Usa ka adlaw nakadawat kami usa ka hangyo alang sa mga serbisyo sa panganod. Among gilatid sa kinatibuk-ang termino kon unsa ang gikinahanglan kanamo ug gipadala balik ang listahan sa mga pangutana aron maklaro ang mga detalye. Dayon among gisusi ang mga tubag ug nahibal-an: gusto sa kustomer nga ibutang ang personal nga datos sa ikaduhang lebel sa seguridad sa panganod. Gitubag namo siya: "Adunay ka ikaduha nga lebel sa personal nga datos, pasensya, makahimo ra kami usa ka pribado nga panganod." Ug siya: "Nahibal-an nimo, apan sa kompanya X mahimo nila i-post ang tanan sa akong publiko."
Litrato ni Steve Crisp, Reuters
Katingad-an nga mga butang! Miadto kami sa website sa kompanya X, gitun-an ang ilang mga dokumento sa sertipikasyon, gilingo-lingo ang among mga ulo ug nakaamgo: adunay daghang bukas nga mga pangutana sa pagbutang sa personal nga datos ug kini kinahanglan nga hingpit nga matubag. Mao kana ang atong buhaton sa kini nga post.
Sa unsang paagi ang tanan molihok
Una, atong mahibal-an kung unsang mga pamatasan ang gigamit sa pagklasipikar sa personal nga datos ingon usa o lain nga lebel sa seguridad. Nagdepende kini sa kategorya sa datos, ang gidaghanon sa mga hilisgutan sa kini nga datos nga gitipigan ug giproseso sa operator, ingon man ang tipo sa karon nga mga hulga.
Ang mga tipo sa karon nga mga hulga gihubit sa napetsahan Nobyembre 1, 2012 "Sa pag-apruba sa mga kinahanglanon alang sa pagpanalipod sa personal nga datos sa panahon sa ilang pagproseso sa mga sistema sa impormasyon sa personal nga datos":
"Ang Type 1 nga mga hulga adunay kalabutan alang sa usa ka sistema sa impormasyon kung kini naglakip kasamtangan nga mga hulga nga may kalabutan sa uban ang presensya sa dili dokumentado (wala gipahayag) nga mga kapabilidad sa software sa sistemagigamit sa sistema sa impormasyon.
Ang mga hulga sa ika-2 nga tipo adunay kalabotan sa usa ka sistema sa impormasyon kung alang niini, lakip kasamtangan nga mga hulga nga may kalabutan sa uban ang presensya sa dili dokumentado (wala gipahayag) nga mga kapabilidad sa software sa aplikasyongigamit sa sistema sa impormasyon.
Ang mga hulga sa ika-3 nga tipo adunay kalabotan sa usa ka sistema sa kasayuran kung alang niini hulga nga walay kalabutan uban ang presensya sa dili dokumentado (wala gipahayag) nga mga kapabilidad sa sistema ug software sa aplikasyongigamit sa sistema sa impormasyon."
Ang nag-unang butang niini nga mga kahulugan mao ang presensya sa dili dokumentado (wala gipahayag) nga mga kapabilidad. Aron makumpirma ang pagkawala sa dili dokumentado nga mga kapabilidad sa software (sa kaso sa panganod, kini usa ka hypervisor), ang sertipikasyon gihimo sa FSTEC sa Russia. Kung gidawat sa operator sa PD nga wala’y ingon nga mga kapabilidad sa software, nan ang katugbang nga mga hulga wala’y kalabotan. Ang mga hulga sa mga tipo 1 ug 2 talagsa ra nga giisip nga may kalabotan sa mga operator sa PD.
Gawas pa sa pagtino sa lebel sa seguridad sa PD, kinahanglan usab nga mahibal-an sa operator ang piho nga karon nga mga hulga sa publiko nga panganod ug, base sa giila nga lebel sa seguridad sa PD ug karon nga mga hulga, mahibal-an ang kinahanglan nga mga lakang ug paagi sa pagpanalipod batok kanila.
Ang FSTEC tin-aw nga naglista sa tanan nga mga nag-unang hulga sa (database sa hulga). Ang mga tighatag sa imprastraktura sa panganod ug mga tigsusi naggamit niini nga database sa ilang trabaho. Ania ang mga pananglitan sa mga hulga:
: "Ang hulga mao ang posibilidad sa paglapas sa seguridad sa data sa user sa mga programa nga naglihok sulod sa usa ka virtual machine pinaagi sa malisyosong software nga naglihok sa gawas sa virtual machine." Kini nga hulga tungod sa presensya sa mga kahuyangan sa hypervisor software, nga nagsiguro nga ang address space nga gigamit sa pagtipig sa data sa user alang sa mga programa nga naglihok sulod sa virtual machine nahimulag gikan sa dili awtorisado nga pag-access sa malisyoso nga software nga naglihok sa gawas sa virtual machine.
Ang pagpatuman niini nga hulga posible basta ang malisyoso nga program code malampuson nga nakabuntog sa mga utlanan sa virtual machine, dili lamang pinaagi sa pagpahimulos sa mga kahuyangan sa hypervisor, kondili pinaagi usab sa paghimo sa maong epekto gikan sa ubos (relasyon sa hypervisor) nga lebel sa naglihok nga sistema."
: "Ang hulga anaa sa posibilidad sa dili awtorisado nga pag-access sa gipanalipdan nga impormasyon sa usa ka cloud service consumer gikan sa lain. Kini nga hulga tungod sa kamatuoran nga, tungod sa kinaiyahan sa mga teknolohiya sa panganod, ang mga konsumedor sa serbisyo sa panganod kinahanglan nga mag-ambit sa parehas nga imprastraktura sa panganod. Kini nga hulga mahimong matuman kung ang mga sayup nahimo kung gibulag ang mga elemento sa imprastraktura sa panganod tali sa mga konsumedor sa serbisyo sa panganod, ingon man kung gilain ang ilang mga kahinguhaan ug gibulag ang mga datos gikan sa usag usa.
Mahimo ra nimo mapanalipdan batok sa kini nga mga hulga sa tabang sa usa ka hypervisor, tungod kay kini ang nagdumala sa mga virtual nga kapanguhaan. Busa, ang hypervisor kinahanglang isipon ingong paagi sa pagpanalipod.
Ug sumala sa napetsahan Pebrero 18, 2013, ang hypervisor kinahanglang sertipikado isip non-NDV sa level 4, kon dili ang paggamit sa level 1 ug 2 personal nga data uban niini mahimong ilegal (“Clause 12. ... Aron masiguro ang lebel 1 ug 2 sa seguridad sa personal nga datos, ingon man aron masiguro ang lebel 3 sa seguridad sa personal nga datos sa mga sistema sa impormasyon diin ang tipo nga 2 nga mga hulga giklasipikar ingon karon, gigamit ang mga gamit sa seguridad sa impormasyon, ang software nga nahimo. gisulayan labing menos sumala sa 4 nga lebel sa kontrol sa pagkawala sa wala gipahayag nga mga kapabilidad").
Usa lamang ka hypervisor, nga naugmad sa Russia, adunay gikinahanglan nga lebel sa sertipikasyon, NDV-4. . Sa pagsulti niini nga malumo, dili ang labing popular nga solusyon. Ang mga komersyal nga panganod kasagarang gitukod base sa VMware vSphere, KVM, Microsoft Hyper-V. Walay usa niini nga mga produkto ang NDV-4 certified. Ngano man? Lagmit nga ang pagkuha sa ingon nga sertipikasyon alang sa mga tiggama dili pa makatarunganon sa ekonomiya.
Ug ang tanan nga nahabilin alang kanamo alang sa lebel 1 ug 2 nga personal nga datos sa publiko nga panganod mao ang Horizon BC. Subo pero tinuod.
Giunsa ang tanan (sa among opinyon) molihok gyud
Sa una nga pagtan-aw, ang tanan estrikto kaayo: kini nga mga hulga kinahanglan nga wagtangon pinaagi sa husto nga pag-configure sa sumbanan nga mekanismo sa pagpanalipod sa usa ka hypervisor nga sertipikado sumala sa NDV-4. Apan adunay usa ka lusot. Subay sa FSTEC Order No. 21 ("clause 2 Ang seguridad sa personal nga datos kung giproseso sa sistema sa impormasyon sa personal nga datos (gitawag dinhi nga sistema sa impormasyon) gisiguro sa operator o sa tawo nga nagproseso sa personal nga datos alang sa operator uyon sa Russian Federation"), independente nga gisusi sa mga provider ang kalabotan sa posible nga mga hulga ug gipili ang mga lakang sa pagpanalipod sumala niana. Busa, kung dili nimo dawaton ang mga hulga nga UBI.44 ug UBI.101 ingon karon, nan dili kinahanglan nga mogamit usa ka hypervisor nga sertipikado sumala sa NDV-4, nga mao gyud ang kinahanglan maghatag proteksyon batok kanila. Ug kini igo na aron makakuha usa ka sertipiko sa pagsunod sa publiko nga panganod nga adunay lebel 1 ug 2 sa seguridad sa personal nga datos, nga hingpit nga matagbaw ang Roskomnadzor.
Siyempre, dugang pa sa Roskomnadzor, ang FSTEC mahimong mag-inspeksyon - ug kini nga organisasyon labi ka makuti sa teknikal nga mga butang. Mahimong interesado siya kung ngano nga ang mga hulga nga UBI.44 ug UBI.101 giisip nga wala’y kalabotan? Apan kasagaran ang FSTEC mohimo lang og inspeksyon kung makadawat kini og impormasyon bahin sa pipila ka mahinungdanong insidente. Sa kini nga kaso, ang federal nga serbisyo una nga moabut sa personal nga data operator - nga mao, ang kustomer sa mga serbisyo sa panganod. Sa pinakagrabe nga kaso, ang operator nakadawat og gamay nga multa - pananglitan, alang sa Twitter sa sinugdanan sa tuig sa usa ka susama nga kaso mikabat sa 5000 ruble. Unya ang FSTEC moadto pa sa cloud service provider. Nga mahimong makuhaan sa usa ka lisensya tungod sa kapakyasan sa pagsunod sa mga kinahanglanon sa regulasyon - ug kini hingpit nga lainlaing mga peligro, alang sa cloud provider ug alang sa mga kliyente niini. Apan, akong balikon, Aron masusi ang FSTEC, kasagaran kinahanglan nimo ang klaro nga hinungdan. Busa ang mga cloud providers andam nga mokuha og mga risgo. Hangtod sa una nga grabe nga panghitabo.
Adunay usab usa ka grupo sa "mas responsable" nga mga tighatag nga nagtuo nga posible nga isira ang tanan nga mga hulga pinaagi sa pagdugang usa ka add-on sama sa vGate sa hypervisor. Apan sa usa ka virtual nga palibot nga gipang-apod-apod sa mga kustomer alang sa pipila ka mga hulga (pananglitan, ang labaw sa UBI.101), usa ka epektibo nga mekanismo sa pagpanalipod mahimo lamang ipatuman sa lebel sa usa ka hypervisor nga gi-sertipikado sumala sa NDV-4, tungod kay ang bisan unsang mga add-on nga sistema sa ang standard nga mga gimbuhaton sa hypervisor alang sa pagdumala sa mga kapanguhaan (sa partikular, RAM) dili makaapekto.
Giunsa namo pagtrabaho
Adunay kami usa ka bahin sa panganod nga gipatuman sa usa ka hypervisor nga gipamatud-an sa FSTEC (apan walay sertipikasyon alang sa NDV-4). Ang kini nga bahin gipamatud-an, busa ang personal nga datos mahimong tipigan sa panganod base niini 3 ug 4 nga lebel sa seguridad — Ang mga kinahanglanon alang sa pagpanalipod batok sa wala gipahayag nga mga kapabilidad dili kinahanglan nga obserbahan dinhi. Dinhi, sa tinuud, ang arkitektura sa among luwas nga bahin sa panganod:
Mga sistema alang sa personal nga datos 1 ug 2 nga lebel sa seguridad Nag-implementar lang kami sa gipahinungod nga kagamitan. Sa kini nga kaso, pananglitan, ang hulga sa UBI.101 dili gyud angay, tungod kay ang mga rack sa server nga wala mahiusa sa usa ka virtual nga palibot dili makaimpluwensya sa usag usa bisan kung nahimutang sa parehas nga sentro sa datos. Alang sa ingon nga mga kaso, nagtanyag kami usa ka gipahinungod nga serbisyo sa pag-abang sa kagamitan (gitawag usab kini nga Hardware ingon usa ka serbisyo).
Kung dili ka sigurado kung unsa nga lebel sa seguridad ang gikinahanglan alang sa imong personal nga sistema sa datos, makatabang usab kami sa pagklasipikar niini.
konklusyon
Ang among gamay nga panukiduki sa merkado nagpakita nga ang pipila ka mga cloud operator andam nga irisgo ang seguridad sa datos sa kustomer ug ang ilang kaugmaon aron makadawat usa ka order. Apan niining mga butanga nagsunod kami sa usa ka lahi nga palisiya, nga among gihulagway sa daklit sa ibabaw. Malipay kami nga tubagon ang imong mga pangutana sa mga komento.
Source: www.habr.com