ProHoster > blog > Gweinyddiaeth > Sut i wneud ffrindiau â GOST R 57580 a rhithwiroli cynhwysydd. Ymateb y Banc Canolog (a'n barn ar y mater hwn)

Sut i wneud ffrindiau â GOST R 57580 a rhithwiroli cynhwysydd. Ymateb y Banc Canolog (a'n barn ar y mater hwn)

Ddim yn bell yn ôl fe wnaethom gynnal asesiad arall o gydymffurfiaeth â gofynion GOST R 57580 (y cyfeirir ati yma wedi hyn fel GOST yn unig). Mae'r cleient yn gwmni sy'n datblygu system dalu electronig. Mae'r system yn ddifrifol: mwy na 3 miliwn o ddefnyddwyr, mwy na 200 mil o drafodion bob dydd. Maent yn cymryd diogelwch gwybodaeth o ddifrif yno.

Yn ystod y broses werthuso, cyhoeddodd y cleient yn achlysurol fod yr adran ddatblygu, yn ogystal â pheiriannau rhithwir, yn bwriadu defnyddio cynwysyddion. Ond gyda hyn, ychwanegodd y cleient, mae un broblem: yn GOST nid oes gair am yr un Dociwr. Beth ddylwn i ei wneud? Sut i werthuso diogelwch cynwysyddion?

Sut i wneud ffrindiau â GOST R 57580 a rhithwiroli cynhwysydd. Ymateb y Banc Canolog (a'n barn ar y mater hwn)

Mae'n wir, dim ond am rithwiroli caledwedd y mae GOST yn ei ysgrifennu - sut i amddiffyn peiriannau rhithwir, hypervisor, a gweinydd. Gofynasom i'r Banc Canolog am eglurhad. Yr oedd yr ateb yn peri penbleth i ni.

GOST a rhithwiroli

I ddechrau, gadewch inni gofio bod GOST R 57580 yn safon newydd sy'n nodi “gofynion ar gyfer sicrhau diogelwch gwybodaeth sefydliadau ariannol” (FI). Mae'r Rhaglenni Ariannol hyn yn cynnwys gweithredwyr a chyfranogwyr systemau talu, sefydliadau credyd a di-gredyd, canolfannau gweithredol a chlirio.

O 1 Ionawr, 2021, mae'n ofynnol i Sefydliadau Ariannol gynnal asesiad o gydymffurfiaeth â gofynion y GOST newydd. Rydym ni, ITGLOBAL.COM, yn gwmni archwilio sy'n cynnal asesiadau o'r fath.

Mae gan GOST is-adran sy'n ymroddedig i warchod amgylcheddau rhithwir - Rhif 7.8. Nid yw'r term “rhithwiroli” wedi'i nodi yno; nid oes unrhyw raniad yn rhithwiroli caledwedd a chynhwysydd. Bydd unrhyw arbenigwr TG yn dweud bod hyn yn anghywir o safbwynt technegol: mae peiriant rhithwir (VM) a chynhwysydd yn amgylcheddau gwahanol, gydag egwyddorion ynysu gwahanol. O safbwynt bregusrwydd y gwesteiwr y mae'r cynwysyddion VM a Docker yn cael eu defnyddio arno, mae hyn hefyd yn wahaniaeth mawr.

Mae'n ymddangos y dylai'r asesiad o ddiogelwch gwybodaeth VMs a chynwysyddion fod yn wahanol hefyd.

Ein cwestiynau i'r Banc Canolog

Fe wnaethon ni eu hanfon i Adran Diogelwch Gwybodaeth y Banc Canolog (rydym yn cyflwyno'r cwestiynau ar ffurf gryno).

  1. Sut i ystyried cynwysyddion rhithwir math Docker wrth asesu cydymffurfiaeth GOST? A yw'n gywir gwerthuso technoleg yn unol ag isadran 7.8 o GOST?
  2. Sut i werthuso offer rheoli cynwysyddion rhithwir? A yw'n bosibl eu hafalu i gydrannau rhithwiroli gweinyddwyr a'u gwerthuso yn ôl yr un is-adran o GOST?
  3. A oes angen i mi werthuso diogelwch gwybodaeth y tu mewn i gynwysyddion Docker ar wahân? Os felly, pa fesurau diogelu y dylid eu hystyried ar gyfer hyn yn ystod y broses asesu?
  4. Os yw cynhwysyddoli yn cyfateb i seilwaith rhithwir ac yn cael ei asesu yn unol ag is-adran 7.8, sut mae gofynion GOST ar gyfer gweithredu offer diogelwch gwybodaeth arbennig yn cael eu gweithredu?

Ymateb y Banc Canolog

Isod mae'r prif ddyfyniadau.

“Mae GOST R 57580.1-2017 yn sefydlu gofynion ar gyfer gweithredu trwy gymhwyso mesurau technegol mewn perthynas â'r mesurau canlynol ZI is-adran 7.8 o GOST R 57580.1-2017, y gellir, ym marn yr Adran, eu hymestyn i achosion o ddefnyddio rhithwiroli cynhwysyddion. technolegau, gan ystyried y canlynol:

  • gall gweithredu mesurau ZSV.1 - ZSV.11 ar gyfer trefnu adnabod, dilysu, awdurdodi (rheoli mynediad) wrth weithredu mynediad rhesymegol i beiriannau rhithwir a chydrannau gweinydd rhithwir fod yn wahanol i achosion o ddefnyddio technoleg rhithwiroli cynhwysydd. Gan gymryd hyn i ystyriaeth, er mwyn gweithredu nifer o fesurau (er enghraifft, ZVS.6 a ZVS.7), credwn ei bod yn bosibl argymell bod sefydliadau ariannol yn datblygu mesurau cydadferol a fydd yn dilyn yr un nodau;
  • gweithredu mesurau ZSV.13 - ZSV.22 ar gyfer trefnu a rheoli gwybodaeth rhyngweithio o beiriannau rhithwir yn darparu ar gyfer segmentu'r rhwydwaith cyfrifiadurol o sefydliad ariannol i wahaniaethu rhwng informatization gwrthrychau sy'n gweithredu technoleg rhithwiroli ac yn perthyn i gylchedau diogelwch gwahanol. Gan gymryd hyn i ystyriaeth, credwn ei bod yn ddoeth darparu ar gyfer segmentu priodol wrth ddefnyddio technoleg rhithwiroli cynhwysydd (mewn perthynas â chynwysyddion rhithwir gweithredadwy ac mewn perthynas â systemau rhithwiroli a ddefnyddir ar lefel y system weithredu);
  • dylid gweithredu mesurau ZSV.26, ZSV.29 - ZSV.31 i drefnu amddiffyn delweddau o beiriannau rhithwir trwy gyfatebiaeth hefyd er mwyn amddiffyn delweddau sylfaenol a chyfredol o gynwysyddion rhithwir;
  • dylid gweithredu mesurau ZVS.32 - ZVS.43 ar gyfer cofnodi digwyddiadau diogelwch gwybodaeth sy'n ymwneud â mynediad i beiriannau rhithwir a chydrannau rhithwiroli gweinyddwyr trwy gyfatebiaeth hefyd mewn perthynas ag elfennau o'r amgylchedd rhithwiroli sy'n gweithredu technoleg rhithwiroli cynhwysyddion.”

Beth mae'n ei olygu

Dau brif gasgliad o ymateb Adran Diogelwch Gwybodaeth y Banc Canolog:

  • nid yw mesurau i ddiogelu cynwysyddion yn wahanol i fesurau i amddiffyn peiriannau rhithwir;
  • Mae'n dilyn o hyn, yng nghyd-destun diogelwch gwybodaeth, bod y Banc Canolog yn cyfateb i ddau fath o rithwiroli - cynwysyddion Docker a VMs.

Mae’r ymateb hefyd yn sôn am “fesurau cydadferol” y mae angen eu cymhwyso i niwtraleiddio’r bygythiadau. Mae'n aneglur beth yw'r “mesurau cydadferol” hyn a sut i fesur eu digonolrwydd, eu cyflawnder a'u heffeithiolrwydd.

Beth sy'n bod ar safbwynt y Banc Canolog?

Os ydych chi'n defnyddio argymhellion y Banc Canolog yn ystod yr asesiad (a hunan-asesiad), mae angen i chi ddatrys nifer o anawsterau technegol a rhesymegol.

  • Mae pob cynhwysydd gweithredadwy yn gofyn am osod meddalwedd diogelu gwybodaeth (IP) arno: gwrthfeirws, monitro cywirdeb, gweithio gyda logiau, systemau DLP (Atal Gollyngiadau Data), ac ati. Gellir gosod hyn i gyd ar VM heb unrhyw broblemau, ond yn achos cynhwysydd, mae gosod diogelwch gwybodaeth yn gam hurt. Mae'r cynhwysydd yn cynnwys yr isafswm o “kit corff” sydd ei angen er mwyn i'r gwasanaeth weithredu. Mae gosod SZI ynddo yn gwrth-ddweud ei ystyr.
  • Dylid diogelu delweddau cynhwysydd yn unol â'r un egwyddor; nid yw sut i weithredu hyn yn glir hefyd.
  • Mae GOST yn ei gwneud yn ofynnol i gyfyngu mynediad i gydrannau rhithwiroli gweinyddwyr, h.y., i'r hypervisor. Beth sy'n cael ei ystyried yn gydran gweinydd yn achos Docker? Onid yw hyn yn golygu bod angen rhedeg pob cynhwysydd ar westeiwr ar wahân?
  • Os yw'n bosibl amffinio VMs yn ôl cyfuchliniau diogelwch a segmentau rhwydwaith ar gyfer rhithwiroli confensiynol, yna yn achos cynwysyddion Docker o fewn yr un gwesteiwr, nid yw hyn yn wir.

Yn ymarferol, mae'n debygol y bydd pob archwilydd yn asesu diogelwch cynwysyddion yn ei ffordd ei hun, yn seiliedig ar ei wybodaeth a'i brofiad ei hun. Wel, neu peidiwch â'i werthuso o gwbl, os nad oes un na'r llall.

Rhag ofn, byddwn yn ychwanegu, o Ionawr 1, 2021, na ddylai'r sgôr isaf fod yn is na 0,7.

Gyda llaw, rydym yn postio ymatebion a sylwadau gan reoleiddwyr yn rheolaidd yn ymwneud â gofynion GOST 57580 a Rheoliadau Banc Canolog yn ein Sianel telegram.

Beth i'w wneud

Yn ein barn ni, dim ond dau opsiwn sydd gan sefydliadau ariannol ar gyfer datrys y broblem.

1. Osgoi gweithredu cynwysyddion

Datrysiad i'r rhai sy'n barod i fforddio defnyddio rhithwiroli caledwedd yn unig ac ar yr un pryd yn ofni graddfeydd isel yn ôl GOST a dirwyon gan y Banc Canolog.

Ychwanegol: mae'n haws cydymffurfio â gofynion is-adran 7.8 o GOST.

Minws: Bydd yn rhaid i ni roi'r gorau i offer datblygu newydd yn seiliedig ar rhithwiroli cynwysyddion, yn enwedig Docker a Kubernetes.

2. Gwrthod cydymffurfio â gofynion is-adran 7.8 o GOST

Ond ar yr un pryd, cymhwyswch yr arferion gorau wrth sicrhau diogelwch gwybodaeth wrth weithio gyda chynwysyddion. Mae hwn yn ateb i'r rhai sy'n gwerthfawrogi technolegau newydd a'r cyfleoedd y maent yn eu darparu. Wrth “arferion gorau” rydym yn golygu normau a safonau a dderbynnir gan y diwydiant ar gyfer sicrhau diogelwch cynwysyddion Docker:

  • diogelwch yr AO gwesteiwr, logio wedi'i ffurfweddu'n gywir, gwahardd cyfnewid data rhwng cynwysyddion, ac ati;
  • defnyddio swyddogaeth Ymddiriedolaeth Docker i wirio cywirdeb delweddau a defnyddio'r sganiwr bregusrwydd adeiledig;
  • Rhaid inni beidio ag anghofio am ddiogelwch mynediad o bell a'r model rhwydwaith yn ei gyfanrwydd: nid yw ymosodiadau fel ARP-spoofing a MAC-flooding wedi'u canslo.

Ychwanegol: dim cyfyngiadau technegol ar ddefnyddio rhithwiroli cynhwysydd.

Minws: mae tebygolrwydd uchel y bydd y rheolydd yn cosbi am beidio â chydymffurfio â gofynion GOST.

Casgliad

Penderfynodd ein cleient beidio â rhoi'r gorau i gynwysyddion. Ar yr un pryd, bu'n rhaid iddo ailystyried yn sylweddol gwmpas y gwaith ac amseriad y trosglwyddo i Docker (maent yn para am chwe mis). Mae'r cleient yn deall y risgiau'n dda iawn. Mae hefyd yn deall, yn ystod yr asesiad nesaf o gydymffurfiaeth â GOST R 57580, y bydd llawer yn dibynnu ar yr archwilydd.

Beth fyddech chi'n ei wneud yn y sefyllfa hon?

Ffynhonnell: hab.com

Ychwanegu sylw