ProHoster > بلوق > إدارة > كيفية تكوين صداقات مع GOST R 57580 والمحاكاة الافتراضية للحاويات. رد البنك المركزي (واعتباراتنا في هذا الشأن)

كيفية تكوين صداقات مع GOST R 57580 والمحاكاة الافتراضية للحاويات. رد البنك المركزي (واعتباراتنا في هذا الشأن)

منذ وقت ليس ببعيد أجرينا تقييمًا آخر للامتثال لمتطلبات GOST R 57580 (المشار إليها فيما بعد باسم GOST ببساطة). العميل هو شركة تقوم بتطوير نظام الدفع الإلكتروني. النظام جدي: أكثر من 3 ملايين مستخدم، أكثر من 200 ألف معاملة يوميًا. إنهم يأخذون أمن المعلومات على محمل الجد هناك.

أثناء عملية التقييم، أعلن العميل بشكل عرضي أن قسم التطوير، بالإضافة إلى الأجهزة الافتراضية، يخطط لاستخدام الحاويات. ولكن مع هذا، أضاف العميل، هناك مشكلة واحدة: في GOST لا توجد كلمة عن نفس Docker. ماذا علي أن أفعل؟ كيفية تقييم أمن الحاويات؟

كيفية تكوين صداقات مع GOST R 57580 والمحاكاة الافتراضية للحاويات. رد البنك المركزي (واعتباراتنا في هذا الشأن)

هذا صحيح، GOST يكتب فقط عن المحاكاة الافتراضية للأجهزة - حول كيفية حماية الأجهزة الافتراضية وبرنامج Hypervisor والخادم. وطلبنا من البنك المركزي التوضيح. الجواب حيرنا.

GOST والمحاكاة الافتراضية

في البداية، دعونا نتذكر أن GOST R 57580 هو معيار جديد يحدد "متطلبات ضمان أمن المعلومات للمؤسسات المالية" (FI). وتشمل هذه المؤسسات المالية المشغلين والمشاركين في أنظمة الدفع، والمنظمات الائتمانية وغير الائتمانية، ومراكز التشغيل والمقاصة.

اعتبارًا من 1 يناير 2021، يتعين على المؤسسات المالية إجراء ذلك تقييم الامتثال لمتطلبات GOST الجديدة. نحن، ITGLOBAL.COM، شركة تدقيق تقوم بإجراء مثل هذه التقييمات.

لدى GOST قسم فرعي مخصص لحماية البيئات الافتراضية - رقم 7.8. لم يتم تحديد مصطلح "المحاكاة الافتراضية" هناك، ولا يوجد تقسيم إلى المحاكاة الافتراضية للأجهزة والحاويات. سيقول أي متخصص في تكنولوجيا المعلومات أن هذا غير صحيح من الناحية الفنية: فالجهاز الظاهري (VM) والحاوية بيئتان مختلفتان، مع مبادئ عزل مختلفة. من وجهة نظر ضعف المضيف الذي يتم نشر حاويات VM وDocker عليه، يعد هذا أيضًا فرقًا كبيرًا.

اتضح أن تقييم أمن المعلومات للأجهزة الافتراضية والحاويات يجب أن يكون مختلفًا أيضًا.

أسئلتنا للبنك المركزي

أرسلناها إلى إدارة أمن المعلومات في البنك المركزي (نعرض الأسئلة بشكل مختصر).

  1. كيف يمكن أخذ الحاويات الافتراضية من نوع Docker في الاعتبار عند تقييم الامتثال لـ GOST؟ هل من الصحيح تقييم التكنولوجيا وفقًا للقسم الفرعي 7.8 من GOST؟
  2. كيفية تقييم أدوات إدارة الحاويات الافتراضية؟ هل من الممكن مساواتها بمكونات المحاكاة الافتراضية للخادم وتقييمها وفقًا لنفس القسم الفرعي من GOST؟
  3. هل أحتاج إلى تقييم أمان المعلومات داخل حاويات Docker بشكل منفصل؟ إذا كان الأمر كذلك، ما هي الضمانات التي ينبغي مراعاتها أثناء عملية التقييم؟
  4. إذا كانت الحاويات مساوية للبنية التحتية الافتراضية ويتم تقييمها وفقًا للقسم الفرعي 7.8، فكيف يتم تنفيذ متطلبات GOST لتنفيذ أدوات أمن المعلومات الخاصة؟

رد البنك المركزي

فيما يلي المقتطفات الرئيسية.

"يحدد GOST R 57580.1-2017 متطلبات التنفيذ من خلال تطبيق التدابير الفنية فيما يتعلق بالتدابير التالية ZI القسم الفرعي 7.8 من GOST R 57580.1-2017، والتي، في رأي الإدارة، يمكن توسيعها لتشمل حالات استخدام المحاكاة الافتراضية للحاويات التقنيات، مع مراعاة ما يلي:

  • قد يختلف تنفيذ التدابير ZSV.1 - ZSV.11 لتنظيم التعريف والمصادقة والترخيص (التحكم في الوصول) عند تنفيذ الوصول المنطقي إلى الأجهزة الافتراضية ومكونات خادم المحاكاة الافتراضية عن حالات استخدام تقنية المحاكاة الافتراضية للحاويات. ومع أخذ ذلك في الاعتبار، فمن أجل تنفيذ عدد من التدابير (على سبيل المثال، ZVS.6 وZVS.7)، نعتقد أنه من الممكن أن نوصي المؤسسات المالية بوضع تدابير تعويضية تسعى إلى تحقيق نفس الأهداف؛
  • ينص تنفيذ التدابير ZSV.13 - ZSV.22 لتنظيم ومراقبة تفاعل المعلومات للأجهزة الافتراضية على تجزئة شبكة الكمبيوتر الخاصة بمؤسسة مالية للتمييز بين كائنات المعلوماتية التي تنفذ تقنية المحاكاة الافتراضية وتنتمي إلى دوائر أمنية مختلفة. مع أخذ ذلك في الاعتبار، نعتقد أنه من المستحسن توفير التجزئة المناسبة عند استخدام تقنية المحاكاة الافتراضية للحاويات (سواء فيما يتعلق بالحاويات الافتراضية القابلة للتنفيذ أو فيما يتعلق بأنظمة المحاكاة الافتراضية المستخدمة على مستوى نظام التشغيل)؛
  • ينبغي تنفيذ التدابير ZSV.26 وZSV.29 - ZSV.31 لتنظيم حماية صور الأجهزة الافتراضية عن طريق القياس أيضًا من أجل حماية الصور الأساسية والحالية للحاويات الافتراضية؛
  • ينبغي تنفيذ التدابير ZVS.32 - ZVS.43 لتسجيل أحداث أمن المعلومات المتعلقة بالوصول إلى الأجهزة الافتراضية ومكونات المحاكاة الافتراضية للخادم عن طريق القياس أيضًا فيما يتعلق بعناصر بيئة المحاكاة الافتراضية التي تنفذ تقنية المحاكاة الافتراضية للحاويات."

ماذا يعني ذلك؟

استنتاجان رئيسيان من استجابة إدارة أمن المعلومات بالبنك المركزي:

  • ولا تختلف تدابير حماية الحاويات عن تدابير حماية الأجهزة الافتراضية؛
  • ويترتب على ذلك أنه في سياق أمن المعلومات، يساوي البنك المركزي بين نوعين من المحاكاة الافتراضية - حاويات Docker وVMs.

ويذكر الرد أيضًا "التدابير التعويضية" التي يجب تطبيقها لتحييد التهديدات. من غير الواضح ما هي هذه "التدابير التعويضية" وكيفية قياس مدى كفايتها واكتمالها وفعاليتها.

ما العيب في موقف البنك المركزي؟

إذا كنت تستخدم توصيات البنك المركزي أثناء التقييم (والتقييم الذاتي)، فأنت بحاجة إلى حل عدد من الصعوبات الفنية والمنطقية.

  • تتطلب كل حاوية قابلة للتنفيذ تثبيت برنامج حماية المعلومات (IP) عليها: مكافحة الفيروسات ومراقبة السلامة والعمل مع السجلات وأنظمة DLP (منع تسرب البيانات) وما إلى ذلك. كل هذا يمكن تثبيته على جهاز افتراضي دون أي مشاكل، ولكن في حالة الحاوية، فإن تثبيت أمن المعلومات يعد خطوة سخيفة. تحتوي الحاوية على الحد الأدنى من "مجموعة أدوات الجسم" اللازمة لتشغيل الخدمة. تثبيت SZI فيه يتناقض مع معناه.
  • يجب حماية صور الحاويات وفقًا لنفس المبدأ، ولكن كيفية تنفيذ ذلك غير واضحة أيضًا.
  • يتطلب GOST تقييد الوصول إلى مكونات المحاكاة الافتراضية للخادم، أي إلى برنامج Hypervisor. ما الذي يعتبر مكون خادم في حالة Docker؟ ألا يعني هذا أن كل حاوية يجب تشغيلها على مضيف منفصل؟
  • إذا كان من الممكن، في المحاكاة الافتراضية التقليدية، تحديد الأجهزة الافتراضية حسب خطوط الأمان وقطاعات الشبكة، ففي حالة حاويات Docker داخل نفس المضيف، فإن هذا ليس هو الحال.

ومن الناحية العملية، من المحتمل أن يقوم كل مدقق بتقييم أمان الحاويات بطريقته الخاصة، بناءً على معرفته وخبرته الخاصة. حسنًا، أو لا تقم بتقييمه على الإطلاق، إذا لم يكن هناك هذا ولا ذاك.

تحسبًا، سنضيف أنه اعتبارًا من 1 يناير 2021، يجب ألا يقل الحد الأدنى للدرجات عن 0,7.

بالمناسبة، ننشر بانتظام ردود وتعليقات من الجهات التنظيمية فيما يتعلق بمتطلبات GOST 57580 ولوائح البنك المركزي في منطقتنا. قناة برقية.

ما يجب القيام به

في رأينا، المنظمات المالية لديها خياران فقط لحل المشكلة.

1. تجنب تنفيذ الحاويات

حل لأولئك الذين هم على استعداد لاستخدام المحاكاة الافتراضية للأجهزة فقط وفي نفس الوقت يخشون انخفاض التصنيفات وفقًا لـ GOST والغرامات من البنك المركزي.

بالإضافة إلى: من الأسهل الامتثال لمتطلبات القسم الفرعي 7.8 من GOST.

أقل: سيتعين علينا التخلي عن أدوات التطوير الجديدة القائمة على المحاكاة الافتراضية للحاويات، ولا سيما Docker وKubernetes.

2. رفض الامتثال لمتطلبات القسم الفرعي 7.8 من GOST

ولكن في الوقت نفسه، قم بتطبيق أفضل الممارسات في ضمان أمن المعلومات عند العمل مع الحاويات. وهذا هو الحل لأولئك الذين يقدرون التقنيات الجديدة والفرص التي توفرها. نعني بـ "أفضل الممارسات" القواعد والمعايير المقبولة في الصناعة لضمان أمان حاويات Docker:

  • أمان نظام التشغيل المضيف، والتسجيل الذي تم تكوينه بشكل صحيح، وحظر تبادل البيانات بين الحاويات، وما إلى ذلك؛
  • واستخدام وظيفة Docker Trust للتحقق من سلامة الصور واستخدام أداة فحص الثغرات الأمنية المدمجة؛
  • يجب ألا ننسى أمان الوصول عن بعد ونموذج الشبكة ككل: لم يتم إلغاء الهجمات مثل انتحال ARP وغمر MAC.

بالإضافة إلى: لا توجد قيود فنية على استخدام المحاكاة الافتراضية للحاويات.

أقل: هناك احتمال كبير أن يعاقب المنظم على عدم الامتثال لمتطلبات GOST.

اختتام

قرر عميلنا عدم التخلي عن الحاويات. في الوقت نفسه، كان عليه أن يعيد النظر بشكل كبير في نطاق العمل وتوقيت الانتقال إلى Docker (استمروا لمدة ستة أشهر). يفهم العميل المخاطر جيدًا. وهو يدرك أيضًا أنه خلال التقييم التالي للامتثال لـ GOST R 57580، سيعتمد الكثير على المدقق.

ماذا كنت تفعل في هذه الحالة؟

المصدر: www.habr.com

إضافة تعليق