ProHoster > Blog > administrasie > Hoe om vriende te maak met GOST R 57580 en houervirtualisering. Die reaksie van die Sentrale Bank (en ons oorwegings oor hierdie aangeleentheid)

Hoe om vriende te maak met GOST R 57580 en houervirtualisering. Die reaksie van die Sentrale Bank (en ons oorwegings oor hierdie aangeleentheid)

Nie lank gelede nie het ons nog 'n assessering van voldoening aan die vereistes van GOST R 57580 (hierna verwys as bloot GOST) uitgevoer. Die kliënt is 'n maatskappy wat 'n elektroniese betalingstelsel ontwikkel. Die stelsel is ernstig: meer as 3 miljoen gebruikers, meer as 200 duisend transaksies daagliks. Hulle neem inligtingsekuriteit baie ernstig op daar.

Tydens die evalueringsproses het die kliënt terloops aangekondig dat die ontwikkelingsafdeling, benewens virtuele masjiene, beplan om houers te gebruik. Maar hiermee, het die kliënt bygevoeg, is daar een probleem: in GOST is daar nie 'n woord oor dieselfde Docker nie. Wat moet ek doen? Hoe om die sekuriteit van houers te evalueer?

Hoe om vriende te maak met GOST R 57580 en houervirtualisering. Die reaksie van die Sentrale Bank (en ons oorwegings oor hierdie aangeleentheid)

Dit is waar, GOST skryf net oor hardeware-virtualisering - oor hoe om virtuele masjiene, 'n hiperviser en 'n bediener te beskerm. Ons het die Sentrale Bank om opheldering gevra. Die antwoord het ons verbaas.

GOST en virtualisering

Om mee te begin, laat ons onthou dat GOST R 57580 'n nuwe standaard is wat "vereistes vir die versekering van inligtingsekuriteit van finansiële organisasies" (FI) spesifiseer. Hierdie FI's sluit in operateurs en deelnemers van betalingstelsels, krediet- en nie-kredietorganisasies, operasionele en verrekeningsentrums.

Vanaf 1 Januarie 2021 word FI's verplig om op te tree assessering van voldoening aan die vereistes van die nuwe GOST. Ons, ITGLOBAL.COM, is 'n ouditmaatskappy wat sulke assesserings doen.

GOST het 'n onderafdeling wat toegewy is aan die beskerming van gevirtualiseerde omgewings - nr. 7.8. Die term "virtualisering" word nie daar gespesifiseer nie; daar is geen verdeling in hardeware en houervirtualisering nie. Enige IT-spesialis sal sê dat dit uit 'n tegniese oogpunt verkeerd is: 'n virtuele masjien (VM) en 'n houer is verskillende omgewings, met verskillende isolasiebeginsels. Vanuit die oogpunt van die kwesbaarheid van die gasheer waarop die VM- en Docker-houers ontplooi word, is dit ook 'n groot verskil.

Dit blyk dat die assessering van die inligtingsekuriteit van VM'e en houers ook anders behoort te wees.

Ons vrae aan die Sentrale Bank

Ons het dit na die Inligtingsekuriteitsafdeling van die Sentrale Bank gestuur (ons bied die vrae in verkorte vorm aan).

  1. Hoe om Docker-tipe virtuele houers te oorweeg wanneer GOST-voldoening beoordeel word? Is dit korrek om tegnologie in ooreenstemming met subartikel 7.8 van GOST te evalueer?
  2. Hoe om virtuele houerbestuurnutsmiddels te evalueer? Is dit moontlik om hulle gelyk te stel aan bedienervirtualiseringskomponente en dit volgens dieselfde onderafdeling van GOST te evalueer?
  3. Moet ek die sekuriteit van inligting binne Docker-houers afsonderlik evalueer? Indien wel, watter voorsorgmaatreëls moet hiervoor tydens die assesseringsproses oorweeg word?
  4. As houerskaping gelykgestel word aan virtuele infrastruktuur en geassesseer word volgens subartikel 7.8, hoe word GOST-vereistes vir die implementering van spesiale inligtingsekuriteitsinstrumente geïmplementeer?

Sentrale Bank se reaksie

Hieronder is die hoofuittreksels.

“GOST R 57580.1-2017 stel vereistes vir implementering vas deur die toepassing van tegniese maatreëls met betrekking tot die volgende maatreëls ZI subartikel 7.8 van GOST R 57580.1-2017, wat, na die mening van die Departement, uitgebrei kan word na gevalle van die gebruik van houervirtualisering tegnologieë, met inagneming van die volgende:

  • die implementering van maatreëls ZSV.1 - ZSV.11 vir die organisering van identifikasie, verifikasie, magtiging (toegangsbeheer) by die implementering van logiese toegang tot virtuele masjiene en virtualisasiebedienerkomponente kan verskil van gevalle van die gebruik van houervirtualiseringstegnologie. As ons dit in ag neem, om 'n aantal maatreëls te implementeer (byvoorbeeld ZVS.6 en ZVS.7), glo ons dit is moontlik om aan te beveel dat finansiële instellings kompenserende maatreëls ontwikkel wat dieselfde doelwitte sal nastreef;
  • die implementering van maatreëls ZSV.13 - ZSV.22 vir die organisasie en beheer van inligting-interaksie van virtuele masjiene maak voorsiening vir die segmentering van die rekenaarnetwerk van 'n finansiële organisasie om te onderskei tussen informatiseringsvoorwerpe wat virtualiseringstegnologie implementeer en aan verskillende sekuriteitskringe behoort. As ons dit in ag neem, glo ons dit is raadsaam om voorsiening te maak vir toepaslike segmentering wanneer houervirtualiseringstegnologie gebruik word (beide met betrekking tot uitvoerbare virtuele houers en met betrekking tot virtualiseringstelsels wat op die bedryfstelselvlak gebruik word);
  • die implementering van maatreëls ZSV.26, ZSV.29 - ZSV.31 om die beskerming van beelde van virtuele masjiene te organiseer, moet ook na analogie uitgevoer word om basiese en huidige beelde van virtuele houers te beskerm;
  • die implementering van maatreëls ZVS.32 - ZVS.43 vir die opneem van inligtingsekuriteitsgebeurtenisse wat verband hou met toegang tot virtuele masjiene en bedienervirtualiseringskomponente moet na analogie uitgevoer word, ook met betrekking tot elemente van die virtualiseringsomgewing wat houervirtualiseringstegnologie implementeer."

Wat beteken dit

Twee hoofgevolgtrekkings uit die reaksie van die Sentrale Bank Inligtingsekuriteitsdepartement:

  • maatreëls om houers te beskerm verskil nie van maatreëls om virtuele masjiene te beskerm nie;
  • Dit volg hieruit dat, in die konteks van inligtingsekuriteit, die Sentrale Bank twee tipes virtualisering gelykstel - Docker-houers en VM's.

Die reaksie noem ook “kompenserende maatreëls” wat toegepas moet word om die dreigemente te neutraliseer. Dit is net onduidelik wat hierdie "kompenserende maatreëls" is en hoe om hul toereikendheid, volledigheid en doeltreffendheid te meet.

Wat is fout met die Sentrale Bank se posisie?

As jy die aanbevelings van die Sentrale Bank tydens assessering (en selfassessering) gebruik, moet jy 'n aantal tegniese en logiese probleme oplos.

  • Elke uitvoerbare houer vereis die installering van inligtingbeskermingsagteware (IP) daarop: antivirus, integriteitsmonitering, werk met logs, DLP-stelsels (Data Leak Prevention), ensovoorts. Dit alles kan sonder enige probleme op 'n VM geïnstalleer word, maar in die geval van 'n houer is die installering van inligtingsekuriteit 'n absurde stap. Die houer bevat die minimum hoeveelheid "body kit" wat nodig is vir die diens om te funksioneer. Die installering van 'n SZI daarin weerspreek die betekenis daarvan.
  • Houerbeelde moet volgens dieselfde beginsel beskerm word; hoe om dit te implementeer is ook onduidelik.
  • GOST vereis beperking van toegang tot bedienervirtualiseringskomponente, dit wil sê tot die hipervisor. Wat word beskou as 'n bedienerkomponent in die geval van Docker? Beteken dit nie dat elke houer op 'n aparte gasheer uitgevoer moet word nie?
  • As dit vir konvensionele virtualisering moontlik is om VM's deur sekuriteitskontoere en netwerksegmente af te baken, dan is dit nie die geval in die geval van Docker-houers binne dieselfde gasheer nie.

In die praktyk is dit waarskynlik dat elke ouditeur die sekuriteit van houers op sy eie manier sal assesseer, gebaseer op sy eie kennis en ervaring. Wel, of moet dit glad nie evalueer nie, as daar nie die een of die ander is nie.

Net vir ingeval, ons sal byvoeg dat vanaf 1 Januarie 2021 die minimum telling nie laer as 0,7 moet wees nie.

Terloops, ons plaas gereeld antwoorde en kommentaar van reguleerders wat verband hou met die vereistes van GOST 57580 en Sentrale Bankregulasies in ons Telegram kanaal.

Wat om te doen

Na ons mening het finansiële organisasies net twee opsies om die probleem op te los.

1. Vermy die implementering van houers

'N Oplossing vir diegene wat gereed is om te bekostig om slegs hardeware-virtualisering te gebruik en terselfdertyd bang is vir lae graderings volgens GOST en boetes van die Sentrale Bank.

plus: dit is makliker om aan die vereistes van subartikel 7.8 van GOST te voldoen.

minus: Ons sal nuwe ontwikkelingsinstrumente wat op houervirtualisering gebaseer is, moet laat vaar, veral Docker en Kubernetes.

2. Weier om aan die vereistes van subartikel 7.8 van GOST te voldoen

Maar pas terselfdertyd die beste praktyke toe om inligtingsekuriteit te verseker wanneer jy met houers werk. Dit is 'n oplossing vir diegene wat nuwe tegnologieë en die geleenthede wat dit bied waardeer. Met "beste praktyke" bedoel ons industrie-aanvaarde norme en standaarde om die veiligheid van Docker-houers te verseker:

  • sekuriteit van die gasheer-bedryfstelsel, behoorlik gekonfigureerde logging, verbod op data-uitruiling tussen houers, ensovoorts;
  • die Docker Trust-funksie te gebruik om die integriteit van beelde na te gaan en die ingeboude kwesbaarheidskandeerder te gebruik;
  • Ons moet nie vergeet van die sekuriteit van afstandtoegang en die netwerkmodel as geheel nie: aanvalle soos ARP-spoofing en MAC-flooding is nie gekanselleer nie.

plus: geen tegniese beperkings op die gebruik van houervirtualisering nie.

minus: daar is 'n groot waarskynlikheid dat die reguleerder sal straf vir nie-nakoming van GOST-vereistes.

Gevolgtrekking

Ons kliënt het besluit om nie houers prys te gee nie. Terselfdertyd moes hy die omvang van werk en die tydsberekening van die oorgang na Docker aansienlik heroorweeg (dit het vir ses maande geduur). Die kliënt verstaan ​​die risiko's baie goed. Hy verstaan ​​ook dat tydens die volgende assessering van voldoening aan GOST R 57580, baie van die ouditeur sal afhang.

Wat sou jy in hierdie situasie doen?

Bron: will.com

Voeg 'n opmerking