Един ден получихме заявка за облачни услуги. Очертахме в общи линии какво ще се изисква от нас и изпратихме обратно списък с въпроси, за да изясним подробностите. След това анализирахме отговорите и разбрахме: клиентът иска да постави лични данни от второ ниво на сигурност в облака. Отговаряме му: „Имате второ ниво на лични данни, съжаляваме, можем да създадем само частен облак.“ А той: „Знаеш ли, но във фирма Х могат да ми публикуват всичко публично.“
Снимка от Стив Крисп, Ройтерс
Странни неща! Отидохме на уебсайта на компания X, проучихме сертификационните им документи, поклатихме глави и осъзнахме: има много отворени въпроси при поставянето на лични данни и те трябва да бъдат задълбочено разгледани. Това ще направим в тази публикация.
Как трябва да работи всичко
Първо, нека да разберем какви критерии се използват за класифициране на личните данни като едно или друго ниво на сигурност. Това зависи от категорията на данните, броя на субектите на тези данни, които операторът съхранява и обработва, както и вида на текущите заплахи.
Видовете текущи заплахи са определени в от 1 ноември 2012 г. „За одобряване на изискванията за защита на личните данни при обработването им в информационни системи за лични данни“:
„Заплахите от тип 1 са подходящи за една информационна система, ако включва текущи заплахи, свързани с с наличие на недокументирани (недекларирани) възможности в системния софтуеризползвани в информационната система.
Заплахите от 2-ри тип са от значение за една информационна система, включително за нея текущи заплахи, свързани с с наличие на недокументирани (недекларирани) възможности в приложен софтуеризползвани в информационната система.
Заплахите от 3-ти тип са от значение за една информационна система, ако за нея заплахи, които не са свързани с наличие на недокументирани (недекларирани) възможности в системен и приложен софтуеризползвани в информационната система“.
Основното в тези определения е наличието на недокументирани (недекларирани) възможности. За да се потвърди липсата на недокументирани софтуерни възможности (в случая на облака това е хипервизор), сертификацията се извършва от FSTEC на Русия. Ако операторът на PD приеме, че няма такива възможности в софтуера, тогава съответните заплахи са без значение. Заплахите от типове 1 и 2 изключително рядко се считат за уместни от операторите на PD.
В допълнение към определянето на нивото на сигурност на PD, операторът трябва да определи и конкретни текущи заплахи за публичния облак и въз основа на идентифицираното ниво на сигурност на PD и текущите заплахи да определи необходимите мерки и средства за защита срещу тях.
FSTEC ясно изброява всички основни заплахи в (база данни за заплахи). Доставчиците на облачна инфраструктура и оценителите използват тази база данни в работата си. Ето примери за заплахи:
: „Заплахата е възможността за нарушаване на сигурността на потребителските данни на програми, работещи във виртуална машина, от злонамерен софтуер, работещ извън виртуалната машина.“ Тази заплаха се дължи на наличието на уязвимости в софтуера на хипервайзора, който гарантира, че адресното пространство, използвано за съхраняване на потребителски данни за програми, работещи във виртуалната машина, е изолирано от неоторизиран достъп от злонамерен софтуер, работещ извън виртуалната машина.
Реализирането на тази заплаха е възможно при условие, че злонамереният програмен код успешно преодолява границите на виртуалната машина, не само чрез използване на уязвимостите на хипервайзора, но и чрез извършване на такова въздействие от по-ниски (спрямо хипервайзора) нива на функциониране на системата."
: „Заплахата се крие във възможността за неоторизиран достъп до защитената информация на един потребител на облачна услуга от друг. Тази заплаха се дължи на факта, че поради естеството на облачните технологии потребителите на облачни услуги трябва да споделят една и съща облачна инфраструктура. Тази заплаха може да бъде реализирана, ако се допуснат грешки при разделянето на елементите на облачната инфраструктура между потребителите на облачни услуги, както и при изолирането на техните ресурси и отделянето на данни един от друг.
Можете да се защитите срещу тези заплахи само с помощта на хипервайзор, тъй като той е този, който управлява виртуалните ресурси. Следователно хипервайзорът трябва да се разглежда като средство за защита.
И в съответствие с от 18 февруари 2013 г. хипервайзорът трябва да бъде сертифициран като не-NDV на ниво 4, в противен случай използването на лични данни от ниво 1 и 2 с него ще бъде незаконно („Клауза 12. ... За осигуряване на ниво 1 и 2 на сигурност на личните данни, както и за осигуряване на ниво 3 на сигурност на личните данни в информационните системи, за които заплахите от тип 2 са класифицирани като актуални, се използват инструменти за информационна сигурност, чийто софтуер е тествани най-малко според 4 ниво на контрол за липса на недекларирани способности").
Само един хипервизор, разработен в Русия, има необходимото ниво на сертификация, NDV-4. . Меко казано, не е най-популярното решение. Търговските облаци, като правило, са изградени на базата на VMware vSphere, KVM, Microsoft Hyper-V. Нито един от тези продукти не е сертифициран по NDV-4. Защо? Вероятно получаването на такъв сертификат за производителите все още не е икономически оправдано.
И всичко, което ни остава за ниво 1 и 2 лични данни в публичния облак, е Horizon BC. Тъжно, но истина.
Как всичко (според нас) наистина работи
На пръв поглед всичко е доста строго: тези заплахи трябва да бъдат елиминирани чрез правилно конфигуриране на стандартните механизми за защита на хипервизор, сертифициран съгласно NDV-4. Но има една вратичка. В съответствие със Заповед № 21 на FSTEC („клауза 2 Сигурността на личните данни, когато се обработват в информационната система за лични данни (наричана по-нататък информационната система), се осигурява от оператора или лицето, обработващо лични данни от името на оператора в съответствие с Руска федерация"), доставчиците независимо оценяват уместността на възможните заплахи и съответно избират мерки за защита. Следователно, ако не приемете заплахите UBI.44 и UBI.101 за актуални, тогава няма да е необходимо да използвате хипервизор, сертифициран по NDV-4, което е точно това, което трябва да осигури защита срещу тях. И това ще бъде достатъчно, за да получите сертификат за съответствие на публичния облак с нива 1 и 2 на сигурност на личните данни, от които Roskomnadzor ще бъде напълно доволен.
Разбира се, в допълнение към Roskomnadzor, FSTEC може да дойде с проверка - и тази организация е много по-щателна по отношение на техническите въпроси. Вероятно ще се интересува защо точно заплахите UBI.44 и UBI.101 са счетени за неуместни? Но обикновено FSTEC предприема проверка само когато получи информация за някакъв значим инцидент. В този случай федералната служба първо идва при оператора на лични данни - тоест клиента на облачните услуги. В най-лошия случай операторът получава малка глоба - например за Twitter в началото на годината в подобен случай възлиза на 5000 рубли. Тогава FSTEC отива по-нататък към доставчика на облачни услуги. Което може да бъде лишено от лиценз поради неспазване на регулаторните изисквания - и това са напълно различни рискове, както за доставчика на облак, така и за неговите клиенти. Но повтарям, За да проверите FSTEC, обикновено се нуждаете от ясна причина. Така че облачните доставчици са готови да поемат рискове. До първия сериозен инцидент.
Има и група от „по-отговорни“ доставчици, които вярват, че е възможно да затворите всички заплахи чрез добавяне на добавка като vGate към хипервайзора. Но във виртуална среда, разпределена между клиентите за някои заплахи (например горния UBI.101), ефективен защитен механизъм може да бъде внедрен само на ниво хипервизор, сертифициран съгласно NDV-4, тъй като всички допълнителни системи към стандартните функции на хипервайзора за управление на ресурси (по-специално RAM) не засягат.
Как работим
Имаме облачен сегмент, внедрен на хипервизор, сертифициран от FSTEC (но без сертификат за NDV-4). Този сегмент е сертифициран, така че личните данни могат да се съхраняват в облака въз основа на него 3 и 4 степен на сигурност — тук не е необходимо да се спазват изискванията за защита срещу недекларирани способности. Ето, между другото, архитектурата на нашия защитен облачен сегмент:
Системи за лични данни 1 и 2 степен на сигурност Изпълняваме само на специално оборудване. Само в този случай, например, заплахата от UBI.101 наистина не е от значение, тъй като сървърните стелажи, които не са обединени от една виртуална среда, не могат да си влияят, дори когато са разположени в един и същ център за данни. За такива случаи предлагаме специална услуга за наем на оборудване (нарича се още Хардуер като услуга).
Ако не сте сигурни какво ниво на сигурност се изисква за вашата система за лични данни, ние също помагаме при нейното класифициране.
Продукция
Нашето малко пазарно проучване показа, че някои облачни оператори са готови да рискуват както сигурността на клиентските данни, така и собственото си бъдеще, за да получат поръчка. Но по тези въпроси ние се придържаме към различна политика, която описахме накратко по-горе. Ще се радваме да отговорим на вашите въпроси в коментарите.
Източник: www.habr.com