Jednog dana smo dobili zahtjev za usluge u oblaku. Općenito smo naveli šta će se od nas tražiti i vratili smo listu pitanja kako bismo razjasnili detalje. Zatim smo analizirali odgovore i shvatili: kupac želi da stavi lične podatke drugog nivoa bezbednosti u oblak. Odgovaramo mu: "Imate drugi nivo ličnih podataka, izvinite, možemo samo da kreiramo privatni oblak." A on: “Znaš, ali u kompaniji X mogu mi sve javno objaviti.”
Fotografija: Steve Crisp, Reuters
Čudne stvari! Otišli smo na web stranicu kompanije X, proučili njihove sertifikacione dokumente, odmahnuli glavama i shvatili: postoji mnogo otvorenih pitanja u vezi s postavljanjem ličnih podataka i njima se treba detaljno pozabaviti. To je ono što ćemo uraditi u ovom postu.
Kako bi sve trebalo da funkcioniše
Prvo, hajde da shvatimo koji se kriterijumi koriste za klasifikaciju ličnih podataka kao jedan ili drugi nivo sigurnosti. To zavisi od kategorije podataka, broja subjekata ovih podataka koje operater pohranjuje i obrađuje, kao i od vrste trenutnih prijetnji.
Vrste trenutnih prijetnji definirane su u od 1. novembra 2012. godine „O odobravanju uslova za zaštitu ličnih podataka prilikom njihove obrade u informacionim sistemima podataka o ličnosti“:
“Prijetnje tipa 1 su relevantne za informacioni sistem ako uključuje trenutne prijetnje vezane za uz prisustvo nedokumentiranih (nedeklariranih) sposobnosti u sistemskom softverukoristi u informacionom sistemu.
Prijetnje 2. tipa su relevantne za informacioni sistem ako i za njega, uključujući trenutne prijetnje vezane za uz prisustvo nedokumentiranih (nedeklariranih) sposobnosti u aplikativnom softverukoristi u informacionom sistemu.
Prijetnje trećeg tipa su relevantne za informacioni sistem ako za njega prijetnje koje nisu povezane uz prisustvo nedokumentiranih (nedeklariranih) sposobnosti u sistemskom i aplikativnom softverukoristi u informacionom sistemu."
Glavna stvar u ovim definicijama je prisustvo nedokumentiranih (nedeklariranih) sposobnosti. Kako bi se potvrdilo odsustvo nedokumentiranih softverskih mogućnosti (u slučaju oblaka, ovo je hipervizor), certifikaciju provodi FSTEC Rusije. Ako PD operater prihvati da u softveru ne postoje takve mogućnosti, onda su odgovarajuće prijetnje irelevantne. Prijetnje tipa 1 i 2 izuzetno rijetko smatraju relevantnim od strane PD operatera.
Osim utvrđivanja nivoa PD sigurnosti, operater mora utvrditi i konkretne trenutne prijetnje javnom oblaku i na osnovu identifikovanog nivoa sigurnosti PD i trenutnih prijetnji odrediti potrebne mjere i sredstva zaštite od njih.
FSTEC jasno navodi sve glavne prijetnje (baza podataka prijetnji). Provajderi Cloud infrastrukture i procjenitelji koriste ovu bazu podataka u svom radu. Evo primjera prijetnji:
: “Prijetnja je mogućnost narušavanja sigurnosti korisničkih podataka programa koji rade unutar virtuelne mašine zlonamjernim softverom koji radi izvan virtuelne mašine.” Ova prijetnja je posljedica prisutnosti ranjivosti u softveru hipervizora, koji osigurava da je adresni prostor koji se koristi za pohranu korisničkih podataka za programe koji rade unutar virtuelne mašine izolovan od neovlašćenog pristupa zlonamernog softvera koji radi izvan virtuelne mašine.
Implementacija ove prijetnje je moguća pod uslovom da zlonamjerni programski kod uspješno prevaziđe granice virtuelne mašine, ne samo iskorišćavanjem ranjivosti hipervizora, već i vršenjem takvog uticaja sa nižih (u odnosu na hipervizor) nivoa funkcionisanje sistema."
: “Prijetnja leži u mogućnosti neovlaštenog pristupa zaštićenim informacijama jednog korisnika cloud servisa od drugog. Ova prijetnja je zbog činjenice da, zbog prirode cloud tehnologija, korisnici cloud usluga moraju dijeliti istu infrastrukturu oblaka. Ova prijetnja se može ostvariti ako se naprave greške prilikom odvajanja elemenata infrastrukture oblaka između korisnika usluga u oblaku, kao i prilikom izolacije njihovih resursa i odvajanja podataka jednih od drugih.”
Od ovih prijetnji se možete zaštititi samo uz pomoć hipervizora, jer on upravlja virtuelnim resursima. Stoga se hipervizor mora smatrati sredstvom zaštite.
I u skladu sa od 18. februara 2013., hipervizor mora biti certificiran kao ne-NDV na nivou 4, inače će korištenje ličnih podataka nivoa 1 i 2 s njim biti nezakonito (“Klauzula 12. ... Za osiguranje 1. i 2. nivoa sigurnosti ličnih podataka, kao i za osiguranje 3. nivoa sigurnosti ličnih podataka u informacionim sistemima za koje su prijetnje tipa 2 klasifikovane kao aktuelne, koriste se alati za sigurnost informacija čiji je softver testiran najmanje prema 4 stepenu kontrole odsustva neprijavljenih sposobnosti").
Samo jedan hipervizor, razvijen u Rusiji, ima potreban nivo sertifikacije, NDV-4. . Najblaže rečeno, nije najpopularnije rješenje. Komercijalni oblaci se obično grade na bazi VMware vSphere, KVM, Microsoft Hyper-V. Nijedan od ovih proizvoda nije certificiran NDV-4. Zašto? Vjerovatno je da dobivanje takvog certifikata za proizvođače još uvijek nije ekonomski opravdano.
A sve što nam preostaje za nivo 1 i 2 ličnih podataka u javnom oblaku je Horizon BC. Tužno ali istinito.
Kako sve (po našem mišljenju) zaista funkcionira
Na prvi pogled, sve je prilično strogo: ove prijetnje se moraju eliminirati pravilnim konfiguriranjem standardnih zaštitnih mehanizama hipervizora certificiranog prema NDV-4. Ali postoji jedna rupa. U skladu sa FSTEC Naredbom br. 21 („klauzula 2. Sigurnost ličnih podataka prilikom obrade u informacionom sistemu ličnih podataka (u daljem tekstu: informacioni sistem) obezbeđuje operator ili lice koje obrađuje lične podatke u ime operatora u skladu sa Ruska Federacija"), provajderi samostalno procjenjuju relevantnost mogućih prijetnji i u skladu s tim biraju mjere zaštite. Stoga, ako prijetnje UBI.44 i UBI.101 ne prihvatite kao aktuelne, onda neće biti potrebe za korištenjem hipervizora certificiranog prema NDV-4, što je upravo ono što bi trebalo da pruži zaštitu od njih. A to će biti dovoljno za dobijanje sertifikata o usklađenosti javnog oblaka sa nivoima 1 i 2 sigurnosti ličnih podataka, čime će Roskomnadzor biti u potpunosti zadovoljan.
Naravno, pored Roskomnadzora, FSTEC može doći sa inspekcijom - a ova organizacija je mnogo pedantnija u tehničkim stvarima. Vjerovatno će je zanimati zašto su upravo prijetnje UBI.44 i UBI.101 smatrane irelevantnim? Ali obično FSTEC preduzima inspekciju tek kada dobije informaciju o nekom značajnom incidentu. U ovom slučaju, federalna služba prvo dolazi do operatera ličnih podataka - odnosno korisnika usluga u oblaku. U najgorem slučaju, operater dobija malu kaznu - na primjer, za Twitter početkom godine u sličnom slučaju iznosio je 5000 rubalja. Zatim FSTEC ide dalje do dobavljača usluga u oblaku. Kome može biti oduzeta licenca zbog nepoštovanja regulatornih zahtjeva - a to su potpuno različiti rizici, kako za cloud provajdera tako i za njegove klijente. Ali, ponavljam, Da biste provjerili FSTEC, obično vam je potreban jasan razlog. Dakle, provajderi u oblaku su spremni da rizikuju. Do prvog ozbiljnog incidenta.
Postoji i grupa „odgovornijih“ provajdera koji vjeruju da je moguće zatvoriti sve prijetnje dodavanjem dodatka kao što je vGate hipervizoru. Ali u virtuelnom okruženju koje je distribuirano među klijentima za neke prijetnje (na primjer, gornji UBI.101), efikasan mehanizam zaštite može se implementirati samo na nivou hipervizora certificiranog prema NDV-4, budući da bilo koji dodatni sistem za standardne funkcije hipervizora za upravljanje resursima (posebno RAM-om) ne utiču.
Kako radimo
Imamo segment oblaka implementiran na hipervizoru certificiranom od strane FSTEC-a (ali bez certifikata za NDV-4). Ovaj segment je certificiran, pa se na osnovu njega lični podaci mogu pohraniti u oblak 3 i 4 nivoa sigurnosti — ovdje se ne moraju poštovati zahtjevi za zaštitu od neprijavljenih sposobnosti. Evo, inače, arhitekture našeg sigurnog segmenta oblaka:
Sistemi za lične podatke 1 i 2 nivoa sigurnosti Implementiramo samo na namjenskoj opremi. Samo u ovom slučaju, na primjer, prijetnja UBI.101 zaista nije relevantna, jer serverski rekovi koji nisu ujedinjeni jednim virtuelnim okruženjem ne mogu utjecati jedni na druge čak ni kada se nalaze u istom podatkovnom centru. Za takve slučajeve nudimo namjensku uslugu iznajmljivanja opreme (naziva se i Hardver kao usluga).
Ako niste sigurni koji je nivo sigurnosti potreban za vaš sistem ličnih podataka, takođe vam pomažemo u klasifikaciji.
zaključak
Naše malo istraživanje tržišta pokazalo je da su neki operateri u oblaku prilično spremni riskirati i sigurnost podataka o klijentima i vlastitu budućnost kako bi primili narudžbu. Ali u ovim stvarima se držimo drugačije politike, koju smo ukratko opisali upravo gore. Rado ćemo odgovoriti na vaša pitanja u komentarima.
izvor: www.habr.com