Рекомендации по защите и безопасному использованию Яндекс 360

Введение

На этой странице мы собрали рекомендации по техническим мерам защиты в Яндекс 360. Они помогут повысить безопасность вашей организации.

Рекомендации сопровождаются ссылками на API и решения по настройке.

Область применения

Рекомендации предназначены для администраторов и специалистов по ИБ. Они отвечают за безопасность систем, использующих Яндекс 360.

Некоторые пункты стандарта имеют смысл не для всех организаций. Используйте стандарт как основу для разработки рекомендаций и внутренних правил организации.

Требования и подготовка

Для проверок убедитесь, что:

  • у вас есть необходимые права доступа к API Яндекс 360;
  • вы знакомы с документацией API;
  • у вас есть доступ к аудит-логам.

Вы можете автоматизировать аудит с помощью скриптов, использующих API.

Ограничение ответственности

В Яндекс 360 используется концепция разделения ответственности. Граница ответственности за безопасность определяется типом используемой платформы (модель SaaS), встроенными механизмами защиты и политиками, которые предоставляет провайдер.

Яндекс как поставщик услуг отвечает за:

  • физическую безопасность дата-центров;
  • отказоустойчивость платформы;
  • защиту сетевой инфраструктуры;
  • мониторинг событий;
  • механизмы Security-by-Default.

Клиент отвечает за:

  • настройку и управление доступом;
  • внедрение политик паролей;
  • включение двухфакторной аутентификации;
  • конфигурацию сетевых правил;
  • обработку и классификацию данных;
  • резервное копирование;
  • аудит объектов внутри организации.

Рекомендации по безопасности в PDF-формате

Для вашего удобства мы подготовили файл со списком рекомендаций ниже. Скачайте и распечатайте его. По мере выполнения рекомендаций отмечайте пункты из этого списка.

Скачать PDF-файл

Аутентификация и управление доступом

Минимальное количество администраторов организации

Администраторы обладают максимальными правами. Через кабинет администратора они управляют профилем организации, сменой владельца, настройкой доменов и работой с аудит-логами.

Чрезмерное количество администраторов увеличивает риски.

  • Ограничьте число администраторов до минимально необходимого.
  • Для остальных задач используйте роли с ограниченными правами. Какие есть роли.
  1. Войдите в аккаунт администратора организации.
  2. Перейдите на страницу Сотрудники.
  3. Найдите пользователей с пометкой Администратор. Они отмечены специальным значком.

Запрет на использование одного аккаунта администратора несколькими сотрудниками

Не позволяйте нескольким сотрудникам иметь доступ к одному аккаунту администратора. Это усложнит возможность доступа злоумышленников к аккаунту администратора и позволит отследить, кто и когда выполнял в нем действия.

Использование второго фактора для доменных пользователей и пользователей Яндекс ID

Настройте двухфакторную аутентификацию (2FA) для всех сотрудников, использующих Яндекс ID или доменные учетные записи Яндекс 360. Для входа потребуется пароль и одноразовый код. Это минимальный стандарт безопасности, который необходимо внедрять во всех организациях, работающих с защищенной или критичной информацией. Как настроить

  • Чтобы получить статус настройки 2FA:
    1. Для организации:
      • Наличие прав: ya360_security:domain_2fa_write — управление обязательной двухфакторной аутентификацией.
      • Метод для запроса: Domain2FAService_Get.
      • Параметр в ответе: enabled — имеет значение true.
    2. Для каждого доменного пользователя:
      • Наличие прав: directory:read_users — чтение данных сотрудников.
      • Метод для запроса: UserService_Get2fa.
      • Параметр в ответе: has2fa — имеет значение true.
  • Чтобы проверить, что у доменных пользователей отсутствует возможность отложить включение второго фактора:
    • Наличие прав: ya360_security:domain_2fa_write — управление обязательной двухфакторной аутентификацией.
    • Метод для запроса: Domain2FAService_Disable.

  1. Войдите в аккаунт администратора организации.

  2. Выберите Безопасность → Подтверждение входа.

  3. Задайте настройку Кому включить:

    • Всем сотрудникам для всей организации.
    • Выбранным сотрудникам для персональной настройки.

  4. Установите Срок предупреждения для установки срока, после которого сотрудники не смогут отложить настройку.

  5. Нажмите Включить.

Включенная парольная политика организации

Если вы не используете SSO, ограничьте срок действия паролей пользователей. Установите срок действия пароля не более 180 дней, чтобы пользователи меняли его не реже раза в полгода. Когда срок действия закончится, Яндекс предложит сотруднику изменить пароль.

  • Наличие прав: ya360_security:domain_passwords_read — чтение информации о параметрах паролей пользователей.
  • Метод для запроса: DomainPasswordsService_Get.
  • Параметры в ответе:
    • enabled — значение равно true.
    • changeFrequency — значение не более 180 дней.

Измените параметры парольной политики:

  • Наличие прав: ya360_security:domain_passwords_write — управление параметрами паролей пользователей.
  • Метод для запроса: DomainPasswordsService_Update.

Наличие средств восстановления для учетной записи владельца организации

  • Убедитесь, что у учетной записи владельца доменного пользователя есть привязанный номер телефона для восстановления через SMS или звонок.
  • Включите двухфакторную аутентификацию для доменного аккаунта через API.
  1. Войдите в аккаунт администратора организации.
  2. Проверьте в настройках безопасности:
    • привязанный телефон;
    • активированную 2FA.
  1. Проверьте возможность восстановления доступа учетной записи владельца организации:
    • Наличие прав: directory:read_users — чтение информации о параметрах паролей пользователей.
    • Метод для запроса: UserService_Get2fa.
    • Параметры в ответе:
      • hasSecurityPhone — значение равно true.
      • has2fa — значение равно true.
  2. Проверьте глобальные настройки 2FA в организации:
    • Наличие прав: ya360_security:domain_2fa_write — управление обязательной двухфакторной аутентификацией для пользователей.
    • Метод для запроса: Domain2FAService_Get.
    • Параметр в ответе: enabled — имеет значение true.
  1. Войдите в аккаунт администратора организации.
  2. Выберите в меню Безопасность → Подтверждение входа.
  3. Задайте настройки:
    • Кому включить — укажите Всем сотрудникам.
  4. Нажмите кнопку Включить.

Для аккаунтов на Яндексе передайте владение организацией доменному пользователю.

Включите 2FA для доменного аккаунта:

  • Наличие прав: ya360_security:domain_2fa_write — управление обязательной двухфакторной аутентификацией для пользователей.
  • Метод для запроса: Domain2FAService_Enable.

Безопасность сессий и cookies

Настройте ограничение времени жизни cookie-сессий, после которого сотрудникам нужно повторно входить в аккаунт. По умолчанию срок жизни не ограничен.

Мы рекомендуем устанавливать время жизни cookie не более 7 дней (604 800 секунд).

  • Наличие прав: ya360_security:domain_sessions_read — чтение информации о времени жизни cookie-сессий пользователей.
  • Метод для запроса: DomainSessionsService_Get.
  • Параметр в ответе: authTTL — время в секундах, через которое сессии истекают (при 0 срок жизни не ограничен).

Ограничьте время жизни cookie-сессий:

  • Наличие прав: ya360_security:domain_sessions_write — управление временем жизни cookie-сессий пользователей и авторизацией.
  • Метод для запроса: DomainSessionsService_Update.

Мониторинг и аудит

Блокировка неактивных пользователей организации

Чтобы минимизировать риски несанкционированного доступа, блокируйте или удаляйте учетные записи, не использовавшиеся более 30 дней. Это особенно актуально для организаций с частым оборотом персонала, подрядчиков или временных сотрудников.

  • Наличие прав: ya360_security:read_auditlog — чтение событий аудит-лога организации.
  • Метод для запроса: get-logs.
  • Параметр в ответе: occurred_at — значение меньше или равно 30 дней.

Инструкции:

Применяйте совместно с ограничением времени жизни cookie-сессий. Как настроить

Настройка мониторинга событий аудит-лога

Настройте сбор и анализ событий для выявления угроз. События включают:

  • входы в аккаунт;
  • действия с письмами и файлами;
  • изменения в кабинете организации;
  • действия других администраторов с архивом писем и настройками правил для писем.
  1. Войдите в аккаунт администратора организации.
  2. Выберите Аудит-логи.
  3. Убедитесь, что кнопка Подключить отсутствует.

Как включить сбор логов

Шифрование и защита данных

Привязка номера телефона для каждого доменного пользователя

Обяжите всех доменных пользователей привязать номера телефонов к учетным записям. Это повышает безопасность аутентификации.

Перейдите на страницу Телефоны.

На странице будет указано несколько номеров, если в другом сервисе Яндекса был указан номер, который отличается от основного.

  • Наличие прав: directory:read_users — чтение информации о параметрах пользователей.
  • Метод для запроса: UserService_Get2fa.
  • Параметр в ответе: hasSecurityPhone — значение равно true.

Как привязать номер телефона

Настройка существующей DLP-системы

Настройте DLP-систему для защиты корпоративной информации и минимизации риска несанкционированных утечек данных.

  • Наличие прав: ya360_admin:mail_read_routing_rules — чтение правил обработки почты.
  • Метод для запроса: RoutingService_GetRules.
  • Параметр в ответе: forward — есть в наличии и указывает на специально созданный DLP-адрес (dlp@domain.ru или аналогичный).

Инструкция по настройке DLP-системы

Защита корпоративной почты

Настройка DKIM-подписи

Установите DKIM-подпись для писем, которые сотрудники отправляют с вашего домена. Тогда получатель сможет удостовериться в том, что письмо действительно пришло от вас.

Как настроить DKIM-подпись

Настройка SPF-записи

Настройте SPF-запись, которая помогает снизить риск того, что письмо, отправленное с адреса на вашем домене, попадет в спам у получателя.

Как настроить SPF-запись

Ограничение на получение нежелательных писем

Управляйте письмами, которые получают сотрудники, с помощью правил обработки. Например, ограничьте получение писем с определенного адреса.

Как настроить правила обработки писем

Интеграции и сторонние сервисы

Запрет на использование портальных учетных записей

Исключите использование личных аккаунтов с адресом @yandex.ru в организации, так как для них невозможно централизованно управлять политиками безопасности. Владение организацией должно быть только у доменных пользователей.

  • Наличие прав: directory:read_users — чтение данных о сотрудниках.
  • Метод для запроса: UserService_List.
  • Параметр в ответе: email — не должен оканчиваться на @yandex.ru.

Как передать владение организацией

Использование SSO

Реализуйте доступ через единый вход (SSO) с использованием внешнего SAML-совместимого поставщика удостоверений (IdP) для централизованного управления доступом. Доменные пользователи не должны существовать параллельно с SSO-аккаунтами.

Как подключить SSO

Синхронизация пользователей из Active Directory

Если в вашей компании развернута служба федерации Active Directory, настройте автоматическую синхронизацию сотрудников и групп с Яндекс 360 для бизнеса. Если сотрудник уволится или злоумышленники получат доступ к его аккаунту, вы сможете отключить аккаунт в Active Directory, и он заблокируется в Яндексе.

Как синхронизировать пользователей

Установка запрета на аутентификацию во внешних сервисах

Для повышения уровня информационной безопасности установите запрет на аутентификацию сотрудников организации в сторонних OAuth-сервисах с использованием их корпоративных учетных записей. Это предотвращает передачу корпоративных OAuth-токенов сторонним приложениям, минимизирует риск фишинга, компрометации доступа и утечки корпоративных данных через подключение внешних сервисов.

  • Наличие прав: ya360_security:domain_settings_read — чтение информации о возможности авторизации во внешних OAuth-сервисах.
  • Метод для запроса: OauthAccessRestrictionsService_Get.
  • Параметр в ответе: restricted — значение должно быть равно true.

Установите запрет на аутентификацию во внешних сервисах:

  • Наличие прав: ya360_security:domain_settings_write — управление возможностью авторизации во внешних OAuth-сервисах.
  • Метод для запроса: OauthAccessRestrictionsService_Enable.

Установка запрета на подключение сервисных приложений

Сервисные приложения могут запрашивать различные права доступа (scopes) и использовать корпоративные ресурсы. Неконтролируемое подключение сервисных приложений значительно повышает риски кражи данных, несанкционированного доступа, внедрения вредоносного кода и обхода внешних политик безопасности.

Для повышения защищенности организации максимально ограничьте подключение сервисных приложений:

  • либо полностью запретите;
  • либо разрешите доступ только доверенным приложениям;
  • запретите подключение по умолчанию;
  • регулярно проверяйте подключенные приложения;
  • немедленно удаляйте подозрительные приложения.

Проверяйте все выданные OAuth-токены:

  • применяйте принцип минимальных привилегий к каждому сервисному приложению;
  • ведите реестр токенов (владелец, назначение, минимальный набор разрешений);
  • проводите ревизию не реже раза в квартал;
  • используйте короткоживущие токены для разовых задач;
  • оперативно отзывайте лишние токены.
  • Наличие прав: ya360_security:service_applications_read — чтение списка сервисных приложений.
  • Метод для запроса: ServiceApplicationsService_Get.
  • Параметр в ответе: массив applications с объектами — список приложений.

  1. Установите запрет на подключение сервисных приложений:

    • Наличие прав: ya360_security:service_applications_write — управление списком сервисных приложений (чтение и запись).
    • Метод для запроса: ServiceApplicationsService_Deactivate.

  2. Сократите список сервисных приложений:

    • Наличие прав: ya360_security:service_applications_write — управление списком сервисных приложений (чтение и запись).
    • Метод для запроса: ServiceApplicationsService_Create.

Single Sign-On (SSO), или технология единого входа, — это метод аутентификации, который позволяет пользователям использовать один набор учетных данных для авторизации в нескольких приложениях. Это решение помогает централизованно управлять доступом сотрудников и обеспечивать безопасность данных.

Cookie (куки) — файл, который отправляется сервером и хранится на компьютере пользователя для идентификации его сессии в веб-приложении.

Содержит информацию о списке серверов, которые имеют право отправлять письма от имени заданного домена. SPF-запись снижает риск того, что письмо, отправленное с адреса на вашем домене, попадет в спам у адресата. Настройка SPF прописывается в TXT-записи для домена.

Цифровая подпись, которая подтверждает подлинность отправителя и гарантирует целостность доставленного письма. Настройка DKIM прописывается в TXT-записи для домена.

Технология, которая помогает обнаружить и предотвратить передачу сотрудниками конфиденциальной информации, такой как персональные данные, коммерческая тайна, интеллектуальная собственность и т. д.

Имя компании в интернете. Например, у Яндекса это yandex.ru. На домене можно создавать почтовые ящики сотрудников с адресами вида login@example.com. Как настроить домены

Предыдущая
Как отключить
Следующая
Двухфакторная аутентификация