Облачная платформа Yandex Cloud опубликовала документ, представляющий меры и инструменты, которые провайдер применяет для защиты собственной инфраструктуры и ИТ-систем компаний-клиентов. В 2023 г. платформа планирует инвестировать в развитие безопасности 820 млн рублей.
Многоуровневая защита
Обеспечение клиентам end-to-end защиты на всех уровнях работы в облаке – одна из наиболее актуальных задач. Yandex Cloud запускает собственные сервисы безопасности, регулярно проходит аудиты на соответствие стандартам индустрии и разрабатывает курсы и рекомендации по безопасной работе в облаке.
Yandex Cloud соответствует требованиям международных и национальных стандартов ISO, GDPR, PCI и ГОСТ Р 57580. Платформа выполняет все требования 152-ФЗ и обеспечивает первый уровень защищённости персональных данных (УЗ-1). В 2023 г. Yandex Cloud прошла 12 аудитов по безопасности и стала первой облачной платформой в России, которая получила наивысшую оценку по «усиленному» уровню защиты информации в рамках национального стандарта безопасности банковских и финансовых операций ГОСТ Р 57580.
Охота за ошибками
Платформа регулярно проводит тестирования на проникновение, а также участвует в программе Яндекса «Охота за ошибками». Это постоянная программа компании по премированию этичных хакеров – тех, кто разбирается в компьютерной безопасности, находит уязвимости в продуктах и сообщает им об этом за награду.
За последний год облачная платформа выплатила охотникам 5,7 млн рублей и за счет их отчетов укрепила защиту своих сервисов.
Собственный стандарт
В 2023 г. Yandex Cloud представила собственный Стандарт по защите облачной инфраструктуры. Эти рекомендации компании могут использовать для построения защищенных информационных систем в облаке и создания корпоративных политик безопасности.
Наряду с этим Yandex Cloud запустила программу обучения по информационной безопасности в облаке. Она помогает пользователям эффективно и безопасно выстраивать работу на облачной платформе.
Сервис хранения секретов и не только
В первой половине 2023 г. темпы потребления сервисов Security в Yandex Cloud увеличились в 3,4 раза. Платформа открыла доступ к собственному сервису для хранения секретов Yandex Lockbox, который помогает защищать конфиденциальную информацию для работы с доступами в облаке, например, пароль от базы данных или ключи сертификата сервера.
Кроме этого, Yandex Cloud запустила сервис, который проверяет на наличие уязвимостей образы контейнеров, содержащие компоненты и зависимости, необходимые для корректной работы приложений. С его помощью пользователи выполнили уже более 1,5 млн сканирований своих ИТ-систем.
В Yandex Cloud доступна SmartCaptcha, которая ежемесячно отражает зловредный роботизированный трафик на сайтах компаний-клиентов, его объем в среднем составляет половину от общего трафика.
Доверие облачным инновациям
«Наша команда – это десятки сильных программистов, инженеров по информационной безопасности, менеджеров по продукту и развитию бизнеса. Мы каждый день улучшаем защиту инфраструктуры платформы и разрабатываем собственные сервисы, чтобы компании и пользователи могли доверять облачным инновациям», – отметил Евгений Сидоров, директор по информационной безопасности в Yandex Cloud.
