[Документация Yandex Cloud](../index.md) > [Yandex Security Deck](index.md) > Начало работы > Обзор

# Начало работы с Yandex Security Deck

Сервис Security Deck предлагает инструменты для обеспечения безопасности данных и соответствия нормативным требованиям и отраслевым стандартам.

## Перед началом работы {#before-begin}

Чтобы начать работать с Security Deck в Yandex Cloud:

1. Если вы еще не зарегистрированы в Yandex Cloud, перейдите в [консоль управления](https://kz.console.yandex.cloud) и следуйте инструкциям.
1. В [сервисе Yandex Cloud Billing](https://kz.console.yandex.cloud/billing) убедитесь, что у вас подключен [платежный аккаунт](../billing/concepts/billing-account.md), и он находится в [статусе](../billing/concepts/billing-account-statuses.md) `ACTIVE` или `TRIAL_ACTIVE`. Если платежного аккаунта нет, [создайте его](../billing/quickstart/index.md#create_billing_account).
1. Если у вас еще нет [каталога](../resource-manager/concepts/resources-hierarchy.md#folder), [создайте его](../resource-manager/operations/folder/create.md).
1. Убедитесь, что у вас есть необходимые [права](security/index.md) для работы с модулями Security Deck. Оптимальные роли для работы:

    * `security-deck.admin` на каталог, в котором будут храниться ресурсы Security Deck и его модули.
    * `auditor` на [организацию](../organization/concepts/organization.md), [облако](../resource-manager/concepts/resources-hierarchy.md#cloud) или каталог, безопасность в которых будет контролироваться окружением.
1. [Создайте](../iam/operations/sa/create.md) [сервисный аккаунт](../iam/concepts/users/service-accounts.md) и [назначьте](../iam/operations/sa/assign-role-for-sa.md) ему [роль](security/index.md#security-deck-worker) `security-deck.worker` на организацию, облако или каталог, безопасность в которых будет контролироваться окружением.

## Создайте окружение Security Deck {#create-workspace}

[Окружение](concepts/workspace.md) — это контейнер, который содержит настройки и ресурсы модулей Security Deck, перечень контролируемых ресурсов, параметры контроля и другие настройки. Окружения позволяют более гранулярно управлять безопасностью инфраструктуры в Yandex Cloud.

Чтобы создать ваше первое окружение Security Deck:

{% list tabs group=instructions %}

- Интерфейс Security Deck {#cloud-sd}

  1. Перейдите в сервис [Yandex Security Deck](https://center.yandex.cloud/security/).
  1. На панели слева выберите ![vector-circle](../_assets/console-icons/vector-circle.svg) **Окружение** и нажмите кнопку **Создать окружение**.
  1. В открывшемся окне **Создание и настройка окружения** в разделе **Основные параметры**:
     
     1. В блоке **Имя окружения** введите имя создаваемого окружения. Требования к имени:
     
         * длина — от 1 до 63 символов;
         * может содержать строчные буквы латинского алфавита, цифры и дефисы;
         * первый символ — буква, последний — не дефис.
     
         При необходимости задайте краткое описание для создаваемого окружения.
     1. В блоке **Каталог для хранения ресурсов** выберите каталог, в котором будут храниться ресурсы Security Deck для создаваемого окружения.
     
         В целях безопасности ресурсы Security Deck рекомендуется хранить в отдельном [облаке](../resource-manager/concepts/resources-hierarchy.md#cloud) и [каталоге](../resource-manager/concepts/resources-hierarchy.md#folder), доступ к которым есть только у сотрудников, отвечающих за безопасность.
     
         {% note info %}
     
         После создания окружения изменить выбранный каталог нельзя.
     
         {% endnote %}
     
     1. В блоке **Оплата ресурсов** привяжите платежный аккаунт, который будет использоваться для оплаты ресурсов модулей безопасности, используемых окружением.
     1. В блоке **Приёмник алертов** выберите нужный [приемник алертов](concepts/workspace.md#alert-sinks), в который будут выгружаться все [алерты](concepts/alerts.md), сгенерированные в окружении.
        
        {% note tip %}
        
        Вы можете пропустить создание приемника алертов. Для этого нажмите **Создать и продолжить**.
        Приемник с именем `default` будет создан автоматически.
        
        {% endnote %}
        
        При необходимости создайте новый приемник алертов. Для этого нажмите кнопку **Создать приёмник**, в открывшемся окне введите имя приемника и нажмите **Создать**.
     1. Нажмите кнопку **Создать и продолжить**, чтобы перейти к следующему этапу — настройке ресурсов окружения.
  1. В открывшемся разделе **Ресурсы**:
     
     1. В блоке **Ресурсы окружения** выберите [коннектор](concepts/workspace.md#connectors), который будет использоваться в создаваемом окружении для доступа к контролируемым ресурсам.
     
         При необходимости создайте новый коннектор:
         
         1. Нажмите кнопку ![plug-connection](../_assets/console-icons/plug-connection.svg) **Создать коннектор** и в открывшемся окне:
         
             1. В поле **Имя** укажите имя коннектора.
             1. (Опционально) В поле **Описание** задайте произвольное описание коннектора.
             1. В поле **Сервисный аккаунт** выберите [сервисный аккаунт](../iam/concepts/users/service-accounts.md), от имени которого будет осуществляться доступ к облачным ресурсам.
         
                 В блоке ниже вы можете посмотреть, к каким ресурсам выбранный сервисный аккаунт имеет доступ.
                 
                 Сервисному аккаунту должна быть назначена [роль](security/index.md#security-deck-worker) `security-deck.worker` на контролируемые в создаваемом окружении ресурсы.
         
             1. Нажмите кнопку **Создать коннектор**.
     
     1. В появившемся блоке с коннектором нажмите кнопку ![circle-plus](../_assets/console-icons/circle-plus.svg) **Выбрать облако/каталог**, чтобы выбрать ресурсы ([облака](../resource-manager/concepts/resources-hierarchy.md#cloud) и [каталоги](../resource-manager/concepts/resources-hierarchy.md#folder)), безопасность в которых будет контролироваться в создаваемом окружении:
        
        1. Отметьте ресурсы, безопасность которых вы хотите контролировать в окружении. Для выбора доступны только те ресурсы, к которым есть доступ у выбранного ранее сервисного аккаунта.
        1. Нажмите кнопку **Сохранить выбор**.
     1. Нажмите кнопку **Сохранить и продолжить**.
  1. В открывшемся разделе **Модули контроля**:
     
     1. В блоке **Наборы требований** выберите отраслевые стандарты и нормативные акты, на соответствие которым будут проверяться выбранные на предыдущем шаге ресурсы:
     
         * ![base-standard-yc](../_assets/security-deck/cspm-base-yc.svg) [Базовые правила безопасности облачной платформы Yandex Cloud](concepts/standard-compliance/yc-security-baseline.md) — минимальный набор требований безопасности, обеспечивающих базовую защиту облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud.
         * ![cspm-standard-yc](../_assets/security-deck/cspm-standard-yc.svg) [Стандарт по защите облачной инфраструктуры Yandex Cloud](concepts/standard-compliance/yc-cloud-security-standard.md) — [стандарт](../security/standard/all.md) предоставляет комплексные требования безопасности и лучшие практики для защиты облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud. Эти элементы помогают обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.
         * ![pci-dss-standard](../_assets/security-deck/cspm-pci-dss.svg) [PCI DSS](https://yandex.cloud/ru-kz/security/standards/pci) (Payment Card Industry Data Security Standard) — стандарт безопасности данных платежных карт, включающий требования к управлению безопасностью, правилам, процедурам, сетевой архитектуре, разработке программного обеспечения и другим критически важным мерам защиты.
         * ![152-fz-standard](../_assets/security-deck/cspm-152-fz.svg) Требования [ФСТЭК (Приказ № 21) для защиты персональных данных](https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21) — стандарт содержит меры по защите персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных.
         
         * ![cspm-standard-k8s-restricted](../_assets/security-deck/cspm-standard-k8s-restricted.svg) Kubernetes Pod Security Standards (Restricted) — стандарт содержит элементы управления безопасностью на основе ограниченного профиля [Kubernetes Pod Security Standards (PSS) Restricted profile](https://kubernetes.io/docs/concepts/security/pod-security-standards/#restricted). Ограниченный профиль является наиболее безопасным и обеспечивает наивысший уровень обнаружения атак на основе контейнеров. Он применяет строгие политики безопасности, которые могут потребовать модификации приложений для соответствия. Ограниченный профиль рекомендуется для критически важных с точки зрения безопасности приложений и сред, где требуется максимальная безопасность.
         * ![cspm-standard-k8s-baseline](../_assets/security-deck/cspm-standard-k8s-baseline.svg) Kubernetes Pod Security Standards (Baseline) — стандарт содержит элементы управления безопасностью на основе базового профиля стандартов безопасности [Kubernetes Pod Security Standards (PSS) Baseline profile](https://kubernetes.io/docs/concepts/security/pod-security-standards/#baseline). Базовый профиль разработан для легкого внедрения и предоставляет общие лучшие практики безопасности контейнеров. Он предотвращает наиболее распространенные проблемы безопасности контейнеров, сохраняя совместимость с большинством приложений. Базовый профиль является хорошей отправной точкой для организаций, которые только начинают работать с безопасностью контейнеров.
         * ![cspm-standard-k8s-ms](../_assets/security-deck/cspm-standard-k8s-ms.svg) Microsoft Threat Matrix for Kubernetes — стандарт содержит элементы управления безопасностью на основе [Microsoft Threat Matrix for Kubernetes](https://www.microsoft.com/en-us/security/blog/2020/04/02/attack-matrix-kubernetes/) — фреймворка, который помогает командам безопасности понимать и защищаться от угроз, специфичных для сред Kubernetes. Он предоставляет комплексный взгляд на техники атак и оборонительные стратегии, адаптированные для платформ оркестрации контейнеров.
         * ![cspm-cis-k8s-standard](../_assets/security-deck/cspm-cis-k8s-standard.svg) CIS Kubernetes Benchmark — стандарт содержит рекомендации [CIS Kubernetes Benchmark](https://www.cisecurity.org/benchmark/kubernetes) для безопасной настройки компонентов на рабочих узлах Kubernetes. Включает только автоматические проверки из раздела `4 Worker Nodes`.
     
         Вы можете выбрать одновременно несколько стандартов. При этом в блоке **Модули контроля** будут отображаться модули Security Deck, которые будут активированы в создаваемом окружении для проверки ресурсов на соответствие выбранным стандартам и нормативным актам.
     1. (Опционально) В блоке **Модули контроля** активируйте дополнительные модули Security Deck, необходимые вам в окружении.
        
        Например, модуль **Контроль данных (DSPM)** не зависит от выбранных в окружении стандартов и нормативных актов, и его необходимо активировать для окружения вручную.
     1. Нажмите кнопку **Сохранить и продолжить**.
  1. (Опционально) В открывшемся разделе **Права доступа** добавьте пользователей, которым будет доступно создаваемое окружение, и назначьте им роли в этом окружении:
     
     1. Нажмите кнопку ![person-plus](../_assets/console-icons/person-plus.svg) **Добавить пользователей** и в открывшемся окне:
     
         1. Выберите нужного пользователя из списка. При необходимости воспользуйтесь строкой поиска.
         1. В открывшемся окне нажмите кнопку ![plus](../_assets/console-icons/plus.svg) **Добавить роль** и выберите роль, которую хотите назначить пользователю. Вы можете назначить несколько ролей.
         1. Нажмите кнопку **Сохранить**.
     
     1. Нажмите кнопку **Завершить**, чтобы завершить создание окружения Security Deck.
     
     Вы можете не добавлять в окружение дополнительных пользователей. В этом случае окружение будет доступно только его создателю.

{% endlist %}

## Модули Yandex Security Deck {#modules}

В сервис Security Deck входят следующие модули:

* [Контроль данных (DSPM)](#dspm)
* [Контроль Kubernetes (KSPM)](#kspm)
* [Диагностика доступов (CIEM)](#ciem)
* [Контроль конфигурации (CSPM)](#cspm)
* [Обнаружение угроз (TD)](#td)
* [Управление уязвимостями](#vulnerability-management)
* [Access Transparency](#access-transparency)
* [Портал соответствия требованиям](#compliance)

Чтобы использовать какой-либо из модулей, перейдите в [интерфейс Security Deck](https://center.yandex.cloud/security/) и выберите нужный модуль на панели слева. На открывшейся странице вы сможете подробнее ознакомиться с возможностями инструмента и условиями его использования. Чтобы использовать выбранный модуль, выполните необходимые для его работы настройки. 

### Контроль данных (DSPM) {#dspm}

[Модуль контроля данных](https://center.yandex.cloud/security/dspm/) или DSPM (Data Security Posture Management) — это инструмент, помогающий оперативно обнаруживать чувствительную информацию, сохраненную в [бакетах](../storage/concepts/bucket.md) Yandex Object Storage и [Яндекс Дисках](https://yandex.ru/support/yandex-360/business/disk/web/ru/index.html) в Яндекс 360, с тем чтобы своевременно принимать необходимые меры для ее защиты от несанкционированного доступа или утечки (настраивать [политики доступа](../storage/concepts/policy.md), обезличивать данные и т. п.).

Одна из ключевых возможностей DSPM — это анализ всех данных, хранящихся в бакетах в заданном окружении. [Анализ](operations/dspm/discovery-mode.md) запускается автоматически при создании окружения, сканируются все данные в бакетах.

С помощью анализа вы можете точнее определять, в каких ресурсах могут находиться чувствительные данные, и получить готовый источник данных для последующего подробного сканирования. Поиск чувствительных данных при этом занимает меньше времени, чем сканирование источника данных, созданного вручную.

{% note info %}

Анализ данных тарифицируется отдельно от [сканирований](concepts/dspm.md#scanning) источников данных.

{% endnote %}

Чтобы начать работать с модулем DSPM, [активируйте](#create-workspace) его в настройках текущего [окружения](concepts/workspace.md) Security Deck и воспользуйтесь инструкциями по [анализу данных](operations/dspm/discovery-mode.md), [созданию источника данных](operations/dspm/create-data-source.md) и [созданию сканирования](operations/dspm/create-scan.md) информации.

Подробнее в разделе [Модуль контроля данных (DSPM)](concepts/dspm.md).

### Контроль Kubernetes (KSPM) {#kspm}

[Контроль Kubernetes (KSPM)](concepts/kspm.md) — это инструмент, позволяющий обеспечивать безопасность использования [контейнеризованных приложений](../glossary/containerization.md).

Модуль KSPM автоматически обнаруживает все имеющиеся в заданном [окружении](concepts/workspace.md) кластеры Kubernetes и контейнеры и устанавливает в них компоненты защиты в соответствии с заданной конфигурацией. Защита новых кластеров включается автоматически, без ручного поиска и установки компонентов.

Модуль обеспечивает проверку рабочей нагрузки на предмет некорректных конфигураций и контроль безопасности среды выполнения с помощью сенсоров, выявляющих атаки на узлы и контейнеры.

### Диагностика доступов (CIEM) {#ciem}

[Диагностика доступов](https://center.yandex.cloud/security/iam-diagnostics/) Security Deck — это инструмент, позволяющий централизованно [просматривать](operations/ciem/view-permissions.md) полный список доступов [субъектов](../iam/concepts/access-control/index.md#subject): [пользователей](../overview/roles-and-resources.md#users), [сервисных аккаунтов](../iam/concepts/users/service-accounts.md), [групп пользователей](../organization/concepts/groups.md), [системных групп](../iam/concepts/access-control/system-group.md) и [публичных групп](../iam/concepts/access-control/public-group.md) к [ресурсам](../iam/concepts/access-control/resources-with-access-control.md) организации. Этот инструмент также позволяет легко [отзывать](operations/ciem/revoke-permissions.md) у субъектов лишние доступы. Подробнее в разделе [Модуль диагностики доступов (CIEM)](concepts/ciem.md).

Чтобы начать работать с модулем CIEM, воспользуйтесь инструкциями по [просмотру](operations/ciem/view-permissions.md) и [отзыву](operations/ciem/revoke-permissions.md) доступов.

### Контроль конфигурации (CSPM) {#cspm}

[Контроль конфигурации (CSPM)](concepts/cspm.md) — это инструмент, контролирующий уровень безопасности инфраструктуры на основе стандартов безопасности, таких как [Стандарт по защите облачной инфраструктуры Yandex Cloud](../security/standard/all.md).

Контроль конфигурации (CSPM) в заданном [окружении](concepts/workspace.md) выполняет проверки соответствия облачной инфраструктуры и приложений, развернутых на платформе Yandex Cloud, комплексным требованиям и лучшим практикам в сфере безопасности. [Правила](concepts/cspm.md#rules) и [исключения](concepts/cspm.md#exceptions) модуля позволяют обеспечить соответствие политикам безопасности и защиту от общих угроз и уязвимостей в облачной среде.

### Обнаружение угроз (TD) {#td}

Модуль [Обнаружение угроз (TD)](concepts/threat-detector.md) представляет собой первую линию защиты облачной инфраструктуры пользователя в Yandex Security Deck и позволяет в автоматическом режиме обнаруживать подозрительную активность и уведомлять пользователя об обнаруженных угрозах.

Модуль Обнаружение угроз анализирует события аудита, фиксируемые в инфраструктуре клиента и регистрируемые с помощью сервиса [Yandex Audit Trails](../audit-trails/index.md). Модуль не требует настройки правил или привлечения экспертов в сфере безопасности и активируется автоматически при настройке [окружения](concepts/workspace.md) Security Deck.

При каждом срабатывании [правила](concepts/threat-detector.md#rules) на потенциальную угрозу безопасности Security Deck формирует [алерт](concepts/alerts.md) с подробной информацией о событии и советами по устранению выявленной угрозы. К анализу алерта и поиску решения по устранению вы можете привлечь AI-ассистента, который более подробно изложит суть проблемы и предложит оптимальные способы ее решения.

### Управление уязвимостями {#vulnerability-management}

[Модуль управления уязвимостями](https://center.yandex.cloud/security/vulnerability-management/) позволяет централизованно управлять сканированием контейнерных образов на уязвимости и просматривать результаты сканирований ресурсов в окружении. Модуль поддерживает сканирование образов из реестров Container Registry и Cloud Registry, а также образов, запущенных в кластерах Managed Service for Kubernetes.

Сканирование может запускаться автоматически при загрузке образа в реестр, по расписанию или при использовании образа в кластере Kubernetes. Модуль интегрирован с KSPM для определения запущенных образов и отображения информации о том, какие образы с уязвимостями используются в проверяемом окружении.

Подробнее в разделе [О модуле Управление уязвимостями (VM)](concepts/vulnerability-management.md).

### Access Transparency {#access-transparency}

[Access Transparency](https://center.yandex.cloud/security/transparency/) — это автоматизированный инструмент, предназначенный для просмотра аналитической информации о действиях, которые инженеры Yandex Cloud производили с ресурсами организации. Такие действия могли выполняться в ходе технического обслуживания, работы с [обращениями](../support/overview.md) или решения задач безопасности.

Этот инструмент позволяет обеспечить прозрачность работы и контроль над действиями инженеров Yandex Cloud: логи их работы автоматически анализирует специально обученная модель на базе YandexGPT и при необходимости создает эскалацию для проверки сессии специалистом по информационной безопасности Yandex Cloud.

Чтобы подключить и использовать сервис Access Transparency, ваша [организация](../organization/quickstart.md) должна быть привязана к [платежному аккаунту](../billing/concepts/billing-account.md). Чтобы привязать организацию к платежному аккаунту, воспользуйтесь [инструкцией](../billing/operations/change-organization.md).

Когда к организации будет привязан платежный аккаунт, выберите его в модуле [Access Transparency](https://center.yandex.cloud/security/transparency/).

Подробнее в разделе [Access Transparency](concepts/access-transparency.md).

### Портал соответствия требованиям {#compliance}

[Портал соответствия требованиям](https://yandex.cloud/ru-kz/security/compliance-portal) Security Deck содержит все необходимые документы, отчеты, инструкции и дополнительные сведения о системе безопасности Yandex Cloud.

Здесь вы можете как скачать публичные документы, так и запросить документы, содержащие конфиденциальные данные и доступные по запросу.

Подробнее в разделе [Портал соответствия требованиям](concepts/compliance.md).

## Что дальше {#whats-next}

* Узнайте, [как посмотреть правила контроля безопасности модуля CSPM и их нарушения](operations/cspm/view-rules.md).
* Узнайте, [как сканировать данные в бакетах на наличие чувствительной информации](operations/dspm/create-scan.md) в Security Deck.
* Узнайте, [как просмотреть список доступов субъекта](operations/ciem/view-permissions.md) в Security Deck.
* Узнайте о [необходимых правах доступа](security/index.md) для работы с Security Deck.