Vor nicht allzu langer Zeit haben wir eine weitere Bewertung der Einhaltung der Anforderungen von GOST R 57580 (im Folgenden einfach GOST genannt) durchgeführt. Der Kunde ist ein Unternehmen, das ein elektronisches Zahlungssystem entwickelt. Das System ist seriös: mehr als 3 Millionen Benutzer, mehr als 200 Transaktionen täglich. Dort wird die Informationssicherheit sehr ernst genommen.
Während des Evaluierungsprozesses gab der Kunde beiläufig bekannt, dass die Entwicklungsabteilung neben virtuellen Maschinen auch den Einsatz von Containern plant. Aber dabei, fügte der Kunde hinzu, gebe es ein Problem: In GOST gebe es kein Wort über denselben Docker. Was soll ich machen? Wie beurteilt man die Sicherheit von Containern?
Tatsächlich schreibt GOST nur über Hardware-Virtualisierung – also darüber, wie man virtuelle Maschinen, einen Hypervisor und einen Server schützt. Wir haben die Zentralbank um Klarstellung gebeten. Die Antwort verwirrte uns.
GOST und Virtualisierung
Erinnern wir uns zunächst daran, dass es sich bei GOST R 57580 um einen neuen Standard handelt, der „Anforderungen zur Gewährleistung der Informationssicherheit von Finanzorganisationen“ (FI) festlegt. Zu diesen FI zählen Betreiber und Teilnehmer von Zahlungssystemen, Kredit- und Nichtkreditorganisationen, Betriebs- und Clearingzentren.
Ab dem 1. Januar 2021 sind FIs zur Durchführung verpflichtet . Wir, ITGLOBAL.COM, sind eine Wirtschaftsprüfungsgesellschaft, die solche Bewertungen durchführt.
GOST hat einen Unterabschnitt, der dem Schutz virtualisierter Umgebungen gewidmet ist – Nr. 7.8. Der Begriff „Virtualisierung“ wird dort nicht spezifiziert, eine Unterteilung in Hardware- und Container-Virtualisierung erfolgt nicht. Jeder IT-Spezialist wird sagen, dass dies aus technischer Sicht falsch ist: Eine virtuelle Maschine (VM) und ein Container sind unterschiedliche Umgebungen mit unterschiedlichen Isolationsprinzipien. Auch aus Sicht der Verwundbarkeit des Hosts, auf dem die VM- und Docker-Container bereitgestellt werden, ist dies ein großer Unterschied.
Es zeigt sich, dass auch die Bewertung der Informationssicherheit von VMs und Containern unterschiedlich sein sollte.
Unsere Fragen an die Zentralbank
Wir haben sie an die Abteilung für Informationssicherheit der Zentralbank geschickt (wir stellen die Fragen in gekürzter Form dar).
- Wie sind virtuelle Container vom Typ Docker bei der Bewertung der GOST-Konformität zu berücksichtigen? Ist es richtig, die Technologie gemäß Abschnitt 7.8 von GOST zu bewerten?
- Wie bewertet man Tools zur Verwaltung virtueller Container? Ist es möglich, sie den Komponenten der Servervirtualisierung gleichzusetzen und sie nach demselben Unterabschnitt von GOST zu bewerten?
- Muss ich die Sicherheit von Informationen in Docker-Containern separat bewerten? Wenn ja, welche Schutzmaßnahmen sollten hierfür im Rahmen des Bewertungsprozesses berücksichtigt werden?
- Wenn Containerisierung mit virtueller Infrastruktur gleichgesetzt wird und gemäß Unterabschnitt 7.8 bewertet wird, wie werden dann GOST-Anforderungen für die Implementierung spezieller Informationssicherheitstools umgesetzt?
Antwort der Zentralbank
Nachfolgend finden Sie die wichtigsten Auszüge.
„GOST R 57580.1-2017 legt Anforderungen für die Umsetzung durch die Anwendung technischer Maßnahmen in Bezug auf die folgenden Maßnahmen ZI Unterabschnitt 7.8 von GOST R 57580.1-2017 fest, die nach Ansicht der Abteilung auf Fälle der Verwendung von Containervirtualisierung ausgeweitet werden können.“ Technologien unter Berücksichtigung folgender Aspekte:
- Die Umsetzung der Maßnahmen ZSV.1 – ZSV.11 zur Organisation der Identifizierung, Authentifizierung, Autorisierung (Zugriffskontrolle) bei der Umsetzung des logischen Zugriffs auf virtuelle Maschinen und Virtualisierungsserverkomponenten kann sich von Fällen der Verwendung der Containervirtualisierungstechnologie unterscheiden. Vor diesem Hintergrund halten wir es für möglich, den Finanzinstituten zur Umsetzung einer Reihe von Maßnahmen (zum Beispiel ZVS.6 und ZVS.7) zu empfehlen, Kompensationsmaßnahmen zu entwickeln, die die gleichen Ziele verfolgen;
- Die Umsetzung der Maßnahmen ZSV.13 – ZSV.22 zur Organisation und Steuerung der Informationsinteraktion virtueller Maschinen sieht die Segmentierung des Computernetzwerks einer Finanzorganisation vor, um zwischen Informatisierungsobjekten zu unterscheiden, die Virtualisierungstechnologie implementieren und zu unterschiedlichen Sicherheitskreisen gehören. Vor diesem Hintergrund halten wir es für ratsam, beim Einsatz der Container-Virtualisierungstechnologie (sowohl in Bezug auf ausführbare virtuelle Container als auch in Bezug auf auf Betriebssystemebene eingesetzte Virtualisierungssysteme) für eine entsprechende Segmentierung zu sorgen;
- die Umsetzung der Maßnahmen ZSV.26, ZSV.29 – ZSV.31 zur Organisation des Schutzes von Bildern virtueller Maschinen sollte analog auch zum Schutz grundlegender und aktueller Bilder virtueller Container erfolgen;
- Die Umsetzung der Maßnahmen ZVS.32 – ZVS.43 zur Erfassung von Informationssicherheitsereignissen im Zusammenhang mit dem Zugriff auf virtuelle Maschinen und Servervirtualisierungskomponenten sollte sinngemäß auch in Bezug auf Elemente der Virtualisierungsumgebung erfolgen, die die Containervirtualisierungstechnologie implementieren.“
Was bedeutet das
Zwei Hauptschlussfolgerungen aus der Antwort der Abteilung für Informationssicherheit der Zentralbank:
- Maßnahmen zum Schutz von Containern unterscheiden sich nicht von Maßnahmen zum Schutz virtueller Maschinen;
- Daraus folgt, dass die Zentralbank im Kontext der Informationssicherheit zwei Arten der Virtualisierung gleichsetzt – Docker-Container und VMs.
In der Antwort werden auch „Kompensationsmaßnahmen“ erwähnt, die zur Neutralisierung der Bedrohungen ergriffen werden müssten. Es ist lediglich unklar, was diese „Kompensationsmaßnahmen“ sind und wie ihre Angemessenheit, Vollständigkeit und Wirksamkeit gemessen werden kann.
Was ist falsch an der Position der Zentralbank?
Wenn Sie bei der Bewertung (und Selbstbewertung) die Empfehlungen der Zentralbank nutzen, müssen Sie eine Reihe technischer und logischer Schwierigkeiten lösen.
- Jeder ausführbare Container erfordert die Installation von Informationsschutzsoftware (IP): Antivirus, Integritätsüberwachung, Arbeiten mit Protokollen, DLP-Systeme (Data Leak Prevention) und so weiter. All dies kann problemlos auf einer VM installiert werden, aber im Falle eines Containers ist die Installation von Informationssicherheit ein absurder Schachzug. Der Container enthält die Mindestmenge an „Bodykit“, die für die Funktion des Dienstes erforderlich ist. Der Einbau eines SZI darin widerspricht seiner Bedeutung.
- Container-Images sollen nach dem gleichen Prinzip geschützt werden; wie dies umgesetzt werden soll, ist ebenfalls unklar.
- GOST verlangt die Beschränkung des Zugriffs auf Servervirtualisierungskomponenten, also auf den Hypervisor. Was gilt im Fall von Docker als Serverkomponente? Bedeutet das nicht, dass jeder Container auf einem separaten Host ausgeführt werden muss?
- Wenn es bei der herkömmlichen Virtualisierung möglich ist, VMs durch Sicherheitskonturen und Netzwerksegmente abzugrenzen, ist dies bei Docker-Containern innerhalb desselben Hosts nicht der Fall.
In der Praxis ist es wahrscheinlich, dass jeder Prüfer die Sicherheit von Containern auf seine eigene Weise beurteilt, basierend auf seinem eigenen Wissen und seiner Erfahrung. Nun, oder bewerten Sie es überhaupt nicht, wenn es weder das eine noch das andere gibt.
Für alle Fälle fügen wir hinzu, dass die Mindestpunktzahl ab dem 1. Januar 2021 nicht unter 0,7 liegen darf.
Übrigens veröffentlichen wir in unserem regelmäßig Antworten und Kommentare von Aufsichtsbehörden zu den Anforderungen von GOST 57580 und den Zentralbankvorschriften .
Was ist zu tun
Unserer Meinung nach haben Finanzorganisationen nur zwei Möglichkeiten, das Problem zu lösen.
1. Vermeiden Sie die Implementierung von Containern
Eine Lösung für diejenigen, die bereit sind, sich nur die Hardware-Virtualisierung zu leisten und gleichzeitig schlechte GOST-Bewertungen und Bußgelder der Zentralbank fürchten.
Plus: Es ist einfacher, die Anforderungen von Unterabschnitt 7.8 von GOST zu erfüllen.
Minus: Wir müssen auf neue Entwicklungstools verzichten, die auf Containervirtualisierung basieren, insbesondere Docker und Kubernetes.
2. Weigern Sie sich, die Anforderungen von Unterabschnitt 7.8 von GOST einzuhalten
Wenden Sie aber gleichzeitig die Best Practices zur Gewährleistung der Informationssicherheit bei der Arbeit mit Containern an. Dies ist eine Lösung für diejenigen, die neue Technologien und die damit verbundenen Möglichkeiten schätzen. Mit „Best Practices“ meinen wir branchenweit anerkannte Normen und Standards zur Gewährleistung der Sicherheit von Docker-Containern:
- Sicherheit des Host-Betriebssystems, ordnungsgemäß konfigurierte Protokollierung, Verbot des Datenaustauschs zwischen Containern usw.;
- Verwendung der Docker Trust-Funktion zur Überprüfung der Integrität von Bildern und Verwendung des integrierten Schwachstellenscanners;
- Wir dürfen die Sicherheit des Fernzugriffs und des Netzwerkmodells als Ganzes nicht vergessen: Angriffe wie ARP-Spoofing und MAC-Flooding wurden nicht abgewehrt.
Plus: Keine technischen Einschränkungen bei der Nutzung der Containervirtualisierung.
Minus: Es besteht eine hohe Wahrscheinlichkeit, dass die Regulierungsbehörde die Nichteinhaltung der GOST-Anforderungen bestrafen wird.
Abschluss
Unser Kunde hat beschlossen, nicht auf Container zu verzichten. Gleichzeitig musste er den Arbeitsumfang und den Zeitpunkt des Übergangs zu Docker (der sechs Monate dauerte) deutlich überdenken. Der Kunde versteht die Risiken sehr gut. Er versteht auch, dass bei der nächsten Beurteilung der Einhaltung von GOST R 57580 viel vom Prüfer abhängen wird.
Was würden Sie in dieser Situation tun?
Source: habr.com