Практические руководства по безопасности в Yandex Cloud
Статья создана
Обновлена 4 марта 2025 г.
Аутентификация и управление доступом
- Разграничение прав доступа для групп пользователей с различными ролями в Yandex Cloud Organization
- Использование сервисного аккаунта с профилем OS Login для управления ВМ с помощью Ansible
- Управление федерациями удостоверений
Сетевая безопасность
- Организация виртуального хостинга
- Автоматическое копирование объектов из одного бакета Yandex Object Storage в другой
- Загрузка данных из Яндекс Директ в витрину Yandex Managed Service for ClickHouse® с использованием Yandex Cloud Functions, Yandex Object Storage и Yandex Data Transfer
- Создание балансировщика с защитой от DDoS
- Защищенный доступ пользователей к облачным ресурсам на основе WireGuard VPN
- Организация защищенного доступа к контенту в Cloud CDN
Безопасная конфигурация виртуальной среды
- Хостинг статического сайта на фреймворке Gatsby в Yandex Object Storage
- Хранение подключений и переменных Apache Airflow™ в Yandex Lockbox
- Развертывание отказоустойчивой архитектуры с прерываемыми виртуальными машинами
- Миграция сервисов с балансировщика NLB на L7-балансировщик ALB для защиты от DDoS-атак с помощью Yandex Smart Web Security
- Миграция сервисов с балансировщика NLB с целевыми ресурсами из виртуальных машин на L7-балансировщик ALB
- Миграция сервисов с балансировщика NLB с целевыми ресурсами из группы виртуальных машин (Instance Groups) на L7-балансировщик ALB
- Миграция сервисов с внешнего балансировщика NLB на L7-балансировщик ALB с целевым ресурсом — внутренним сетевым балансировщиком NLB
Шифрование данных и управление ключами
- Шифрование данных
- Управление ключами Yandex Key Management Service с HashiCorp Terraform
- Шифрование секретов в HashiCorp Terraform
- Auto Unseal в HashiCorp Vault
- Безопасная передача пароля в скрипт инициализации
- Терминирование TLS-соединений
- Безопасное хранение паролей для GitLab CI в виде секретов Yandex Lockbox
- Использование секрета Yandex Lockbox для хранения статического ключа доступа
- Получение значения секрета Yandex Lockbox на стороне GitHub
- Получение значения секрета Yandex Lockbox на стороне GitLab
Сбор, мониторинг и анализ аудитных логов
- Поиск событий Yandex Cloud в Yandex Query
- Поиск событий Yandex Cloud в Object Storage
- Поиск событий Yandex Cloud в Cloud Logging
- Настройка алертов в Yandex Monitoring
- Настройка реагирования в Yandex Cloud Logging и Yandex Cloud Functions
- Обработка аудитных логов Yandex Audit Trails
- Экспорт аудитных логов в SIEM
- Передача логов с ВМ в Yandex Cloud Logging
- Запись логов балансировщика в PostgreSQL
- Передача логов с Container Optimized Image в Yandex Cloud Logging
Защита приложений
- Установка Ingress-контроллера NGINX с сертификатом из Yandex Certificate Manager
- Построение пайплайна CI/CD в GitLab с использованием serverless-продуктов
- Создание интерактивного serverless-приложения с использованием WebSocket
- Создание L7-балансировщика Yandex Application Load Balancer с профилем безопасности Yandex Smart Web Security
- Защита API Gateway при помощи Smart Web Security
- Добавление HTML-страницы для работы Yandex SmartCaptcha
- Yandex SmartCaptcha в приложении на Android
- Невидимая Yandex SmartCaptcha в приложении на Android
- Yandex SmartCaptcha в приложении Android на Flutter
- Yandex SmartCaptcha в приложении на iOS
Безопасность Kubernetes
- Шифрование секретов в Yandex Managed Service for Kubernetes
- Подпись и проверка Docker-образов Yandex Container Registry в Yandex Managed Service for Kubernetes
- Синхронизация с секретами Yandex Managed Service for Kubernetes
- Получение значения секрета Yandex Lockbox на стороне Kubernetes
- Создание L7-балансировщика с профилем безопасности Smart Web Security через Ingress-контроллер Application Load Balancer
- Миграция сервисов с балансировщика NLB с целевыми ресурсами из кластера Yandex Managed Service for Kubernetes на L7-балансировщик ALB
- Передача логов кластера Yandex Managed Service for Kubernetes в Yandex Cloud Logging