Eines Tages erhielten wir eine Anfrage für Cloud-Dienste. Wir überlegten grob, was von uns benötigt wird, und sendeten eine Liste mit Fragen zur Klärung der Details zurück. Dann analysierten wir die Antworten und erkannten: Der Kunde möchte persönliche Daten der Sicherheitsstufe zwei in der Cloud speichern. Daraufhin antworteten wir: „Sie haben persönliche Daten der Stufe zwei, tut uns leid, wir können nur eine private Cloud einrichten.“ Und er sagte: „Wissen Sie, bei Firma X können sie alles auch in der öffentlichen Cloud speichern.“

Foto: Steve Crisp, Reuters
Seltsame Dinge! Wir gingen auf die Website von Firma X, studierten ihre Zertifikate, schüttelten den Kopf und erkannten: Es gibt viele offene Fragen zur Speicherung persönlicher Daten, die gründlich geprüft werden müssen. Genau das werden wir in diesem Beitrag tun.
Wie alles funktionieren sollte
Zunächst klären wir, anhand welcher Merkmale persönliche Daten überhaupt einer bestimmten Sicherheitsstufe zugeordnet werden. Dies hängt von der Datenkategorie, der Anzahl der betroffenen Personen, die der Betreiber speichert und verarbeitet, sowie von den aktuellen Bedrohungstypen ab.

Определение типов актуальных угроз приведено в от 1 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»:
«Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.»
Der Kern dieser Definitionen liegt in der Existenz von undocumented (nicht deklarierten) Funktionen. Um das Fehlen solcher undocumented Funktionen in der Software (im Fall von Cloud ist es der Hypervisor) zu bestätigen, wird eine Zertifizierung durch die FSTEC Russlands durchgeführt. Wenn der Betreiber von personenbezogenen Daten (PДн) zu dem Schluss kommt, dass solche Funktionen in der Software nicht existieren, sind auch die entsprechenden Bedrohungen irrelevant. Bedrohungen der 1. und 2. Kategorie werden von PДн-Betreibern äußerst selten als relevant angesehen.
Zusätzlich zur Bestimmung des Sicherheitsniveaus der personenbezogenen Daten muss der Betreiber auch die spezifischen aktuellen Bedrohungen für die öffentliche Cloud identifizieren und basierend auf dem festgestellten Sicherheitsniveau der personenbezogenen Daten und den relevanten Bedrohungen die erforderlichen Maßnahmen und Schutzmittel festlegen.
Bei der FSTEC sind alle Hauptbedrohungen klar aufgeführt in (Bedrohungsdatenbank). Anbieter und Zertifizierer von Cloud-Infrastrukturen nutzen diese Datenbank in ihrer Arbeit. Hier sind Beispiele für Bedrohungen:
: «Die Gefahr liegt in der Möglichkeit, dass schadhafte Software, die außerhalb der virtuellen Maschine agiert, Sicherheitslücken in den Benutzeranwendungen innerhalb der virtuellen Maschine ausnutzt. Diese Bedrohung wird durch Schwachstellen in der Virtualisierungssoftware verursacht, die die Isolation des Adressraums, in dem die Benutzerdaten der Anwendungen innerhalb der virtuellen Maschine gespeichert sind, vor unbefugtem Zugriff durch schadhafte Software von außen sicherstellen soll.»
„Die Realisierung dieser Bedrohung ist möglich, wenn es der schadhaften Software gelingt, die Grenzen der virtuellen Maschine zu überschreiten, nicht nur durch die Ausnutzung von Schwachstellen im Hypervisor, sondern auch durch Eingriffe auf niedrigerer (im Vergleich zum Hypervisor) Systemebene.“
: „Die Bedrohung besteht in der Möglichkeit, unbefugten Zugriff auf geschützte Informationen eines Cloud-Dienstnutzers durch einen anderen zu erlangen. Diese Bedrohung resultiert daraus, dass Cloud-Dienstnutzer aufgrund der Besonderheiten der Cloud-Technologien dieselbe Cloud-Infrastruktur gemeinsam nutzen müssen. Die Realisierung dieser Bedrohung ist möglich, wenn Fehler bei der Trennung der Elemente der Cloud-Infrastruktur zwischen den Cloud-Dienstnutzern sowie bei der Isolierung ihrer Ressourcen und der Abgrenzung der Daten voneinander gemacht werden.
Um sich gegen diese Bedrohungen zu schützen, ist ein Hypervisor erforderlich, da dieser die virtuellen Ressourcen verwaltet. Daher sollte der Hypervisor als Schutzmittel betrachtet werden.
Und gemäß vom 18. Februar 2013 muss der Hypervisor hinsichtlich des Fehlens von NDP der Stufe 4 zertifiziert werden, andernfalls ist die Nutzung von personenbezogenen Daten der Stufen 1 und 2 damit illegal.In Bezug auf den Schutz personenbezogener Daten, gilt es sicherzustellen, dass sowohl die Ebenen 1 und 2 als auch die Ebene 3 der Datensicherheit in Informationssystemen, die als aktuellen Bedrohungen der Kategorie 2 zugeordnet werden, durch Sicherheitsmaßnahmen gewährleistet werden, deren Software einer Prüfung auf mindestens Niveau 4 unterzogen wurde, um unbefugte Funktionen auszuschließen.).
Nur ein Hypervisor, der in Russland entwickelt wurde, erfüllt das erforderliche Zertifizierungsniveau NДВ-4 — . Um es milde auszudrücken, nicht gerade eine beliebte Lösung. Kommerzielle Clouds basieren in der Regel auf VMware vSphere, KVM oder Microsoft Hyper-V. Keines dieser Produkte hat eine Zertifizierung nach NДВ-4. Warum? Wahrscheinlich ist der wirtschaftliche Nutzen für die Hersteller derzeit nicht gerechtfertigt, um eine solche Zertifizierung zu erlangen.
Somit bleibt uns für personenbezogene Daten der Ebenen 1 und 2 in der öffentlichen Cloud nur der Horizont VS. Traurig aber wahr.
Wie wir (nach unserer Meinung) tatsächlich arbeiten
Auf den ersten Blick erscheint alles ziemlich strikt: Die genannten Bedrohungen müssen durch die richtige Konfiguration der Schutzmechanismen des Hypervisors, der nach NDV-4 zertifiziert ist, behoben werden. Aber es gibt einen rechtlichen Spielraum. Gemäß der FSTEK-Verordnung Nr. 21 („Abs. 2 Die Sicherheit personenbezogener Daten bei deren Verarbeitung in einem Informationssystem für personenbezogene Daten (im Folgenden — Informationssystem) wird vom Betreiber oder einer Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet, gemäß der Russischen Föderation“), bewerten die Anbieter selbst die Relevanz möglicher Bedrohungen und wählen entsprechend die Schutzmaßnahmen aus. Daher, wenn die Bedrohungen UBI.44 und UBI.101 nicht als aktuell angesehen werden, besteht auch keine Notwendigkeit, einen nach NDV-4 zertifizierten Hypervisor zu verwenden, der genau dafür sorgen soll, dass sie geschützt sind. Und das wird ausreichend sein, um ein Konformitätszertifikat für die öffentliche Cloud der Stufen 1 und 2 in Bezug auf den Schutz personenbezogener Daten zu erhalten, mit dem die Roskomnadzor durchaus zufrieden sein wird.
Natürlich kann neben dem Roskomnadsor auch die FSTEK eine Überprüfung durchführen – und diese Organisation ist in technischen Angelegenheiten wesentlich genauer. Sie wird sicherlich interessiert sein, warum gerade die Bedrohungen UBI.44 und UBI.101 als irrelevant eingestuft wurden. In der Regel führt die FSTEK jedoch nur Überprüfungen durch, wenn sie Informationen über einen auffälligen Vorfall erhält. In solch einem Fall wendet sich die Bundesbehörde zunächst an den Betreiber personenbezogener Daten – also den Anbieter der Cloud-Dienste. Im schlimmsten Fall erhält der Betreiber eine kleine Geldstrafe – beispielsweise betrug sie anfangs des Jahres für Twitter 5000 Rubel. In einem ähnlichen Fall betrug sie 5000 Rubel. Danach geht die FSTEK weiter zum Anbieter der Cloud-Dienste, der aufgrund von Nichteinhaltung der Normvorgaben möglicherweise seine Lizenz verlieren kann – und das sind ganz andere Risiken, sowohl für den Cloud-Anbieter als auch für seine Kunden. Aber ich wiederhole, für eine Überprüfung benötigt die FSTEK normalerweise einen klaren Anlass. Cloud-Anbieter sind also bereit, Risiken einzugehen. Bis zum ersten ernsthaften Vorfall.
Es gibt auch eine Gruppe von "verantwortungsvolleren" Anbietern, die der Meinung sind, dass man alle Bedrohungen mit einer Hypervisor-Erweiterung wie vGate abdecken kann. In einer virtuellen Umgebung, die zwischen den Auftraggebern verteilt ist, kann jedoch ein wirksamer Schutzmechanismus für bestimmte Bedrohungen (wie den oben genannten UBI.101) nur auf der Ebene eines nach NDV-4 zertifizierten Hypervisors realisiert werden, da alle Zusatzsysteme die Standardfunktionen des Hypervisors zur Ressourcenverwaltung (insbesondere des Arbeitsspeichers) nicht beeinflussen.
So arbeiten wir
Wir verfügen über einen Cloud-Segment, der auf einem Hypervisor basiert, der von der FSTEK zertifiziert ist (aber ohne Zertifizierung nach NDV-4). Dieses Segment ist zertifiziert, sodass persönliche Daten in der Cloud darauf gespeichert werden können. Schutzstufen 3 und 4 — Anforderungen zum Schutz vor nicht erklärten Möglichkeiten müssen hier nicht eingehalten werden. Übrigens, hier ist die Architektur unseres geschützten Cloud-Segments:

Systeme für persönliche Daten Schutzstufen 1 und 2 Wir setzen ausschließlich auf dedizierte Hardware. Nur in diesem Fall ist beispielsweise die Bedrohung durch UBID.101 tatsächlich irrelevant, da Serverracks, die nicht in einer gemeinsamen virtuellen Umgebung zusammengefasst sind, sich gegenseitig nicht beeinflussen können, selbst wenn sie in einem Rechenzentrum platziert sind. Für solche Fälle bieten wir die Dienstleistung der Anmietung von dedizierter Hardware an (auch bekannt als Hardware as a Service).
Sollten Sie unsicher sein, welches Schutzniveau für Ihr System personenbezogener Daten erforderlich ist, unterstützen wir Sie auch gerne bei deren Klassifizierung.
Fazit
Unsere kleine Marktuntersuchung hat ergeben: Einige Cloud-Anbieter sind bereit, für Aufträge sowohl die Sicherheit der Daten ihrer Kunden als auch ihre eigene Zukunft zu riskieren. Wir handeln jedoch in diesen Angelegenheiten nach einer anderen Politik, die wir kurz darüber beschrieben haben. Gerne beantworten wir Ihre Fragen in den Kommentaren.
Quelle: habr.com
