En dag modtog vi en anmodning om cloud-tjenester. Vi skitserede i generelle vendinger, hvad der ville kræves af os, og sendte en liste med spørgsmål tilbage for at afklare detaljerne. Derefter analyserede vi svarene og indså: kunden ønsker at placere personlige data på det andet sikkerhedsniveau i skyen. Vi svarer ham: "Du har et andet niveau af personlige data, undskyld, vi kan kun oprette en privat sky." Og han: "Du ved, men i firma X kan de poste alt til mig offentligt."
Foto af Steve Crisp, Reuters
Mærkelige ting! Vi gik ind på webstedet for virksomhed X, studerede deres certificeringsdokumenter, rystede på hovedet og indså: Der er mange åbne spørgsmål i forbindelse med placeringen af personlige data, og de bør behandles grundigt. Det er, hvad vi vil gøre i dette indlæg.
Hvordan alting skal fungere
Lad os først finde ud af, hvilke kriterier der bruges til at klassificere persondata som et eller andet sikkerhedsniveau. Dette afhænger af kategorien af data, antallet af emner af disse data, som operatøren opbevarer og behandler, samt typen af aktuelle trusler.
Typerne af aktuelle trusler er defineret i dateret 1. november 2012 "Om godkendelse af krav til beskyttelse af personoplysninger under deres behandling i persondatainformationssystemer":
“Type 1-trusler er relevante for et informationssystem, hvis det omfatter aktuelle trusler relateret til med tilstedeværelsen af udokumenterede (udeklarerede) kapaciteter i systemsoftwarebruges i informationssystemet.
Trusler af 2. type er relevante for et informationssystem, hvis for det, herunder aktuelle trusler relateret til med tilstedeværelsen af udokumenterede (udeklarerede) kapaciteter i applikationssoftwarebruges i informationssystemet.
Trusler af 3. type er relevante for et informationssystem, hvis for det trusler, der ikke er relaterede med tilstedeværelsen af udokumenterede (udeklarerede) kapaciteter i system- og applikationssoftwarebruges i informationssystemet."
Det vigtigste i disse definitioner er tilstedeværelsen af udokumenterede (udeklarerede) kapaciteter. For at bekræfte fraværet af udokumenterede softwarefunktioner (i tilfælde af skyen er dette en hypervisor), udføres certificering af FSTEC i Rusland. Hvis PD-operatøren accepterer, at der ikke er sådanne muligheder i softwaren, er de tilsvarende trusler irrelevante. Trusler af type 1 og 2 anses yderst sjældent for relevante af PD-operatører.
Udover at bestemme niveauet for PD-sikkerhed, skal operatøren også fastlægge specifikke aktuelle trusler mod den offentlige sky og, baseret på det identificerede niveau af PD-sikkerhed og aktuelle trusler, fastlægge de nødvendige foranstaltninger og midler til beskyttelse mod dem.
FSTEC lister tydeligt alle de vigtigste trusler i (trusselsdatabase). Cloud-infrastrukturudbydere og -bedømmere bruger denne database i deres arbejde. Her er eksempler på trusler:
: "Truslen er muligheden for at krænke sikkerheden for brugerdata for programmer, der opererer inde i en virtuel maskine, ved at skadelig software opererer uden for den virtuelle maskine." Denne trussel skyldes tilstedeværelsen af sårbarheder i hypervisorsoftwaren, som sikrer, at adresserummet, der bruges til at gemme brugerdata for programmer, der opererer inde i den virtuelle maskine, er isoleret fra uautoriseret adgang af ondsindet software, der opererer uden for den virtuelle maskine.
Implementeringen af denne trussel er mulig, forudsat at den ondsindede programkode med succes overvinder grænserne for den virtuelle maskine, ikke kun ved at udnytte hypervisorens sårbarheder, men også ved at udføre en sådan påvirkning fra lavere (i forhold til hypervisor) niveauer af systemet fungerer."
: “Truslen ligger i muligheden for uautoriseret adgang til den beskyttede information fra én cloud-tjenesteforbruger fra en anden. Denne trussel skyldes det faktum, at cloud-tjenesteforbrugere på grund af cloud-teknologiernes natur er nødt til at dele den samme cloud-infrastruktur. Denne trussel kan realiseres, hvis der begås fejl ved adskillelse af cloud-infrastrukturelementer mellem cloud-tjenesteforbrugere, såvel som når deres ressourcer isoleres og data adskilles fra hinanden."
Du kan kun beskytte dig mod disse trusler ved hjælp af en hypervisor, da det er den, der styrer virtuelle ressourcer. Hypervisoren skal således betragtes som et beskyttelsesmiddel.
Og i overensstemmelse med dateret 18. februar 2013 skal hypervisor være certificeret som ikke-NDV på niveau 4, ellers vil brugen af niveau 1 og 2 persondata med den være ulovlig ("Klausul 12. ... For at sikre niveau 1 og 2 af persondatasikkerhed, samt at sikre niveau 3 af persondatasikkerhed i informationssystemer, for hvilke type 2-trusler er klassificeret som aktuelle, anvendes informationssikkerhedsværktøjer, hvis software er blevet testet mindst i henhold til 4 niveauer af kontrol over fraværet af uerklærede kapaciteter").
Kun én hypervisor, udviklet i Rusland, har det krævede certificeringsniveau, NDV-4. . For at sige det mildt, ikke den mest populære løsning. Kommercielle skyer er normalt bygget på basis af VMware vSphere, KVM, Microsoft Hyper-V. Ingen af disse produkter er NDV-4-certificerede. Hvorfor? Det er sandsynligt, at opnåelse af en sådan certificering for producenter endnu ikke er økonomisk berettiget.
Og alt, der er tilbage for os for niveau 1 og 2 personlige data i den offentlige sky, er Horizon BC. Trist men sandt.
Hvordan alting (efter vores mening) virkelig fungerer
Ved første øjekast er alt ret strengt: Disse trusler skal elimineres ved at konfigurere standardbeskyttelsesmekanismerne for en hypervisor certificeret i henhold til NDV-4 korrekt. Men der er et hul. I overensstemmelse med FSTEC-bekendtgørelse nr. 21 (”punkt 2 Sikkerheden af personoplysninger ved behandling i persondatainformationssystemet (herefter benævnt informationssystemet) sikres af operatøren eller den, der behandler personoplysninger på vegne af operatøren iht. Den Russiske Føderation"), vurderer udbydere uafhængigt relevansen af mulige trusler og vælger beskyttelsesforanstaltninger i overensstemmelse hermed. Hvis du derfor ikke accepterer truslerne UBI.44 og UBI.101 som aktuelle, så vil der ikke være behov for at bruge en hypervisor certificeret efter NDV-4, hvilket netop er det, der skal give beskyttelse mod dem. Og dette vil være nok til at opnå et certifikat for overholdelse af den offentlige sky med niveau 1 og 2 af personlig datasikkerhed, som Roskomnadzor vil være helt tilfreds med.
Ud over Roskomnadzor kan FSTEC selvfølgelig komme med en inspektion – og denne organisation er meget mere omhyggelig i tekniske spørgsmål. Hun vil formentlig være interesseret i, hvorfor netop truslerne UBI.44 og UBI.101 blev anset for irrelevante? Men normalt foretager FSTEC først en inspektion, når det modtager information om en væsentlig hændelse. I dette tilfælde kommer den føderale tjeneste først til persondataoperatøren - det vil sige kunden af cloud-tjenester. I værste fald får operatøren en lille bøde - for eksempel for Twitter i starten af året i et lignende tilfælde udgjorde 5000 rubler. Så går FSTEC videre til cloud-tjenesteudbyderen. Som godt kan blive frataget en licens på grund af manglende overholdelse af lovkrav – og det er helt andre risici, både for cloud-udbyderen og for dens kunder. Men jeg gentager, For at tjekke FSTEC har du normalt brug for en klar grund. Så cloud-udbydere er villige til at tage risici. Indtil den første alvorlige hændelse.
Der er også en gruppe af "mere ansvarlige" udbydere, som mener, at det er muligt at lukke alle trusler ved at tilføje en tilføjelse som vGate til hypervisoren. Men i et virtuelt miljø fordelt blandt kunder for nogle trusler (f.eks. ovenstående UBI.101), kan en effektiv beskyttelsesmekanisme kun implementeres på niveauet af en hypervisor, der er certificeret i henhold til NDV-4, da eventuelle tilføjelsessystemer til hypervisorens standardfunktioner til styring af ressourcer (især RAM) påvirker ikke.
Hvordan vi arbejder
Vi har et cloud-segment implementeret på en hypervisor certificeret af FSTEC (men uden certificering til NDV-4). Dette segment er blevet certificeret, så personlige data kan gemmes i skyen baseret på det 3 og 4 sikkerhedsniveauer — krav til beskyttelse mod uanmeldte kapaciteter skal ikke overholdes her. Her er i øvrigt arkitekturen i vores sikre cloud-segment:
Systemer til persondata 1 og 2 sikkerhedsniveauer Vi implementerer kun på dedikeret udstyr. Kun i dette tilfælde, for eksempel, er truslen fra UBI.101 virkelig ikke relevant, da serverracks, der ikke er forenet af et virtuelt miljø, ikke kan påvirke hinanden, selv når de er placeret i det samme datacenter. Til sådanne tilfælde tilbyder vi en dedikeret udstyrslejeservice (det kaldes også Hardware as a service).
Hvis du ikke er sikker på, hvilket sikkerhedsniveau der kræves for dit persondatasystem, hjælper vi også med at klassificere det.
Output
Vores lille markedsundersøgelse viste, at nogle cloud-operatører er ret villige til at risikere både sikkerheden af kundedata og deres egen fremtid for at modtage en ordre. Men i disse spørgsmål holder vi os til en anden politik, som vi kort har beskrevet ovenfor. Vi vil med glæde besvare dine spørgsmål i kommentarerne.
Kilde: www.habr.com