Jednoho dne jsme obdrželi požadavek na cloudové služby. Všeobecně jsme nastínili, co se po nás bude požadovat, a zaslali zpět seznam otázek, abychom upřesnili podrobnosti. Poté jsme analyzovali odpovědi a uvědomili jsme si: zákazník chce umístit osobní údaje druhého stupně zabezpečení do cloudu. Odpovídáme mu: „Máte druhou úroveň osobních údajů, promiňte, můžeme vytvořit pouze privátní cloud.“ A on: "Víte, ale ve společnosti X mi mohou vše zveřejnit."
Foto Steve Crisp, Reuters
Podivné věci! Šli jsme na web společnosti X, prostudovali jsme její certifikační dokumenty, zavrtěli hlavou a uvědomili jsme si: v umístění osobních údajů je spousta otevřených otázek a je třeba je důkladně řešit. To je to, co uděláme v tomto příspěvku.
Jak by mělo vše fungovat
Nejprve si ujasněme, jaká kritéria se používají ke klasifikaci osobních údajů jako té či oné úrovně zabezpečení. To závisí na kategorii dat, počtu subjektů těchto dat, které provozovatel uchovává a zpracovává, a také na typu aktuálních hrozeb.
Typy aktuálních hrozeb jsou definovány v ze dne 1 „O schválení požadavků na ochranu osobních údajů při jejich zpracování v informačních systémech osobních údajů“:
„Hrozby 1. typu jsou relevantní pro informační systém, pokud obsahuje aktuální hrozby související s přítomností nezdokumentovaných (nedeklarovaných) schopností v systémovém softwarupoužívané v informačním systému.
Hrozby 2. typu jsou relevantní pro informační systém, pokud pro něj, včetně aktuální hrozby související s přítomností nezdokumentovaných (nedeklarovaných) schopností v aplikačním softwarupoužívané v informačním systému.
Hrozby 3. typu jsou relevantní pro informační systém, pokud pro něj hrozby, které spolu nesouvisí s přítomností nezdokumentovaných (nedeklarovaných) schopností v systémovém a aplikačním softwarupoužívané v informačním systému“.
Hlavní věcí v těchto definicích je přítomnost nezdokumentovaných (nedeklarovaných) schopností. Aby se potvrdila absence nezdokumentovaných softwarových schopností (v případě cloudu se jedná o hypervizor), certifikaci provádí FSTEC z Ruska. Pokud operátor PD připustí, že v softwaru žádné takové schopnosti nejsou, pak jsou odpovídající hrozby irelevantní. Hrozby typu 1 a 2 jsou operátory PD extrémně zřídka považovány za relevantní.
Kromě stanovení úrovně zabezpečení PD musí provozovatel určit i konkrétní aktuální hrozby pro veřejný cloud a na základě zjištěné úrovně zabezpečení PD a aktuálních hrozeb stanovit potřebná opatření a prostředky ochrany proti nim.
FSTEC jasně uvádí všechny hlavní hrozby v (databáze hrozeb). Poskytovatelé cloudové infrastruktury a hodnotitelé využívají tuto databázi při své práci. Zde jsou příklady hrozeb:
: "Hrozbou je možnost narušení bezpečnosti uživatelských dat programů pracujících uvnitř virtuálního stroje škodlivým softwarem působícím mimo virtuální stroj." Tato hrozba je způsobena přítomností zranitelností v softwaru hypervizoru, který zajišťuje, že adresní prostor používaný k ukládání uživatelských dat pro programy pracující uvnitř virtuálního stroje je izolován od neoprávněného přístupu škodlivého softwaru působícího mimo virtuální stroj.
Implementace této hrozby je možná za předpokladu, že škodlivý programový kód úspěšně překoná hranice virtuálního stroje, a to nejen využitím zranitelností hypervizoru, ale také provedením takového dopadu z nižších (ve vztahu k hypervizoru) úrovní fungování systému."
: „Hrozba spočívá v možnosti neoprávněného přístupu k chráněným informacím jednoho spotřebitele cloudové služby od druhého. Tato hrozba je způsobena skutečností, že kvůli povaze cloudových technologií musí spotřebitelé cloudových služeb sdílet stejnou cloudovou infrastrukturu. Tuto hrozbu lze realizovat, pokud dojde k chybám při oddělování prvků cloudové infrastruktury mezi zákazníky cloudových služeb, stejně jako při izolaci jejich zdrojů a oddělování dat od sebe navzájem.“
Proti těmto hrozbám se můžete chránit pouze pomocí hypervizoru, protože právě on spravuje virtuální zdroje. Hypervizor je tedy nutné považovat za prostředek ochrany.
A v souladu s ze dne 18. února 2013 musí být hypervizor certifikován jako non-NDV na úrovni 4, jinak bude použití osobních údajů úrovně 1 a 2 s ním nezákonné ("Ustanovení 12. ... K zajištění úrovně 1 a 2 zabezpečení osobních údajů, jakož i k zajištění úrovně 3 zabezpečení osobních údajů v informačních systémech, pro které jsou hrozby 2. typu klasifikovány jako aktuální, jsou využívány nástroje informační bezpečnosti, jejichž programové vybavení bylo testováno alespoň podle 4 úrovní kontroly nad absencí nedeklarovaných schopností“).
Pouze jeden hypervizor, vyvinutý v Rusku, má požadovanou úroveň certifikace, NDV-4. . Mírně řečeno, není to nejoblíbenější řešení. Komerční cloudy jsou zpravidla postaveny na základě VMware vSphere, KVM, Microsoft Hyper-V. Žádný z těchto produktů nemá certifikaci NDV-4. Proč? Je pravděpodobné, že získání takové certifikace pro výrobce zatím není ekonomicky opodstatněné.
A pro osobní údaje úrovně 1 a 2 ve veřejném cloudu nám zbývá pouze Horizon BC. Smutné ale pravdivé.
Jak vše (podle nás) skutečně funguje
Na první pohled je vše poměrně striktní: tyto hrozby je nutné eliminovat správnou konfigurací standardních ochranných mechanismů hypervizoru certifikovaného podle NDV-4. Ale je tu jedna mezera. V souladu s nařízením FSTEC č. 21 („bod 2 Zabezpečení osobních údajů při zpracování v informačním systému osobních údajů (dále jen informační systém) zajišťuje provozovatel nebo osoba zpracovávající osobní údaje jménem provozovatele v souladu s Ruská Federace"), poskytovatelé nezávisle posuzují relevanci možných hrozeb a podle toho volí ochranná opatření. Pokud tedy neuznáte hrozby UBI.44 a UBI.101 jako aktuální, pak nebude potřeba používat hypervizor certifikovaný podle NDV-4, což je právě to, co by proti nim mělo zajistit ochranu. A to bude stačit k získání certifikátu shody veřejného cloudu s 1. a 2. úrovní zabezpečení osobních údajů, se kterým bude Roskomnadzor zcela spokojen.
Samozřejmě kromě Roskomnadzoru může přijít s kontrolou i FSTEC – a tato organizace je v technických záležitostech mnohem pečlivější. Pravděpodobně ji bude zajímat, proč byly právě hrozby UBI.44 a UBI.101 považovány za irelevantní? FSTEC však obvykle provádí kontrolu pouze tehdy, když obdrží informace o nějakém významném incidentu. V tomto případě federální služba přichází nejprve k provozovateli osobních údajů – tedy zákazníkovi cloudových služeb. V horším případě dostane operátor malou pokutu – například za Twitter na začátku roku v podobném případě činil 5000 XNUMX rublů. Pak FSTEC jde dále k poskytovateli cloudových služeb. Která může být klidně zbavena licence kvůli nedodržení regulačních požadavků – a to jsou zcela jiná rizika, jak pro poskytovatele cloudu, tak pro jeho klienty. Ale opakuji, Ke kontrole FSTEC obvykle potřebujete jasný důvod. Poskytovatelé cloudu jsou tedy ochotni riskovat. Až do prvního vážného incidentu.
Existuje také skupina „odpovědnějších“ poskytovatelů, kteří věří, že je možné zavřít všechny hrozby přidáním doplňku, jako je vGate, do hypervizoru. Ale ve virtuálním prostředí distribuovaném mezi zákazníky pro některé hrozby (například výše uvedený UBI.101) lze účinný ochranný mechanismus implementovat pouze na úrovni hypervizoru certifikovaného podle NDV-4, protože jakékoli přídavné systémy do standardní funkce hypervizoru pro správu zdrojů (zejména RAM) neovlivňují.
Jak pracujeme
Máme cloudový segment implementovaný na hypervizoru certifikovaném FSTEC (ale bez certifikace pro NDV-4). Tento segment je certifikovaný, takže na jeho základě lze ukládat osobní údaje do cloudu 3 a 4 úrovně zabezpečení — zde není třeba dodržovat požadavky na ochranu před nedeklarovanými schopnostmi. Zde je mimochodem architektura našeho segmentu zabezpečeného cloudu:
Systémy pro osobní údaje 1 a 2 úrovně zabezpečení Realizujeme pouze na vyhrazeném zařízení. Pouze v tomto případě například není hrozba UBI.101 skutečně relevantní, protože serverové racky, které nejsou spojeny jedním virtuálním prostředím, se nemohou navzájem ovlivňovat, ani když jsou umístěny ve stejném datovém centru. Pro takové případy nabízíme službu zapůjčení vyhrazeného zařízení (také se nazývá Hardware jako služba).
Pokud si nejste jisti, jaká úroveň zabezpečení je pro váš systém osobních údajů vyžadována, pomůžeme také s jeho klasifikací.
Výkon
Náš malý průzkum trhu ukázal, že někteří provozovatelé cloudu jsou docela ochotni riskovat jak bezpečnost zákaznických dat, tak vlastní budoucnost, aby dostali zakázku. Ale v těchto věcech se držíme jiné politiky, kterou jsme stručně popsali výše. Vaše dotazy rádi zodpovíme v komentářích.
Zdroj: www.habr.com