Bir gün bulud xidmətləri üçün sorğu aldıq. Bizdən nə tələb olunacağını ümumi şəkildə qeyd etdik və təfərrüatları aydınlaşdırmaq üçün sualların siyahısını geri göndərdik. Sonra biz cavabları təhlil etdik və başa düşdük: müştəri ikinci təhlükəsizlik səviyyəsinin şəxsi məlumatlarını buludda yerləşdirmək istəyir. Biz ona cavab veririk: "Sizin ikinci səviyyəli şəxsi məlumatınız var, üzr istəyirik, biz yalnız şəxsi bulud yarada bilərik." Və o: "Bilirsən, amma X şirkətində hər şeyi mənə açıq şəkildə göndərə bilərlər."
Foto Stiv Krisp, Reuters
Qəribə şeylər! Biz X şirkətinin saytına daxil olduq, onların sertifikat sənədlərini öyrəndik, başımızı tərpətdik və başa düşdük: şəxsi məlumatların yerləşdirilməsi ilə bağlı çoxlu açıq suallar var və onlar hərtərəfli həll edilməlidir. Bu yazıda bunu edəcəyik.
Hər şey necə işləməlidir
Əvvəlcə fərdi məlumatları bu və ya digər təhlükəsizlik səviyyəsi kimi təsnif etmək üçün hansı meyarlardan istifadə edildiyini anlayaq. Bu, məlumatların kateqoriyasından, operatorun saxladığı və emal etdiyi bu məlumatların subyektlərinin sayından, həmçinin cari təhlükələrin növündən asılıdır.
Cari təhdidlərin növləri müəyyən edilmişdir 1 noyabr 2012-ci il tarixli “Fərdi məlumatların informasiya sistemlərində emalı zamanı fərdi məlumatların mühafizəsi tələblərinin təsdiq edilməsi haqqında”:
“1-ci tip təhdidlər informasiya sistemi üçün aktualdır, əgər o, daxildir ilə bağlı mövcud təhlükələr sənədsiz (bəyan edilməmiş) imkanların olması ilə sistem proqram təminatındainformasiya sistemində istifadə olunur.
2-ci növ təhlükələr, o cümlədən informasiya sistemi üçün aktualdır ilə bağlı mövcud təhlükələr sənədsiz (bəyan edilməmiş) imkanların olması ilə tətbiqi proqram təminatındainformasiya sistemində istifadə olunur.
3-cü növ təhlükələr, əgər məlumat sistemi üçün aktualdırsa əlaqəli olmayan təhdidlər sənədsiz (bəyan edilməmiş) imkanların olması ilə sistem və proqram proqramlarındainformasiya sistemində istifadə olunur”.
Bu təriflərdə əsas şey sənədləşdirilməmiş (elan edilməmiş) imkanların olmasıdır. Sənədsiz proqram imkanlarının olmamasını təsdiqləmək üçün (bulud vəziyyətində bu hipervizordur) sertifikatlaşdırma Rusiyanın FSTEC şirkəti tərəfindən həyata keçirilir. PD operatoru proqram təminatında belə imkanların olmadığını qəbul edərsə, müvafiq təhlükələr əhəmiyyətsizdir. 1 və 2-ci növ təhlükələr PD operatorları tərəfindən çox nadir hallarda müvafiq hesab edilir.
Operator PD təhlükəsizliyinin səviyyəsini müəyyən etməklə yanaşı, ictimai bulud üçün xüsusi cari təhdidləri də müəyyən etməli və müəyyən edilmiş PD təhlükəsizliyi səviyyəsinə və cari təhdidlərə əsaslanaraq onlara qarşı zəruri tədbirləri və qorunma vasitələrini müəyyən etməlidir.
FSTEC bütün əsas təhlükələri aydın şəkildə sadalayır (təhlükə bazası). Bulud infrastrukturu təminatçıları və qiymətləndiricilər öz işlərində bu verilənlər bazasından istifadə edirlər. Budur təhdid nümunələri:
: "Təhlükə virtual maşın daxilində işləyən proqramların istifadəçi məlumatlarının təhlükəsizliyini virtual maşından kənarda fəaliyyət göstərən zərərli proqram təminatı ilə pozma ehtimalıdır." Bu təhlükə hipervizor proqram təminatında boşluqların olması ilə bağlıdır ki, bu da virtual maşın daxilində işləyən proqramlar üçün istifadəçi məlumatlarının saxlanması üçün istifadə edilən ünvan sahəsinin virtual maşından kənarda fəaliyyət göstərən zərərli proqram təminatı tərəfindən icazəsiz girişdən təcrid olunmasını təmin edir.
Bu təhlükənin həyata keçirilməsi o şərtlə mümkündür ki, zərərli proqram kodu virtual maşının hüdudlarını uğurla aşsın, təkcə hipervizorun zəifliklərindən istifadə etməklə deyil, həm də aşağı (hipervizora nisbətən) səviyyələrdən belə təsir göstərməklə. sistemin işləməsi."
: “Təhlükə bir bulud xidməti istehlakçısının digərindən qorunan məlumatlarına icazəsiz daxil olma ehtimalındadır. Bu təhlükə bulud texnologiyalarının təbiətinə görə bulud xidməti istehlakçılarının eyni bulud infrastrukturunu paylaşmalı olması ilə bağlıdır. Bu təhlükə, bulud xidməti istehlakçıları arasında bulud infrastruktur elementlərinin ayrılması, habelə onların resurslarının təcrid edilməsi və məlumatların bir-birindən ayrılması zamanı səhvlərə yol verildiyi halda reallaşa bilər”.
Siz bu təhlükələrdən yalnız hipervizorun köməyi ilə qoruna bilərsiniz, çünki virtual resursları idarə edən odur. Beləliklə, hipervizor qorunma vasitəsi kimi qəbul edilməlidir.
Və uyğun olaraq 18 fevral 2013-cü il tarixli, hipervizor 4-cü səviyyədə qeyri-NDV kimi sertifikatlaşdırılmalıdır, əks halda onunla 1-ci və 2-ci səviyyəli şəxsi məlumatların istifadəsi qanunsuz olacaq (“Maddə 12. ... Fərdi məlumatların təhlükəsizliyinin 1-ci və 2-ci səviyyələrini təmin etmək, həmçinin 3-ci növ təhdidlərin cari kimi təsnif edildiyi, proqram təminatından istifadə edilən informasiya sistemlərində fərdi məlumatların təhlükəsizliyinin 2-cü səviyyəsini təmin etmək üçün elan edilməmiş imkanların olmaması üzərində ən azı 4 nəzarət səviyyəsinə görə sınaqdan keçirilmişdir").
Rusiyada hazırlanmış yalnız bir hipervizor tələb olunan NDV-4 sertifikatına malikdir. . Yumşaq desək, ən populyar həll deyil. Kommersiya buludları, bir qayda olaraq, VMware vSphere, KVM, Microsoft Hyper-V əsasında qurulur. Bu məhsulların heç biri NDV-4 sertifikatına malik deyil. Niyə? Çox güman ki, istehsalçılar üçün belə sertifikatın alınması hələ iqtisadi cəhətdən əsaslandırılmayıb.
İctimai buludda 1-ci və 2-ci səviyyəli şəxsi məlumatlar üçün bizim üçün qalan yalnız Horizon BC-dir. Acı lakin doğru.
Hər şey (bizim fikrimizcə) həqiqətən necə işləyir
İlk baxışdan hər şey kifayət qədər sərtdir: bu təhlükələr NDV-4-ə uyğun olaraq sertifikatlaşdırılmış hipervizorun standart mühafizə mexanizmlərini düzgün konfiqurasiya etməklə aradan qaldırılmalıdır. Ancaq bir boşluq var. FSTEC 21 saylı Sərəncamına uyğun olaraq (“2-ci bənd Fərdi məlumatların informasiya sistemində (bundan sonra informasiya sistemi) işlənərkən şəxsi məlumatların təhlükəsizliyi operator və ya operatorun adından fərdi məlumatları emal edən şəxs tərəfindən təmin edilir. Rusiya Federasiyası"), provayderlər mümkün təhlükələrin aktuallığını müstəqil qiymətləndirir və müvafiq olaraq qorunma tədbirlərini seçirlər. Buna görə də, UBI.44 və UBI.101 təhdidlərini cari kimi qəbul etmirsinizsə, o zaman NDV-4-ə uyğun olaraq sertifikatlaşdırılmış hipervizordan istifadə etməyə ehtiyac qalmayacaq ki, bu da onlara qarşı qorunma təmin etməlidir. Bu, Roskomnadzorun tamamilə razı qalacağı şəxsi məlumatların təhlükəsizliyinin 1 və 2-ci səviyyələrinə ictimai buludun uyğunluğu sertifikatı almaq üçün kifayət edəcəkdir.
Əlbəttə ki, Roskomnadzor-a əlavə olaraq, FSTEC bir yoxlama ilə gələ bilər - və bu təşkilat texniki məsələlərdə daha diqqətlidir. O, yəqin ki, UBI.44 və UBI.101 təhlükələrinin niyə əhəmiyyətsiz hesab edildiyi ilə maraqlanacaq? Lakin adətən FSTEC yalnız hansısa mühüm hadisə haqqında məlumat aldıqda yoxlama aparır. Bu halda, federal xidmət ilk növbədə şəxsi məlumat operatoruna - yəni bulud xidmətlərinin müştərisinə gəlir. Ən pis halda, operator kiçik bir cərimə alır - məsələn, ilin əvvəlində Twitter üçün oxşar vəziyyətdə 5000 rubl təşkil etdi. Sonra FSTEC bulud xidməti provayderinə doğru gedir. Hansı ki, tənzimləyici tələblərə əməl edilmədiyinə görə lisenziyadan məhrum edilə bilər - və bunlar həm bulud provayderi, həm də onun müştəriləri üçün tamamilə fərqli risklərdir. Ancaq təkrar edirəm, FSTEC-i yoxlamaq üçün adətən aydın bir səbəb lazımdır. Beləliklə, bulud provayderləri risk almağa hazırdırlar. İlk ciddi hadisəyə qədər.
Hipervizora vGate kimi əlavə əlavə etməklə bütün təhlükələri bağlamağın mümkün olduğuna inanan bir qrup “daha məsuliyyətli” provayderlər də var. Lakin bəzi təhdidlərə görə müştərilər arasında paylanmış virtual mühitdə (məsələn, yuxarıda göstərilən UBI.101) effektiv müdafiə mexanizmi yalnız NDV-4-ə uyğun olaraq sertifikatlaşdırılmış hipervizor səviyyəsində həyata keçirilə bilər, çünki hər hansı əlavə sistemlər resursları idarə etmək üçün hipervizorun standart funksiyaları (xüsusən RAM) təsir etmir.
Necə işləyirik
FSTEC tərəfindən sertifikatlaşdırılmış hipervizorda tətbiq edilmiş bulud seqmentimiz var (lakin NDV-4 üçün sertifikatlaşdırmadan). Bu seqment sertifikatlaşdırılıb, ona görə də şəxsi məlumatlar onun əsasında buludda saxlanıla bilər 3 və 4 səviyyəli təhlükəsizlik — burada elan edilməmiş imkanlardan qorunma tələblərinə riayət etmək lazım deyil. Budur, yeri gəlmişkən, təhlükəsiz bulud seqmentimizin arxitekturası:
Şəxsi məlumatlar üçün sistemlər 1 və 2 səviyyəli təhlükəsizlik Biz yalnız xüsusi avadanlıqlarda həyata keçiririk. Yalnız bu halda, məsələn, UBI.101 təhlükəsi həqiqətən də aktual deyil, çünki bir virtual mühitlə birləşdirilməyən server rafları eyni məlumat mərkəzində yerləşdikdə belə bir-birinə təsir edə bilməz. Belə hallar üçün biz xüsusi avadanlıq icarəsi xidmətini təklif edirik (həmçinin ona xidmət kimi Avadanlıq da deyilir).
Əgər şəxsi məlumat sisteminiz üçün hansı təhlükəsizlik səviyyəsinin tələb olunduğuna əmin deyilsinizsə, biz də onun təsnifatına kömək edirik.
Buraxılış
Kiçik bazar araşdırmamız göstərdi ki, bəzi bulud operatorları sifariş almaq üçün həm müştəri məlumatlarının təhlükəsizliyini, həm də öz gələcəklərini riskə atmağa hazırdırlar. Lakin bu məsələlərdə biz yuxarıda qısaca təsvir etdiyimiz fərqli siyasətə riayət edirik. Suallarınızı şərhlərdə cavablandırmaqdan məmnun olarıq.
Mənbə: www.habr.com