Eines Tages erhielten wir eine Anfrage für Cloud-Dienste. Wir haben in allgemeinen Worten dargelegt, was von uns verlangt wird, und eine Liste mit Fragen zurückgeschickt, um die Details zu klären. Dann analysierten wir die Antworten und stellten fest: Der Kunde möchte personenbezogene Daten der zweiten Sicherheitsstufe in der Cloud platzieren. Wir antworten ihm: „Sie haben eine zweite Ebene personenbezogener Daten, sorry, wir können nur eine private Cloud erstellen.“ Und er: „Weißt du, aber in der Firma X können sie mir alles öffentlich posten.“
Foto von Steve Crisp, Reuters
Komische Dinge! Wir haben die Website von Unternehmen Das werden wir in diesem Beitrag tun.
Wie alles funktionieren sollte
Lassen Sie uns zunächst herausfinden, nach welchen Kriterien personenbezogene Daten der einen oder anderen Sicherheitsstufe zugeordnet werden. Dies hängt von der Kategorie der Daten, der Anzahl der Subjekte dieser Daten, die der Betreiber speichert und verarbeitet, sowie der Art der aktuellen Bedrohungen ab.
Die Arten aktueller Bedrohungen sind in definiert vom 1. November 2012 „Zur Genehmigung von Anforderungen an den Schutz personenbezogener Daten bei ihrer Verarbeitung in Informationssystemen für personenbezogene Daten“:
„Bedrohungen vom Typ 1 sind für ein Informationssystem relevant, wenn es Folgendes umfasst aktuelle Bedrohungen im Zusammenhang mit mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten in der Systemsoftwareim Informationssystem verwendet.
Bedrohungen des 2. Typs sind für ein Informationssystem relevant, wenn auch für dieses aktuelle Bedrohungen im Zusammenhang mit mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten in Anwendungssoftwareim Informationssystem verwendet.
Bedrohungen der 3. Art sind für ein Informationssystem relevant, wenn dafür Bedrohungen, die nicht miteinander in Zusammenhang stehen mit dem Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten in System- und Anwendungssoftwareim Informationssystem verwendet werden.“
Die Hauptsache in diesen Definitionen ist das Vorhandensein undokumentierter (nicht deklarierter) Fähigkeiten. Um das Fehlen undokumentierter Softwarefunktionen zu bestätigen (im Fall der Cloud handelt es sich um einen Hypervisor), wird eine Zertifizierung durch FSTEC aus Russland durchgeführt. Wenn der PD-Betreiber akzeptiert, dass die Software keine derartigen Funktionen enthält, sind die entsprechenden Bedrohungen irrelevant. Bedrohungen der Typen 1 und 2 werden von PD-Betreibern äußerst selten als relevant angesehen.
Neben der Bestimmung des PD-Sicherheitsniveaus muss der Betreiber auch konkrete aktuelle Bedrohungen für die öffentliche Cloud ermitteln und auf Basis des ermittelten PD-Sicherheitsniveaus und der aktuellen Bedrohungen die notwendigen Maßnahmen und Mittel zum Schutz dagegen festlegen.
FSTEC listet alle Hauptbedrohungen übersichtlich auf (Bedrohungsdatenbank). Anbieter und Gutachter von Cloud-Infrastrukturen nutzen diese Datenbank für ihre Arbeit. Hier sind Beispiele für Bedrohungen:
: „Die Bedrohung besteht in der Möglichkeit, die Sicherheit von Benutzerdaten von Programmen, die innerhalb einer virtuellen Maschine ausgeführt werden, durch Schadsoftware zu verletzen, die außerhalb der virtuellen Maschine ausgeführt wird.“ Diese Bedrohung ist auf das Vorhandensein von Schwachstellen in der Hypervisor-Software zurückzuführen, die sicherstellt, dass der Adressraum, der zum Speichern von Benutzerdaten für Programme verwendet wird, die innerhalb der virtuellen Maschine ausgeführt werden, vor unbefugtem Zugriff durch Schadsoftware geschützt ist, die außerhalb der virtuellen Maschine ausgeführt wird.
Die Umsetzung dieser Bedrohung ist möglich, sofern der Schadprogrammcode die Grenzen der virtuellen Maschine erfolgreich überwindet, und zwar nicht nur durch Ausnutzung der Schwachstellen des Hypervisors, sondern auch durch die Ausführung einer solchen Einwirkung von niedrigeren (relativ zum Hypervisor) Ebenen aus Funktionsfähigkeit des Systems.“
: „Die Bedrohung liegt in der Möglichkeit eines unbefugten Zugriffs auf die geschützten Informationen eines Cloud-Service-Kunden durch einen anderen. Diese Bedrohung ist auf die Tatsache zurückzuführen, dass Cloud-Dienstnutzer aufgrund der Natur der Cloud-Technologien dieselbe Cloud-Infrastruktur nutzen müssen. Diese Bedrohung kann erkannt werden, wenn bei der Trennung von Cloud-Infrastrukturelementen zwischen Cloud-Dienstnutzern sowie bei der Isolierung ihrer Ressourcen und der Trennung von Daten voneinander Fehler gemacht werden.“
Vor diesen Bedrohungen können Sie sich nur mit Hilfe eines Hypervisors schützen, da dieser die virtuellen Ressourcen verwaltet. Daher muss der Hypervisor als Schutzmittel betrachtet werden.
Und in Übereinstimmung mit vom 18. Februar 2013 muss der Hypervisor als Nicht-NDV auf Stufe 4 zertifiziert sein, andernfalls ist die Verwendung personenbezogener Daten der Stufen 1 und 2 damit illegal („Ziffer 12. ... Um die Stufen 1 und 2 der Sicherheit personenbezogener Daten sowie die Stufe 3 der Sicherheit personenbezogener Daten in Informationssystemen zu gewährleisten, für die Bedrohungen vom Typ 2 als aktuell eingestuft werden, werden Informationssicherheitstools verwendet, deren Software mindestens gemäß der 4. Kontrollstufe auf das Fehlen nicht deklarierter Fähigkeiten getestet“).
Nur ein in Russland entwickelter Hypervisor verfügt über die erforderliche Zertifizierungsstufe NDV-4. . Um es milde auszudrücken: Nicht die beliebteste Lösung. Kommerzielle Clouds werden in der Regel auf Basis von VMware vSphere, KVM, Microsoft Hyper-V aufgebaut. Keines dieser Produkte ist NDV-4-zertifiziert. Warum? Es ist wahrscheinlich, dass die Erlangung einer solchen Zertifizierung für Hersteller wirtschaftlich noch nicht gerechtfertigt ist.
Und für die personenbezogenen Daten der Level 1 und 2 in der Public Cloud bleibt uns nur noch Horizon BC. Traurig aber wahr.
Wie alles (unserer Meinung nach) wirklich funktioniert
Auf den ersten Blick ist alles recht streng: Diese Bedrohungen müssen durch die korrekte Konfiguration der Standardschutzmechanismen eines nach NDV-4 zertifizierten Hypervisors beseitigt werden. Aber es gibt eine Lücke. Gemäß FSTEC-Verordnung Nr. 21 („Absatz 2 Die Sicherheit personenbezogener Daten bei der Verarbeitung im Informationssystem für personenbezogene Daten (im Folgenden als Informationssystem bezeichnet) wird durch den Betreiber oder die Person, die personenbezogene Daten im Auftrag des Betreibers verarbeitet, gewährleistet Russische Föderation") beurteilen Anbieter selbstständig die Relevanz möglicher Bedrohungen und wählen entsprechende Schutzmaßnahmen aus. Wenn Sie also die Bedrohungen UBI.44 und UBI.101 nicht als aktuell anerkennen, ist der Einsatz eines nach NDV-4 zertifizierten Hypervisors nicht erforderlich, der genau davor Schutz bieten soll. Und dies wird ausreichen, um ein Zertifikat über die Konformität der öffentlichen Cloud mit den Stufen 1 und 2 der Sicherheit personenbezogener Daten zu erhalten, mit dem Roskomnadzor vollkommen zufrieden sein wird.
Natürlich kann FSTEC zusätzlich zu Roskomnadzor eine Inspektion durchführen – und diese Organisation ist in technischen Angelegenheiten viel sorgfältiger. Sie wird sich wahrscheinlich dafür interessieren, warum genau die Drohungen UBI.44 und UBI.101 als irrelevant angesehen wurden? Normalerweise führt FSTEC jedoch nur dann eine Inspektion durch, wenn es Informationen über einen bedeutenden Vorfall erhält. In diesem Fall kommt der Bundesdienst zunächst zum Betreiber personenbezogener Daten – also zum Kunden von Cloud-Diensten. Im schlimmsten Fall erhält der Betreiber ein kleines Bußgeld – beispielsweise für Twitter zu Jahresbeginn in einem ähnlichen Fall belief sich auf 5000 Rubel. Dann geht FSTEC weiter zum Cloud-Dienstanbieter. Dem kann durchaus ein Lizenzentzug aufgrund der Nichteinhaltung regulatorischer Anforderungen drohen – und das sind völlig unterschiedliche Risiken, sowohl für den Cloud-Anbieter als auch für seine Kunden. Aber ich wiederhole, Um FSTEC zu überprüfen, benötigen Sie in der Regel einen klaren Grund. Daher sind Cloud-Anbieter bereit, Risiken einzugehen. Bis zum ersten schweren Zwischenfall.
Es gibt auch eine Gruppe „verantwortungsbewussterer“ Anbieter, die glauben, dass es möglich ist, alle Bedrohungen zu beseitigen, indem man dem Hypervisor ein Add-on wie vGate hinzufügt. In einer virtuellen Umgebung, die für einige Bedrohungen (z. B. das oben genannte UBI.101) auf Kunden verteilt ist, kann ein wirksamer Schutzmechanismus jedoch nur auf der Ebene eines nach NDV-4 zertifizierten Hypervisors implementiert werden, da alle Zusatzsysteme dies tun Die Standardfunktionen des Hypervisors zur Verwaltung von Ressourcen (insbesondere RAM) sind davon nicht betroffen.
Wie wir arbeiten
Wir haben ein Cloud-Segment auf einem von FSTEC zertifizierten Hypervisor implementiert (jedoch ohne Zertifizierung für NDV-4). Dieses Segment ist zertifiziert, sodass darauf basierend personenbezogene Daten in der Cloud gespeichert werden können 3 und 4 Sicherheitsstufen — Anforderungen zum Schutz vor nicht deklarierten Fähigkeiten müssen hier nicht beachtet werden. Hier ist übrigens die Architektur unseres sicheren Cloud-Segments:
Systeme für personenbezogene Daten 1 und 2 Sicherheitsstufen Wir implementieren nur auf speziell dafür vorgesehenen Geräten. Nur in diesem Fall ist beispielsweise die Bedrohung durch UBI.101 wirklich nicht relevant, da sich Server-Racks, die nicht durch eine virtuelle Umgebung verbunden sind, auch dann nicht gegenseitig beeinflussen können, wenn sie sich im selben Rechenzentrum befinden. Für solche Fälle bieten wir einen speziellen Gerätemietservice an (auch Hardware as a Service genannt).
Wenn Sie sich nicht sicher sind, welches Sicherheitsniveau für Ihr personenbezogenes Datensystem erforderlich ist, helfen wir Ihnen auch bei der Klassifizierung.
Abschluss
Unsere kleine Marktforschung hat gezeigt, dass einige Cloud-Betreiber durchaus bereit sind, sowohl die Sicherheit der Kundendaten als auch ihre eigene Zukunft aufs Spiel zu setzen, um einen Auftrag zu erhalten. Aber in diesen Angelegenheiten verfolgen wir eine andere Politik, die wir oben kurz beschrieben haben. Gerne beantworten wir Ihre Fragen in den Kommentaren.
Source: habr.com