ProHoster > Blog > administration > Sådan bliver du venner med GOST R 57580 og containervirtualisering. Centralbankens svar (og vores tanker om denne sag)

Sådan bliver du venner med GOST R 57580 og containervirtualisering. Centralbankens svar (og vores tanker om denne sag)

For ikke længe siden gennemførte vi endnu en vurdering af overholdelse af kravene i GOST R 57580 (i det følgende blot kaldet GOST). Kunden er en virksomhed, der udvikler et elektronisk betalingssystem. Systemet er seriøst: mere end 3 millioner brugere, mere end 200 tusinde transaktioner dagligt. Der tager de informationssikkerhed meget alvorligt.

Under evalueringsprocessen meddelte klienten tilfældigt, at udviklingsafdelingen ud over virtuelle maskiner planlægger at bruge containere. Men med dette, tilføjede klienten, er der et problem: i GOST er der ikke et ord om den samme Docker. Hvad skal jeg gøre? Hvordan evaluerer man containernes sikkerhed?

Sådan bliver du venner med GOST R 57580 og containervirtualisering. Centralbankens svar (og vores tanker om denne sag)

Det er sandt, GOST skriver kun om hardwarevirtualisering - om hvordan man beskytter virtuelle maskiner, en hypervisor og en server. Vi bad centralbanken om en afklaring. Svaret undrede os.

GOST og virtualisering

Til at begynde med, lad os huske på, at GOST R 57580 er en ny standard, der specificerer "krav til sikring af informationssikkerhed for finansielle organisationer" (FI). Disse FI'er omfatter operatører og deltagere af betalingssystemer, kredit- og ikke-kreditorganisationer, operationelle og clearingcentre.

Fra 1. januar 2021 er FI'er forpligtet til at udføre vurdering af overholdelse af kravene i den nye GOST. Vi, ITGLOBAL.COM, er et revisionsfirma, der udfører sådanne vurderinger.

GOST har et underafsnit dedikeret til beskyttelse af virtualiserede miljøer - nr. 7.8. Begrebet "virtualisering" er ikke specificeret der; der er ingen opdeling i hardware og containervirtualisering. Enhver it-specialist vil sige, at dette fra et teknisk synspunkt er forkert: en virtuel maskine (VM) og en container er forskellige miljøer med forskellige isolationsprincipper. Fra synspunktet om sårbarheden af ​​den vært, som VM- og Docker-containerne er installeret på, er dette også en stor forskel.

Det viser sig, at vurderingen af ​​informationssikkerheden for VM'er og containere også burde være anderledes.

Vores spørgsmål til centralbanken

Vi sendte dem til centralbankens informationssikkerhedsafdeling (vi præsenterer spørgsmålene i forkortet form).

  1. Hvordan overvejer man virtuelle containere af Docker-typen, når man vurderer GOST-overholdelse? Er det korrekt at evaluere teknologi i overensstemmelse med underafsnit 7.8 i GOST?
  2. Hvordan evaluerer man værktøjer til håndtering af virtuelle containere? Er det muligt at sidestille dem med servervirtualiseringskomponenter og evaluere dem i henhold til samme underafsnit af GOST?
  3. Skal jeg separat evaluere sikkerheden af ​​informationer i Docker-containere? Hvis ja, hvilke sikkerhedsforanstaltninger skal der tages i betragtning for dette under vurderingsprocessen?
  4. Hvis containerisering sidestilles med virtuel infrastruktur og vurderes i henhold til underafsnit 7.8, hvordan implementeres GOST-krav til implementering af særlige informationssikkerhedsværktøjer?

Centralbankens svar

Nedenfor er de vigtigste uddrag.

"GOST R 57580.1-2017 fastlægger krav til implementering gennem anvendelse af tekniske foranstaltninger i forhold til følgende foranstaltninger ZI underafsnit 7.8 i GOST R 57580.1-2017, som efter afdelingens opfattelse kan udvides til tilfælde af brug af containervirtualisering teknologier under hensyntagen til følgende:

  • implementeringen af ​​foranstaltninger ZSV.1 - ZSV.11 til organisering af identifikation, autentificering, autorisation (adgangskontrol) ved implementering af logisk adgang til virtuelle maskiner og virtualiseringsserverkomponenter kan afvige fra tilfælde af brug af containervirtualiseringsteknologi. Med dette i betragtning, for at implementere en række foranstaltninger (f.eks. ZVS.6 og ZVS.7), mener vi, at det er muligt at anbefale, at finansielle institutioner udvikler kompenserende foranstaltninger, der vil forfølge de samme mål;
  • implementeringen af ​​foranstaltninger ZSV.13 - ZSV.22 til organisering og kontrol af informationsinteraktion af virtuelle maskiner giver mulighed for segmentering af en finansiel organisations computernetværk for at skelne mellem informatiseringsobjekter, der implementerer virtualiseringsteknologi og tilhører forskellige sikkerhedskredsløb. Når dette tages i betragtning, mener vi, at det er tilrådeligt at sørge for passende segmentering ved brug af containervirtualiseringsteknologi (både i forhold til eksekverbare virtuelle containere og i forhold til virtualiseringssystemer, der anvendes på operativsystemniveau);
  • gennemførelsen af ​​foranstaltninger ZSV.26, ZSV.29 - ZSV.31 til at organisere beskyttelsen af ​​billeder af virtuelle maskiner bør udføres analogt også for at beskytte grundlæggende og nuværende billeder af virtuelle containere;
  • implementeringen af ​​foranstaltninger ZVS.32 - ZVS.43 til registrering af informationssikkerhedshændelser relateret til adgang til virtuelle maskiner og servervirtualiseringskomponenter bør udføres analogt også i forhold til elementer af virtualiseringsmiljøet, der implementerer containervirtualiseringsteknologi."

Hvad betyder det

To hovedkonklusioner fra svaret fra centralbankens informationssikkerhedsafdeling:

  • foranstaltninger til beskyttelse af containere adskiller sig ikke fra foranstaltninger til beskyttelse af virtuelle maskiner;
  • Det følger heraf, at centralbanken i forbindelse med informationssikkerhed sidestiller to typer virtualisering - Docker-containere og VM'er.

Svaret nævner også "kompenserende foranstaltninger", der skal anvendes for at neutralisere truslerne. Det er bare uklart, hvad disse "kompenserende foranstaltninger" er, og hvordan man måler deres tilstrækkelighed, fuldstændighed og effektivitet.

Hvad er der galt med centralbankens holdning?

Hvis du bruger centralbankens anbefalinger under vurdering (og selvevaluering), skal du løse en række tekniske og logiske problemer.

  • Hver eksekverbar container kræver installation af informationsbeskyttelsessoftware (IP) på den: antivirus, integritetsovervågning, arbejde med logfiler, DLP-systemer (Data Leak Prevention) og så videre. Alt dette kan installeres på en VM uden problemer, men i tilfælde af en container er installation af informationssikkerhed et absurd træk. Beholderen indeholder den mindste mængde "body kit", der er nødvendig for, at servicen kan fungere. Installation af en SZI i den modsiger dens betydning.
  • Containerbilleder bør beskyttes efter samme princip; hvordan dette implementeres er også uklart.
  • GOST kræver begrænsning af adgangen til servervirtualiseringskomponenter, dvs. til hypervisoren. Hvad betragtes som en serverkomponent i Dockers tilfælde? Betyder det ikke, at hver container skal køres på en separat vært?
  • Hvis det for konventionel virtualisering er muligt at afgrænse VM'er med sikkerhedskonturer og netværkssegmenter, så er dette ikke tilfældet i tilfælde af Docker-containere inden for den samme vært.

I praksis er det sandsynligt, at hver revisor vil vurdere containernes sikkerhed på sin egen måde, baseret på sin egen viden og erfaring. Nå, eller lad være med at vurdere det overhovedet, hvis der hverken er det ene eller det andet.

For en sikkerheds skyld tilføjer vi, at fra 1. januar 2021 må minimumscore ikke være lavere end 0,7.

Forresten poster vi regelmæssigt svar og kommentarer fra regulatorer relateret til kravene i GOST 57580 og centralbankforordninger i vores Telegram kanal.

Hvad skal man gøre

Efter vores mening har finansielle organisationer kun to muligheder for at løse problemet.

1. Undgå at implementere containere

En løsning for dem, der er klar til kun at bruge hardwarevirtualisering og samtidig er bange for lave vurderinger i henhold til GOST og bøder fra centralbanken.

plus: det er lettere at overholde kravene i underafsnit 7.8 i GOST.

Minus: Vi bliver nødt til at opgive nye udviklingsværktøjer baseret på containervirtualisering, især Docker og Kubernetes.

2. Nægt at overholde kravene i underafsnit 7.8 i GOST

Men anvender samtidig bedste praksis for at sikre informationssikkerhed, når du arbejder med containere. Dette er en løsning for dem, der værdsætter nye teknologier og de muligheder, de giver. Med "bedste praksis" mener vi industriaccepterede normer og standarder til at sikre sikkerheden af ​​Docker-containere:

  • sikkerhed for værts-OS, korrekt konfigureret logning, forbud mod dataudveksling mellem containere og så videre;
  • bruge Docker Trust-funktionen til at kontrollere billedernes integritet og bruge den indbyggede sårbarhedsscanner;
  • Vi må ikke glemme sikkerheden ved fjernadgang og netværksmodellen som helhed: angreb som ARP-spoofing og MAC-flooding er ikke blevet annulleret.

plus: ingen tekniske begrænsninger for brugen af ​​containervirtualisering.

Minus: der er stor sandsynlighed for, at regulatoren vil straffe for manglende overholdelse af GOST-kravene.

Konklusion

Vores klient besluttede ikke at opgive containere. Samtidig var han nødt til væsentligt at genoverveje omfanget af arbejdet og tidspunktet for overgangen til Docker (de varede i seks måneder). Kunden forstår risiciene meget godt. Han forstår også, at under den næste vurdering af overholdelse af GOST R 57580, vil meget afhænge af revisoren.

Hvad ville du gøre i denne situation?

Kilde: www.habr.com

Tilføj en kommentar