Версии стандарта по защите облачной инфраструктуры Yandex Cloud

Изменения в версии 1.2Изменения в версии 1.2

Дата публикации 25.09.2024.

• Удален раздел 6. Управление уязвимостями.

• Добавлен раздел 9. Безопасность Kubernetes:

  • 9.1 Ограничено использование критичных данных.
  • 9.2 Ресурсы изолированы друг от друга.
  • 9.3 Нет доступа к API Kubernetes и группам узлов из недоверенных сетей.
  • 9.4 В Managed Service for Kubernetes настроены аутентификация и управление доступом.
  • 9.5 В Managed Service for Kubernetes используется безопасная конфигурация.
  • 9.6 Шифрование данных и управление секретами Managed Service for Kubernetes выполняются в формате ESO as a Service.
  • 9.7 Docker-образы хранятся в реестре Container Registry с настроенным периодическим сканированием образов.
  • 9.8 Используется одна из трех последних версий Kubernetes и ведется мониторинг обновлений.
  • 9.9 Настроено резервное копирование.
  • 9.10 Используются чек-листы для безопасного создания и использования Docker-образа.
  • 9.11 Используется политика безопасности Kubernetes.
  • 9.12 Настроен сбор аудитных логов для расследований инцидентов.

• Добавлены пункты:

  • 1.1.1 Настроено сопоставление групп пользователей в федерации удостоверений.
  • 1.24 Отслеживается дата последнего использования ключей доступа в Yandex Identity and Access Management.
  • 3.11 Для получения временных ключей доступа к Object Storage используется Yandex Security Token Service.
  • 3.12 Для единичных случаев доступа к отдельным объектам в непубличных бакетах Object Storage генерируются подписанные URL.
  • 3.32 Для подключения к виртуальной машине или узлу Kubernetes используется OS Login.
  • 4.8 Используется шифрование дисков и снимков виртуальных машин.
  • 5.8 Отслеживаются события уровня сервисов.
  • 8.9 Используется профиль безопасности Yandex Smart Web Security.
  • 8.10 Используется Web Application Firewall.
  • 8.11 Используется Advanced Rate Limiter.
  • 8.12 Настроены правила ревью кода.

• Обновлены пункты:

  • В пункт 5.1 Включен сервис Yandex Audit Trails на уровне организации добавлено описание аудитных логов с событиями уровня сервисов.
  • Пункт 6.2 Выполняется сканирование уязвимостей на уровне облачных IP-адресов перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.3 Внешние сканирования безопасности выполняются по правилам облака перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.4 Выстроен процесс обновлений безопасности перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.5 Используется Web Application Firewall обновлен и перенесен в раздел 8. Защита приложений.
  • В пункт 8.6 Обеспечивается целостность артефактов добавлена рекомендация по сохранению асимметричной ключевой пары электронной подписи Cosign в сервисе Yandex Key Management Service и использованию сохраненной ключевой пары для подписания артефактов и проверки подписи.

• Удалены пункты:

  • Пункт 4.6 Для критичных ВМ настроено шифрование диска с помощью KMS удален, так как появился более удобный способ шифрования дисков, описанный в пункте 4.8 Используется шифрование дисков и снимков виртуальных машин.

Изменения в версии 1.1Изменения в версии 1.1

Дата публикации 25.09.2023.

• Добавлены пункты:

  • 1.20 Используется имперсонация, где это возможно.
  • 1.21 На ресурсах используются метки.
  • 1.22 Уведомления безопасности Yandex Cloud включены.
  • 1.23 Используется роль auditor для исключения доступа к данным пользователей.
  • 3.4.2 Контроль среды запуска ВМ.
  • 3.28 Используется антивирусная защита.
  • 3.29 Используются рекомендации по безопасности Yandex Managed Service for Kubernetes.
  • 4.16 Администратор облака имеет инструкцию по действиям в случае компрометации секретов его облака.

• Обновлены пункты:

  • 1.4, 1.14 — добавлена рекомендация по использованию роли auditor.
  • 1.9 — добавлена рекомендация по выделению критичных сервисных аккаунтов в отдельный каталог.
  • 1.12 — в список привилегированных ролей добавлен editor для уровней: организация, облако, каталог.
  • 4.7 — добавлена инструкция по шифрованию данных в Yandex Managed Service for PostgreSQL и Yandex Managed Service for Greenplum® с помощью pgcrypto и KMS.
  • 4.14 — добавлена рекомендация по использованию Yandex Lockbox в Terraform без записи в .tfstate.

• Добавлен раздел 9. Защита приложений:

  • 9.1 Используется Yandex SmartCaptcha.
  • 9.2 Для сканера уязвимостей контейнерных образов включена политика сканирования при загрузке.
  • 9.3 Выполняется периодическое сканирование контейнерных образов.
  • 9.4 Контейнерные образы, используемые в продакшн-среде имеют последнюю дату сканирования не позднее недели.
  • 9.5 При сборке артефактов применяются аттестации.
  • 9.6 Артефакты в рамках пайплайна подписываются с помощью стороннего инструмента Cosign.
  • 9.7 Артефакты проверяются при развертывании в Yandex Managed Service for Kubernetes.
  • 9.8 Применяются готовые блоки безопасного пайплайна.