Контур Безопасных Конфигураций

SecureBaseline Cloud — это платформа автоматизированного усиления защиты (hardening) Linux-серверов в соответствии с международными стандартами CIS Benchmarks. Решение позволяет выявлять и устранять уязвимости конфигурации операционных систем, обеспечивая соответствие требованиям информационной безопасности.

Какие проблемы решает

• Ручная настройка безопасности — автоматизация рутинных операций по настройке сотен параметров безопасности ОС
• Отсутствие единого стандарта — применение общепризнанных CIS Benchmarks для всех серверов инфраструктуры
• Сложность аудита — автоматическая генерация отчетов о соответствии с детализацией по каждому правилу
• Риск человеческой ошибки — использование проверенных Ansible-ролей вместо ручных изменений
• Отсутствие видимости — централизованный дашборд с метриками compliance по всей инфраструктуре

Ключевые возможности

Compliance Scanning (OpenSCAP)

• Сканирование серверов на соответствие CIS Benchmarks
• Поддержка практически всех популярных linux
• Детальные отчеты
• Отслеживание динамики compliance score

Automated Hardening

• Автоматическое применение CIS-рекомендаций
• Гранулярный контроль: включение/отключение отдельных правил
• CIS Level 1 и Level 2 профили и многие другие
• Безопасный режим предварительного просмотра изменений

Централизованное управление

• Веб-интерфейс для управления хостами и задачами
• Планировщик для регулярного сканирования (cron)
  How to install the product

• Создайте сеть Yandex Virtual Private Cloud и две подсети в зонах доступности ru-central1-a и ru-central1-b. Так же вы можете по желанию использовать существующие. Все подсети должны принадлежать одной сети VPC.

• Создайте секрет Yandex Lockbox с паролем для базы данных:

DB_PASSWORD=$(openssl rand -base64 32 | tr -d '\n')
yc lockbox secret create \
  --name haas-db-password \
  --payload "[{\"key\": \"password\", \"text_value\": \"$DB_PASSWORD\"}]"

• Создайте секрет Yandex Lockbox с паролем для администратора:

yc lockbox secret create \
  --name haas-admin-password \
  --payload "[{\"key\": \"password\", \"text_value\": \"YOUR_ADMIN_PASSWORD\"}]"

• В консоли управления выберите каталог, в котором хотите развернуть приложение.

• Перейдите в сервис Cloud Apps.

• На панели слева выберите Магазин приложений.

• Выберите Контур Безопасных Конфигураций и нажмите кнопку Использовать.

• Укажите:

  • Префикс для именования ресурсов
  • Подсеть в зоне ru-central1-a
  • Подсеть в зоне ru-central1-b
  • Выберите секрет Yandex Lockbox с паролем для PostgreSQL
  • Публичный SSH-ключ
  • Максимальное количество агентов
  • Почту администратора
  • Выберите секрет Yandex Lockbox с паролем администратора
  • Выберите Тип окружения

• Нажмите кнопку Установить и дождитесь завершения установки. Процесс занимает около 10–15 минут.

• Перейдите в консоль, откройте раздел Виртуальные машины и выберите виртуальную машину, имя которой начинается с control-plane. Откройте её публичный IP-адрес в браузере и авторизуйтесь, используя ранее указанные данные.

1. Подготовка к аудиту ИБ

   • Сканирование всей инфраструктуры
   • Генерация отчетов о соответствии
   • Устранение выявленных несоответствий

2. Регулярный мониторинг

   • Еженедельное сканирование по расписанию
   • Отслеживание динамики compliance
   • Алертинг при деградации показателей

3. Массовый hardening

   • Централизованное применение политик
   • Поэтапное внедрение (Level 1 → Level 2)
   • Откат изменений при необходимости

OpenNix осуществляет техническую поддержку пользователей в Yandex Cloud. Вы можете связаться с технической поддержкой по электронной почте support@opennix.ru. Время работы технической поддержки с 9:00 до 18:00 (МСК) по рабочим дням.