[Документация Yandex Cloud](../../index.md) > [Yandex Security Deck](../index.md) > [Концепции](index.md) > Окружения Security Deck

# Окружения Security Deck

_Окружение Security Deck_ — это контейнер, который содержит настройки и ресурсы модулей Security Deck, перечень контролируемых ресурсов, параметры контроля и другие настройки. Окружения позволяют более гранулярно управлять безопасностью инфраструктуры в Yandex Cloud, проверяя ее на соответствие отраслевым стандартам безопасности.

В качестве ресурсов, контролируемых окружением, можно выбирать [организации](../../organization/concepts/organization.md) Yandex Identity Hub, отдельные [облака](../../resource-manager/concepts/resources-hierarchy.md#cloud) и [каталоги](../../resource-manager/concepts/resources-hierarchy.md#folder) в них. Доступ окружения к контролируемым ресурсам осуществляется с использованием [коннекторов](#connectors).

Создавать окружения и управлять ими может пользователь, которому назначены следующие роли:

* `security-deck.admin` на каталог, в котором будут храниться ресурсы Security Deck и его модули.
* `auditor` на [организацию](../../organization/concepts/organization.md), [облако](../../resource-manager/concepts/resources-hierarchy.md#cloud) или каталог, безопасность в которых будет контролироваться окружением.

## Настройки окружения {#settings}

Настройки и ресурсы используемых окружением модулей Security Deck хранятся в [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder), который указывается при [создании](../operations/workspaces/create.md) окружения. После создания окружения изменить выбранный каталог нельзя.

{% note tip %}

В целях безопасности ресурсы Security Deck рекомендуется хранить в отдельном [облаке](../../resource-manager/concepts/resources-hierarchy.md#cloud) и [каталоге](../../resource-manager/concepts/resources-hierarchy.md#folder), доступ к которым есть только у сотрудников, отвечающих за безопасность.

{% endnote %}

### Стандарты безопасности {#standards}

В настройках окружения Security Deck указывается набор отраслевых стандартов безопасности и нормативных актов, на соответствие которым проверяются контролируемые ресурсы:

* ![base-standard-yc](../../_assets/security-deck/cspm-base-yc.svg) [Базовые правила безопасности облачной платформы Yandex Cloud](standard-compliance/yc-security-baseline.md) — минимальный набор требований безопасности, обеспечивающих базовую защиту облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.
* ![cspm-standard-yc](../../_assets/security-deck/cspm-standard-yc.svg) [Стандарт по защите облачной инфраструктуры Yandex Cloud](standard-compliance/yc-cloud-security-standard.md) — [стандарт](../../security/standard/all.md) предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud. Эти элементы помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.
* ![pci-dss-standard](../../_assets/security-deck/cspm-pci-dss.svg) [PCI DSS](https://yandex.cloud/ru-kz/security/standards/pci) (Payment Card Industry Data Security Standard) — стандарт безопасности данных платежных карт, включающий требования к управлению безопасностью, правилам, процедурам, сетевой архитектуре, разработке программного обеспечения и другим критически важным мерам защиты.
* ![152-fz-standard](../../_assets/security-deck/cspm-152-fz.svg) Требования [ФСТЭК (Приказ № 21) для защиты персональных данных](https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21) — стандарт содержит меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.

* ![cspm-standard-k8s-restricted](../../_assets/security-deck/cspm-standard-k8s-restricted.svg) Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля [Kubernetes Pod Security Standards (PSS) Restricted profile](https://kubernetes.io/docs/concepts/security/pod-security-standards/#restricted). Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
* ![cspm-standard-k8s-baseline](../../_assets/security-deck/cspm-standard-k8s-baseline.svg) Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности [Kubernetes Pod Security Standards (PSS) Baseline profile](https://kubernetes.io/docs/concepts/security/pod-security-standards/#baseline). Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
* ![cspm-standard-k8s-ms](../../_assets/security-deck/cspm-standard-k8s-ms.svg) Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе [Microsoft Threat Matrix for Kubernetes](https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/) — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.
* ![cspm-cis-k8s-standard](../../_assets/security-deck/cspm-cis-k8s-standard.svg) CIS Kubernetes Benchmark — стандарт содержит рекомендации [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes) для безопасной настройки компонентов на рабочих узлах Kubernetes. Включает только автоматические проверки из раздела `4 Worker Nodes`.

Для одного окружения вы можете выбрать одновременно несколько стандартов безопасности, на соответствие которым будут проверяться ваши ресурсы. В зависимости от выбранных стандартов безопасности окружение будет использовать модули Security Deck [Контроль конфигурации (CSPM)](cspm.md) и/или [Контроль Kubernetes (KSPM)](kspm.md).

### Коннекторы {#connectors}

Доступ к контролируемым в окружении Security Deck ресурсам осуществляется с помощью _коннекторов_, которые обращаются к ресурсам от имени [сервисного аккаунта](../../iam/concepts/users/service-accounts.md), привязанного к коннектору. Коннекторы обеспечивают унифицированный доступ как к внутренним ресурсам Yandex Cloud, так и к внешним ресурсам, например к [Яндекс 360](https://360.yandex.ru/).

Ресурсы, которые будут проверяться на соответствие стандартам безопасности, должны быть явно назначены коннектору, привязанному к окружению. Привязать контролируемые ресурсы к окружению можно при создании и изменении окружения.

Сервисному аккаунту, от имени которого коннектор будет осуществлять доступ к контролируемым ресурсам, должна быть назначена [роль](../security/index.md#security-deck-worker) `security-deck.worker` на эти ресурсы.

При [удалении](../operations/workspaces/delete.md) окружения коннектор, использовавшийся окружением, сохраняется.

### Приемники алертов {#alert-sinks}

К окружению Security Deck также привязывается _приемник алертов_, в который будут выгружаться [алерты](alerts.md), поступающие из всех модулей сервиса. Приемник алертов должен располагаться в том же каталоге, который был указан при создании окружения.

При [удалении](../operations/workspaces/delete.md) окружения приемник алертов, использовавшийся окружением, сохраняется.

## Доступ к окружению {#access}

По умолчанию доступ к окружению предоставляется пользователю, создавшему это окружение. 

Чтобы другие пользователи могли работать с определенным окружением, вы можете [предоставить](../operations/workspaces/manage-access.md) им доступ к этому окружению. При этом пользователь, которому предоставляется доступ к окружению, должен также иметь доступ к каталогу, в котором сохраняются ресурсы окружения, а также к облаку, в котором находится этот каталог.

В зависимости от задач, которые будут выполняться пользователем, назначьте ему на нужное окружение [роль](../security/index.md#security-deckviewer-security-deck-viewer) `security-deck.viewer` или выше.

## Дашборд окружения {#dashboard}

В зависимости от настроенных в окружении [модулей](../quickstart-overview.md#modules) Security Deck дашборд содержит карточки с общими сведениями:

* о количестве алертов в окружении;
* о количестве выявленных нарушений правил контроля;
* о выбранных стандартах (наборы требований), на соответствие которым проверяются контролируемые ресурсы;
* о проценте соответствия контролируемых ресурсов выбранным стандартам безопасности.

В дополнение к карточкам дашборд содержит виджеты используемых в окружении модулей Security Deck:

* Виджет модуля [Контроль конфигурации (CSPM)](cspm.md) позволяет настраивать этот модуль и отображает:

    * количество правил с нарушениями;
    * количество правил без нарушений.
* Виджет модуля [Контроль Kubernetes (KSPM)](kspm.md) позволяет настраивать этот модуль и отображает:

    * количество кластеров с ошибками;
    * количество кластеров, требующих внимания.

* Виджет [алертов](alerts.md) позволяет настраивать алерты и содержит список алертов в окружении.

    Список алертов содержит текстовые описания алертов, их источники и статусы, а также индикаторы уровня критичности.

#### Полезные ссылки {#see-also}

* [Создать окружение Security Deck](../operations/workspaces/create.md)
* [Посмотреть дашборд и операции с окружением Security Deck](../operations/workspaces/view-dashboard.md)
* [Изменить окружение Security Deck и его компоненты](../operations/workspaces/update.md)
* [Настроить права доступа к окружению Security Deck](../operations/workspaces/manage-access.md)
* [Удалить окружение Security Deck](../operations/workspaces/delete.md)