No fa gaire vam realitzar una altra avaluació del compliment dels requisits de GOST R 57580 (d'ara endavant, simplement GOST). El client és una empresa que desenvolupa un sistema de pagament electrònic. El sistema és seriós: més de 3 milions d'usuaris, més de 200 mil transaccions diàries. Allà es prenen molt seriosament la seguretat de la informació.
Durant el procés d'avaluació, el client va anunciar casualment que el departament de desenvolupament, a més de les màquines virtuals, té previst utilitzar contenidors. Però amb això, va afegir el client, hi ha un problema: a GOST no hi ha ni una paraula sobre el mateix Docker. Que hauria de fer? Com avaluar la seguretat dels contenidors?
És cert, GOST només escriu sobre la virtualització del maquinari, sobre com protegir les màquines virtuals, un hipervisor i un servidor. Hem demanat aclariments al Banc Central. La resposta ens va desconcertar.
GOST i virtualització
Per començar, recordem que GOST R 57580 és un nou estàndard que especifica "requisits per garantir la seguretat de la informació de les organitzacions financeres" (FI). Aquestes IF inclouen operadors i participants de sistemes de pagament, organitzacions de crèdit i no creditícies, centres operatius i de compensació.
A partir de l'1 de gener de 2021, les IF han de dur a terme . Nosaltres, ITGLOBAL.COM, som una empresa d'auditoria que realitza aquestes avaluacions.
GOST té una subsecció dedicada a la protecció d'entorns virtualitzats - núm. 7.8. El terme "virtualització" no s'especifica allà; no hi ha divisió en maquinari i virtualització de contenidors. Qualsevol informàtic dirà que des del punt de vista tècnic això és incorrecte: una màquina virtual (VM) i un contenidor són entorns diferents, amb principis d'aïllament diferents. Des del punt de vista de la vulnerabilitat de l'amfitrió on es despleguen els contenidors VM i Docker, aquesta també és una gran diferència.
Resulta que l'avaluació de la seguretat de la informació de les màquines virtuals i dels contenidors també hauria de ser diferent.
Les nostres preguntes al Banc Central
Els hem enviat al Departament de Seguretat de la Informació del Banc Central (presentem les preguntes en forma abreujada).
- Com tenir en compte els contenidors virtuals de tipus Docker a l'hora d'avaluar el compliment de GOST? És correcte avaluar la tecnologia d'acord amb la subsecció 7.8 de GOST?
- Com avaluar les eines de gestió de contenidors virtuals? És possible equiparar-los als components de virtualització del servidor i avaluar-los segons la mateixa subsecció de GOST?
- He d'avaluar per separat la seguretat de la informació dins dels contenidors Docker? En cas afirmatiu, quines garanties s'han de tenir en compte durant el procés d'avaluació?
- Si la contenidorització s'equipara a una infraestructura virtual i s'avalua segons la subsecció 7.8, com s'implementen els requisits GOST per a la implementació d'eines especials de seguretat de la informació?
Resposta del Banc Central
A continuació es mostren els principals extractes.
“GOST R 57580.1-2017 estableix requisits per a la implementació mitjançant l'aplicació de mesures tècniques en relació a les següents mesures ZI subsecció 7.8 de GOST R 57580.1-2017, que, en opinió del Departament, es poden estendre als casos d'ús de la virtualització de contenidors. tecnologies, tenint en compte el següent:
- la implementació de les mesures ZSV.1 - ZSV.11 per organitzar la identificació, autenticació, autorització (control d'accés) quan s'implementa l'accés lògic a les màquines virtuals i els components del servidor de virtualització pot diferir dels casos d'ús de tecnologia de virtualització de contenidors. Tenint en compte això, per implementar una sèrie de mesures (per exemple, ZVS.6 i ZVS.7), creiem que és possible recomanar que les entitats financeres desenvolupin mesures compensatòries que perseguiran els mateixos objectius;
- La implementació de les mesures ZSV.13 - ZSV.22 per a l'organització i el control de la interacció de la informació de les màquines virtuals preveu la segmentació de la xarxa informàtica d'una organització financera per distingir entre objectes d'informatització que implementen tecnologia de virtualització i pertanyen a diferents circuits de seguretat. Tenint en compte això, creiem que és aconsellable preveure una segmentació adequada quan s'utilitza la tecnologia de virtualització de contenidors (tant en relació als contenidors virtuals executables com en relació als sistemes de virtualització utilitzats a nivell de sistema operatiu);
- la implementació de les mesures ZSV.26, ZSV.29 - ZSV.31 per organitzar la protecció de les imatges de les màquines virtuals s'ha de dur a terme també per analogia per tal de protegir les imatges bàsiques i actuals dels contenidors virtuals;
- la implementació de les mesures ZVS.32 - ZVS.43 per a l'enregistrament d'esdeveniments de seguretat de la informació relacionats amb l'accés a màquines virtuals i components de virtualització de servidors s'ha de dur a terme per analogia també en relació amb els elements de l'entorn de virtualització que implementen la tecnologia de virtualització de contenidors.
Què vol dir
Dues conclusions principals de la resposta del Departament de Seguretat de la Informació del Banc Central:
- les mesures per protegir els contenidors no són diferents de les mesures per protegir les màquines virtuals;
- D'això es dedueix que, en el context de la seguretat de la informació, el Banc Central equipara dos tipus de virtualització: els contenidors Docker i les màquines virtuals.
La resposta també esmenta "mesures compensatòries" que cal aplicar per neutralitzar les amenaces. No està clar què són aquestes "mesures compensatòries" i com mesurar-ne l'adequació, la integritat i l'eficàcia.
Què passa amb la posició del Banc Central?
Si utilitzeu les recomanacions del Banc Central durant l'avaluació (i l'autoavaluació), heu de resoldre una sèrie de dificultats tècniques i lògiques.
- Cada contenidor executable requereix la instal·lació de programari de protecció de la informació (IP) en ell: antivirus, supervisió d'integritat, treball amb registres, sistemes DLP (prevenció de fuites de dades), etc. Tot això es pot instal·lar en una màquina virtual sense cap problema, però en el cas d'un contenidor, instal·lar la seguretat de la informació és un moviment absurd. El contenidor conté la quantitat mínima de "kit del cos" que es necessita perquè el servei funcioni. Instal·lar-hi un SZI contradiu el seu significat.
- Les imatges dels contenidors s'han de protegir segons el mateix principi; tampoc no està clar com implementar-ho.
- GOST requereix restringir l'accés als components de virtualització del servidor, és a dir, a l'hipervisor. Què es considera un component del servidor en el cas de Docker? Això no vol dir que cada contenidor s'ha d'executar en un host independent?
- Si per a la virtualització convencional és possible delimitar les màquines virtuals per contorns de seguretat i segments de xarxa, aleshores en el cas dels contenidors Docker dins del mateix host, aquest no és el cas.
A la pràctica, és probable que cada auditor avaluï la seguretat dels contenidors a la seva manera, a partir dels seus propis coneixements i experiència. Bé, o no ho valoreu gens, si no hi ha ni l'un ni l'altre.
Per si de cas, afegirem que a partir de l'1 de gener de 2021 la puntuació mínima no ha de ser inferior a 0,7.
Per cert, publiquem regularment respostes i comentaris dels reguladors relacionats amb els requisits de GOST 57580 i les regulacions del banc central al nostre .
Què fer
Segons la nostra opinió, les organitzacions financeres només tenen dues opcions per resoldre el problema.
1. Evitar la implantació de contenidors
Una solució per a aquells que estan disposats a permetre el luxe d'utilitzar només la virtualització de maquinari i, al mateix temps, tenen por de les baixes qualificacions segons GOST i les multes del Banc Central.
A més: és més fàcil complir amb els requisits de la subsecció 7.8 de GOST.
Menys: Haurem d'abandonar les noves eines de desenvolupament basades en la virtualització de contenidors, en particular Docker i Kubernetes.
2. Negar-se a complir els requisits de la subsecció 7.8 de GOST
Però al mateix temps, aplicar les millors pràctiques per garantir la seguretat de la informació quan es treballa amb contenidors. Aquesta és una solució per a aquells que valoren les noves tecnologies i les oportunitats que ofereixen. Per "millors pràctiques" ens referim a les normes i estàndards acceptats per la indústria per garantir la seguretat dels contenidors Docker:
- seguretat del sistema operatiu amfitrió, registre correctament configurat, prohibició de l'intercanvi de dades entre contenidors, etc.
- utilitzar la funció Docker Trust per comprovar la integritat de les imatges i utilitzar l'escàner de vulnerabilitats integrat;
- No hem d'oblidar la seguretat de l'accés remot i el model de xarxa en el seu conjunt: atacs com l'ARP-spoofing i el MAC-flooding no s'han cancel·lat.
A més: no hi ha restriccions tècniques sobre l'ús de la virtualització de contenidors.
Menys: hi ha una alta probabilitat que el regulador castigui l'incompliment dels requisits GOST.
Conclusió
El nostre client va decidir no renunciar als contenidors. Al mateix temps, va haver de reconsiderar significativament l'abast del treball i el moment de la transició a Docker (van durar sis mesos). El client entén molt bé els riscos. També entén que durant la propera avaluació del compliment de GOST R 57580, molt dependrà de l'auditor.
Què faries en aquesta situació?
Font: www.habr.com