yandex Cloud
  • Средства защиты, доступные пользователям облачных сервисов
    • Все рекомендации
    • Чеклист безопасности IaaS
    • Чеклист безопасности аутентификации и авторизации
    • Безопасность Kubernetes
    • Референсная архитектура для облачной инфраструктуры в изолированном режиме без доступа в интернет
  • Политика поддержки пользователей при проведении проверки уязвимостей
  • Бюллетени безопасности
  • Диапазоны публичных IP-адресов

В этой статье:

  • Безопасность виртуальных машин
  • Управление уязвимостями
  • Безопасность сети
  • Безопасность Object Storage
  1. Рекомендации по защите облачной инфраструктуры
  2. Чеклист безопасности IaaS

Чеклист безопасности IaaS

Статья создана
Yandex Cloud
Обновлена 7 марта 2025 г.
  • Безопасность виртуальных машин
    • Управление уязвимостями
  • Безопасность сети
  • Безопасность Object Storage

Безопасность виртуальных машинБезопасность виртуальных машин

✓ Отключение серийной консоли: не используйте серийную консоль, а если это необходимо, то оценивайте риски и отключайте серийную консоль по окончании работы.

✓ Отключение аутентификации по паролю: аутентификация по паролю в Yandex Cloud по умолчанию отключена, не включайте доступ по паролю без необходиомсти.

✓ Подключение с помощью OS Login: свяжите учетную запись пользователя ВМ с учетной записью пользователя организации при помощи OS Login. Чтобы подключиться к ВМ по OS Login, настройте OS Login при создании или на уже существующей ВМ вместо стандартного подключения по SSH.

✓ Использование эталонного образа для развертывания ВМ: подготовьте образ ВМ, настройки которого соответствуют политикам безопасности вашей организации и используйте этот образ для создания ВМ.

✓ Настройка сетевых интерфейсов виртуальных машин: для стабильной устойчивой работы сети настройте сетевые интерфейсы на создаваемых и остановленных действующих ВМ: подсеть, внутренний и публичный IP-адреса, группы безопасности. Подробнее о группах безопасности и других сетевых аспектах работы ВМ в разделе Безопасность сети.

Узнайте больше о настройке безопасной конфигурации виртуальной среды и о безопасном управлении доступом в соответствующих разделах стандарта безопасности Yandex Cloud.

Управление уязвимостямиУправление уязвимостями

✓ Обновления ПО, ОС: самостоятельно устанавливайте обновления, используйте автоматизированные инструменты обновлений.

✓ Автоматизированное сканирование уязвимостей: используйте бесплатные сетевые сканеры, например, nmap, OpenVAS, OWASP ZAP, или агенты на хостах, например, Wazuh.

✓ Регулярные резервные копии: настройте создание снимков дисков по расписанию используя возможности Yandex Compute Cloud, или настройте автоматическое резервное копирование ВМ с помощью Yandex Cloud Backup.

Безопасность сетиБезопасность сети

✓ Контролируемое использование публичных IP-адресов: следуйте рекомендациям, чтобы минимизировать использование публичных IP-адресов и построить более устойчивую инфраструктуру.

✓ Группы безопасности: разделите ресурсы и ограничьте сетевой доступ с помощью групп безопасности. Группы безопасности позволяют:

  • настроить доступ к вашей облачной инфраструктуре только с доверенных IP-адресов;
  • ограничить трафик по различным протоколам и другим параметрам, которые определяются правилами.

✓ Web Application Firewall (WAF): WAF анализирует входящие HTTP-запросы к веб-приложению по предварительно настроенным правилам. На основе результатов анализа к HTTP-запросам применяются определенные действия. Настройте профиль WAF и подключите его к вашему профилю безопасности в Yandex Smart Web Security.

✓ Безопасный удаленный доступ: создайте бастионную ВМ для доступа в инфраструктуру по управляющим протоколам (например, SSH, RDP).

✓ Исходящий доступ (NAT): используйте NAT-шлюз для безопасного исходящего доступа в интернет. Шлюз транслирует ваши IP-адреса в общий пул адресов. Если необходимо, чтобы выход в интернет был из вашего контролируемого пула IP-адресов, используйте NAT-инстанс (выделенную ВМ).

✓ Защита от DDoS: при назначении публичных IP-адресов на ресурсы облака используйте Yandex DDoS Protection (услуга L4-защиты от DDoS). Для защиты от DDoS на уровне L7 используйте сервис Smart Web Security.

Ознакомьтесь с примером реализации архитектуры и защиты базового интернет-сервиса.

Узнайте больше о безопасной настройке и эксплуатации сетей в соответствующей секции стандарта безопасности Yandex Cloud.

Безопасность Object StorageБезопасность Object Storage

✓ Шифрование: включите шифрование бакетов (server-side encryption) для защиты от случайной или намеренной публикации содержимого бакета.

✓ Ограничение доступа к бакету:

  • По возможности отключите публичный доступ. Чтобы предоставить доступ к конкретному объекту, сгенерируйте публичную ссылку с ограниченным сроком жизни.
  • Для гибкой настройки доступа к бакету используйте IAM, Bucket Policy или другие механизмы, описанные на странице Обзор способов управления доступом в Object Storage. Используйте настройку доступа через ACL только в крайнем случае — если выдать публичный доступ на объект через ACL, то все остальные проверки безопасности игнорируются.

✓ Защита от удаления: настройте механизм блокировки версий объектов для защиты данных от удаления (object lock).

✓ Логирование действий с бакетом: настройте механизм логирования действий с бакетом и включите сбор аудитных логов сервиса в Yandex Audit Trails.

✓ Безопасное использование AWS-совместимых инструментов: настройте доступ AWS-совместимых инструментов к хранилищу с помощью статических ключей и храните ключи в секрете Yandex Lockbox.

✓ Управление кросс-доменными запросами (CORS): настройте конфигурацию CORS в соответствии с требованиями политик безопасности вашей компании. Если вы используете бакет для хостинга статического сайта, включите доступ по протоколу HTTPS помощью сертификата Certificate Manager.

✓ Безопасная конфигурация Object Storage:
Ознакомьтесь с примером реализации безопасной конфигурации Object Storage в Terraform.

Узнайте больше о безопасной настройке и эксплуатации Object Storage в соответствующей секции стандарта безопасности Yandex Cloud.

Была ли статья полезна?

Предыдущая
Все рекомендации
Следующая
Чеклист безопасности аутентификации и авторизации
Проект Яндекса
© 2025 ООО «Яндекс.Облако»