ፕሮሆስተር > ጦማር > አስተዳደር > ከ GOST R 57580 እና ከኮንቴይነር ቨርቹዋል ጋር ጓደኝነትን እንዴት መፍጠር እንደሚቻል. የማዕከላዊ ባንክ ምላሽ (እና በዚህ ጉዳይ ላይ ያለን ግምት)

ከ GOST R 57580 እና ከኮንቴይነር ቨርቹዋል ጋር ጓደኝነትን እንዴት መፍጠር እንደሚቻል. የማዕከላዊ ባንክ ምላሽ (እና በዚህ ጉዳይ ላይ ያለን ግምት)

ከረጅም ጊዜ በፊት የ GOST R 57580 (ከዚህ በኋላ በቀላሉ GOST ተብሎ የሚጠራው) መስፈርቶችን ስለማክበር ሌላ ግምገማ አደረግን. ደንበኛው የኤሌክትሮኒክ የክፍያ ስርዓት የሚያዘጋጅ ኩባንያ ነው. ስርዓቱ ከባድ ነው: ከ 3 ሚሊዮን በላይ ተጠቃሚዎች, በየቀኑ ከ 200 ሺህ በላይ ግብይቶች. እዚያም የመረጃ ደህንነትን በቁም ነገር ይመለከቱታል።

በግምገማው ሂደት ውስጥ, ደንበኛው በዘፈቀደ ሁኔታ የልማት ዲፓርትመንት ከቨርቹዋል ማሽኖች በተጨማሪ ኮንቴይነሮችን ለመጠቀም ማቀዱን አስታውቋል. ነገር ግን ከዚህ ጋር, ደንበኛው አክሏል, አንድ ችግር አለ: በ GOST ውስጥ ስለ ተመሳሳይ ዶከር ምንም ቃል የለም. ምን ማድረግ ነው የሚገባኝ? የመያዣዎችን ደህንነት እንዴት መገምገም ይቻላል?

ከ GOST R 57580 እና ከኮንቴይነር ቨርቹዋል ጋር ጓደኝነትን እንዴት መፍጠር እንደሚቻል. የማዕከላዊ ባንክ ምላሽ (እና በዚህ ጉዳይ ላይ ያለን ግምት)

እውነት ነው፣ GOST የሚጽፈው ስለ ሃርድዌር ቨርቹዋል ብቻ ነው - ስለ ቨርቹዋል ማሽኖች፣ ሃይፐርቫይዘር እና አገልጋይ እንዴት መጠበቅ እንደሚቻል። ማብራሪያ እንዲሰጠን ማዕከላዊ ባንክን ጠይቀናል። መልሱ ግራ ተጋባን።

GOST እና ምናባዊነት

ለመጀመር GOST R 57580 "የፋይናንስ ድርጅቶችን የመረጃ ደህንነት ለማረጋገጥ መስፈርቶች" (FI) የሚገልጽ አዲስ መስፈርት መሆኑን እናስታውስ. እነዚህ FIs የክፍያ ሥርዓቶች ኦፕሬተሮችን እና ተሳታፊዎችን፣ የብድር እና የብድር ያልሆኑ ድርጅቶችን፣ የአሠራር እና የማጽዳት ማዕከሎችን ያካትታሉ።

ከጃንዋሪ 1፣ 2021 ጀምሮ፣ FIs ማከናወን ይጠበቅባቸዋል ከአዲሱ GOST መስፈርቶች ጋር የተጣጣመ ግምገማ. እኛ ITGLOBAL.COM እንደዚህ አይነት ግምገማዎችን የምናደርግ የኦዲት ኩባንያ ነን።

GOST ለምናባዊ አከባቢዎች ጥበቃ የተሰጠ ንዑስ ክፍል አለው - ቁጥር 7.8. “ምናባዊነት” የሚለው ቃል እዚያ አልተገለጸም፤ በሃርድዌር እና በኮንቴይነር ቨርቹዋልነት መከፋፈል የለም። ማንኛውም የአይቲ ባለሙያ ከቴክኒካል እይታ ይህ ትክክል አይደለም ይላሉ፡- ቨርቹዋል ማሽን (VM) እና ኮንቴይነሩ የተለያዩ አካባቢዎች፣ የተለያዩ የመገለል መርሆች ያላቸው ናቸው። ቪኤም እና ዶከር ኮንቴይነሮች ከተዘረጉበት የአስተናጋጁ ተጋላጭነት አንጻር ይህ ደግሞ ትልቅ ልዩነት ነው.

የቪኤም እና ኮንቴይነሮች የመረጃ ደህንነት ግምገማ እንዲሁ የተለየ መሆን አለበት ።

ጥያቄዎቻችን ለማዕከላዊ ባንክ

ወደ ማዕከላዊ ባንክ የመረጃ ደህንነት ክፍል ልከናል (ጥያቄዎቹን በአህጽሮት እናቀርባለን)።

  1. የ GOST ተገዢነትን በሚገመግሙበት ጊዜ የዶከር አይነት ምናባዊ መያዣዎችን እንዴት ግምት ውስጥ ማስገባት ይቻላል? በ GOST ንዑስ አንቀጽ 7.8 መሠረት ቴክኖሎጂን መገምገም ትክክል ነው?
  2. ምናባዊ መያዣ አስተዳደር መሳሪያዎችን እንዴት መገምገም ይቻላል? እነሱን ከአገልጋይ ምናባዊ አካላት ጋር ማመሳሰል እና በተመሳሳይ የ GOST ንዑስ ክፍል መገምገም ይቻላል?
  3. በ Docker ኮንቴይነሮች ውስጥ ያለውን የመረጃ ደህንነት በተናጠል መገምገም አለብኝ? ከሆነ፣ በግምገማው ሂደት ውስጥ ለዚህ ምን መከላከያዎች ግምት ውስጥ መግባት አለባቸው?
  4. ኮንቴይነሬሽን ከምናባዊ መሠረተ ልማት ጋር እኩል ከሆነ እና በንዑስ ክፍል 7.8 መሠረት ከተገመገመ ልዩ የመረጃ ደህንነት መሣሪያዎችን ለመተግበር የ GOST መስፈርቶች እንዴት ይተገበራሉ?

የማዕከላዊ ባንክ ምላሽ

ከታች ያሉት ዋና ዋና ክፍሎች ናቸው.

“GOST R 57580.1-2017 በ GOST R 7.8-57580.1 የሚከተሉትን መለኪያዎች ZI ንዑስ አንቀጽ 2017 ጋር በተያያዘ የቴክኒክ እርምጃዎችን በመተግበር ለመተግበር መስፈርቶችን ያዘጋጃል ፣ ይህም በመምሪያው አስተያየት የእቃ መያዥያ ቨርቹዋልን በመጠቀም ጉዳዮች ላይ ሊራዘም ይችላል ። የሚከተሉትን ከግምት ውስጥ በማስገባት ቴክኖሎጂዎች-

  • የርምጃዎች ትግበራ ZSV.1 - ZSV.11 ለምናባዊ ማሽኖች እና ቨርቹዋል ሰርቨር አካላት አመክንዮአዊ መዳረሻን ሲተገበሩ መለያን ፣ ማረጋገጫን ፣ ፍቃድን (የመዳረሻ መቆጣጠሪያን) ለማደራጀት ኮንቴይነሮች ቨርቹዋል ቴክኖሎጂን ከመጠቀም ሊለያዩ ይችላሉ። ይህንን ከግምት ውስጥ በማስገባት በርካታ እርምጃዎችን ለመተግበር (ለምሳሌ ZVS.6 እና ZVS.7) የፋይናንስ ተቋማት ተመሳሳይ ግቦችን የሚያሳድዱ የማካካሻ እርምጃዎችን እንዲያዘጋጁ እንመክራለን;
  • እርምጃዎችን መተግበር ZSV.13 - ZSV.22 የቨርቹዋል ማሽኖች የመረጃ መስተጋብር አደረጃጀት እና ቁጥጥር የቨርቹዋል ቴክኖሎጂን የሚተገብሩ እና የተለያዩ የደህንነት ወረዳዎች አባል የሆኑ የመረጃ ቋቶችን ለመለየት የፋይናንሺያል ድርጅት የኮምፒዩተር አውታረመረብ መከፋፈልን ያቀርባል። ይህንን ከግምት ውስጥ በማስገባት ኮንቴይነር ቨርቹዋል ቴክኖሎጂን ሲጠቀሙ (ከሁለቱም ከሚተገበሩ ምናባዊ ኮንቴይነሮች ጋር በተገናኘ እና በስርዓተ ክወና ደረጃ ጥቅም ላይ ከሚውሉ የቨርቹዋል ስርዓቶች ጋር በተያያዘ) ለተገቢው ክፍፍል ማቅረብ ጥሩ ነው ብለን እናምናለን;
  • እርምጃዎችን አፈፃፀም ZSV.26, ZSV.29 - የቨርቹዋል ማሽኖች ምስሎችን ጥበቃ ለማደራጀት ZSV.31 ምናባዊ መያዣዎችን መሰረታዊ እና ወቅታዊ ምስሎችን ለመጠበቅ በአናሎግ መከናወን አለበት ።
  • the ትግበራ ZVS.32 - ZVS.43 የመረጃ ደህንነት ክስተቶችን ለመቅዳት ወደ ቨርቹዋል ማሽኖች እና ከአገልጋይ ቨርቹዋልላይዜሽን አካላት ጋር በተያያዙ ጉዳዮች በኮንቴይነር ቨርቹዋልላይዜሽን ቴክኖሎጂን ከሚተገብሩ የቨርቹዋል አከባቢ አካላት ጋር በተያያዘም በተመሳሳይ መልኩ መከናወን አለባቸው።

ምን ማለት ነው

ከማዕከላዊ ባንክ የመረጃ ደህንነት መምሪያ ምላሽ ሁለት ዋና መደምደሚያዎች፡-

  • ኮንቴይነሮችን ለመጠበቅ የሚወሰዱ እርምጃዎች ምናባዊ ማሽኖችን ለመጠበቅ ከሚወሰዱ እርምጃዎች አይለዩም;
  • ከዚህ በመነሳት, በመረጃ ደህንነት አውድ ውስጥ, ማዕከላዊ ባንክ ሁለት ዓይነት ቨርቹዋልን - ዶከር ኮንቴይነሮችን እና ቪኤምዎችን ያመሳስለዋል.

ምላሹ በተጨማሪም ስጋቶቹን ለማስወገድ መተግበር ያለባቸውን "የማካካሻ እርምጃዎች" ይጠቅሳል. እነዚህ "የማካካሻ እርምጃዎች" ምን እንደሆኑ እና በቂነታቸውን, ሙሉነታቸውን እና ውጤታማነታቸውን እንዴት እንደሚለኩ ግልጽ አይደለም.

የማዕከላዊ ባንክ አቋም ምን ችግር አለበት?

በግምገማ ወቅት (እና እራስን በሚገመግሙበት ጊዜ) የማዕከላዊ ባንክ ምክሮችን ከተጠቀሙ, በርካታ ቴክኒካዊ እና ሎጂካዊ ችግሮችን መፍታት ያስፈልግዎታል.

  • እያንዳንዱ የማስፈጸሚያ ኮንቴይነር በእሱ ላይ የመረጃ ጥበቃ ሶፍትዌር (አይፒ) ​​መጫን ያስፈልገዋል-ፀረ-ቫይረስ ፣ የታማኝነት ቁጥጥር ፣ ከምዝግብ ማስታወሻዎች ጋር መሥራት ፣ ዲኤልፒ ሲስተሞች (የውሂብ ሌክ መከላከል) እና የመሳሰሉት። ይህ ሁሉ በቪኤም ላይ ያለ ምንም ችግር ሊጫን ይችላል, ነገር ግን በእቃ መያዣ ውስጥ, የመረጃ ደህንነትን መጫን የማይረባ እንቅስቃሴ ነው. ኮንቴይነሩ ለአገልግሎቱ እንዲሠራ የሚያስፈልገውን አነስተኛውን "የሰውነት ስብስብ" ይይዛል. በውስጡ SZI መጫን ትርጉሙን ይቃረናል.
  • የመያዣ ምስሎች በተመሳሳዩ መርህ መሰረት ሊጠበቁ ይገባል, ይህንን እንዴት ተግባራዊ ማድረግ እንደሚቻልም ግልጽ አይደለም.
  • GOST የአገልጋይ ምናባዊ ክፍሎችን ማለትም ወደ ሃይፐርቫይዘር መዳረሻን መገደብ ያስፈልገዋል. በ Docker ጉዳይ እንደ አገልጋይ አካል የሚወሰደው ምንድን ነው? ይህ ማለት እያንዳንዱ ኮንቴነር በተለየ አስተናጋጅ ላይ መሮጥ አለበት ማለት አይደለም?
  • ለተለመደው ቨርቹዋልነት ቪኤምኤስን በደህንነት ኮንቱር እና በኔትወርክ ክፍሎች መገደብ የሚቻል ከሆነ በተመሳሳይ አስተናጋጅ ውስጥ ባሉ የዶከር ኮንቴይነሮች ውስጥ ይህ እንደዛ አይደለም።

በተግባር ግን እያንዳንዱ ኦዲተር ከራሱ እውቀትና ልምድ በመነሳት የመያዣዎችን ደህንነት በራሱ መንገድ ይገመግማል። ደህና, ወይም ጨርሶ አይገመግሙት, አንዱም ሆነ ሌላ ከሌለ.

እንደዚያ ከሆነ፣ ከጃንዋሪ 1፣ 2021 ጀምሮ፣ ዝቅተኛው ነጥብ ከ0,7 በታች መሆን እንደሌለበት እንጨምራለን።

በነገራችን ላይ ከ GOST 57580 እና ከማዕከላዊ ባንክ ደንቦች መስፈርቶች ጋር በተያያዙ ተቆጣጣሪዎች የሚሰጡ ምላሾችን እና አስተያየቶችን በእኛ ውስጥ በየጊዜው እንለጥፋለን የቴሌግራም ቻናል.

ምን ማድረግ

በእኛ አስተያየት የፋይናንስ ድርጅቶች ችግሩን ለመፍታት ሁለት አማራጮች ብቻ አላቸው.

1. መያዣዎችን ከመተግበሩ ይቆጠቡ

የሃርድዌር ቨርቹዋልን ብቻ ለመጠቀም ዝግጁ ለሆኑ እና በተመሳሳይ ጊዜ በ GOST መሠረት ዝቅተኛ ደረጃዎችን እና ከማዕከላዊ ባንክ ቅጣቶችን ይፈራሉ።

ተጨማሪ፡ የ GOST ንዑስ ክፍል 7.8 መስፈርቶችን ማክበር ቀላል ነው።

መቀነስ በኮንቴይነር ቨርቹዋልላይዜሽን ላይ የተመሰረቱ አዳዲስ የልማት መሳሪያዎችን በተለይም ዶከር እና ኩበርኔትስ መተው አለብን።

2. የ GOST ንዑስ ክፍል 7.8 መስፈርቶችን ለማክበር እምቢ ማለት

ነገር ግን በተመሳሳይ ጊዜ ከኮንቴይነሮች ጋር በሚሰሩበት ጊዜ የመረጃ ደህንነትን በማረጋገጥ ረገድ ምርጥ ልምዶችን ይተግብሩ. ይህ ለአዳዲስ ቴክኖሎጂዎች ዋጋ ለሚሰጡ እና ለሚሰጡት እድሎች መፍትሄ ነው. “ምርጥ ልምዶች” ስንል የዶከር ኮንቴይነሮችን ደህንነት ለማረጋገጥ በኢንዱስትሪ ተቀባይነት ያላቸው ደንቦች እና ደረጃዎች ማለታችን ነው፡-

  • የአስተናጋጁ ስርዓተ ክወና ደህንነት, በትክክል የተዋቀረ ምዝግብ ማስታወሻ, በመያዣዎች መካከል የውሂብ ልውውጥ መከልከል እና የመሳሰሉት;
  • የምስሎችን ትክክለኛነት ለማረጋገጥ የ Docker Trust ተግባርን በመጠቀም እና አብሮ የተሰራውን የተጋላጭነት ስካነር በመጠቀም;
  • ስለ የርቀት መዳረሻ ደህንነት እና በአጠቃላይ የአውታረ መረብ ሞዴልን መርሳት የለብንም-እንደ ARP-spoofing እና MAC-flooding ያሉ ጥቃቶች አልተሰረዙም.

ተጨማሪ፡ በመያዣ ቨርቹዋል አጠቃቀም ላይ ምንም ቴክኒካዊ ገደቦች የሉም።

መቀነስ የ GOST መስፈርቶችን ባለማክበር ተቆጣጣሪው የመቅጣት እድሉ ከፍተኛ ነው።

መደምደሚያ

ደንበኞቻችን መያዣዎችን ላለመተው ወሰነ. በተመሳሳይ ጊዜ, የሥራውን ስፋት እና ወደ ዶከር የሚሸጋገርበትን ጊዜ በከፍተኛ ሁኔታ እንደገና ማጤን ነበረበት (ለስድስት ወራት ያህል ቆይተዋል). ደንበኛው አደጋዎቹን በደንብ ይረዳል. ከ GOST R 57580 ጋር በተገናኘ በሚቀጥለው ግምገማ ወቅት ብዙ በኦዲተሩ ላይ እንደሚወሰን ተረድቷል.

በዚህ ሁኔታ ምን ታደርጋለህ?

ምንጭ: hab.com

አስተያየት ያክሉ