Nedávno jsme provedli další posouzení souladu s požadavky GOST R 57580 (dále jen GOST). Klientem je společnost, která vyvíjí elektronický platební systém. Systém je vážný: více než 3 miliony uživatelů, více než 200 tisíc transakcí denně. Informační bezpečnost tam berou velmi vážně.
Během procesu hodnocení klient mimochodem oznámil, že vývojové oddělení kromě virtuálních strojů plánuje používat i kontejnery. Ale s tím, dodal klient, je tu jeden problém: v GOST není ani slovo o stejném Dockeru. Co bych měl dělat? Jak hodnotit zabezpečení kontejnerů?
Je pravda, že GOST píše pouze o virtualizaci hardwaru – o tom, jak chránit virtuální stroje, hypervizor a server. Požádali jsme centrální banku o vysvětlení. Odpověď nás zmátla.
GOST a virtualizace
Nejprve si připomeňme, že GOST R 57580 je nový standard, který specifikuje „požadavky na zajištění informační bezpečnosti finančních organizací“ (FI). Mezi tyto FI patří provozovatelé a účastníci platebních systémů, úvěrové a neúvěrové organizace, provozní a clearingová centra.
Od 1. ledna 2021 jsou FI povinni provádět . My, ITGLOBAL.COM, jsme auditorská společnost, která taková hodnocení provádí.
GOST má podsekci věnovanou ochraně virtualizovaných prostředí - č. 7.8. Pojem „virtualizace“ zde není specifikován, není zde rozdělení na hardwarovou a kontejnerovou virtualizaci. Každý IT specialista řekne, že z technického hlediska je to nesprávné: virtuální stroj (VM) a kontejner jsou různá prostředí s různými principy izolace. Z pohledu zranitelnosti hostitele, na kterém jsou kontejnery VM a Docker nasazeny, je to také velký rozdíl.
Ukazuje se, že i hodnocení informační bezpečnosti virtuálních počítačů a kontejnerů by mělo být odlišné.
Naše otázky na centrální banku
Zaslali jsme je na odbor informační bezpečnosti centrální banky (dotazy uvádíme ve zkrácené podobě).
- Jak vzít v úvahu virtuální kontejnery typu Docker při posuzování souladu s GOST? Je správné hodnotit technologii v souladu s pododdílem 7.8 GOST?
- Jak hodnotit nástroje pro správu virtuálních kontejnerů? Je možné je přirovnat ke komponentám virtualizace serverů a hodnotit je podle stejné podsekce GOST?
- Musím samostatně hodnotit zabezpečení informací uvnitř kontejnerů Docker? Pokud ano, jaká ochranná opatření by měla být zvážena během procesu posuzování?
- Pokud je kontejnerizace přirovnávána k virtuální infrastruktuře a je posuzována podle pododdílu 7.8, jak jsou implementovány požadavky GOST na implementaci speciálních nástrojů pro bezpečnost informací?
Reakce centrální banky
Níže jsou uvedeny hlavní úryvky.
„GOST R 57580.1-2017 stanovuje požadavky na implementaci prostřednictvím aplikace technických opatření ve vztahu k následujícím opatřením ZI pododdíl 7.8 GOST R 57580.1-2017, která lze podle názoru odboru rozšířit na případy použití virtualizace kontejnerů technologie s ohledem na následující:
- implementace opatření ZSV.1 - ZSV.11 pro organizaci identifikace, autentizace, autorizace (řízení přístupu) při implementaci logického přístupu k virtuálním strojům a komponentám virtualizačního serveru se může lišit od případů použití technologie virtualizace kontejnerů. S ohledem na to se domníváme, že pro realizaci řady opatření (např. ZVS.6 a ZVS.7) lze doporučit, aby finanční instituce vypracovaly kompenzační opatření, která budou sledovat stejné cíle;
- realizace opatření ZSV.13 - ZSV.22 pro organizaci a řízení interakce informací virtuálních strojů zajišťuje segmentaci počítačové sítě finanční organizace pro rozlišení objektů informatizace, které implementují virtualizační technologii a patří do různých bezpečnostních okruhů. Vzhledem k tomu se domníváme, že je vhodné zajistit vhodnou segmentaci při použití technologie virtualizace kontejnerů (jak ve vztahu ke spustitelným virtuálním kontejnerům, tak ve vztahu k virtualizačním systémům používaným na úrovni operačního systému);
- implementace opatření ZSV.26, ZSV.29 - ZSV.31 k organizaci ochrany obrazů virtuálních strojů by měla být provedena analogicky také za účelem ochrany základních a aktuálních obrazů virtuálních kontejnerů;
- implementace opatření ZVS.32 - ZVS.43 pro záznam událostí informační bezpečnosti souvisejících s přístupem k virtuálním strojům a komponentám virtualizace serverů by měla být provedena analogicky také ve vztahu k prvkům virtualizačního prostředí, které implementují technologii kontejnerové virtualizace.“
Co to znamená
Dva hlavní závěry z odpovědi odboru bezpečnosti informací centrální banky:
- opatření na ochranu kontejnerů se neliší od opatření na ochranu virtuálních strojů;
- Z toho vyplývá, že v souvislosti s informační bezpečností dává centrální banka na roveň dva typy virtualizace – kontejnery Docker a virtuální počítače.
Odpověď také zmiňuje „kompenzační opatření“, která je třeba použít k neutralizaci hrozeb. Je jen nejasné, co tato „kompenzační opatření“ jsou a jak měřit jejich přiměřenost, úplnost a účinnost.
Co je špatného na postoji centrální banky?
Pokud při posuzování (a sebehodnocení) využíváte doporučení centrální banky, musíte vyřešit řadu technických i logických potíží.
- Každý spustitelný kontejner vyžaduje instalaci softwaru pro ochranu informací (IP): antivirus, monitorování integrity, práce s protokoly, systémy DLP (Data Leak Prevention) a tak dále. To vše lze bez problémů nainstalovat na VM, ale v případě kontejneru je instalace informační bezpečnosti absurdní krok. Nádoba obsahuje minimální množství „body kit“, které je potřeba pro fungování služby. Instalace SZI v něm odporuje jeho smyslu.
- Obrazy kontejnerů by měly být chráněny podle stejného principu; není také jasné, jak to provést.
- GOST vyžaduje omezení přístupu ke komponentám virtualizace serveru, tj. k hypervizoru. Co je v případě Dockeru považováno za serverovou komponentu? Neznamená to, že každý kontejner musí být spuštěn na samostatném hostiteli?
- Pokud je pro konvenční virtualizaci možné vymezit VM bezpečnostními obrysy a segmenty sítě, pak v případě kontejnerů Docker v rámci stejného hostitele tomu tak není.
V praxi je pravděpodobné, že každý auditor posoudí zabezpečení kontejnerů po svém, na základě vlastních znalostí a zkušeností. No, nebo to vůbec nehodnotit, pokud neexistuje ani jedno, ani druhé.
Pro jistotu dodáme, že od 1. ledna 2021 nesmí být minimální skóre nižší než 0,7.
Mimochodem, pravidelně zveřejňujeme odpovědi a komentáře od regulátorů související s požadavky GOST 57580 a Předpisy centrální banky v našich .
Co dělat
Finanční organizace mají podle našeho názoru pouze dvě možnosti, jak problém vyřešit.
1. Vyhněte se implementaci kontejnerů
Řešení pro ty, kteří jsou připraveni si dovolit používat pouze hardwarovou virtualizaci a zároveň se obávají nízkého hodnocení podle GOST a pokut od centrální banky.
Plus: je snazší splnit požadavky pododdílu 7.8 GOST.
Mínus: Budeme muset opustit nové vývojové nástroje založené na virtualizaci kontejnerů, zejména Docker a Kubernetes.
2. Odmítněte splnit požadavky pododdílu 7.8 GOST
Ale zároveň aplikujte osvědčené postupy při zajišťování bezpečnosti informací při práci s kontejnery. Toto je řešení pro ty, kteří oceňují nové technologie a příležitosti, které poskytují. „Osvědčenými postupy“ rozumíme průmyslově uznávané normy a standardy pro zajištění bezpečnosti kontejnerů Docker:
- zabezpečení hostitelského OS, správně nakonfigurované protokolování, zákaz výměny dat mezi kontejnery atd.;
- používání funkce Docker Trust ke kontrole integrity obrázků a používání vestavěného skeneru zranitelnosti;
- Nesmíme zapomenout na bezpečnost vzdáleného přístupu a síťový model jako celek: útoky typu ARP-spoofing a MAC-flooding nebyly zrušeny.
Plus: žádná technická omezení pro použití virtualizace kontejnerů.
Mínus: existuje vysoká pravděpodobnost, že regulátor potrestá za nedodržení požadavků GOST.
Závěr
Náš klient se rozhodl, že se kontejnerů nevzdá. Zároveň musel výrazně přehodnotit rozsah prací a načasování přechodu na Docker (trvaly šest měsíců). Klient velmi dobře rozumí rizikům. Chápe také, že při příštím posuzování souladu s GOST R 57580 bude hodně záležet na auditorovi.
Co byste v této situaci dělali?
Zdroj: www.habr.com