Прыйшла неяк да нас заяўка на паслугі аблокі. Мы прыкінулі ў агульных рысах, што ад нас запатрабуецца, і адправілі ў адказ спіс пытанняў для ўдакладнення дэталяў. Затым прааналізавалі адказы і зразумелі: заказчык хоча размяшчаць у воблаку персанальныя даныя другога ўзроўню абароненасці. Адказваем яму: "У вас другі ўзровень перданных, прабачце, можам толькі прыватнае воблака зрабіць". А ён: "Ведаеце, а вось у кампаніі X мне могуць усё і ў публічным размясціць".
Фота Steve Crisp, Reuters
Дзіўныя справы! Мы пайшлі на сайт кампаніі X, вывучылі іх атэстацыйныя дакументы, паківалі галовамі і зразумелі: адкрытых пытанняў у размяшчэнні перданных вельмі шмат і іх варта добра правентыляваць. Чым мы і зоймемся ў гэтым пасце.
Як усё павінна працаваць
Для пачатку разбяромся, па якіх прыкметах персанальныя дадзеныя наогул адносяць да таго ці іншага ўзроўню абароненасці. Гэта залежыць ад катэгорыі даных, ад колькасці суб'ектаў гэтых даных, якія захоўвае і апрацоўвае аператар, а таксама ад тыпу актуальных пагроз.
Вызначэнне тыпаў актуальных пагроз прыведзена ў ад 1 лістапада 2012 г. «Аб зацвярджэнні патрабаванняў да абароны персанальных дадзеных пры іх апрацоўцы ў інфармацыйных сістэмах персанальных дадзеных»:
«Пагрозы 1-га тыпу актуальныя для інфармацыйнай сістэмы, калі для яе ў тым ліку актуальныя пагрозы, звязаныя з наяўнасцю недакументаваных (недэклараваных) магчымасцяў у сістэмным праграмным забеспячэнні, які выкарыстоўваецца ў інфармацыйнай сістэме.
Пагрозы 2-га тыпу актуальныя для інфармацыйнай сістэмы, калі для яе ў тым ліку актуальныя пагрозы, звязаныя з наяўнасцю недакументаваных (недэклараваных) магчымасцяў у прыкладным праграмным забеспячэнні, які выкарыстоўваецца ў інфармацыйнай сістэме.
Пагрозы 3-га тыпу актуальныя для інфармацыйнай сістэмы, калі для яе актуальныя пагрозы, не звязаныя з наяўнасцю недакументаваных (недэклараваных) магчымасцяў у сістэмным і прыкладным праграмным забеспячэнні, які выкарыстоўваецца ў інфармацыйнай сістэме.»
Асноўнае ў гэтых вызначэннях - наяўнасць недакументаваных (недэклараваных) магчымасцяў. Для пацверджання адсутнасці недакументаваных магчымасцяў ПЗ (у выпадку з воблакам гэта гіпервізор) праводзіцца сертыфікацыя ФСТЭК Расіі. Калі аператар ПДН прымае, што такіх магчымасцяў у ПЗ няма, то і адпаведныя пагрозы неактуальныя. Пагрозы 1-га і 2-га тыпаў аператары ПДН вельмі рэдка прымаюць актуальнымі.
Акрамя вызначэння ўзроўню абароненасці ПДН аператар павінен таксама вызначыць канкрэтныя актуальныя пагрозы для публічнага аблокі і, зыходзячы з выяўленага ўзроўню абароненасці ПДН і актуальных пагроз, вызначыць неабходныя меры і сродкі абароны ад іх.
У ФСТЭК усе асноўныя пагрозы дакладна пералічаны ў (банку дадзеных пагроз). Правайдэры і атэстатары хмарных інфраструктур у працы выкарыстоўваюць гэтую базу. Вось прыклады пагроз:
: "Пагроза заключаецца ў магчымасці парушэння бяспекі карыстацкіх дадзеных праграм, якія функцыянуюць ўнутры віртуальнай машыны, шкоднасным праграмным забеспячэннем, якія функцыянуюць па-за віртуальнай машыны". Дадзеная пагроза абумоўлена наяўнасцю ўразлівасцяў праграмнага забеспячэння гіпервізара, які забяспечвае ізаляванасць адраснай прасторы, выкарыстоўванага для захоўвання карыстацкіх дадзеных праграм, якія функцыянуюць усярэдзіне віртуальнай машыны, ад несанкцыянаванага доступу са боку шкоднаснага праграмнага забеспячэння, які функцыянуе па-за віртуальнай машынай.
Рэалізацыя дадзенай пагрозы магчымая пры ўмове паспяховага пераадолення шкоднасным праграмным кодам меж віртуальнай машыны не толькі за кошт эксплуатацыі ўразлівасцяў гіпервізара, але і шляхам ажыццяўлення такога ўздзеяння з ніжэйшых (у адносінах да гіпервізара) узроўняў функцыянавання сістэмы».
: «Пагроза заключаецца ў магчымасці ажыццяўлення несанкцыянаванага доступу да інфармацыі, якая абараняецца, аднаго спажыўца хмарных паслуг з боку іншага. Гэта пагроза абумоўлена тым, што з-за асаблівасцей хмарных тэхналогій спажыўцам хмарных паслуг даводзіцца сумесна выкарыстоўваць адну і тую ж хмарную інфраструктуру. Рэалізацыя дадзенай пагрозы магчымая ў выпадку дапушчэння памылак пры падзеле элементаў хмарнай інфраструктуры паміж спажыўцамі хмарных паслуг, а таксама пры ізаляцыі іх рэсурсаў і адасабленні дадзеных сябар ад сябра».
Абараніцца ад гэтых пагроз можна толькі з дапамогай гіпервізара, бо менавіта ён кіруе віртуальнымі рэсурсамі. Такім чынам, гіпервізар неабходна разглядаць як сродак абароны.
І ў адпаведнасці з ад 18 лютага 2013 г., гіпервізор павінен прайсці сертыфікацыю на адсутнасць ПДВ па 4 узроўню, інакш выкарыстанне персанальных дадзеных 1 і 2 ўзроўню з ім будзе незаконна («п.12. … Для забеспячэння 1 і 2 узроўняў абароненасці персанальных дадзеных, а таксама для забеспячэння 3 ўзроўню абароненасці персанальных дадзеных у інфармацыйных сістэмах, для якіх да актуальных аднесены пагрозы 2-га тыпу, прымяняюцца сродкі абароны інфармацыі, праграмнае забеспячэнне якіх прайшло праверку не ніжэй чым па 4 узроўню кантролю адсутнасці недэклараваных магчымасцяў»).
Патрэбным узроўнем сертыфікацыі, ПДВ-4, валодае толькі адзін гіпервізор, расійскай распрацоўкі - . Мякка кажучы, не самае папулярнае рашэнне. Камерцыйныя аблокі, як правіла, будуюцца на базе VMware vSphere, KVM, Microsoft Hyper-V. Ніводны з гэтых прадуктаў не мае сертыфікацыі на ПДВ-4. Чаму? Верагодна, атрыманне такой сертыфікацыі для вытворцаў пакуль эканамічна не апраўданае.
І застаецца нам для персданных 1 і 2 узроўня ў публічным воблаку толькі Гарызонт ВС. Sad but true.
Як усё (на наш погляд) працуе на самой справе
На першы погляд, усё дастаткова строга: названыя пагрозы павінны ўхіляцца правільнай наладай штатных механізмаў абароны гіпервізара, сертыфікаванага па ПДВ-4. Але ёсць адна шчыліна. У адпаведнасці з Загадам ФСТЭК №21 («п.2 Бяспека персанальных дадзеных пры іх апрацоўцы ў інфармацыйнай сістэме персанальных дадзеных (далей – інфармацыйная сістэма) забяспечвае аператар або асоба, якая ажыццяўляе апрацоўку персанальных дадзеных па даручэнні аператара ў адпаведнасці з Расійскай Федэрацыі»), правайдэры самастойна ацэньваюць актуальнасць магчымых пагроз і ў адпаведнасці з гэтым выбіраюць меры абароны. Таму, калі не прыняць актуальнымі пагрозы УБИ.44 і УБИ.101, то не паўстане і запатрабаванні выкарыстоўваць сертыфікаваны па НДВ-4 гіпервізор, які як раз і павінен забяспечваць абарону ад іх. І гэтага будзе дастаткова для атрымання атэстата адпаведнасці публічнага аблокі 1 і 2 узроўням абароненасці ПДн, якім будзе цалкам задаволены Роскомнадзор.
Вядома, акрамя Роскомнадзора з праверкай можа прыйсці ФСТЭК - і гэтая арганізацыя куды больш скурпулёзна ў тэхнічных пытаннях. Яе, напэўна, зацікавіць, чаму менавіта пагрозы УБИ.44 і УБИ.101 былі прызнаныя неактуальнымі? Але звычайна ФСТЭК робіць праверку толькі калі атрымлівае інфармацыю аб нейкім яркім інцыдэнце. У гэтым выпадку федэральная служба спачатку прыходзіць да аператара персданных – гэта значыць заказчыку хмарных паслуг. У горшым выпадку, аператар атрымлівае невялікі штраф – напрыклад, для Twitter у пачатку года. у падобным выпадку склаў 5000 рублёў. Затым ФСТЭК ідзе далей, да правайдэра хмарных паслуг. Якога цалкам можа пазбавіць ліцэнзіі з-за невыканання нарматыўных патрабаванняў - а гэта ўжо зусім іншыя рызыкі, як для хмарнага правайдэра, так і для яго кліентаў. Але, паўтараюся, для праверкі ФСТЭК звычайна патрэбен выразная нагода. Так што хмарныя правайдэры гатовы ісці на рызыку. Да першага сур'ёзнага інцыдэнту.
Ёсць яшчэ група "больш адказных" правайдэраў, якія лічаць, што можна зачыніць усе пагрозы, дапоўніўшы гіпервізор надбудовай тыпу vGate. Але ў размеркаваным паміж заказчыкамі віртуальным асяроддзі для некаторых пагроз (напрыклад, прыведзенай вышэй УБИ.101) дзейсны механізм абароны можна рэалізаваць толькі на ўзроўні сертыфікаванага па НДВ-4 гіпервізара, паколькі любыя сістэмы-надбудовы на штатныя функцыі працы гіпервізара па кіраванні рэсурсамі (у прыватнасці , аператыўнай памяццю) не ўплываюць.
Як працуем мы
У нас ёсць хмарны сегмент, рэалізаваны на гіпервізоры, сертыфікаваным ФСТЭК (але без сертыфікацыі на ПДВ-4). Гэты сегмент атэставаны, так што ў воблаку на яго аснове можна размяшчаць персанальныя дадзеныя 3 і 4 узроўняў абароненасці - патрабаванні па абароне ад недэклараваных магчымасцяў тут выконваць не трэба. Вось, дарэчы, архітэктура нашага абароненага сегмента аблокі:
Сістэмы для персанальных дадзеных 1 і 2 узроўняў абароненасці мы рэалізуем толькі на выдзеленым абсталяванні. Толькі ў гэтым выпадку, напрыклад, пагроза УБИ.101 сапраўды не актуальная, паколькі серверныя стойкі, не аб'яднаныя адным віртуальным асяроддзем, не могуць уплываць сябар на сябра нават пры размяшчэнні ў адным ЦАД. Для такіх выпадкаў мы прапануем паслугу арэнды выдзеленага абсталявання (яе яшчэ называюць Hardware as a service, абсталяванне як сэрвіс).
Калі ж вы не ўпэўненыя, які ўзровень абароненасці патрабуецца для вашай сістэмы персанальных дадзеных, мы таксама дапамагаем у іх класіфікацыі.
Выснова
Наша невялікае даследаванне рынку паказала: некаторыя хмарныя аператары для атрымання замовы цалкам гатовы рызыкнуць і бяспекай дадзеных кліентаў, і ўласнай будучыняй. Але мы ў гэтых пытаннях прытрымліваемся іншай палітыкі, якую коратка апісалі крыху вышэй. Будзем рады адказаць у каментарах на вашыя пытанні.
Крыніца: habr.com