Версии стандарта по защите облачной инфраструктуры Yandex Cloud
Статья создана
Обновлена 24 сентября 2024 г.
Изменения в версии 1.2
Дата публикации 25.09.2024.
-
Удален раздел 6. Управление уязвимостями.
-
Добавлен раздел 9. Безопасность Kubernetes:
- 9.1 Ограничено использование критичных данных.
- 9.2 Ресурсы изолированы друг от друга.
- 9.3 Нет доступа к API Kubernetes и группам узлов из недоверенных сетей.
- 9.4 В Managed Service for Kubernetes настроены аутентификация и управление доступом.
- 9.5 В Managed Service for Kubernetes используется безопасная конфигурация.
- 9.6 Шифрование данных и управление секретами Managed Service for Kubernetes выполняются в формате ESO as a Service.
- 9.7 Docker-образы хранятся в реестре Container Registry с настроенным периодическим сканированием образов.
- 9.8 Используется одна из трех последних версий Kubernetes и ведется мониторинг обновлений.
- 9.9 Настроено резервное копирование.
- 9.10 Используются чек-листы для безопасного создания и использования Docker-образа.
- 9.11 Используется политика безопасности Kubernetes.
- 9.12 Настроен сбор аудитных логов для расследований инцидентов.
-
Добавлены пункты:
- 1.1.1 Настроено сопоставление групп пользователей в федерации удостоверений.
- 1.24 Отслеживается дата последнего использования ключей доступа в Yandex Identity and Access Management.
- 3.11 Для получения временных ключей доступа к Object Storage используется Yandex Security Token Service.
- 3.12 Для единичных случаев доступа к отдельным объектам в непубличных бакетах Object Storage генерируются подписанные URL.
- 3.32 Для подключения к виртуальной машине или узлу Kubernetes используется OS Login.
- 4.8 Используется шифрование дисков и снимков виртуальных машин.
- 5.8 Отслеживаются события уровня сервисов.
- 8.9 Используется профиль безопасности Yandex Smart Web Security.
- 8.10 Используется Web Application Firewall.
- 8.11 Используется Advanced Rate Limiter.
- 8.12 Настроены правила ревью кода.
-
Обновлены пункты:
- В пункт 5.1 Включен сервис Yandex Audit Trails на уровне организации добавлено описание аудитных логов с событиями уровня сервисов.
- Пункт 6.2 Выполняется сканирование уязвимостей на уровне облачных IP-адресов перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
- Пункт 6.3 Внешние сканирования безопасности выполняются по правилам облака перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
- Пункт 6.4 Выстроен процесс обновлений безопасности перенесен в раздел 3. Безопасная конфигурация виртуальной среды.
- Пункт 6.5 Используется Web Application Firewall обновлен и перенесен в раздел 8. Защита приложений.
- В пункт 8.6 Обеспечивается целостность артефактов добавлена рекомендация по сохранению асимметричной ключевой пары электронной подписи Cosign
в сервисе Yandex Key Management Service и использованию сохраненной ключевой пары для подписания артефактов и проверки подписи.
-
Удалены пункты:
- Пункт 4.6 Для критичных ВМ настроено шифрование диска с помощью KMS удален, так как появился более удобный способ шифрования дисков, описанный в пункте 4.8 Используется шифрование дисков и снимков виртуальных машин.
Изменения в версии 1.1
Дата публикации 25.09.2023.
-
Добавлены пункты:
- 1.20 Используется имперсонация, где это возможно.
- 1.21 На ресурсах используются метки.
- 1.22 Уведомления безопасности Yandex Cloud включены.
- 1.23 Используется роль
auditor
для исключения доступа к данным пользователей. - 3.4.2 Контроль среды запуска ВМ.
- 3.28 Используется антивирусная защита.
- 3.29 Используются рекомендации по безопасности Yandex Managed Service for Kubernetes.
- 4.16 Администратор облака имеет инструкцию по действиям в случае компрометации секретов его облака.
-
Обновлены пункты:
- 1.4, 1.14 — добавлена рекомендация по использованию роли
auditor
. - 1.9 — добавлена рекомендация по выделению критичных сервисных аккаунтов в отдельный каталог.
- 1.12 — в список привилегированных ролей добавлен
editor
для уровней: организация, облако, каталог. - 4.7 — добавлена инструкция по шифрованию данных в Yandex Managed Service for PostgreSQL и Yandex Managed Service for Greenplum® с помощью
pgcrypto
и KMS. - 4.14 — добавлена рекомендация по использованию Yandex Lockbox в Terraform без записи в
.tfstate
.
- 1.4, 1.14 — добавлена рекомендация по использованию роли
-
Добавлен раздел 9. Защита приложений:
- 9.1 Используется Yandex SmartCaptcha.
- 9.2 Для сканера уязвимостей контейнерных образов включена политика сканирования при загрузке.
- 9.3 Выполняется периодическое сканирование контейнерных образов.
- 9.4 Контейнерные образы, используемые в продакшн-среде имеют последнюю дату сканирования не позднее недели.
- 9.5 При сборке артефактов применяются аттестации.
- 9.6 Артефакты в рамках пайплайна подписываются с помощью стороннего инструмента Cosign.
- 9.7 Артефакты проверяются при развертывании в Yandex Managed Service for Kubernetes.
- 9.8 Применяются готовые блоки безопасного пайплайна.