Версии стандарта по защите облачной инфраструктуры Yandex Cloud

Изменения в версии 1.3.0Изменения в версии 1.3.0

Дата публикации 27.12.2024.

• Удален раздел 6. Резервное копирование. Содержимое раздела перенесено в раздел 3. Безопасная конфигурация виртуальной среды.

• Удален раздел 7. Физическая безопасность. Содержимое раздела перенесено в раздел Введение.

• Добавлены пункты:

  • 1.11 Для API-ключей сервисных аккаунтов задана область действия.
  • 1.25 Отслеживается дата последней аутентификации сервисного аккаунта и последнего использования ключей доступа в Yandex Identity and Access Management.
  • 1.26 Регулярно проводится аудит прав доступа пользователей и сервисных аккаунтов с использованием Yandex Security Deck CIEM.

• Обновлены пункты:

  • В пункт Область применения добавлены сервисы Yandex Container Registry, Yandex Smart Web Security и Yandex SmartCaptcha.
  • В пункт 2.5 Включена защита от DDoS атак добавлена информация об использовании сервиса Smart Web Security.
  • Изменен порядковый номер пункта 3.18 Serverless Containers/Cloud Functions использует внутреннюю сеть VPC (был 3.22), в пункт добавлена информация об ограничениях сетевого взаимодействия между функциями и пользовательскими ресурсами.
  • Изменен порядковый номер и переименован пункт 3.19 Для функций настроены разграничение прав доступа, управление секретами и переменными окружения, а также подключение к СУБД (был 3.18 Публичные облачные функции применяются только в исключительных случаях). В пункт добавлена информация о назначении ролей на функцию, работе с секретами и переменными окружения из функции и доступе из функции к управляемым БД Yandex Managed Service for PostgreSQL и Yandex Managed Service for ClickHouse®.
  • Изменен порядковый номер пункта 3.20 Учтены атаки по побочным каналам в Cloud Functions (был 3.19).
  • Изменен порядковый номер пункта 3.21 Учтены особенности синхронизации времени в Cloud Functions (был 3.20), в пункт добавлена информация об особенностях получения функциями данных времени.
  • Изменен порядковый номер пункта 3.22 Учтены особенности управления заголовками в Cloud Functions (был 3.21), в пункт добавлено описание особенностей вызова функции с query-параметром ?integration=raw.
  • В пункт 4.2 В Yandex Object Storage включено HTTPS для хостинга статического сайта добавлены:
    • проверка через CLI;
    • ссылка на инструкцию по настройке HTTPS.
  • В пункте 5.4 Выполнен hardering бакета Object Storage, где хранятся аудит логи Yandex Audit Trails добавлены ссылки на лучшие практики безопасности.
  • В пункте 5.8 Отслеживаются события уровня сервисов расширен список сервисов, для которых возможно отслеживание событий этого уровня.
  • В пункте 6.9 Используется профиль безопасности Yandex Smart Web Security добавлена проверка через CLI.

Изменения в версии 1.2Изменения в версии 1.2

Дата публикации 25.09.2024.

• Удален раздел 6. Управление уязвимостями.

• Добавлен раздел 7. Безопасность Kubernetes:

  • 7.1 Ограничено использование критичных данных.
  • 7.2 Ресурсы изолированы друг от друга.
  • 7.3 Нет доступа к API Kubernetes и группам узлов из недоверенных сетей.
  • 7.4 В Managed Service for Kubernetes настроены аутентификация и управление доступом.
  • 7.5 В Managed Service for Kubernetes используется безопасная конфигурация.
  • 7.6 Шифрование данных и управление секретами Managed Service for Kubernetes выполняются в формате ESO as a Service.
  • 7.7 Docker-образы хранятся в реестре Container Registry с настроенным периодическим сканированием образов.
  • 7.8 Используется одна из трех последних версий Kubernetes и ведется мониторинг обновлений.
  • 7.9 Настроено резервное копирование.
  • 7.10 Используются чек-листы для безопасного создания и использования Docker-образа.
  • 7.11 Используется политика безопасности Kubernetes.
  • 7.12 Настроен сбор аудитных логов для расследований инцидентов.

• Добавлены пункты:

  • 1.1.1 Настроено сопоставление групп пользователей в федерации удостоверений.
  • 1.24 Отслеживается дата последнего использования ключей доступа в Yandex Identity and Access Management.
  • 3.11 Для получения временных ключей доступа к Object Storage используется Yandex Security Token Service.
  • 3.12 Для единичных случаев доступа к отдельным объектам в непубличных бакетах Object Storage генерируются подписанные URL.
  • 3.32 Для подключения к виртуальной машине или узлу Kubernetes используется OS Login.
  • 4.8 Используется шифрование дисков и снимков виртуальных машин.
  • 5.8 Отслеживаются события уровня сервисов.
  • 8.9 Используется профиль безопасности Yandex Smart Web Security.
  • 8.10 Используется Web Application Firewall.
  • 8.11 Используется Advanced Rate Limiter.
  • 8.12 Настроены правила ревью кода.

• Обновлены пункты:

  • В пункт 5.1 Включен сервис Yandex Audit Trails на уровне организации добавлено описание аудитных логов с событиями уровня сервисов.
  • Пункт 6.2 Выполняется сканирование уязвимостей на уровне облачных IP-адресов перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.3 Внешние сканирования безопасности выполняются по правилам облака перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.4 Выстроен процесс обновлений безопасности перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
  • Пункт 6.5 Используется Web Application Firewall обновлен и перенесен в раздел 8. Защита приложений.
  • В пункт 8.6 Обеспечивается целостность артефактов добавлена рекомендация по сохранению асимметричной ключевой пары электронной подписи Cosign в сервисе Yandex Key Management Service и использованию сохраненной ключевой пары для подписания артефактов и проверки подписи.

• Удалены пункты:

  • Пункт 4.6 Для критичных ВМ настроено шифрование диска с помощью KMS удален, так как появился более удобный способ шифрования дисков, описанный в пункте 4.8 Используется шифрование дисков и снимков виртуальных машин.

Изменения в версии 1.1Изменения в версии 1.1

Дата публикации 25.09.2023.

• Добавлены пункты:

  • 1.20 Используется имперсонация, где это возможно.
  • 1.21 На ресурсах используются метки.
  • 1.22 Уведомления безопасности Yandex Cloud включены.
  • 1.23 Используется роль auditor для исключения доступа к данным пользователей.
  • 3.4.2 Контроль среды запуска ВМ.
  • 3.28 Используется антивирусная защита.
  • 3.29 Используются рекомендации по безопасности Yandex Managed Service for Kubernetes.
  • 4.16 Администратор облака имеет инструкцию по действиям в случае компрометации секретов его облака.

• Обновлены пункты:

  • 1.4, 1.14 — добавлена рекомендация по использованию роли auditor.
  • 1.9 — добавлена рекомендация по выделению критичных сервисных аккаунтов в отдельный каталог.
  • 1.12 — в список привилегированных ролей добавлен editor для уровней: организация, облако, каталог.
  • 4.7 — добавлена инструкция по шифрованию данных в Yandex Managed Service for PostgreSQL и Yandex Managed Service for Greenplum® с помощью pgcrypto и KMS.
  • 4.14 — добавлена рекомендация по использованию Yandex Lockbox в Terraform без записи в .tfstate.

• Добавлен раздел 9. Защита приложений:

  • 9.1 Используется Yandex SmartCaptcha.
  • 9.2 Для сканера уязвимостей контейнерных образов включена политика сканирования при загрузке.
  • 9.3 Выполняется периодическое сканирование контейнерных образов.
  • 9.4 Контейнерные образы, используемые в продакшн-среде имеют последнюю дату сканирования не позднее недели.
  • 9.5 При сборке артефактов применяются аттестации.
  • 9.6 Артефакты в рамках пайплайна подписываются с помощью стороннего инструмента Cosign.
  • 9.7 Артефакты проверяются при развертывании в Yandex Managed Service for Kubernetes.
  • 9.8 Применяются готовые блоки безопасного пайплайна.