🔐 Yandex Cloud Security Solution Library

Yandex Cloud Security Solution Library — это набор примеров и рекомендаций, собранных в публичных репозиториях на GitHub. Они помогут компаниям, которые хотят построить безопасную инфруструктуру в Yandex Cloud и соответствовать требованиям различных регуляторов и стандартов. Команда Yandex Cloud проработала самые распространённые задачи, которые возникают при построении безопасности в облаке, протестировала и подробно описала необходимые сценарии.

Вводный вебинар

☑️ Стандарт по защите облачной инфраструктуры Yandex Cloud 1.1

Чеклист по безопасности в облачной инфраструкутре Yandex Cloud:

https://cloud.yandex.ru/docs/security/standard/all

Список решений

• 🕸 Сетевая безопасность

  • Пример организации site-to-site VPN соединений к Yandex Cloud на основе IPsec с помощью решения StrongSwan
  • Пример создания remote-acess VPN соединений к Yandex Cloud на основе Wireguard с помощью решения Firezone

• 🔑 Аутентификация и управление доступом

  • Развёртывание федерации удостоверений в Yandex Cloud на базе решения Keycloak

• 🦠 Защита от вредоносного кода

  • Развертывание Kaspersky Antivirus в Yandex Cloud (Compute Instance, COI)

• 🐞 Управление уязвимостями

  • Отказоустойчивая эксплуатация PT Application Firewall в Yandex Cloud
  • Тестирование AntiDDos системы с помощью Yandex Load Testing

• 🔏 Шифрование данных и управление ключами/секретами

  • Шифрование секретов средствами KMS при передачи их в контейнер ВМ на базе Container Optimized Image (COI) в Yandex Cloud
  • Шифрование диска ВМ в Облаке с помощью YC KMS
  • Vault-to-Lockbox Migrator
  • Lockbox Безопасная передача паролей в Windows
  • Использование Lockbox для получения паролей в VM

• 🔎 Сбор, мониторинг и анализ аудит логов

  • Сбор, мониторинг и анализ аудит логов Yandex Cloud в Yandex Managed Opensearch
  • Сбор, мониторинг и анализ аудит логов в Yandex Managed Service for Elasticsearch (ELK)
  • Сбор, мониторинг и анализ аудит логов во внешний SIEM ArcSight
  • Сбор, мониторинг и анализ аудит логов во внешний Splunk
  • Сбор, мониторинг и анализ аудит логов во внешний Wazuh
  • Trails-function-detector: Оповещения и реагирование на события ИБ Audit trails с помощью Cloud Logging/Cloud Functions + Telegram
  • Мониторинг Audit Trails и событий в Yandex Cloud Monitoring

• 👮 Безопасная конфигурация

  • Пример безопасной конфигурации Yandex Cloud Object Storage: Terraform
  • (Скоро) запрет доступа к метадате

• Безопасность Kubernetes
  • Аутентификация и управление доступом Managed Kubernetes:
    • Пример настройки ролевых моделей и политик в Managed Service for Kubernetes
  • Сбор, мониторинг и анализ аудит логов:
    • Анализ логов безопасности k8s в ELK: аудит-логи, policy engine, falco
    • Экспорт Cilium Flow Logs в Object Storage(s3)
    • Экспорт k8s аудит логов в s3/object storage
    • Экспорт k8s аудит логов в Yandex Data Streams/Kinesis Data Streams
  • Шифрование данных и управление ключами/секретами Managed Kubernetes
    • Управление секретами c SecretManager(Lockbox,Vault)
  • Безопасная конфигурация Managed Kubernetes:
    • osquery и kubequery в k8s: osquery (защита k8s nodes), kubequery (анализ конфиг. всего k8s)
  • Интеграция Starboard с Yandex Cloud Container Registry с целью сканирования запущенных образов

• CI/CD Security
  • Secure CI/CD на базе Managed GitLab:
    • Вебинар+материалы:Обнаружение Log4shell и др. уязвимостей в CI/CD на базе Managed GitLab:
      • Обнаружение уязвимостей в CI/CD (Ultimate лицензия)
      • Обнаружение уязвимостей в CI/CD (Free лицензия)
      • Security in Gtilab instance check-list
  • Выступление про комплаенс и devsecops
  • Вебинар+материалы:Как выстроить процесс безопасной разработки в Yandex Cloud

Обратная связь и пожелания

• Доработки, ошибки, contribute - с помощью инструментов Github - Issues и Pull Requests (PR)
• Вопросы, пожелания, консультации: Пишите нам в телеграм https://t.me/YandexCloudSecurity

Референсная архитектура