- Виртуальные машины должны быть определены в группы безопасности с правилами, назначенные по принципам наименьших привилегий
- Шаблонам группы ВМ должна быть определена группа безопасности с правилами, назначенные по принципам наименьших привилегий
- Виртуальным машинам запрещено назначать публичный IP-адрес
- Кластеру Elasticsearch должна быть назначена группа безопасности с правилами, назначенные по принципам наименьших привилегий
- Кластеру Kafka должна быть назначена группа безопасности с правилами, назначенные по принципам наименьших привилегий
- Базе данных (ClickHouse, MongoDB, MySQL,PostgreSQL) должна быть назначена группа безопасности с правилами, назначенные по принципам наименьших привилегий
- Базе данных (ClickHouse, MongoDB, MySQL, PostgreSQL) запрещено назначать публичный доступ
- У бакета (ObjectStorage) не должно быть правил и политик, разрешаюших публичный доступ
- Образы Disks, Snapshots, Images не должны быть доступы публично
- Kubernetes кластер не должен иметь публичный IP-адрес
- Кластеру Kubernetes должна быть назначена группа безопасности с правилами, назначенные по принципам наименьших привилегий
- Control Plane кластера Kubernetes должен располагаться в отдельном VPC от воркеров
- Группы безопасности не должны разрешать входящие и исходящие соединения без ограничения по IP
- Группы безопасности не должны разрешать доступ из частных сетей без ограничения по IP
- Группы безопасности не должны содержать диапозон портов
- Для доступа в консоль облака должна быть настроена интеграция с AD FS с интегрированным 2FA. Администраторы облака и сопровождение, кроме владельца облака, должны аутентифицироваться в облаке через этот AD FS. (опционально)
- В облаке не должно быть заведено сервисных аккаунтов и системных групп с правами admin
- Роли должны назначаться по принципу наименьших привилегий, исключая использования роли editor
- У всех пользователей с правами edit, admin, owner, добавленных в Яндекс.Облако не через AD FS, должна быть настроена двухфакторная аутентификация для входа в аккаунт
- У виртуальной машины должен быть отключен доступ к серийной консоли
- Запрещено хранить авторизационные ключи в открытом виде. Все секреты, ключи, пароли и токены должны храниться в защищенном хранилище Vault/KMS
- Для каждой задачи должен быть создан отдельный сервисный аккаунт с минимальным необходимым набор привилегий. Название сервисного аккаунта должно отражать его задачи и заданные права при создании
- Создавать API-ключи (вместо авторизованных для получения IAM-токена) без согласования с ИБ нельзя
- У бакета не должны быть правил, разрешаюших полный доступ, а также доступ на чтение и запись для всех аутентифицированных пользователей
- Для всех поддерживаемых ресурсов должен быть настроен сервис Audit Trails
- Если бакет содержит ПДн, банковскую или коммерческую тайну, то для него должно быть настроено шифрование
- Для бакета должно быть настроено версионирование
- При создании кластера Kubernetes в Яндекс.Облаке должна быть создана сетевая политика по принципу наименьших привилегий
- Kubernetes кластер должен соответствовать CIS (для доступной конфигурации в рамках сервиса Managed Kubernetes)
- Желательно настроить окно обновлений для Kubernetes кластера для своевременного получения обновлений безопасности
https://cloud.yandex.com/en-ru/marketplace?categories=security