🔐 Yandex.Cloud Security Solution Library

Yandex.Cloud Security Solution Library — это набор примеров и рекомендаций, собранных в публичном репозитории на GitHub. Они помогут компаниям, которые хотят построить безопасную инфруструктуру в Облаке и соответствовать требованиям различных регуляторов и стандартов. Команда Yandex.Cloud проработала самые распространённые задачи, которые возникают при построении безопасности в облаке, протестировала и подробно описала необходимые сценарии.

Вводный вебинар

☑️ Стандарт по защите облачной инфраструктуры Yandex Cloud 1.0

Чеклист по безопасности в облачной инфраструкутре Yandex Cloud

https://cloud.yandex.ru/docs/security/standard/all

Список решений

• 🕸 Сетевая безопасность
  • Пример настройки Security Groups (dev/stage/prod): Terraform
  • Пример установки 1 ВМ-Межсетевой экран (NGFW): Checkpoint
  • Пример установки 2 ВМ NGFW Checkpoint: Active-Active
  • Пример установки 2 ВМ NGFW Checkpoint: Active-Passive
  • Пример создания site-to-site VPN соединения с Yandex Cloud: Terraform
• 🔑 Аутентификация и управление доступом
  • Развертывание и управление организацией и правами доступа через IaC terraform
  • Развёртывание федерации удостоверений в Yandex Cloud на базе решения Keycloak
  • IAM модуль (с примерами использования)
  • Скрипт синхронизации пользователей и групп LDAP
• 🦠 Защита от вредоносного кода
  • Развертывание Kaspersky Antivirus в Yandex.Cloud (Compute Instance, COI)
• 🐞 Управление уязвимостями
  • Отказоустойчивая эксплуатация PT Application Firewall на базе Yandex.Cloud
  • Установка уязвимого веб приложения (dvwa) в Яндекс Облаке (с помощью terraform) для тестирования managed WAF
  • Тестирование AntiDDos системы с помощью Yandex Load Testing
• 🔏 Шифрование данных и управление ключами/секретами
  • Шифрование секретов средствами KMS при передачи их в контейнер ВМ COI Yandex.Cloud:Terraform
  • Шифрование диска ВМ в Облаке с помощью YC KMS
  • Yandex Cloud Lockbox password solution
• 🔎 Сбор, мониторинг и анализ аудит логов
  • Сбор, мониторинг и анализ аудит логов Yandex Cloud в Yandex Managed Opensearch
  • Сбор, мониторинг и анализ аудит логов в Yandex Managed Service for Elasticsearch (ELK)
  • Сбор, мониторинг и анализ аудит логов во внешний SIEM ArcSight
  • Сбор, мониторинг и анализ аудит логов во внешний Splunk
  • Сбор, мониторинг и анализ аудит логов во внешний Wazuh
  • Use cases и важные события безопасности в аудит логах
  • Trails-function-detector: Оповещения и реагирование на события ИБ Audit trails с помощью Cloud Logging/Cloud Functions + Telegram
  • Мониторинг Audit Trails и событий в Yandex Cloud Monitoring
• 👮 Безопасная конфигурация
  • Пример безопасной конфигурации Yandex Cloud Object Storage: Terraform
  • (Скоро) запрет доступа к метадате

• Безопасность Kubernetes
  • Аутентификация и управление доступом Managed Kubernetes:
    • Пример настройки ролевых моделей и политик в Managed Service for Kubernetes
  • Сбор, мониторинг и анализ аудит логов:
    • Анализ логов безопасности k8s в ELK: аудит-логи, policy engine, falco
    • Экспорт Cilium Flow Logs в Object Storage(s3)
    • Экспорт k8s аудит логов в s3/object storage
    • Экспорт k8s аудит логов в Yandex Data Streams/Kinesis Data Streams
  • Шифрование данных и управление ключами/секретами Managed Kubernetes
    • Управление секретами c SecretManager(Lockbox,Vault)
  • Безопасная конфигурация Managed Kubernetes:
    • osquery и kubequery в k8s: osquery (защита k8s nodes), kubequery (анализ конфиг. всего k8s)
  • CVE mitigations:
    • CVE-2022-0185
    • CVE-2021-4034
  • Таблица сравениня функций решений по безопасности k8s
  • Интеграция Starboard с Yandex Cloud Container Registry с целью сканирования запущенных образов

• CI/CD Security
  • Secure CI/CD на базе Managed GitLab:
    • Вебинар+материалы:Обнаружение Log4shell и др. уязвимостей в CI/CD на базе Managed GitLab:
      • Обнаружение уязвимостей в CI/CD (Ultimate лицензия)
      • Обнаружение уязвимостей в CI/CD (Free лицензия)
      • Security in Gtilab instance check-list
  • Выступление про комплаенс и devsecops

• Безопасность Terraform
  • Сканирование tf файлов с помощью checkov
  • Хранение состояния Terraform в Yandex.Cloud Object Storage

Обратная связь и пожелания

• Доработки, ошибки, contribute: Заводите, пожалуйста с помощью github issue/pr
• Вопросы, пожелания, консультации: Пишите нам в телеграм https://t.me/YandexCloudSecurity

Референсная архитектура