ProHoster > блог > адміністраванне > Як пасябраваць ДАСТ Р 57580 і кантэйнерную віртуалізацыю. Адказ Цэнтрабанка (і нашы меркаванні на гэты конт)

Як пасябраваць ДАСТ Р 57580 і кантэйнерную віртуалізацыю. Адказ Цэнтрабанка (і нашы меркаванні на гэты конт)

Не так даўно мы праводзілі чарговую адзнаку адпаведнасці патрабаванням ДАСТ Р 57580 (далей - проста ДАСТ). Кліент - кампанія, якая распрацоўвае сістэму электронных плацяжоў. Сістэма сур'ёзная: больш за 3 млн карыстальнікаў, больш за 200 тыс. транзакцый штодзень. Да інфармацыйнай бяспекі там ставяцца вельмі адказна.

У працэсе ацэнкі кліент паміж справай паведаміў, што аддзел распрацоўкі, апроч віртуальных машын, плануе выкарыстоўваць кантэйнеры. Але з гэтым, дадаў кліент, ёсць адна праблема: у ДАСТ пра той жа Docker – ні слова. Як быць? Як ацэньваць бяспеку кантэйнераў?

Як пасябраваць ДАСТ Р 57580 і кантэйнерную віртуалізацыю. Адказ Цэнтрабанка (і нашы меркаванні на гэты конт)

Гэта праўда, у ДАСТ напісана толькі пра апаратную віртуалізацыю - пра тое, як трэба абараняць віртуальныя машыны, гіпервізор, сервер. Мы звярнуліся за тлумачэннем у Цэнтрабанк. Адказ нас збянтэжыў.

ДАСТ і віртуалізацыя

Для пачатку нагадаем, што ДАСТ Р 57580 – новы стандарт, у якім прапісаны «патрабаванні па забеспячэнні інфармацыйнай бяспекі фінансавых арганізацый» (ФІ). У ліку такіх ФІ - аператары і ўдзельнікі плацежных сістэм, крэдытныя і некрэдытныя арганізацыі, аперацыйныя і клірынгавыя цэнтры.

З 1 студзеня 2021 года ФІ раз на два гады абавязаны праводзіць ацэнку адпаведнасці патрабаванням новага ДАСТ. Мы, ITGLOBAL.COM, - аўдытарская кампанія, якая праводзіць такую ​​ацэнку.

У ДАСТ ёсць падраздзел, прысвечаны абароне віртуалізаваных асяроддзяў, - № 7.8. Тэрмін "віртуалізацыя" там не ўдакладняецца, падзелу на апаратную і кантэйнерную віртуалізацыі няма. Любы айцішнік скажа, што з тэхнічнага пункту гледжання гэта некарэктна: віртуальная машына (ВМ) і кантэйнер - розныя асяроддзя, з розным прынцыпам ізалявання. З пункту гледжання ўразлівасці хаста, на якім разгортваюцца ВМ і Docker-кантэйнеры, – гэта таксама вялікая розніца.

Выходзіць, ацэнка інфармацыйнай бяспекі ВМ і кантэйнераў таксама павінна адрознівацца.

Нашы пытанні ЦБ

Мы накіравалі іх у Дэпартамент інфармацыйнай бяспекі Цэнтрабанка (пытанні прыводзім у скарочаным выглядзе).

  1. Як пры правядзенні адзнакі адпаведнасці ДАСТ разглядаць віртуальныя кантэйнеры тыпу Docker? Ці карэктна ацэньваць тэхналогію ў адпаведнасці з падраздзелам 7.8/XNUMX ДАСТ?
  2. Як ацэньваць сродкі кіравання віртуальнымі кантэйнерамі? Ці можна прыраўноўваць іх да серверных кампанентаў віртуалізацыі і ацэньваць па тым жа падраздзеле ДАСТ?
  3. Ці трэба асобна ацэньваць абароненасць інфармацыі ўсярэдзіне кантэйнераў Docker? Калі так - якія меры абароны варта для гэтага ўлічваць падчас адзнакі?
  4. Калі кантэйнерызацыя прыраўноўваецца да віртуальнай інфраструктуры і ацэньваецца згодна з падраздзелам 7.8/XNUMX - як рэалізуюцца патрабаванні ДАСТ па ўкараненні спецыяльных сродкаў абароны інфармацыі?

Адказ ЦБ

Ніжэй - асноўныя вытрымкі.

«ДАСТ Р 57580.1-2017 устанаўлівае патрабаванні да рэалізацыі шляхам прымянення тэхнічных мер у дачыненні да наступных мер ЗІ падраздзела 7.8 ДАСТ Р 57580.1-2017, якія, на думку Дэпартамента, можна распаўсюдзіць і на выпадкі выкарыстання тэхналогій кантэйнернай віртуалізацыі з улікам наступнага:

  • рэалізацыя мер ЗСВ.1 - ЗСВ.11 па арганізацыі ідэнтыфікацыі, аўтэнтыфікацыі, аўтарызацыі (размежаванне доступу) пры ажыццяўленні лагічнага доступу да віртуальных машын і серверным кампанентам віртуалізацыі можа адрознівацца ад выпадкаў выкарыстання тэхналогіі кантэйнернай віртуалізацыі. З улікам гэтага для рэалізацыі шэрагу мер (напрыклад, ЗВС.6 і ЗВС.7) лічым магчымым рэкамендаваць фінансавым арганізацыям распрацаваць кампенсавальныя меры, якія будуць пераследваць тыя ж мэты;
  • рэалізацыя мер ЗСВ.13 ​​- ЗСВ.22 па арганізацыі і кантролі інфармацыйнага ўзаемадзеяння віртуальных машын прадугледжвае сегментацыю вылічальнай сеткі фінансавай арганізацыі для размежавання аб'ектаў інфарматызацыі, якія рэалізуюць тэхналогію віртуалізацыі, якія адносяцца да розных контураў бяспекі. З улікам гэтага лічым мэтазгодным прадугледзець адпаведную сегментацыю і пры выкарыстанні тэхналогіі кантэйнернай віртуалізацыі (як у стаўленні выкананых віртуальных кантэйнераў, так і ў стаўленні выкарыстоўваных на ўзроўні аперацыйнай сістэмы сістэм віртуалізацыі);
  • рэалізацыя мер ЗСВ.26, ЗСВ.29 - ЗСВ.31 па арганізацыі абароны выяў віртуальных машын павінна быць ажыццёўлена па аналогіі таксама і ў мэтах абароны базавых і бягучых выяў віртуальных кантэйнераў;
  • рэалізацыя мер ЗВС.32 - ЗВС.43 па рэгістрацыі падзей абароны інфармацыі, звязаных з доступам да віртуальных машын і серверным кампанентам віртуалізацыі, павінна быць ажыццёўлена па аналогіі таксама і ў дачыненні да элементаў асяроддзя віртуалізацыі, якія рэалізуюць тэхналогію кантэйнернай віртуалізацыі».

Што гэта значыць

Дзве галоўныя высновы з адказу Дэпартамента ІБ Цэнтрабанка:

  • меры для абароны кантэйнераў не адрозніваюцца ад мераў для абароны віртуальных машын;
  • з гэтага вынікае, што ў кантэксце інфармацыйнай бяспекі ЦБ ставіць знак роўнасці паміж двума тыпамі віртуалізацыі - Docker-кантэйнерамі і ВМ.

У адказе таксама згаданыя «кампенсуючыя меры», якія трэба прымяняць для нейтралізацыі пагроз. Вось толькі незразумела, што гэта за «кампенсуючыя меры», як вымяраць іх адэкватнасць, паўнату і эфектыўнасць.

Што не так з пазіцыяй ЦБ

Калі пры ацэнцы (і самаацэнцы) карыстацца рэкамендацыямі Цэнтрабанка, трэба вырашыць шэраг тэхнічных і лагічных цяжкасцяў.

  • Кожны выкананы кантэйнер патрабуе ўстаноўкі на яго праграмных сродкаў абароны інфармацыі (СЗІ): антывіруса, кантроль цэласнасці, праца з логамі, DLP-сістэмы (Data Leak Prevention) і гэтак далей. Усё гэта без праблем усталёўваецца на ВМ, але ў выпадку з кантэйнерам ўстаноўка СЗІ - абсурдны ход. Кантэйнер нясе ў сабе мінімальную колькасць «абважвання», якая патрэбная для функцыянавання сэрвісу. Устаноўка ў яго СЗІ супярэчыць яго сэнсу.
  • Па тым жа прынцыпу варта абараняць і выявы кантэйнераў - як гэта рэалізаваць, таксама незразумела.
  • ДАСТ патрабуе абмяжоўваць доступ да серверных кампанентаў віртуалізацыі, т. е. да гіпервізара. Што лічыць сервернай кампанентай у выпадку з Docker? Ці не значыць гэта, што кожны кантэйнер трэба запускаць на асобным хасце?
  • Калі для звычайнай віртуалізацыі можна размежаваць ВМ па контурах бяспекі і сеткавым сегментам, то ў выпадку з Docker-кантэйнерамі ў рамках аднаго хаста – не.

На практыцы, хутчэй за ўсё, кожны аўдытар будзе ацэньваць бяспеку кантэйнераў на свой лад, абапіраючыся на свае веды і досвед. Ну, ці ўвогуле не ацэньваць, калі ні таго, ні іншага няма.

На ўсялякі выпадак дадамо, што з 1 студзеня 2021 года мінімальная ацэнка павінна быць не ніжэйшай за 0,7.

Дарэчы, адказы і каментары рэгулятараў, звязаныя з патрабаваннямі ДАСТ 57580 і Палажэнняў ЦБ, мы рэгулярна выкладваем у нашым Тэлеграм-канал.

Што рабіць

На наш погляд, у фінансавых арганізацый усяго два варыянты вырашэння праблемы.

1. Адмовіцца ад укаранення кантэйнераў

Рашэнне для тых, хто гатовы дазволіць сабе выкарыстоўваць толькі апаратную віртуалізацыю і ў той жа час асцерагаецца нізкіх адзнак па ДАСТ і штрафаў ЦБ.

Плюс: лягчэй выканаць патрабаванні падраздзела 7.8/XNUMX ДАСТ.

мінус: давядзецца адмовіцца ад новых сродкаў распрацоўкі на аснове кантэйнернай віртуалізацыі, у прыватнасці ад Docker і Kubernetes.

2. Адмовіцца ад выканання патрабаванняў падраздзела 7.8 ДАСТ

Але пры гэтым - ужываць лепшыя практыкі ў забеспячэнні ИБ пры працы з кантэйнерамі. Гэтае рашэнне для тых, каму важней новыя тэхналогіі і магчымасці, якія яны падаюць. Пад "лепшымі практыкамі" мы тут разумеем прынятыя ў галіны нормы і стандарты па забеспячэнні бяспекі Doсker-кантэйнераў:

  • бяспека АС хаста, правільна наладжанае лагіраванне, забарона абмену дадзенымі паміж кантэйнерамі і гэтак далей;
  • ужыванне функцыі Docker Trust для праверкі цэласнасці выяў і выкарыстанне ўбудаванага сканара ўразлівасцяў;
  • нельга забываць аб бяспецы выдаленага доступу і сеткавай мадэлі ў цэлым: напады тыпу ARP-spoofing і MAC-flooding ніхто не адмяняў.

Плюс: ніякіх тэхнічных абмежаванняў на выкарыстанне кантэйнернай віртуалізацыі.

мінус: высокая верагоднасць таго, што рэгулятар пакарае за невыкананне патрабаванняў ДАСТ.

Заключэнне

Наш кліент вырашыў не адмаўляцца ад кантэйнераў. Пры гэтым яму прыйшлося значна перагледзець аб'ём прац і тэрміны па пераходзе на Docker (яны расцягнуліся на паўгода). Кліент выдатна разумее рыскі. Разумее і тое, што пры правядзенні наступнай адзнакі адпаведнасці ДАСТ Р 57580 шматлікае будзе залежаць ад аўдытара.

А як бы вы зрабілі ў гэтай сітуацыі?

Крыніца: habr.com

Дадаць каментар