ProHoster > Blog > İdarə > GOST R 57580 və konteyner virtualizasiyası ilə necə dostluq etmək olar. Mərkəzi Bankın cavabı (və bu məsələ ilə bağlı mülahizələrimiz)

GOST R 57580 və konteyner virtualizasiyası ilə necə dostluq etmək olar. Mərkəzi Bankın cavabı (və bu məsələ ilə bağlı mülahizələrimiz)

Bir müddət əvvəl biz GOST R 57580 (bundan sonra sadəcə olaraq GOST) tələblərinə uyğunluğun növbəti qiymətləndirilməsini həyata keçirdik. Müştəri elektron ödəniş sistemini inkişaf etdirən şirkətdir. Sistem ciddidir: 3 milyondan çox istifadəçi, gündəlik 200 mindən çox əməliyyat. Orada informasiya təhlükəsizliyinə çox ciddi yanaşırlar.

Qiymətləndirmə prosesi zamanı müştəri təsadüfən elan etdi ki, inkişaf departamenti virtual maşınlarla yanaşı, konteynerlərdən də istifadə etməyi planlaşdırır. Bununla belə, müştəri əlavə etdi, bir problem var: GOST-da eyni Docker haqqında bir söz yoxdur. Mən nə etməliyəm? Konteynerlərin təhlükəsizliyini necə qiymətləndirmək olar?

GOST R 57580 və konteyner virtualizasiyası ilə necə dostluq etmək olar. Mərkəzi Bankın cavabı (və bu məsələ ilə bağlı mülahizələrimiz)

Düzdür, GOST yalnız hardware virtualizasiyası haqqında yazır - virtual maşınları, hipervizoru və serveri necə qorumaq haqqında. Məsələ ilə bağlı Mərkəzi Banka müraciət etdik. Cavab bizi çaşdırdı.

GOST və virtuallaşdırma

Başlamaq üçün xatırladaq ki, GOST R 57580 "maliyyə təşkilatlarının informasiya təhlükəsizliyinin təmin edilməsi üçün tələbləri" (FI) müəyyən edən yeni bir standartdır. Bu Fİ-lərə ödəniş sistemlərinin operatorları və iştirakçıları, kredit və qeyri-kredit təşkilatları, əməliyyat və klirinq mərkəzləri daxildir.

1-ci il yanvarın 2021-dən etibarən FI-ların aparılması tələb olunur yeni GOST tələblərinə uyğunluğun qiymətləndirilməsi. Biz ITGLOBAL.COM bu cür qiymətləndirmələri aparan audit şirkətiyik.

GOST-da virtuallaşdırılmış mühitlərin qorunmasına həsr olunmuş alt bölmə var - No 7.8. Orada “virtuallaşdırma” termini göstərilməyib, hardware və konteyner virtualizasiyasına bölmə yoxdur. İstənilən İT mütəxəssisi deyəcək ki, texniki nöqteyi-nəzərdən bunun düzgün deyil: virtual maşın (VM) və konteyner fərqli izolyasiya prinsiplərinə malik fərqli mühitlərdir. VM və Docker konteynerlərinin yerləşdirildiyi hostun zəifliyi baxımından bu da böyük fərqdir.

Belə çıxır ki, VM-lərin və konteynerlərin informasiya təhlükəsizliyinin qiymətləndirilməsi də fərqli olmalıdır.

Mərkəzi Banka suallarımız

Onları Mərkəzi Bankın İnformasiya Təhlükəsizliyi Departamentinə göndərdik (sualları ixtisarla təqdim edirik).

  1. QOST uyğunluğunu qiymətləndirərkən Docker tipli virtual konteynerləri necə nəzərə almaq olar? QOST-un 7.8-ci yarımbəndinə uyğun olaraq texnologiyanı qiymətləndirmək düzgündürmü?
  2. Virtual konteyner idarəetmə vasitələrini necə qiymətləndirmək olar? Onları serverin virtualizasiya komponentlərinə bərabərləşdirmək və GOST-un eyni alt bölməsinə uyğun olaraq qiymətləndirmək mümkündürmü?
  3. Docker konteynerlərindəki məlumatların təhlükəsizliyini ayrıca qiymətləndirməliyəmmi? Əgər belədirsə, qiymətləndirmə prosesində bunun üçün hansı təminatlara diqqət yetirilməlidir?
  4. Konteynerləşdirmə virtual infrastruktura bərabər tutulursa və 7.8-ci yarımbəndə uyğun olaraq qiymətləndirilirsə, xüsusi informasiya təhlükəsizliyi vasitələrinin tətbiqi üçün QOST tələbləri necə həyata keçirilir?

Mərkəzi Bankın cavabı

Aşağıda əsas çıxarışlar verilmişdir.

"GOST R 57580.1-2017, GOST R 7.8-57580.1-nin 2017-ci ZI alt bölməsi ilə əlaqədar texniki tədbirlərin tətbiqi yolu ilə həyata keçirilməsi üçün tələbləri müəyyən edir, İdarənin fikrincə, konteyner virtualizasiyasından istifadə hallarına da şamil edilə bilər. texnologiyaları, aşağıdakıları nəzərə alaraq:

  • virtual maşınlara və virtuallaşdırma server komponentlərinə məntiqi girişin həyata keçirilməsi zamanı identifikasiyanın, autentifikasiyanın, avtorizasiyanın (giriş nəzarətinin) təşkili üçün ZSV.1 - ZSV.11 tədbirlərinin həyata keçirilməsi konteyner virtuallaşdırma texnologiyasından istifadə hallarından fərqlənə bilər. Bunu nəzərə alaraq, bir sıra tədbirlərin həyata keçirilməsi üçün (məsələn, ZVS.6 və ZVS.7) maliyyə institutlarına eyni məqsədləri güdəcək kompensasiya tədbirlərinin hazırlanmasını tövsiyə etmək olar;
  • virtual maşınların informasiya qarşılıqlı əlaqəsinin təşkili və nəzarəti üzrə ZSV.13 - ZSV.22 tədbirlərinin həyata keçirilməsi virtuallaşdırma texnologiyasını həyata keçirən və müxtəlif təhlükəsizlik sxemlərinə aid olan informasiyalaşdırma obyektlərini ayırd etmək üçün maliyyə təşkilatının kompüter şəbəkəsinin seqmentləşdirilməsini nəzərdə tutur. Bunu nəzərə alaraq, konteyner virtuallaşdırma texnologiyasından istifadə edərkən müvafiq seqmentasiyanın təmin edilməsini məqsədəuyğun hesab edirik (həm icra olunan virtual konteynerlərə münasibətdə, həm də əməliyyat sistemi səviyyəsində istifadə olunan virtuallaşdırma sistemlərinə münasibətdə);
  • virtual maşınların təsvirlərinin mühafizəsini təşkil etmək üçün ZSV.26, ZSV.29 - ZSV.31 tədbirlərinin həyata keçirilməsi virtual konteynerlərin əsas və cari təsvirlərini qorumaq üçün də analogiya ilə həyata keçirilməlidir;
  • virtual maşınlara və serverin virtualizasiya komponentlərinə girişlə bağlı informasiya təhlükəsizliyi hadisələrinin qeydə alınması üçün ZVS.32 - ZVS.43 tədbirlərinin həyata keçirilməsi, eyni zamanda konteynerlərin virtuallaşdırılması texnologiyasını həyata keçirən virtuallaşdırma mühitinin elementlərinə münasibətdə də analogiya yolu ilə həyata keçirilməlidir.”

Bu nə deməkdir?

Mərkəzi Bankın İnformasiya Təhlükəsizliyi Departamentinin cavabından iki əsas nəticə:

  • konteynerlərin mühafizəsi tədbirləri virtual maşınların mühafizəsi tədbirlərindən fərqlənmir;
  • Buradan belə nəticə çıxır ki, informasiya təhlükəsizliyi kontekstində Mərkəzi Bank virtuallaşdırmanın iki növünü - Docker konteynerləri və VM-ləri eyniləşdirir.

Cavabda həmçinin təhdidləri zərərsizləşdirmək üçün tətbiq edilməli olan “kompensasiya tədbirləri” qeyd olunur. Bu “kompensasiya tədbirlərinin” nə olduğu və onların adekvatlığını, tamlığını və effektivliyini necə ölçmək lazım olduğu aydın deyil.

Mərkəzi Bankın mövqeyində səhv nə var?

Qiymətləndirmə (və özünüqiymətləndirmə) zamanı Mərkəzi Bankın tövsiyələrindən istifadə edirsinizsə, bir sıra texniki və məntiqi çətinlikləri həll etməlisiniz.

  • Hər bir icra edilə bilən konteyner onun üzərində məlumat mühafizə proqramının (İP) quraşdırılmasını tələb edir: antivirus, bütövlüyün monitorinqi, jurnallarla işləmək, DLP sistemləri (Data Leak Prevention) və s. Bütün bunlar heç bir problem olmadan VM-də quraşdırıla bilər, lakin konteyner vəziyyətində informasiya təhlükəsizliyinin quraşdırılması absurd hərəkətdir. Konteynerdə xidmətin işləməsi üçün lazım olan minimum “bədən dəsti” var. Orada bir SZI quraşdırmaq onun mənasına ziddir.
  • Konteyner şəkilləri eyni prinsipə uyğun olaraq qorunmalıdır; bunun necə həyata keçiriləcəyi də aydın deyil.
  • GOST serverin virtualizasiya komponentlərinə, yəni hipervizora girişin məhdudlaşdırılmasını tələb edir. Docker vəziyyətində hansı server komponenti hesab olunur? Bu o demək deyilmi ki, hər bir konteyner ayrı bir hostda işləməlidir?
  • Əgər şərti virtuallaşdırma üçün VM-ləri təhlükəsizlik konturları və şəbəkə seqmentləri ilə ayırmaq mümkündürsə, o zaman eyni host daxilində Docker konteynerlərində bu belə deyil.

Praktikada çox güman ki, hər bir auditor öz bilik və təcrübəsinə əsaslanaraq konteynerlərin təhlükəsizliyini özünəməxsus şəkildə qiymətləndirəcək. Yaxşı, ya da nə biri, nə də digəri yoxdursa, ümumiyyətlə qiymətləndirməyin.

Hər halda, əlavə edəcəyik ki, 1 yanvar 2021-ci ildən minimum bal 0,7-dən aşağı olmamalıdır.

Yeri gəlmişkən, biz mütəmadi olaraq GOST 57580 və Mərkəzi Bankın Əsasnamələrinin tələbləri ilə bağlı tənzimləyicilərin cavablarını və şərhlərini dərc edirik. Telegram kanalı.

Fikrimizcə, maliyyə təşkilatlarının problemin həlli üçün yalnız iki yolu var.

1. Konteynerləri tətbiq etməkdən çəkinin

Yalnız hardware virtualizasiyasından istifadə etməyə hazır olan və eyni zamanda GOST-a görə aşağı reytinqlərdən və Mərkəzi Bankın cərimələrindən qorxanlar üçün bir həll.

Üstəlik: GOST-un 7.8-ci yarımbəndinin tələblərinə riayət etmək daha asandır.

Minuslar: Konteyner virtualizasiyasına əsaslanan yeni inkişaf vasitələrindən, xüsusən Docker və Kubernetesdən imtina etməli olacağıq.

2. GOST-un 7.8-ci yarımbəndinin tələblərinə riayət etməkdən imtina edin

Ancaq eyni zamanda, konteynerlərlə işləyərkən informasiya təhlükəsizliyinin təmin edilməsində ən yaxşı təcrübələri tətbiq edin. Bu, yeni texnologiyalara və onların təqdim etdiyi imkanlara dəyər verənlər üçün bir həlldir. “Ən yaxşı təcrübələr” dedikdə biz Docker konteynerlərinin təhlükəsizliyini təmin etmək üçün sənaye tərəfindən qəbul edilmiş norma və standartları nəzərdə tuturuq:

  • host ƏS-nin təhlükəsizliyi, düzgün konfiqurasiya edilmiş giriş, konteynerlər arasında məlumat mübadiləsinin qadağan edilməsi və s.;
  • şəkillərin bütövlüyünü yoxlamaq üçün Docker Trust funksiyasından istifadə etmək və daxili zəiflik skanerindən istifadə etmək;
  • Uzaqdan girişin təhlükəsizliyini və bütövlükdə şəbəkə modelini unutmamalıyıq: ARP-spoofing və MAC-flooding kimi hücumlar ləğv edilməyib.

Üstəlik: konteyner virtualizasiyasının istifadəsinə texniki məhdudiyyət yoxdur.

Minuslar: tənzimləyicinin GOST tələblərinə uyğun gəlmədiyinə görə cəzalandırma ehtimalı yüksəkdir.

Nəticə

Müştərimiz konteynerlərdən imtina etməməyə qərar verdi. Eyni zamanda, o, işin həcmini və Docker-ə keçid vaxtını əhəmiyyətli dərəcədə yenidən nəzərdən keçirməli oldu (onlar altı ay davam etdi). Müştəri riskləri çox yaxşı başa düşür. O, həmçinin başa düşür ki, GOST R 57580-ə uyğunluğun növbəti qiymətləndirilməsi zamanı auditordan çox şey asılı olacaq.

Bu vəziyyətdə nə edərdiniz?

Mənbə: www.habr.com

Добавить комментарий