Yandex 360’ın korunması ve güvenli kullanımı için öneriler

Giriş

Bu sayfada Yandex 360’taki teknik koruma önlemlerine ilişkin önerileri derledik. Kuruluşunuzun güvenliğini artırmanıza yardımcı olacaklardır.

Önerilere API ve yapılandırma çözümlerine bağlantılar eşlik etmektedir.

Uygulama alanı

Öneriler, yöneticiler ve bilgi güvenliği uzmanları için tasarlanmıştır. Yandex 360 kullanan sistemlerin güvenliğinden onlar sorumludur.

Standardın bazı maddeleri tüm kuruluşlar için anlamlı olmayabilir. Standardı, kuruluşunuzun önerilerini ve iç kurallarını geliştirmek için bir temel olarak kullanın.

Gereksinimler ve hazırlık

Kontroller için aşağıdakilerden emin olun:

  • Yandex 360 API’sine gerekli erişim haklarına sahipsiniz;
  • API belgelerine aşinasınız;
  • denetim günlüklerine erişiminiz var.

Denetimi, API kullanan betiklerle otomatikleştirebilirsiniz.

Sorumluluk sınırlaması

Yandex 360’ta sorumluluk paylaşımı konsepti kullanılır. Güvenlik sorumluluğunun sınırı, kullanılan platformun türü (SaaS modeli), yerleşik koruma mekanizmaları ve sağlayıcının sunduğu politikalar tarafından belirlenir.

Bir hizmet sağlayıcı olarak Yandex aşağıdakilerden sorumludur:

  • veri merkezlerinin fiziksel güvenliği;
  • platformun hata toleransı;
  • ağ altyapısının korunması;
  • olayların izlenmesi;
  • Güvenlik-varsayılan mekanizmaları.

Müşteri aşağıdakilerden sorumludur:

  • erişimin yapılandırılması ve yönetimi;
  • parola politikalarının uygulanması;
  • iki faktörlü kimlik doğrulamanın etkinleştirilmesi;
  • ağ kurallarının yapılandırılması;
  • verilerin işlenmesi ve sınıflandırılması;
  • yedekleme;
  • kuruluş içindeki nesnelerin denetimi.

PDF formatında güvenlik önerileri

Kolaylığınız için aşağıda önerilerin listesini içeren bir dosya hazırladık. İndirin ve yazdırın. Önerileri yerine getirdikçe bu listedeki maddeleri işaretleyin.

{% file src="https://doc-static.yandex.net/support/business/ru/files/security-recommendations.pdf" name="{% src="Va61535e1-e1df-42a3-bc90-592bb2b4305b-460-v" name="PDF dosyasını indir" type="application/pdf" %}" type="application/pdf" %}

Kimlik doğrulama ve erişim yönetimi

Kuruluş için minimum yönetici sayısı

Yöneticiler maksimum haklara sahiptir. Kuruluş paneli aracılığıyla kuruluş profilini, sahip değişikliğini, alan adı ayarlarını ve denetim günlükleriyle çalışmayı yönetirler.

Aşırı sayıda yönetici riskleri artırır.

  • Yönetici sayısını gereken minimumla sınırlayın.
  • Diğer görevler için sınırlı haklara sahip rolleri kullanın. Hangi roller var.
  1. Kuruluş paneli’i açın.
  2. Çalışanlar sayfasına geçin.
  3. Yöneticietiketine sahip kullanıcıları bulun. Özel bir simgeyle işaretlenmiştirler.

Bir yönetici hesabının birden fazla çalışan tarafından kullanılmasının yasaklanması

Birden fazla çalışanın aynı yönetici hesabına erişimine izin vermeyin. Bu, saldırganların yönetici hesabına erişimini zorlaştıracak ve hesapta kimin ne zaman işlem yaptığının izlenmesine olanak tanıyacaktır.

Alan adı kullanıcıları ve Yandex ID kullanıcıları için ikinci faktör kullanımı

Yandex ID veya Yandex 360 alan adı hesaplarını kullanan tüm çalışanlar için iki faktörlü kimlik doğrulamayı (2FA) yapılandırın. Giriş için parola ve tek kullanımlık kod gerekecektir. Bu, korumalı veya kritik bilgilerle çalışan tüm kuruluşlarda uygulanması gereken asgari güvenlik standardıdır. Nasıl yapılandırılır

  • 2FA yapılandırma durumunu almak için:
    1. Kuruluş için:
      • Yetki durumu: ya360_security:domain_2fa_write – zorunlu iki faktörlü kimlik doğrulamanın yönetimi.
      • Sorgulama yöntemi: Domain2FAService_Get.
      • Yanıtta yer alan parametre: enabledtrue değerine sahiptir.
    2. Her bir alan adı kullanıcısı için:
      • Yetki durumu: directory:read_users – çalışan verilerini okuma.
      • Sorgulama yöntemi: UserService_Get2fa.
      • Yanıtta yer alan parametre: has2fatrue değerine sahiptir.
  • Alan adı kullanıcılarının ikinci faktörü etkinleştirmeyi erteleme olasılığının olmadığını kontrol etmek için:
    • Yetki durumu: ya360_security:domain_2fa_write – zorunlu iki faktörlü kimlik doğrulamanın yönetimi.
    • Sorgulama yöntemi: Domain2FAService_Disable.

  1. Kuruluş paneli’i açın.

  2. GüvenlikGiriş Onayı’nı seçin.

  3. Kimin için etkinleştirilecek ayarını belirleyin:

    • Tüm çalışanlara tüm kuruluş adına.
    • Seçilen çalışanlar için kişisel ayarlamalar.

  4. Çalışanların ayarlamayı erteleyemeyeceği süreyi belirlemek için Uyarı Süresi’ni ayarlayın.

  5. Etkinleştir'e tıklayın.

Etkinleştirilmiş kuruluş parola politikası

SSO kullanmazsanız, kullanıcı şifrelerinin geçerlilik süresini sınırlayın. Kullanıcıların parolalarını en az altı ayda bir değiştirmesi için parola geçerlilik süresini en fazla 180 gün olarak ayarlayın. Geçerlilik süresi sona erdiğinde, Yandex çalışandan şifreyi değiştirmesini isteyecektir.

  • Yetki durumu: ya360_security:domain_passwords_read – kullanıcı şifre ayarlarına ilişkin bilgileri okuma.
  • Sorgulama yöntemi: DomainPasswordsService_Get.
  • Yanıtta parametreler:
    • enabled – değeri true’dur.
    • changeFrequency– değeri 180 günden fazla olamaz.

Parola politikası parametrelerini değiştirin:

  • Hakların varlığı: ya360_security:domain_passwords_write – kullanıcı şifre ayarlarını yönetme.
  • Sorgulama yöntemi: DomainPasswordsService_Update.

Kuruluş sahibi hesabı için kurtarma araçlarının mevcudiyeti

  • Alan adı kullanıcısı sahibi hesabında, SMS veya arama yoluyla kurtarma için bağlı bir telefon numarası olduğundan emin olun.
  • API aracılığıyla alan adı hesabı için iki faktörlü kimlik doğrulamayı etkinleştirin.
  1. Kuruluşun yönetici hesabına giriş yapın.
  2. Güvenlik ayarlarında kontrol edin:
    • bağlı telefon;
    • etkinleştirilmiş 2FA.
  1. Kuruluş sahibi hesabına erişimin kurtarılabilirliğini kontrol edin:
    • Hakların varlığı: directory:read_users – kullanıcı şifre parametrelerine ilişkin bilgileri okuma.
    • Sorgulama yöntemi: UserService_Get2fa.
    • Yanıtta parametreler:
      • hasSecurityPhone – değeri true’dur.
      • has2fa – değeri true’dur.
  2. Kuruluştaki genel 2FA ayarlarını kontrol edin:
    • Hakların varlığı: ya360_security:domain_2fa_write – kullanıcılar için zorunlu iki faktörlü kimlik doğrulamayı yönetme.
    • Sorgulama yöntemi: Domain2FAService_Get.
    • Yanıtta yer alan parametre: enabledtrue değerine sahiptir.
  1. Kuruluş paneli’i açın.
  2. GüvenlikGiriş Onayı menüsünü seçin.
  3. Ayarları belirleyin:
    • Kime uygulanacakTüm çalışanlarseçeneğini işaretleyin.
  4. Etkinleştir butonuna tıklayın.

Yandex’teki hesaplar için kuruluş sahipliğini bir alan adı kullanıcısına devredin.

Alan adı hesabı için 2FA’yı etkinleştirin:

  • Hakların varlığı: ya360_security:domain_2fa_write – kullanıcılar için zorunlu iki faktörlü kimlik doğrulamayı yönetme.
  • Sorgulama yöntemi:Domain2FAService_Enable.

Oturumların ve çerezlerin güvenliği

Çerez oturumlarının ömrünü sınırlayacak şekilde yapılandırın; bu süreden sonra çalışanların hesaba yeniden giriş yapması gerekecektir. Varsayılan olarak ömür sınırlandırılmamıştır.

Çerez ömrünün en fazla 7 gün (604.800 saniye) olarak ayarlanmasını öneririz.

  • Hakların varlığı: ya360_security:domain_sessions_read – kullanıcıların çerez oturumlarının geçerlilik süresi hakkındaki bilgileri okuma.
  • Sorgulama yöntemi:DomainSessionsService_Get.
  • Yanıtta yer alan parametre: authTTL – oturumların sona erme süresi (saniye cinsinden); 0 değeri, süre sınırlaması olmadığı anlamına gelir.

Çerez oturumlarının ömrünü sınırlandırın:

  • Hakların varlığı:ya360_security:domain_sessions_write – kullanıcıların çerez oturum sürelerinin ve oturum açmaların yönetimi.
  • Sorgulama yöntemi:DomainSessionsService_Update.

İzleme ve denetim

Etkin olmayan kuruluş kullanıcılarının bloke edilmesi

Yetkisiz erişim risklerini en aza indirmek için 30 günden uzun süredir kullanılmayan hesapları bloke edin veya silin. Bu, özellikle sık personel değişimi olan kuruluşlar, yükleniciler veya geçici çalışanlar için önemlidir.

  • Hakların varlığı: ya360_security:read_auditlog – Kurum denetim günlüğü olaylarının okunması.
  • Sorgulama yöntemi: get-logs.
  • Yanıtta parametre: occurred_at – değer 30 güne eşit veya daha az.

Talimatlar:

Çerez oturumlarının ömrünün sınırlandırılmasıyla birlikte uygulayın. Nasıl yapılandırılır

Denetim günlüğü olaylarının izlenmesinin yapılandırılması

Tehditleri belirlemek için olayların toplanmasını ve analizini yapılandırın. Olaylar şunları içerir:

  • hesap girişleri;
  • e-postalar ve dosyalarla ilgili işlemler;
  • kuruluş panelindeki değişiklikler;
  • diğer yöneticilerin e-posta arşivi ve e-posta kural ayarlarıyla ilgili işlemleri.
  1. Kuruluş paneli’i açın.
  2. Denetim loglarını seçin.
  3. Bağla butonunun olmadığından emin olun.

Günlük kaydı nasıl etkinleştirilir

Veri şifreleme ve koruma

Her alan adı kullanıcısı için telefon numarası bağlama

Tüm alan adı kullanıcılarını telefon numaralarını hesaplarına bağlamaya zorunlu kılın. Bu, kimlik doğrulama güvenliğini artırır.

Telefonlar sayfasına geçin.

Sayfada, başka bir Yandex servisinde birincil olandan farklı bir numara belirtilmişse birden fazla numara gösterilecektir.

  • Hakların varlığı: directory:read_users – kullanıcı parametrelerine ilişkin bilgileri okuma.
  • Sorgulama yöntemi: UserService_Get2fa.
  • Yanıtta parametre: hasSecurityPhone – değeri true’dur.

Telefon numarası nasıl bağlanır

Mevcut DLP sisteminin yapılandırılması

Kurumsal bilgilerin korunması ve yetkisiz veri sızıntısı riskinin en aza indirilmesi için DLP sistemini yapılandırın.

  • Yetki varlığı: ya360_admin:mail_read_routing_rules – e-posta işleme kurallarının okunması.
  • Sorgulama yöntemi: RoutingService_GetRules.
  • Yanıtta parametre: forward – mevcut ve özel olarak oluşturulmuş bir DLP adresini (dlp@domain.ru veya benzeri) işaret eder.

DLP sisteminin yapılandırılması talimatı

Kurumsal e-postanın korunması

DKIM imza ayarları

Çalışanların alan adınızdan gönderdiği e-postalar için DKIM imzası ayarlayın. Böylece alıcı e-postanın gerçekten sizden geldiğini doğrulayabilir.

DKIM imzası nasıl ayarlanır?

SPF kaydının ayarlanması

Alan adınızdaki bir adresten gönderilen bir e-postanın alıcıda spam’e dönüşme riskini azaltmaya yardımcı olan SPF kaydını ayarlayın.

SPF kaydı nasıl ayarlanır

İstenmeyen e-postaların alınmasının kısıtlanması

Çalışanların aldığı e-postaları işleme kurallarıyla yönetin. Örneğin, belirli bir adresten e-posta almayı engelleyin.

E-posta işleme kuralları nasıl ayarlanır?

Entegrasyonlar ve üçüncü taraf hizmetler

Portal hesap kullanımının yasaklanması

Güvenlik politikalarının merkezi olarak yönetilmesi mümkün olmadığından, kurum içinde @yandex.ru uzantılı kişisel hesapların kullanımını engelleyin. Kuruluş sahipliği yalnızca alan adı kullanıcılarında olmalıdır.

  • Hak durumu: directory:read_users – çalışanların verilerini okuma.
  • Sorgulama yöntemi: UserService_List.
  • Yanıtta parametreler: email@yandex.ru ile bitmemelidir.

Kurum sahipliği nasıl devredilir

SSO kullanımı

Merkezi erişim yönetimi için harici bir SAML uyumlu kimlik sağlayıcı (IdP) kullanarak tek oturum açma (SSO) aracılığıyla erişim uygulayın. Alan adı kullanıcıları, SSO hesaplarıyla paralel olarak bulunmamalıdır.

SSO nasıl bağlanır

Active Directory’den kullanıcı eşitlemesi

Şirketiniz Active Directory federasyon uygulaması kullanıyorsa, çalışanların ve grupların Yandex 360 for Business ile otomatik senkronizasyonunu ayarlayabilirsiniz. Bir çalışan işten ayrılırsa veya kötü niyetli kişiler hesabına erişim sağlarsa, hesabı Active Directory’de devre dışı bırakabilirsiniz. Bu durumda hesabınız Yandex’te engellenecektir.

Kullanıcılar nasıl eşitlenir

Harici servislerde kimlik doğrulamanın yasaklanması

Bilgi güvenliği seviyesini artırmak için, kuruluş çalışanlarının kurumsal hesaplarını kullanarak üçüncü taraf OAuth hizmetlerinde kimlik doğrulamasını yasaklayın. Bu, kurumsal OAuth belirteçlerinin üçüncü taraf uygulamalara aktarılmasını önler, harici servislerin bağlanması yoluyla kimlik avı, erişim güvenliğinin ihlali ve kurumsal veri sızıntısı riskini en aza indirir.

  • Yetkilerin mevcudiyeti: ya360_security:domain_settings_read – dış OAuth servislerinde yetkilendirme olanağına ilişkin bilgilerin okunması.
  • Sorgulama yöntemi: OauthAccessRestrictionsService_Get.
  • Yanıtta parametreler: restricted – değerin karşılığı true olmalı.

Harici servis kimlik doğrulama yasağını ayarlayın:

  • Yetkilerin mevcudiyeti: ya360_security:domain_settings_write – Dış OAuth servislerinde yetkilendirme olanağının yönetimi.
  • Sorgulama yöntemi: OauthAccessRestrictionsService_Enable.

Servis uygulamalarının bağlanmasının yasaklanması

Servis uygulamaları çeşitli erişim hakları (kapsamlar) talep edebilir ve kurumsal kaynakları kullanabilir. Servis uygulamalarının kontrolsüz bağlanması, veri hırsızlığı, yetkisiz erişim, kötü amaçlı kod enjeksiyonu ve harici güvenlik politikalarının atlatılması risklerini önemli ölçüde artırır.

Kuruluşun güvenliğini artırmak için servis uygulamalarının bağlanmasını maksimum düzeyde sınırlandırın:

  • ya tamamen yasaklayın;
  • ya da erişime yalnızca güvenilir uygulamalara izin verin;
  • varsayılan olarak bağlantıyı yasaklayın;
  • bağlı uygulamaları düzenli olarak kontrol edin;
  • şüpheli uygulamaları derhal kaldırın.

Verilen tüm OAuth belirteçlerini kontrol edin:

  • her servis uygulamasına asgari ayrıcalık ilkesini uygulayın;
  • belirteç kaydı tutun (sahibi, amacı, minimum izin seti);
  • en az üç ayda bir revizyon yapın;
  • tek seferlik görevler için kısa ömürlü belirteçler kullanın;
  • gereksiz belirteçleri hızlıca iptal edin.
  • Yetkilerin mevcudiyeti: ya360_security:service_applications_read: Servis uygulaması listesini okuma.
  • Sorgulama yöntemi: ServiceApplicationsService_Get.
  • Yanıtta parametreler: dizi applications nesnelerle – uygulamalar listesi.

  1. Servis uygulamalarının bağlanması yasağını ayarlayın:

  2. Servis uygulamaları listesini kısaltın:

    • Yetkilerin mevcudiyeti: ya360_security:service_applications_write: Servis uygulaması listesini yönetme (okuma ve kayıt).
    • Sorgulama yöntemi: ServiceApplicationsService_Create.

Single Sign-On (SSO) veya tek oturum açma teknolojisi, kullanıcıların birden fazla uygulamada kimlik doğrulaması yapmak için tek bir kimlik bilgisi seti kullanmasına olanak tanıyan bir kimlik doğrulama yöntemidir. Bu çözüm, çalışan erişiminin merkezi olarak yönetilmesine ve veri güvenliğinin sağlanmasına yardımcı olur.

Belirtilen alan adı adına e-posta gönderme yetkisi olan sunucuların listesi hakkında bilgi içerir. SPF kaydı, alan adınızdaki bir adresten gönderilen e-postanın, alıcı tarafta spam kutusuna düşme riskini azaltır. SPF ayarı, alan adı için TXT kaydında belirtilir.

Gönderenin kimliğini doğrulayan ve teslim edilen e-postanın bütünlüğünü garanti eden dijital imza. DKIM ayarı, alan adı için TXT kaydında belirtilir.

Çalışanların kişisel veriler, ticari sırlar, fikri mülkiyet vb. gibi hassas bilgileri paylaşmasını tespit etmeye ve önlemeye yardımcı olan teknoloji.

Şirketin internetteki adı. Örneğin, Yandex’te bu yandex.com.tr ’dur. Alan adında, login@example.com şeklinde çalışanlara ait e-posta adresleri oluşturabilirsiniz. Alan adları nasıl oluşturulur?

Önceki
Nasıl devre dışı bırakılır
Sonraki
Çift aşamalı kimlik doğrulama