ProHoster > Π‘Π»ΠΎΠ³ > Pagdumala > Giunsa ang pagpakighigala sa GOST R 57580 ug container virtualization. Ang tubag sa Central Bank (ug ang among mga hunahuna bahin niini)

Giunsa ang pagpakighigala sa GOST R 57580 ug container virtualization. Ang tubag sa Central Bank (ug ang among mga hunahuna bahin niini)

Dili pa lang dugay nagpahigayon kami og lain nga pagtimbang-timbang sa pagsunod sa mga kinahanglanon sa GOST R 57580 (gitawag dayon nga GOST). Ang kliyente usa ka kompanya nga nagpalambo sa usa ka elektronik nga sistema sa pagbayad. Seryoso ang sistema: labaw pa sa 3 milyon nga tiggamit, labaw pa sa 200 ka libo nga mga transaksyon kada adlaw. Giseryoso nila ang seguridad sa impormasyon didto.

Atol sa proseso sa ebalwasyon, kaswal nga gipahibalo sa kliyente nga ang departamento sa pag-uswag, dugang sa mga virtual machine, nagplano nga mogamit mga sudlanan. Apan uban niini, ang kliyente midugang, adunay usa ka problema: sa GOST walay pulong mahitungod sa sama nga Docker. Unsa ang akong buhaton? Giunsa pagtimbang-timbang ang seguridad sa mga sudlanan?

Giunsa ang pagpakighigala sa GOST R 57580 ug container virtualization. Ang tubag sa Central Bank (ug ang among mga hunahuna bahin niini)

Tinuod, nagsulat lang ang GOST bahin sa virtualization sa hardware - kung giunsa pagpanalipod ang mga virtual machine, hypervisor, ug server. Nangayo mig katin-awan sa Bangko Sentral. Ang tubag nakapalibog kanamo.

GOST ug virtualization

Sa pagsugod, atong hinumdoman nga ang GOST R 57580 usa ka bag-ong sumbanan nga nagtino sa "mga kinahanglanon alang sa pagsiguro sa seguridad sa impormasyon sa mga pinansyal nga organisasyon" (FI). Kini nga mga FIs naglakip sa mga operator ug mga partisipante sa mga sistema sa pagbayad, credit ug non-credit nga mga organisasyon, operational ug clearing centers.

Gikan sa Enero 1, 2021, ang mga FIs gikinahanglan nga mopahigayon pagsusi sa pagsunod sa mga kinahanglanon sa bag-ong GOST. Kami, ang ITGLOBAL.COM, usa ka kompanya sa pag-audit nga nagpahigayon sa ingon nga mga pagtasa.

Ang GOST adunay subsection nga gipahinungod sa pagpanalipod sa virtualized nga mga palibot - No. 7.8. Ang termino nga "virtualization" wala gipiho didto; walay pagkabahin sa hardware ug container virtualization. Bisan kinsa nga espesyalista sa IT moingon nga gikan sa usa ka teknikal nga punto sa pagtan-aw kini dili husto: ang usa ka virtual machine (VM) ug usa ka sudlanan lainlain nga mga palibot, nga adunay lainlaing mga prinsipyo sa pag-inusara. Gikan sa punto sa panglantaw sa kahuyang sa host diin ang VM ug Docker nga mga sudlanan gipakatap, kini usab usa ka dako nga kalainan.

Kini nahimo nga ang pagsusi sa seguridad sa impormasyon sa mga VM ug mga sudlanan kinahanglan usab nga lahi.

Ang among mga pangutana sa Bangko Sentral

Gipadala namo sila sa Information Security Department sa Central Bank (among gipresentar ang mga pangutana sa pinamubo nga porma).

  1. Giunsa pagkonsiderar ang Docker-type nga virtual nga mga sudlanan kung gisusi ang pagsunod sa GOST? Husto ba ang pagtimbang-timbang sa teknolohiya sumala sa subseksyon 7.8 sa GOST?
  2. Giunsa pagtimbang-timbang ang mga gamit sa pagdumala sa virtual nga sudlanan? Posible ba nga iparehas sila sa mga sangkap sa virtualization sa server ug susihon kini sumala sa parehas nga subseksyon sa GOST?
  3. Kinahanglan ba nako nga bulag nga susihon ang seguridad sa kasayuran sa sulod sa mga sudlanan sa Docker? Kung mao, unsa nga mga panalipod ang kinahanglan ikonsiderar alang niini sa panahon sa proseso sa pagtasa?
  4. Kung ang containerization gipakasama sa virtual nga imprastraktura ug gi-assess sumala sa subsection 7.8, sa unsang paagi gipatuman ang mga kinahanglanon sa GOST alang sa pagpatuman sa espesyal nga mga himan sa seguridad sa impormasyon?

Tubag sa Bangko Sentral

Sa ubos mao ang nag-unang mga kinutlo.

"Ang GOST R 57580.1-2017 nag-establisar sa mga kinahanglanon alang sa pagpatuman pinaagi sa paggamit sa teknikal nga mga lakang nga may kalabutan sa mosunod nga mga lakang ZI subsection 7.8 sa GOST R 57580.1-2017, nga, sa opinyon sa Departamento, mahimong mapalapdan sa mga kaso sa paggamit sa container virtualization teknolohiya, nga gikonsiderar ang mosunod:

  • ang pagpatuman sa mga lakang ZSV.1 - ZSV.11 alang sa pag-organisar sa pag-ila, panghimatuud, pagtugot (pagkontrol sa pag-access) kung ang pagpatuman sa lohikal nga pag-access sa mga virtual nga makina ug mga sangkap sa virtualization server mahimong lahi sa mga kaso sa paggamit sa teknolohiya sa virtualization sa sulud. Gikonsiderar kini, aron mapatuman ang daghang mga lakang (pananglitan, ZVS.6 ug ZVS.7), kami nagtuo nga posible nga irekomenda nga ang mga institusyong pinansyal maghimo mga lakang nga bayad nga magpadayon sa parehas nga mga katuyoan;
  • ang pagpatuman sa mga lakang ZSV.13 - ZSV.22 alang sa organisasyon ug pagkontrolar sa impormasyon interaksyon sa mga virtual machine naghatag alang sa segmentation sa computer network sa usa ka pinansyal nga organisasyon sa pag-ila sa taliwala sa mga butang sa impormasyon nga nagpatuman sa virtualization teknolohiya ug iya sa lain-laing mga sirkito sa seguridad. Sa pagkonsiderar niini, nagtuo kami nga gitambagan ang paghatag alang sa angay nga pagbahin-bahin kung gigamit ang teknolohiya sa virtualization sa sulud (pareho nga may kalabotan sa mga ma-executable nga virtual nga sulud ug may kalabotan sa mga sistema sa virtualization nga gigamit sa lebel sa operating system);
  • ang pagpatuman sa mga lakang ZSV.26, ZSV.29 - ZSV.31 sa pag-organisar sa pagpanalipod sa mga larawan sa mga virtual machine kinahanglan nga gidala sa gawas pinaagi sa analohiya usab aron sa pagpanalipod sa nag-unang ug kasamtangan nga mga larawan sa virtual nga mga sudlanan;
  • ang pagpatuman sa mga lakang ZVS.32 - ZVS.43 alang sa pagrekord sa mga panghitabo sa seguridad sa impormasyon nga may kalabutan sa pag-access sa mga virtual machine ug mga sangkap sa virtualization sa server kinahanglan nga himuon pinaagi sa analogy usab nga may kalabotan sa mga elemento sa virtualization environment nga nagpatuman sa container virtualization nga teknolohiya.

Unsay buot ipasabot niini

Duha ka nag-unang konklusyon gikan sa tubag sa Central Bank Information Security Department:

  • ang mga lakang sa pagpanalipod sa mga sudlanan walay kalainan sa mga lakang sa pagpanalipod sa mga virtual machine;
  • Kini nagsunod gikan niini nga, sa konteksto sa seguridad sa impormasyon, ang Central Bank nagpakasama sa duha ka matang sa virtualization - Docker containers ug VMs.

Ang tubag usab naghisgot sa "compensatory measures" nga kinahanglan i-apply aron ma-neutralize ang mga hulga. Dili klaro kung unsa kini nga mga "compensatory measures" ug kung giunsa pagsukod ang ilang pagkaigo, pagkakompleto ug pagkaepektibo.

Unsa may sayop sa posisyon sa Bangko Sentral?

Kon imong gamiton ang mga rekomendasyon sa Central Bank atol sa assessment (ug self-assessment), kinahanglan nimo nga sulbaron ang daghang teknikal ug lohikal nga mga kalisdanan.

  • Ang matag executable nga sudlanan nagkinahanglan sa pag-instalar sa software sa pagpanalipod sa impormasyon (IP) niini: antivirus, pag-monitor sa integridad, pagtrabaho sa mga troso, mga sistema sa DLP (Data Leak Prevention), ug uban pa. Ang tanan nga kini mahimong ma-install sa usa ka VM nga wala’y mga problema, apan sa kaso sa usa ka sudlanan, ang pag-install sa seguridad sa kasayuran usa ka dili makatarunganon nga lakang. Ang sudlanan adunay labing gamay nga kantidad sa "body kit" nga gikinahanglan aron molihok ang serbisyo. Ang pagbutang ug SZI niini sukwahi sa kahulogan niini.
  • Ang mga imahen sa sulud kinahanglan panalipdan sumala sa parehas nga prinsipyo; kung giunsa kini ipatuman dili usab klaro.
  • Ang GOST nagkinahanglan sa pagpugong sa pag-access sa mga sangkap sa virtualization sa server, i.e., ngadto sa hypervisor. Unsa ang giisip nga usa ka sangkap sa server sa kaso sa Docker? Dili ba kini nagpasabut nga ang matag sudlanan kinahanglan nga ipadagan sa usa ka lahi nga host?
  • Kung alang sa naandan nga virtualization posible nga limitahan ang mga VM pinaagi sa mga contour sa seguridad ug mga bahin sa network, nan sa kaso sa mga sulud sa Docker sa sulod sa parehas nga host, dili kini ang kaso.

Sa praktis, lagmit nga ang matag auditor magsusi sa seguridad sa mga sudlanan sa iyang kaugalingong paagi, base sa iyang kaugalingong kahibalo ug kasinatian. Aw, o ayaw pag-evaluate niini, kung wala ang usa o ang lain.

Sa kaso lang, among idugang nga gikan sa Enero 1, 2021, ang minimum nga marka kinahanglan dili moubos sa 0,7.

Pinaagi sa dalan, kami kanunay nga nag-post sa mga tubag ug mga komento gikan sa mga regulator nga may kalabutan sa mga kinahanglanon sa GOST 57580 ug Central Bank Regulations sa among Telegram channel.

Unsa ang buhaton

Sa among opinyon, ang mga organisasyon sa pinansya adunay duha ra nga kapilian sa pagsulbad sa problema.

1. Likayi ang pagpatuman sa mga sudlanan

Usa ka solusyon alang sa mga andam nga maabut sa paggamit lamang sa hardware virtualization ug sa samang higayon nahadlok sa ubos nga mga rating sumala sa GOST ug mga multa gikan sa Central Bank.

Dugang: mas sayon ​​ang pagtuman sa mga kinahanglanon sa subsection 7.8 sa GOST.

Minus: Kinahanglan natong biyaan ang bag-ong mga himan sa pag-uswag base sa container virtualization, ilabi na ang Docker ug Kubernetes.

2. Pagdumili sa pagtuman sa mga kinahanglanon sa subsection 7.8 sa GOST

Apan sa parehas nga oras, gamita ang labing kaayo nga mga gawi sa pagsiguro sa seguridad sa kasayuran kung nagtrabaho sa mga sudlanan. Kini usa ka solusyon alang niadtong nagpabili sa mga bag-ong teknolohiya ug sa mga oportunidad nga ilang gihatag. Pinaagi sa "labing maayo nga mga gawi" nagpasabut kami nga gidawat sa industriya nga mga pamatasan ug mga sumbanan alang sa pagsiguro sa seguridad sa mga sudlanan sa Docker:

  • seguridad sa host OS, hustong pagka-configure nga pag-log, pagdili sa pagbayloay sa datos tali sa mga sudlanan, ug uban pa;
  • gamit ang Docker Trust function aron masusi ang integridad sa mga imahe ug gamit ang built-in nga vulnerability scanner;
  • Dili nato kalimtan ang bahin sa seguridad sa hilit nga pag-access ug ang modelo sa network sa kinatibuk-an: ang mga pag-atake sama sa ARP-spoofing ug MAC-flooding wala makansela.

Dugang: walay teknikal nga pagdili sa paggamit sa container virtualization.

Minus: adunay taas nga posibilidad nga ang regulator magsilot sa dili pagsunod sa mga kinahanglanon sa GOST.

konklusyon

Ang among kliyente nakahukom nga dili ihatag ang mga sudlanan. Sa parehas nga oras, kinahanglan niya nga hunahunaon pag-usab ang kasangkaran sa trabaho ug ang oras sa pagbalhin sa Docker (sila milungtad sa unom ka bulan). Ang kliyente nakasabot pag-ayo sa mga risgo. Nasabtan usab niya nga sa sunod nga pagsusi sa pagsunod sa GOST R 57580, daghan ang magdepende sa auditor.

Unsa ang imong buhaton niini nga sitwasyon?

Source: www.habr.com

Idugang sa usa ka comment