Стандарт по защите облачной инфраструктуры Yandex Cloud 1.3.0
Введение
Этот документ содержит рекомендации по техническим мерам защиты и помогает выбрать меры обеспечения информационной безопасности (ИБ) при развертывании информационных систем на облачной платформе Yandex Cloud.
Физическую безопасность дата-центров обеспечивает Платформа Yandex Cloud, см. подробное описание мер физической безопасности. Если критичные данные передаются за пределы Yandex Cloud, то клиент отвечает за управление физическим доступом для всех мест обработки данных.
Рекомендации и меры обеспечения безопасности в стандарте сопровождаются ссылками на Инструкции и решения по настройке безопасных конфигураций ресурсов с помощью штатных средств защиты информации и дополнительных средств защиты, доступных пользователям Yandex Cloud.
Также стандарт описывает способы и средства проверки выполнения рекомендаций, в том числе:
- с помощью интерфейса консоли управления;
- с помощью интерфейса командной строки Yandex Cloud CLI;
- вручную.
Область применения
Рекомендации предназначены для архитекторов, технических специалистов и специалистов по ИБ, которые используют при создании защищенных облачных систем и разработке политик безопасности для работы на облачной платформе следующие сервисы:
- Yandex Application Load Balancer
- Yandex Audit Trails
- Yandex Certificate Manager
- Yandex Cloud DNS
- Yandex Cloud Logging
- Yandex Cloud Organization
- Yandex Compute Cloud
- Yandex Container Registry
- Yandex Identity and Access Management (IAM)
- Yandex Key Management Service
- Yandex Lockbox
- Yandex Managed Service for ClickHouse®
- Yandex Managed Service for GitLab
- Yandex Managed Service for Kubernetes
- Yandex Managed Service for MongoDB
- Yandex Managed Service for MySQL®
- Yandex Managed Service for PostgreSQL
- Yandex Managed Service for Valkey™
- Yandex Managed Service for YDB
- Yandex Network Load Balancer
- Yandex Object Storage
- Yandex Resource Manager
- Yandex Smart Web Security
- Yandex SmartCaptcha
- Yandex Virtual Private Cloud
Стандарт можно рассматривать как основу для разработки рекомендаций, специфичных для организации. Не все меры обеспечения ИБ и рекомендации из настоящего документа могут быть применимы. Кроме того, могут потребоваться дополнительные меры и рекомендации, не включенные в настоящий стандарт.
Структура стандарта
Стандарт описывает рекомендации для следующих задач обеспечения безопасности:
- Аутентификация и управление доступом.
- Сетевая безопасность.
- Безопасная конфигурация виртуальной среды.
- Шифрование данных и управление ключами.
- Сбор, мониторинг и анализ аудитных логов.
- Резервное копирование.
- Физическая безопасность.
- Защита приложений.
- Безопасность Kubernetes.
Требования и подготовка
Для проверок убедитесь, что
- установлен и настроен YC CLI по инструкции;
- вы вошли в консоль управления;
- установлена утилита jq.
Вы можете автоматизировать аудит выполнения всех рекомендаций с помощью доступных решений наших партнеров:
- Neocat — продукт для управления безопасностью в облаке от компании Неофлекс. Устанавливается изолированно в периметре облака пользователя без необходимости выдачи административных прав.
- Cloud Advisor — безагентская платформа выявляет и приоритезириует риски безопасности, сокращает расходы, обеспечивает соответствие требованиям и упрощает управление вашей облачной инфраструктурой.
Ограничение ответственности
В Yandex Cloud применяется концепция разделения ответственности. Граница разделения ответственности за обеспечение безопасности зависит от сервисов, которые используются системой в облаке, от модели использования этих сервисов (IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга) и имеющихся у облачного провайдера защитных механизмов и политик.
Термины и сокращения
В настоящем документе используются термины и определения, введенные стандартом ISO/IEC 27000:2018 и ISO/IEC 29100:2011, а также термины, используемые в глоссарии Yandex Cloud.
ClickHouse® является зарегистрированным товарным знаком ClickHouse, Inc.