Версии стандарта по защите облачной инфраструктуры Yandex Cloud

Изменения в версии 1.4.0Изменения в версии 1.4.0

Дата публикации 08.04.2025.

• Пункт 3.20 Учтены атаки по побочным каналам в Cloud Functions удален в связи с минимальным уровнем рисков.

• Добавлены пункты:

  • 2.7 Для обеспечения удаленного доступа сотрудники используют Yandex Cloud Desktop.
  • 2.8 Для удаленного доступа к Cloud Desktop используется Безопасный Яндекс Браузер.
  • 3.1 Используется антивирусная защита.
  • 3.7 Сотрудники, работающие с Yandex Cloud, имеют сертификат Yandex Cloud Certified Security Specialist.
  • 3.29 Выполнены требования к защите приложений в Yandex Container Registry.
  • 3.30 Не используются привилегированные контейнеры в Yandex Container Solution.
  • 3.40 Настроено управление доступом в API Gateway.
  • 3.41 Настроено сетевое взаимодействие в API Gateway.
  • 3.42 Учтены рекомендации по использованию своих доменов.
  • 3.43 Учтены рекомендации по использованию протокола WebSocket.
  • 3.44 Настроено взаимодействие API-шлюза с сервисами.
  • 3.46 Настроена авторизация в API-шлюзе.
  • 3.47 Использован контекст авторизации.
  • 3.48 Использовано логирование сервиса.
  • 5.9 Включен модуль Security Deck Access Transparency для проверки действий, произведенных сотрудниками Yandex Cloud с инфраструктурой.
  • 6.2 При создании реестра в Yandex Container Registry по умолчанию оставляйте безопасные настройки реестра.
  • 6.14 Доверенные и нежелательные IP-адреса группируются в списки.

• В разделе 3. Безопасная конфигурация виртуальной среды:

  • Переименован подраздел Yandex Cloud Functions (был Cloud Functions и Yandex API Gateway).
  • Добавлен подраздел Yandex API Gateway с пунктами 3.40 - 3.48.
  • В связи с добавлением новых подразделов и пунктов, нумерация части пунктов раздела изменена.

• Обновлены пункты:

  • В пункте 1.5 Используются сервисные роли вместо примитивных: admin, editor, viewer, auditor добавлены команды для выполнения проверки через CLI в PowerShell.
  • В пункте 1.10 Выполняется периодическая ротация ключей сервисных аккаунтов добавлены команды для выполнения проверки через CLI в PowerShell.
  • В пункте 1.14 В сервисе метаданных ВМ отсутствуют облачные ключи в открытом виде добавлены автоматические скрипты для выполнения проверки через CLI в Bash и PowerShell.
  • В пункте 1.17 Привилегированные роли назначены только доверенным администраторам добавлены команды для выполнения проверки через CLI в PowerShell.
  • В пункт 1.18 Для локальных пользователей управляемых БД задан стойкий пароль добавлена рекомендация по использованию сгенерированных секретов Yandex Lockbox.
  • В пункте 1.20 Используется корректная ресурсная модель расширено описание ресурсной модели и рекомендации по ее использованию.
  • В пункте 1.21 На ресурсах в организации отсутствует публичный доступ добавлены команды для выполнения проверки через CLI в PowerShell.
  • В пункте 1.25 Отслеживается дата последней аутентификации сервисного аккаунта и последнего использования ключей доступа в Yandex Identity and Access Management добавлены команды для выполнения проверки через CLI.
  • В пункте 2.1 Для объектов облака используется межсетевой экран или группы безопасности переформулирован принцип использования собственных образов дисков ВМ (принцип BYOI).
  • Изменены порядковые номера пунктов 2.9 Исходящий доступ в интернет контролируется (был 2.7) и 2.10 Запросы DNS не передаются в сторонние рекурсивные резолверы (был 2.8).
  • Изменен порядковый номер пункта 3.11 В Object Storage включен механизм логирования действий с бакетом (был 3.9), уточнено описание механизма логирования операций с бакетом в Audit Trails, исправлена пунктуация.
  • Изменен порядковый номер пункта 3.19 На управляемых БД выключен доступ из консоли управления (был 3.17), расширена команда для выполнения проверки в Bash, добавлена команда для проверки в PowerShell.
  • Изменен порядковый номер пункта 3.21 Для функций настроены разграничение прав доступа, управление секретами и переменными окружения, а также подключение к СУБД (был 3.19), уточнена рекомендация по хранению секретов и чувствительных данных в сервисе Yandex Lockbox, обращения из функции к хостам кластера БД.
  • В пункте 3.28 Настроен ACL по IP адресам для Yandex Container Registry добавлены команды для выполнения проверки через CLI в PowerShell.
  • Изменен порядковый номер пункта 3.34 Используются рекомендации по безопасности Yandex Managed Service for Kubernetes (был 3.31), изменена ссылка на рекомендации в разделе Требования к безопасности Kubernetes.
  • Изменен порядковый номер пункта 3.38 Выстроен процесс обновлений безопасности (был 3.35), добавлена ссылка на бюллетени безопасности.
  • В пункте Шифрование в состоянии покоя (at rest) добавлена проверка зашифрованных дисков ВМ через CLI, а также инструкция по замене незашифрованных дисков на зашифрованные, добавлена ссылка на концепцию ротации ключей в корпоративной политике информационной безопасности.
  • В пункте 4.3 В Yandex Application Load Balancer используется HTTPS:
    • исправлена ссылка на Описание настройки обработчика в документации Yandex Application Load Balancer;
    • исправлена ссылка на Инструкцию HTTPS обработчика Yandex Application Load Balancer;
    • добавлена команда для выполнения проверки через CLI в PowerShell.
  • В пункте 4.13 В организации используется Yandex Lockbox для безопасного хранения секретов сокращен список сервисов для хранения секретов и описание работы с ними в Terraform и консоли управления.
  • В пункте 4.16 Администратор облака имеет инструкцию по действиям в случае компрометации секретов его облака переоформлен список облачных секретов для обнаружения.
  • В пункте 5.2 События Yandex Audit Trails экспортируются в SIEM-системы сокращен список SIEM-систем для которых подготовлены решения для экспорта аудитных логов Yandex Cloud.
  • В пункте 5.8 Отслеживаются события уровня сервисов список поддерживаемых сервисов заменен на ссылку Справочник событий уровня сервисов.
  • В связи с добавлением нового пункта в раздел 6. Защита приложений, изменена нумерация пунктов 6.2 - 6.13 раздела.
  • В пункте 6.10 Используется профиль безопасности Yandex Smart Web Security уточнены модели угроз, защиту от которых обеспечивает сервис Yandex Smart Web Security.
  • В пункте 6.12 Используется Advanced Rate Limiter уточнено определение модуля Advanced Rate Limiter (ARL).

Изменения в версии 1.3Изменения в версии 1.3

Дата публикации 27.12.2024.

• Удален раздел 6. Резервное копирование. Содержимое раздела перенесено в раздел 3. Безопасная конфигурация виртуальной среды.

• Удален раздел 7. Физическая безопасность. Содержимое раздела перенесено в раздел Введение.

• Добавлены пункты:

  • 1.11 Для API-ключей сервисных аккаунтов задана область действия.
  • 1.25 Отслеживается дата последней аутентификации сервисного аккаунта и последнего использования ключей доступа в Yandex Identity and Access Management.
  • 1.26 Регулярно проводится аудит прав доступа пользователей и сервисных аккаунтов с использованием Yandex Security Deck CIEM.

• Обновлены пункты:

  • В пункт Область применения добавлены сервисы Yandex Container Registry, Yandex Smart Web Security и Yandex SmartCaptcha.
  • В пункт 2.5 Включена защита от DDoS атак добавлена информация об использовании сервиса Smart Web Security.
  • Изменен порядковый номер пункта 3.18 Serverless Containers/Cloud Functions использует внутреннюю сеть VPC (был 3.22), в пункт добавлена информация об ограничениях сетевого взаимодействия между функциями и пользовательскими ресурсами.
  • Изменен порядковый номер и переименован пункт 3.19 Для функций настроены разграничение прав доступа, управление секретами и переменными окружения, а также подключение к СУБД (был 3.18 Публичные облачные функции применяются только в исключительных случаях). В пункт добавлена информация о назначении ролей на функцию, работе с секретами и переменными окружения из функции и доступе из функции к управляемым БД Yandex Managed Service for PostgreSQL и Yandex Managed Service for ClickHouse®.
  • Изменен порядковый номер пункта 3.20 Учтены атаки по побочным каналам в Cloud Functions (был 3.19).
  • Изменен порядковый номер пункта 3.21 Учтены особенности синхронизации времени в Cloud Functions (был 3.20), в пункт добавлена информация об особенностях получения функциями данных времени.
  • Изменен порядковый номер пункта 3.22 Учтены особенности управления заголовками в Cloud Functions (был 3.21), в пункт добавлено описание особенностей вызова функции с query-параметром ?integration=raw.
  • В пункт 4.2 В Yandex Object Storage включено HTTPS для хостинга статического сайта добавлены:
    • проверка через CLI;
    • ссылка на инструкцию по настройке HTTPS.
  • В пункте 5.4 Выполнен hardering бакета Object Storage, где хранятся аудитные логи Yandex Audit Trails добавлены ссылки на лучшие практики безопасности.
  • В пункте 5.8 Отслеживаются события уровня сервисов расширен список сервисов, для которых возможно отслеживание событий этого уровня.
  • В пункте 6.9 Используется профиль безопасности Yandex Smart Web Security добавлена проверка через CLI.

Изменения в версии 1.2Изменения в версии 1.2

Дата публикации 25.09.2024.

• Удален раздел 6. Управление уязвимостями.

• Добавлен раздел 7. Безопасность Kubernetes:

  • 7.1 Ограничено использование критичных данных.
  • 7.2 Ресурсы изолированы друг от друга.
  • 7.3 Нет доступа к API Kubernetes и группам узлов из недоверенных сетей.
  • 7.4 В Managed Service for Kubernetes настроены аутентификация и управление доступом.
  • 7.5 В Managed Service for Kubernetes используется безопасная конфигурация.
  • 7.6 Шифрование данных и управление секретами Managed Service for Kubernetes выполняются в формате ESO as a Service.
  • 7.7 Docker-образы хранятся в реестре Container Registry с настроенным периодическим сканированием образов.
  • 7.8 Используется одна из трех последних версий Kubernetes и ведется мониторинг обновлений.
  • 7.9 Настроено резервное копирование.
  • 7.10 Используются чек-листы для безопасного создания и использования Docker-образа.
  • 7.11 Используется политика безопасности Kubernetes.
  • 7.12 Настроен сбор аудитных логов для расследований инцидентов.

• Добавлены пункты:

  • 1.1.1 Настроено сопоставление групп пользователей в федерации удостоверений.
  • 1.24 Отслеживается дата последнего использования ключей доступа в Yandex Identity and Access Management.
  • 3.11 Для получения временных ключей доступа к Object Storage используется Yandex Security Token Service.
  • 3.12 Для единичных случаев доступа к отдельным объектам в непубличных бакетах Object Storage генерируются подписанные URL.
  • 3.32 Для подключения к виртуальной машине или узлу Kubernetes используется OS Login.
  • 4.8 Используется шифрование дисков и снимков виртуальных машин.
  • 5.8 Отслеживаются события уровня сервисов.
  • 8.9 Используется профиль безопасности Yandex Smart Web Security.
  • 8.10 Используется Web Application Firewall.
  • 8.11 Используется Advanced Rate Limiter.
  • 8.12 Настроены правила ревью кода.

• Обновлены пункты:

  • В пункт 5.1 Включен сервис Yandex Audit Trails на уровне организации добавлено описание аудитных логов с событиями уровня сервисов.
  • Пункт 6.2 Выполняется сканирование уязвимостей на уровне облачных IP-адресов перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.3 Внешние сканирования безопасности выполняются по правилам облака перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.4 Выстроен процесс обновлений безопасности перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.5 Используется Web Application Firewall обновлен и перенесен в раздел 8. Защита приложений.
  • В пункт 8.6 Обеспечивается целостность артефактов добавлена рекомендация по сохранению асимметричной ключевой пары электронной подписи Cosign в сервисе Yandex Key Management Service и использованию сохраненной ключевой пары для подписания артефактов и проверки подписи.

• Удалены пункты:

  • Пункт 4.6 Для критичных ВМ настроено шифрование диска с помощью KMS удален, так как появился более удобный способ шифрования дисков, описанный в пункте 4.8 Используется шифрование дисков и снимков виртуальных машин.

Изменения в версии 1.1Изменения в версии 1.1

Дата публикации 25.09.2023.

• Добавлены пункты:

  • 1.20 Используется имперсонация, где это возможно.
  • 1.21 На ресурсах используются метки.
  • 1.22 Уведомления безопасности Yandex Cloud включены.
  • 1.23 Используется роль auditor для исключения доступа к данным пользователей.
  • 3.4.2 Контроль среды запуска ВМ.
  • 3.28 Используется антивирусная защита.
  • 3.29 Используются рекомендации по безопасности Yandex Managed Service for Kubernetes.
  • 4.16 Администратор облака имеет инструкцию по действиям в случае компрометации секретов его облака.

• Обновлены пункты:

  • 1.4, 1.14 — добавлена рекомендация по использованию роли auditor.
  • 1.9 — добавлена рекомендация по выделению критичных сервисных аккаунтов в отдельный каталог.
  • 1.12 — в список привилегированных ролей добавлен editor для уровней: организация, облако, каталог.
  • 4.7 — добавлена инструкция по шифрованию данных в Yandex Managed Service for PostgreSQL и Yandex Managed Service for Greenplum® с помощью pgcrypto и KMS.
  • 4.14 — добавлена рекомендация по использованию Yandex Lockbox в Terraform без записи в .tfstate.

• Добавлен раздел 9. Защита приложений:

  • 9.1 Используется Yandex SmartCaptcha.
  • 9.2 Для сканера уязвимостей контейнерных образов включена политика сканирования при загрузке.
  • 9.3 Выполняется периодическое сканирование контейнерных образов.
  • 9.4 Контейнерные образы, используемые в продакшн-среде имеют последнюю дату сканирования не позднее недели.
  • 9.5 При сборке артефактов применяются аттестации.
  • 9.6 Артефакты в рамках пайплайна подписываются с помощью стороннего инструмента Cosign.
  • 9.7 Артефакты проверяются при развертывании в Yandex Managed Service for Kubernetes.
  • 9.8 Применяются готовые блоки безопасного пайплайна.