Pocu pocu fà, avemu fattu una altra valutazione di u rispettu di i requisiti di GOST R 57580 (in seguitu chjamatu GOST). U cliente hè una cumpagnia chì sviluppa un sistema di pagamentu elettronicu. U sistema hè seriu: più di 3 milioni d'utilizatori, più di 200 mila transazzione ogni ghjornu. Piglianu a sicurità di l'infurmazioni assai seriu quì.
Duranti u prucessu di valutazione, u cliente hà annunziatu casualmente chì u dipartimentu di sviluppu, in più di e macchine virtuali, pensa à aduprà cuntenituri. Ma cun questu, u cliente hà aghjustatu, ci hè un prublema: in GOST ùn ci hè micca una parolla nantu à u stessu Docker. Chì devu fà? Cumu valutà a sicurità di i cuntenituri?
Hè veru, GOST scrive solu nantu à a virtualizazione di hardware - nantu à cumu prutegge e macchine virtuali, un ipervisore è un servitore. Avemu dumandatu à u Bancu Centrale per chjarificà. A risposta ci hà perplessu.
GOST è virtualizazione
Per principià, ricurdemu chì GOST R 57580 hè un novu standard chì specifica "requisiti per assicurà a sicurità di l'infurmazioni di l'urganisazione finanziaria" (FI). Questi FI includenu operatori è participanti di sistemi di pagamentu, urganisazioni di creditu è micca di creditu, centri operativi è di compensazione.
Da u 1 di ghjennaghju di u 2021, i FI sò tenuti à cunduce . Noi, ITGLOBAL.COM, simu una sucità di audit chì conduce tali valutazioni.
GOST hà una subsezzione dedicata à a prutezzione di l'ambienti virtualizzati - N ° 7.8. U terminu "virtualizazione" ùn hè micca specificatu quì; ùn ci hè micca divisione in virtualizazione di hardware è di containeru. Qualchese specialista in TI dicerà chì, da un puntu di vista tecnicu, questu hè sbagliatu: una macchina virtuale (VM) è un containeru sò ambienti diffirenti, cù principii d'isolazione diffirenti. Da u puntu di vista di a vulnerabilità di l'ospite nantu à quale i cuntenituri VM è Docker sò implementati, questu hè ancu una grande diferenza.
Ci hè chì a valutazione di a sicurità di l'infurmazioni di VMs è cuntenituri deve esse ancu diffirenti.
E nostre dumande à a Banca Centrale
L'avemu mandatu à u Dipartimentu di Sicurezza di l'Informazione di a Banca Centrale (presentemu e dumande in forma abbreviata).
- Cumu cunsiderà i cuntenituri virtuali di tipu Docker quandu valutà a conformità GOST? Hè currettu per evaluà a tecnulugia in cunfurmità cù a subsection 7.8 di GOST?
- Cumu valutà l'arnesi di gestione di u containeru virtuale? Hè pussibule equate à i cumpunenti di virtualizazione di u servitore è evaluà secondu a listessa subsezione di GOST?
- Aghju bisognu di valutà separatamente a sicurità di l'infurmazioni in i cuntenituri Docker? Se sì, chì salvaguardi deve esse cunsideratu per questu durante u prucessu di valutazione?
- Se a cuntainerizazione hè uguagliata à l'infrastruttura virtuale è hè valutata secondu a subsezione 7.8, cumu sò i requisiti GOST per l'implementazione di strumenti di sicurezza di l'infurmazioni speciali implementati?
A risposta di u Bancu Centrale
Quì sottu sò i principali estratti.
"GOST R 57580.1-2017 stabilisce i requisiti per l'implementazione attraversu l'applicazione di misure tecniche in relazione à e seguenti misure ZI subsection 7.8 di GOST R 57580.1-2017, chì, in l'opinione di u Dipartimentu, pò esse allargata à i casi di usu di virtualizazione di container. tecnulugie, tenendu in contu i seguenti:
- l'implementazione di e misure ZSV.1 - ZSV.11 per l'urganizazione di l'identificazione, l'autentificazione, l'autorizazione (cuntrollu di l'accessu) quandu implementanu l'accessu logicu à e macchine virtuali è i cumpunenti di u servitore di virtualizazione pò esse diffirenti da i casi di usu di a tecnulugia di virtualizazione di u containeru. Pigliendu questu in contu, per implementà una quantità di misure (per esempiu, ZVS.6 è ZVS.7), credemu chì hè pussibule di ricumandemu chì l'istituzioni finanziarie sviluppanu misure compensatorii chì perseguiteranu i stessi scopi;
- L'implementazione di e misure ZSV.13 - ZSV.22 per l'urganizazione è u cuntrollu di l'interazzione di l'infurmazioni di e macchine virtuali prevede a segmentazione di a reta di l'informatica di una urganizazione finanziaria per distingue l'uggetti d'informatizazione chì implementanu a tecnulugia di virtualizazione è appartenenu à diversi circuiti di sicurezza. Pigliendu questu in contu, credemu chì hè cunsigliatu di furnisce una segmentazione adatta quandu si usa a tecnulugia di virtualizazione di u containeru (sia in relazione à cuntenituri virtuali eseguibili è in relazione à i sistemi di virtualizazione utilizati à u livellu di u sistema operatore);
- l'implementazione di e misure ZSV.26, ZSV.29 - ZSV.31 per urganizà a prutezzione di l'imaghjini di e macchine virtuale deve esse realizatu per analogia ancu per prutege l'imaghjini basi è attuali di cuntenituri virtuali;
- l'implementazione di e misure ZVS.32 - ZVS.43 per a registrazione di l'avvenimenti di sicurità di l'infurmazioni ligati à l'accessu à e macchine virtuali è i cumpunenti di virtualizazione di u servitore deve esse realizatu per analogia ancu in relazione à elementi di l'ambiente di virtualizazione chì implementanu a tecnulugia di virtualizazione di u containeru ".
Cosa significa
Dui cunclusioni principali da a risposta di u Dipartimentu di Sicurezza di l'Informazione di a Banca Centrale:
- e misure per prutege i cuntenituri ùn sò micca sfarente da e misure per prutezzione di e macchine virtuali;
- Da questu, in u cuntestu di a sicurità di l'infurmazioni, u Bancu Centrale equivale dui tipi di virtualizazione - cuntenituri Docker è VM.
A risposta ammenta ancu "misuri compensatori" chì deve esse appiicati per neutralizà e minacce. Ùn hè micca chjaru ciò chì sò queste "misure compensatorie" è cumu si misurà a so adeguatezza, completezza è efficacità.
Chì ci hè di male cù a pusizione di a Banca Centrale ?
Se aduprate i cunsiglii di u Bancu Centrale durante a valutazione (è l'autovalutazione), avete bisognu di risolve una quantità di difficultà tecniche è logiche.
- Ogni cuntinuu eseguibile richiede l'installazione di software di prutezzione di l'infurmazioni (IP) nantu à questu: antivirus, monitoraghju di integrità, travagliendu cù logs, sistemi DLP (Data Leak Prevention), etc. Tuttu chistu pò esse stallatu nantu à una VM senza prublemi, ma in u casu di un containeru, installà a sicurità di l'infurmazioni hè una mossa assurda. U cuntinuu cuntene a quantità minima di "kit di corpu" chì hè necessariu per u serviziu per funziunà. L'installazione di un SZI in questu contraddice u so significatu.
- L'imaghjini di u containeru devenu esse prutetti secondu u listessu principiu; cumu implementà questu ùn hè ancu chjaru.
- GOST richiede restringe l'accessu à i cumpunenti di virtualizazione di u servitore, vale à dì, à l'ipervisore. Ciò chì hè cunsideratu cumpunente di u servitore in u casu di Docker? Questu ùn significa micca chì ogni cuntinuu deve esse eseguitu in un host separatu?
- Se per a virtualizazione convenzionale hè pussibule delimità e VM per i contorni di sicurezza è i segmenti di rete, allora in u casu di cuntenituri Docker in u stessu host, questu ùn hè micca u casu.
In pratica, hè prubabile chì ogni auditore valuterà a sicurezza di i cuntenituri in u so modu, basatu nantu à a so propria cunniscenza è sperienza. Ebbè, o ùn l'evaluate micca in tuttu, s'ellu ùn ci hè nè unu nè l'altru.
In casu, aghjunghjeremu chì da u 1 di ghjennaghju di u 2021, u puntu minimu ùn deve esse micca più bassu di 0,7.
A propositu, publicemu regularmente risposte è cumenti da i regulatori in relazione à i requisiti di GOST 57580 è di i Regolamenti di a Banca Centrale in u nostru .
Cosa da fà
In u nostru parè, l'urganisazione finanziaria anu solu duie opzioni per risolve u prublema.
1. Evite implementà cuntenituri
Una suluzione per quelli chì sò pronti à permette di utilizà solu a virtualizazione di hardware è à u stessu tempu anu a paura di qualificazioni bassu secondu GOST è multa da u Bancu Centrale.
Un plus: hè più faciule per rispettà i requisiti di a subsezione 7.8 di GOST.
Minus: Avemu da abbandunà novi strumenti di sviluppu basatu nantu à a virtualizazione di u containeru, in particulare Docker è Kubernetes.
2. Rifiutate di rispettà i requisiti di a subsezione 7.8 di GOST
Ma à u stessu tempu, applicà e migliori pratiche per assicurà a sicurità di l'infurmazioni quandu travaglia cù cuntenituri. Questa hè una suluzione per quelli chì apprezzanu e tecnulugia novi è l'opportunità chì furnisce. Per "best practices" intendemu normi è standard accettati da l'industria per assicurà a sicurità di i cuntenituri Docker:
- securità di l'OS host, logu cunfiguratu bè, pruibizione di scambiu di dati trà cuntenituri, etc.;
- utilizendu a funzione Docker Trust per verificà l'integrità di l'imaghjini è utilizendu u scanner di vulnerabilità integrata;
- Ùn ci vole micca scurdà di a sicurità di l'accessu remotu è di u mudellu di rete in tuttu: attacchi cum'è ARP-spoofing è MAC-flooding ùn sò micca stati annullati.
Un plus: senza restrizioni tecniche à l'usu di a virtualizazione di u containeru.
Minus: ci hè una alta probabilità chì u regulatore punirà per non-rispettu à i requisiti GOST.
cunchiusioni
U nostru cliente hà decisu di ùn rinunzià micca i cuntenituri. À u listessu tempu, hà avutu à ricunsiderà significativamente l'ambitu di u travagliu è u timing di a transizione à Docker (duravanu sei mesi). U cliente capisce i risichi assai bè. Hà capitu ancu chì durante a prossima valutazione di u rispettu di GOST R 57580, assai dependerà di l'auditor.
Chì faria in questa situazione?
Source: www.habr.com