Практические руководства по безопасности в Yandex Cloud

Аутентификация и управление доступомАутентификация и управление доступом

• Разграничение прав доступа для групп пользователей с различными ролями в Yandex Cloud Organization
• Использование сервисного аккаунта с профилем OS Login для управления ВМ с помощью Ansible
• Управление федерациями удостоверений
  • Аутентификация с помощью Active Directory
  • Аутентификация с помощью Google Workspace
  • Аутентификация с помощью Microsoft Entra ID
  • Аутентификация с помощью Keycloak
  • Сопоставление групп пользователей
    • Сопоставление групп пользователей в Microsoft Active Directory Federation Services
    • Сопоставление групп пользователей в Microsoft Entra ID
    • Сопоставление групп пользователей в Keycloak

Сетевая безопасностьСетевая безопасность

• Организация виртуального хостинга
• Автоматическое копирование объектов из одного бакета Yandex Object Storage в другой
• Загрузка данных из Яндекс Директ в витрину Yandex Managed Service for ClickHouse® с использованием Yandex Cloud Functions, Yandex Object Storage и Yandex Data Transfer
• Создание балансировщика с защитой от DDoS
• Защищенный доступ пользователей к облачным ресурсам на основе WireGuard VPN
• Организация защищенного доступа к контенту в Yandex Cloud CDN

Безопасная конфигурация виртуальной средыБезопасная конфигурация виртуальной среды

• Хостинг статического сайта на фреймворке Gatsby в Yandex Object Storage
• Хранение подключений и переменных Apache Airflow™ в Yandex Lockbox
• Развертывание отказоустойчивой архитектуры с прерываемыми виртуальными машинами
• Миграция сервисов с балансировщика NLB на L7-балансировщик ALB для защиты от DDoS-атак с помощью Yandex Smart Web Security
  • Миграция сервисов с балансировщика NLB с целевыми ресурсами из виртуальных машин на L7-балансировщик ALB
  • Миграция сервисов с балансировщика NLB с целевыми ресурсами из группы виртуальных машин (Instance Groups) на L7-балансировщик ALB
  • Миграция сервисов с внешнего балансировщика NLB на L7-балансировщик ALB с целевым ресурсом — внутренним сетевым балансировщиком NLB

Шифрование данных и управление ключамиШифрование данных и управление ключами

• Шифрование данных
  • Какой способ шифрования выбрать?
  • Шифрование данных с помощью CLI и API Yandex Cloud
  • Шифрование данных с помощью SDK Yandex Cloud
  • Шифрование данных с помощью AWS Encryption SDK
  • Шифрование данных с помощью Google Tink
• Управление ключами Yandex Key Management Service с HashiCorp Terraform
• Шифрование секретов в HashiCorp Terraform
• Auto Unseal в HashiCorp Vault
• Безопасная передача пароля в скрипт инициализации
• Терминирование TLS-соединений
• Безопасное хранение паролей для GitLab CI в виде секретов Yandex Lockbox
• Использование секрета Yandex Lockbox для хранения статического ключа доступа
• Получение значения секрета Yandex Lockbox на стороне GitHub
• Получение значения секрета Yandex Lockbox на стороне GitLab

Сбор, мониторинг и анализ аудитных логовСбор, мониторинг и анализ аудитных логов

• Поиск событий Yandex Cloud в Yandex Query
• Поиск событий Yandex Cloud в Yandex Object Storage
• Поиск событий Yandex Cloud в Yandex Cloud Logging
• Настройка алертов в Yandex Monitoring
• Настройка реагирования в Yandex Cloud Logging и Yandex Cloud Functions
• Обработка аудитных логов Yandex Audit Trails
• Экспорт аудитных логов в SIEM
  • Загрузка аудитных логов в MaxPatrol SIEM
  • Загрузка аудитных логов в SIEM Splunk
  • Загрузка аудитных логов в SIEM ArcSight
  • Загрузка аудитных логов Yandex Audit Trails в SIEM KUMA
• Передача логов с ВМ в Yandex Cloud Logging
• Запись логов балансировщика в PostgreSQL
• Передача логов с Container Optimized Image в Yandex Cloud Logging

Защита приложенийЗащита приложений

• Установка Ingress-контроллера NGINX с сертификатом из Yandex Certificate Manager
• Построение пайплайна CI/CD в GitLab с использованием serverless-продуктов
• Создание интерактивного serverless-приложения с использованием WebSocket
• Создание L7-балансировщика Yandex Application Load Balancer с профилем безопасности Yandex Smart Web Security
• Защита Yandex API Gateway при помощи Yandex Smart Web Security
• Добавление HTML-страницы для работы Yandex SmartCaptcha
• Yandex SmartCaptcha в приложении на Android
• Невидимая Yandex SmartCaptcha в приложении на Android
• Yandex SmartCaptcha в приложении Android на Flutter
• Yandex SmartCaptcha в приложении на iOS

Безопасность KubernetesБезопасность Kubernetes

• Шифрование секретов в Yandex Managed Service for Kubernetes
• Подпись и проверка Docker-образов Yandex Container Registry в Yandex Managed Service for Kubernetes
• Синхронизация с секретами Yandex Managed Service for Kubernetes
• Получение значения секрета Yandex Lockbox на стороне Kubernetes
• Создание L7-балансировщика с профилем безопасности Yandex Smart Web Security через Ingress-контроллер Yandex Application Load Balancer
• Миграция сервисов с балансировщика NLB с целевыми ресурсами из кластера Yandex Managed Service for Kubernetes на L7-балансировщик ALB
• Передача логов кластера Yandex Managed Service for Kubernetes в Yandex Cloud Logging