ProHoster > Блог > Administracija > Kako se sprijateljiti sa GOST R 57580 i virtualizacijom kontejnera. Odgovor Centralne banke (i naša razmatranja o ovom pitanju)

Kako se sprijateljiti sa GOST R 57580 i virtualizacijom kontejnera. Odgovor Centralne banke (i naša razmatranja o ovom pitanju)

Nedavno smo izvršili još jednu procjenu usklađenosti sa zahtjevima GOST R 57580 (u daljem tekstu jednostavno GOST). Klijent je kompanija koja razvija sistem elektronskog plaćanja. Sistem je ozbiljan: više od 3 miliona korisnika, više od 200 hiljada transakcija dnevno. Sigurnost informacija tamo shvataju veoma ozbiljno.

Tokom procesa evaluacije, klijent je usputno najavio da razvojno odjeljenje, osim virtuelnih mašina, planira korištenje kontejnera. Ali s ovim, dodao je klijent, postoji jedan problem: u GOST-u nema ni riječi o istom Dockeru. Sta da radim? Kako procijeniti sigurnost kontejnera?

Kako se sprijateljiti sa GOST R 57580 i virtualizacijom kontejnera. Odgovor Centralne banke (i naša razmatranja o ovom pitanju)

Istina je, GOST piše samo o virtuelizaciji hardvera - o tome kako zaštititi virtuelne mašine, hipervizor i server. Tražili smo pojašnjenje od Centralne banke. Odgovor nas je zbunio.

GOST i virtuelizacija

Za početak, podsjetimo da je GOST R 57580 novi standard koji specificira "zahtjeve za osiguranje informacione sigurnosti finansijskih organizacija" (FI). Ove FI uključuju operatere i učesnike platnih sistema, kreditne i nekreditne organizacije, operativne i klirinške centre.

Od 1. januara 2021. godine, FI su dužni da postupaju procjena usklađenosti sa zahtjevima novog GOST-a. Mi, ITGLOBAL.COM, smo revizorska kuća koja vrši takve procjene.

GOST ima pododeljak posvećen zaštiti virtuelizovanih okruženja - br. 7.8. Pojam “virtualizacija” tamo nije preciziran, nema podjele na hardversku i virtualizaciju kontejnera. Svaki IT stručnjak će reći da je sa tehničke tačke gledišta ovo netačno: virtuelna mašina (VM) i kontejner su različita okruženja, sa različitim principima izolacije. Sa stanovišta ranjivosti hosta na kojem su raspoređeni VM i Docker kontejneri, ovo je također velika razlika.

Ispostavilo se da bi procjena informacione sigurnosti VM-a i kontejnera također trebala biti drugačija.

Naša pitanja Centralnoj banci

Poslali smo ih Odjeljenju za informatičku sigurnost Centralne banke (pitanja iznosimo u skraćenom obliku).

  1. Kako uzeti u obzir virtuelne kontejnere tipa Docker pri procjeni usklađenosti s GOST-om? Da li je ispravno procijeniti tehnologiju u skladu s pododjeljkom 7.8 GOST-a?
  2. Kako procijeniti alate za upravljanje virtualnim kontejnerima? Da li ih je moguće izjednačiti sa komponentama virtuelizacije servera i procijeniti ih prema istom pododjeljku GOST-a?
  3. Trebam li zasebno procijeniti sigurnost informacija unutar Docker kontejnera? Ako je tako, koje mjere zaštite treba uzeti u obzir za ovo tokom procesa procjene?
  4. Ako se kontejnerizacija izjednačava sa virtuelnom infrastrukturom i procjenjuje se prema pododjeljku 7.8, kako se implementiraju GOST zahtjevi za implementaciju posebnih alata za sigurnost informacija?

Odgovor Centralne banke

Ispod su glavni izvodi.

„GOST R 57580.1-2017 utvrđuje zahtjeve za implementaciju primjenom tehničkih mjera u vezi sa sljedećim mjerama ZI pododjeljak 7.8 GOST R 57580.1-2017, koji se, po mišljenju Odjela, mogu proširiti na slučajeve korištenja virtualizacije kontejnera tehnologije, uzimajući u obzir sljedeće:

  • implementacija mera ZSV.1 - ZSV.11 za organizovanje identifikacije, autentifikacije, autorizacije (kontrole pristupa) pri implementaciji logičkog pristupa virtuelnim mašinama i virtuelizacionim serverskim komponentama može se razlikovati od slučajeva korišćenja tehnologije virtuelizacije kontejnera. Uzimajući ovo u obzir, u cilju implementacije niza mjera (na primjer, ZVS.6 i ZVS.7), smatramo da je moguće preporučiti da finansijske institucije razviju kompenzacijske mjere koje će težiti istim ciljevima;
  • implementacija mjera ZSV.13 - ZSV.22 za organizaciju i kontrolu informacione interakcije virtuelnih mašina predviđa segmentaciju računarske mreže finansijske organizacije radi razlikovanja objekata informatizacije koji implementiraju tehnologiju virtuelizacije i koji pripadaju različitim sigurnosnim krugovima. Uzimajući ovo u obzir, smatramo da je preporučljivo obezbijediti odgovarajuću segmentaciju kada se koristi tehnologija virtuelizacije kontejnera (kako u odnosu na izvršne virtuelne kontejnere tako i u odnosu na virtuelizacione sisteme koji se koriste na nivou operativnog sistema);
  • implementaciju mera ZSV.26, ZSV.29 - ZSV.31 za organizovanje zaštite slika virtuelnih mašina treba izvršiti po analogiji i radi zaštite osnovnih i aktuelnih slika virtuelnih kontejnera;
  • implementaciju mjera ZVS.32 - ZVS.43 za snimanje događaja informacione sigurnosti koji se odnose na pristup virtuelnim mašinama i komponentama virtuelizacije servera treba izvršiti po analogiji iu odnosu na elemente virtuelizacionog okruženja koji implementiraju tehnologiju virtuelizacije kontejnera.”

Šta to znači

Dva glavna zaključka iz odgovora Odjeljenja za sigurnost informacija Centralne banke:

  • mjere zaštite kontejnera se ne razlikuju od mjera zaštite virtuelnih mašina;
  • Iz ovoga proizilazi da, u kontekstu informacione sigurnosti, Centralna banka izjednačava dvije vrste virtuelizacije – Docker kontejnere i VM.

U odgovoru se pominju i “kompenzacijske mjere” koje je potrebno primijeniti da bi se prijetnje neutralizirale. Samo je nejasno šta su to „kompenzatorne mjere“ i kako izmjeriti njihovu adekvatnost, potpunost i djelotvornost.

Šta nije u redu sa stavom Centralne banke?

Ukoliko prilikom procjene (i samoprocjene) koristite preporuke Centralne banke, potrebno je riješiti niz tehničkih i logičkih poteškoća.

  • Svaki izvršni kontejner zahtijeva instalaciju softvera za zaštitu informacija (IP) na njemu: antivirus, praćenje integriteta, rad sa logovima, DLP sistemi (Data Leak Prevention) i tako dalje. Sve ovo se bez problema može instalirati na VM, ali u slučaju kontejnera, instaliranje informacione sigurnosti je apsurdan potez. Kontejner sadrži minimalnu količinu "body kita" koja je potrebna za funkcioniranje usluge. Instaliranje SZI-ja u njega je u suprotnosti sa njegovim značenjem.
  • Slike kontejnera treba da budu zaštićene po istom principu, a kako to implementirati, takođe nije jasno.
  • GOST zahteva ograničavanje pristupa komponentama virtuelizacije servera, odnosno hipervizoru. Šta se smatra serverskom komponentom u slučaju Dockera? Ne znači li to da svaki kontejner mora biti pokrenut na zasebnom hostu?
  • Ako je za konvencionalnu virtualizaciju moguće razgraničiti VM po sigurnosnim konturama i mrežnim segmentima, onda u slučaju Docker kontejnera unutar istog hosta to nije slučaj.

U praksi je vjerovatno da će svaki revizor procijeniti sigurnost kontejnera na svoj način, na osnovu vlastitog znanja i iskustva. Pa, ili nemoj uopšte procenjivati, ako nema ni jednog ni drugog.

Za svaki slučaj, dodaćemo da od 1. januara 2021. minimalna ocjena ne smije biti niža od 0,7.

Usput, redovno objavljujemo odgovore i komentare regulatora u vezi sa zahtjevima GOST 57580 i propisa Centralne banke u našem Telegram kanal.

Šta da radiš

Po našem mišljenju, finansijske organizacije imaju samo dvije mogućnosti za rješavanje problema.

1. Izbjegavajte primjenu kontejnera

Rješenje za one koji su spremni priuštiti korištenje samo virtuelizacije hardvera i istovremeno se boje niskih ocjena prema GOST-u i kazni Centralne banke.

Plus: lakše je ispuniti zahtjeve pododjeljka 7.8 GOST-a.

Oduzeti: Morat ćemo napustiti nove razvojne alate zasnovane na virtualizaciji kontejnera, posebno Docker i Kubernetes.

2. Odbijte da se pridržavate zahtjeva pododjeljka 7.8 GOST-a

Ali u isto vrijeme primjenjujte najbolje prakse u osiguravanju sigurnosti informacija pri radu sa kontejnerima. Ovo je rješenje za one koji cijene nove tehnologije i mogućnosti koje one pružaju. Pod "najboljim praksama" mislimo na industrijsko prihvaćene norme i standarde za osiguranje sigurnosti Docker kontejnera:

  • sigurnost host OS-a, pravilno konfigurisano evidentiranje, zabrana razmjene podataka između kontejnera i tako dalje;
  • korištenje funkcije Docker Trust za provjeru integriteta slika i korištenje ugrađenog skenera ranjivosti;
  • Ne smijemo zaboraviti na sigurnost udaljenog pristupa i mrežni model u cjelini: napadi kao što su ARP-spoofing i MAC-flooding nisu otkazani.

Plus: nema tehničkih ograničenja za korištenje virtualizacije kontejnera.

Oduzeti: postoji velika vjerovatnoća da će regulator kazniti za neusklađenost sa zahtjevima GOST-a.

zaključak

Naš klijent je odlučio da ne odustane od kontejnera. Istovremeno je morao značajno preispitati obim posla i vrijeme prelaska na Docker (trajali su šest mjeseci). Klijent vrlo dobro razumije rizike. On također razumije da će tokom sljedeće procjene usklađenosti sa GOST R 57580 mnogo zavisiti od revizora.

Šta biste vi uradili u ovoj situaciji?

izvor: www.habr.com

Dodajte komentar