Μια μέρα λάβαμε ένα αίτημα για υπηρεσίες cloud. Περιγράψαμε σε γενικές γραμμές τι θα απαιτούνταν από εμάς και στείλαμε μια λίστα ερωτήσεων για να διευκρινίσουμε τις λεπτομέρειες. Στη συνέχεια αναλύσαμε τις απαντήσεις και συνειδητοποιήσαμε: ο πελάτης θέλει να τοποθετήσει προσωπικά δεδομένα του δεύτερου επιπέδου ασφάλειας στο cloud. Του απαντάμε: «Έχετε ένα δεύτερο επίπεδο προσωπικών δεδομένων, συγγνώμη, μπορούμε μόνο να δημιουργήσουμε ένα ιδιωτικό σύννεφο». Και εκείνος: «Ξέρεις, αλλά στην εταιρεία Χ μπορούν να μου δημοσιεύσουν τα πάντα δημόσια».
Φωτογραφία από τον Steve Crisp, Reuters
Παράξενα πράγματα! Πήγαμε στον ιστότοπο της εταιρείας Χ, μελετήσαμε τα έγγραφα πιστοποίησής μας, κουνήσαμε το κεφάλι μας και συνειδητοποιήσαμε: υπάρχουν πολλά ανοιχτά ερωτήματα σχετικά με την τοποθέτηση προσωπικών δεδομένων και πρέπει να αντιμετωπιστούν διεξοδικά. Αυτό θα κάνουμε σε αυτήν την ανάρτηση.
Πώς πρέπει να λειτουργούν όλα
Αρχικά, ας υπολογίσουμε ποια κριτήρια χρησιμοποιούνται για την ταξινόμηση των προσωπικών δεδομένων ως ενός ή του άλλου επιπέδου ασφάλειας. Αυτό εξαρτάται από την κατηγορία δεδομένων, τον αριθμό των υποκειμένων αυτών των δεδομένων που αποθηκεύει και επεξεργάζεται ο χειριστής, καθώς και από τον τύπο των τρεχουσών απειλών.
Οι τύποι των τρεχουσών απειλών ορίζονται στο με ημερομηνία 1 Νοεμβρίου 2012 «Περί έγκρισης απαιτήσεων για την προστασία των προσωπικών δεδομένων κατά την επεξεργασία τους σε πληροφοριακά συστήματα προσωπικών δεδομένων»:
«Οι απειλές τύπου 1 είναι σχετικές με ένα σύστημα πληροφοριών, εάν περιλαμβάνει τρέχουσες απειλές που σχετίζονται με με την παρουσία μη τεκμηριωμένων (αδήλωτων) δυνατοτήτων στο λογισμικό συστήματοςχρησιμοποιείται στο πληροφοριακό σύστημα.
Οι απειλές του 2ου τύπου είναι σχετικές για ένα πληροφοριακό σύστημα εάν και για αυτό, συμπεριλαμβανομένων τρέχουσες απειλές που σχετίζονται με με την παρουσία μη τεκμηριωμένων (αδήλωτων) δυνατοτήτων σε λογισμικό εφαρμογώνχρησιμοποιείται στο πληροφοριακό σύστημα.
Οι απειλές του 3ου τύπου είναι σχετικές για ένα πληροφοριακό σύστημα εάν γι' αυτό απειλές που δεν σχετίζονται με την παρουσία μη τεκμηριωμένων (αδήλωτων) δυνατοτήτων σε λογισμικό συστήματος και εφαρμογώνχρησιμοποιείται στο πληροφοριακό σύστημα».
Το κύριο πράγμα σε αυτούς τους ορισμούς είναι η παρουσία μη τεκμηριωμένων (μη δηλωμένων) δυνατοτήτων. Για να επιβεβαιωθεί η απουσία μη τεκμηριωμένων δυνατοτήτων λογισμικού (στην περίπτωση του cloud, πρόκειται για hypervisor), η πιστοποίηση πραγματοποιείται από την FSTEC της Ρωσίας. Εάν ο χειριστής PD αποδεχθεί ότι δεν υπάρχουν τέτοιες δυνατότητες στο λογισμικό, τότε οι αντίστοιχες απειλές είναι άσχετες. Οι απειλές των τύπων 1 και 2 θεωρούνται εξαιρετικά σπάνια σχετικές από τους χειριστές PD.
Εκτός από τον προσδιορισμό του επιπέδου ασφάλειας PD, ο χειριστής πρέπει επίσης να προσδιορίσει συγκεκριμένες τρέχουσες απειλές για το δημόσιο νέφος και, με βάση το προσδιορισμένο επίπεδο ασφάλειας PD και τις τρέχουσες απειλές, να καθορίσει τα απαραίτητα μέτρα και μέσα προστασίας έναντι αυτών.
Το FSTEC απαριθμεί ξεκάθαρα όλες τις κύριες απειλές (βάση δεδομένων απειλών). Οι πάροχοι υποδομής cloud και οι αξιολογητές χρησιμοποιούν αυτήν τη βάση δεδομένων στην εργασία τους. Ακολουθούν παραδείγματα απειλών:
: "Η απειλή είναι η πιθανότητα παραβίασης της ασφάλειας των δεδομένων χρήστη προγραμμάτων που λειτουργούν μέσα σε μια εικονική μηχανή από κακόβουλο λογισμικό που λειτουργεί εκτός της εικονικής μηχανής." Αυτή η απειλή οφείλεται στην παρουσία τρωτών σημείων στο λογισμικό hypervisor, το οποίο διασφαλίζει ότι ο χώρος διευθύνσεων που χρησιμοποιείται για την αποθήκευση δεδομένων χρήστη για προγράμματα που λειτουργούν εντός της εικονικής μηχανής είναι απομονωμένος από μη εξουσιοδοτημένη πρόσβαση από κακόβουλο λογισμικό που λειτουργεί έξω από την εικονική μηχανή.
Η υλοποίηση αυτής της απειλής είναι δυνατή υπό τον όρο ότι ο κακόβουλος κώδικας προγράμματος ξεπερνά επιτυχώς τα όρια της εικονικής μηχανής, όχι μόνο εκμεταλλευόμενος τα τρωτά σημεία του hypervisor, αλλά και πραγματοποιώντας μια τέτοια επίδραση από χαμηλότερα (σε σχέση με τον hypervisor) επίπεδα του λειτουργία του συστήματος».
: «Η απειλή έγκειται στη δυνατότητα μη εξουσιοδοτημένης πρόσβασης στις προστατευμένες πληροφορίες ενός καταναλωτή υπηρεσιών cloud από έναν άλλο. Αυτή η απειλή οφείλεται στο γεγονός ότι, λόγω της φύσης των τεχνολογιών cloud, οι καταναλωτές υπηρεσιών cloud πρέπει να μοιράζονται την ίδια υποδομή cloud. Αυτή η απειλή μπορεί να πραγματοποιηθεί εάν γίνουν σφάλματα κατά τον διαχωρισμό των στοιχείων υποδομής cloud μεταξύ των καταναλωτών υπηρεσιών cloud, καθώς και κατά την απομόνωση των πόρων τους και τον διαχωρισμό των δεδομένων μεταξύ τους».
Μπορείτε να προστατεύσετε από αυτές τις απειλές μόνο με τη βοήθεια ενός hypervisor, καθώς είναι αυτός που διαχειρίζεται εικονικούς πόρους. Επομένως, ο hypervisor πρέπει να θεωρείται ως μέσο προστασίας.
Και σύμφωνα με με ημερομηνία 18 Φεβρουαρίου 2013, ο hypervisor πρέπει να πιστοποιηθεί ως μη NDV στο επίπεδο 4, διαφορετικά η χρήση προσωπικών δεδομένων επιπέδου 1 και 2 μαζί του θα είναι παράνομη («Ρήτρα 12. ... Για τη διασφάλιση των επιπέδων 1 και 2 της ασφάλειας προσωπικών δεδομένων, καθώς και για τη διασφάλιση του επιπέδου 3 της ασφάλειας προσωπικών δεδομένων σε συστήματα πληροφοριών για τα οποία οι απειλές τύπου 2 ταξινομούνται ως τρέχουσες, χρησιμοποιούνται εργαλεία ασφάλειας πληροφοριών, το λογισμικό των οποίων έχει έχει δοκιμαστεί τουλάχιστον σύμφωνα με 4 επίπεδα ελέγχου για την απουσία αδήλωτων δυνατοτήτων").
Μόνο ένας hypervisor, που αναπτύχθηκε στη Ρωσία, διαθέτει το απαιτούμενο επίπεδο πιστοποίησης, το NDV-4. . Για να το θέσω ήπια, δεν είναι η πιο δημοφιλής λύση. Τα εμπορικά σύννεφα δημιουργούνται συνήθως με βάση τα VMware vSphere, KVM, Microsoft Hyper-V. Κανένα από αυτά τα προϊόντα δεν διαθέτει πιστοποίηση NDV-4. Γιατί; Είναι πιθανό ότι η απόκτηση τέτοιας πιστοποίησης για τους κατασκευαστές δεν δικαιολογείται ακόμη οικονομικά.
Και το μόνο που μας μένει για προσωπικά δεδομένα επιπέδου 1 και 2 στο δημόσιο cloud είναι το Horizon BC. Θλιβερό αλλά αληθινό.
Πώς όλα (κατά τη γνώμη μας) λειτουργούν πραγματικά
Με την πρώτη ματιά, όλα είναι αρκετά αυστηρά: αυτές οι απειλές πρέπει να εξαλειφθούν με τη σωστή διαμόρφωση των τυπικών μηχανισμών προστασίας ενός υπερεπόπτη πιστοποιημένου σύμφωνα με το NDV-4. Υπάρχει όμως ένα κενό. Σύμφωνα με την FSTEC Order No. 21 («ρήτρα 2 Η ασφάλεια των προσωπικών δεδομένων όταν υποβάλλονται σε επεξεργασία στο σύστημα πληροφοριών προσωπικών δεδομένων (εφεξής «σύστημα πληροφοριών») διασφαλίζεται από τον χειριστή ή το πρόσωπο που επεξεργάζεται προσωπικά δεδομένα για λογαριασμό του χειριστή σύμφωνα με Ρωσική Ομοσπονδία"), οι πάροχοι αξιολογούν ανεξάρτητα τη συνάφεια πιθανών απειλών και επιλέγουν ανάλογα μέτρα προστασίας. Επομένως, εάν δεν αποδεχτείτε τις απειλές UBI.44 και UBI.101 ως τρέχουσες, τότε δεν θα χρειαστεί να χρησιμοποιήσετε έναν hypervisor πιστοποιημένο σύμφωνα με το NDV-4, που είναι ακριβώς αυτό που πρέπει να παρέχει προστασία έναντι αυτών. Και αυτό θα είναι αρκετό για να αποκτήσετε ένα πιστοποιητικό συμμόρφωσης του δημόσιου νέφους με τα επίπεδα 1 και 2 ασφάλειας προσωπικών δεδομένων, με το οποίο η Roskomnadzor θα είναι απόλυτα ικανοποιημένη.
Φυσικά, εκτός από το Roskomnadzor, η FSTEC μπορεί να έρθει με επιθεώρηση - και αυτός ο οργανισμός είναι πολύ πιο σχολαστικός σε τεχνικά θέματα. Μάλλον θα την ενδιαφέρει γιατί ακριβώς οι απειλές UBI.44 και UBI.101 θεωρήθηκαν άσχετες; Αλλά συνήθως η FSTEC αναλαμβάνει μια επιθεώρηση μόνο όταν λάβει πληροφορίες για κάποιο σημαντικό περιστατικό. Σε αυτήν την περίπτωση, η ομοσπονδιακή υπηρεσία έρχεται πρώτα στον χειριστή προσωπικών δεδομένων - δηλαδή στον πελάτη των υπηρεσιών cloud. Στη χειρότερη περίπτωση, ο χειριστής λαμβάνει ένα μικρό πρόστιμο - για παράδειγμα, για το Twitter στην αρχή του έτους σε παρόμοια περίπτωση ανήλθε σε 5000 ρούβλια. Στη συνέχεια, η FSTEC πηγαίνει περαιτέρω στον πάροχο υπηρεσιών cloud. Η οποία μπορεί κάλλιστα να στερηθεί άδειας λόγω μη συμμόρφωσης με τις κανονιστικές απαιτήσεις - και αυτοί είναι εντελώς διαφορετικοί κίνδυνοι, τόσο για τον πάροχο cloud όσο και για τους πελάτες του. Αλλά, επαναλαμβάνω, Για να ελέγξετε το FSTEC, χρειάζεστε συνήθως έναν σαφή λόγο. Έτσι, οι πάροχοι cloud είναι πρόθυμοι να αναλάβουν κινδύνους. Μέχρι το πρώτο σοβαρό περιστατικό.
Υπάρχει επίσης μια ομάδα «πιο υπεύθυνων» παρόχων που πιστεύουν ότι είναι δυνατό να κλείσετε όλες τις απειλές προσθέτοντας ένα πρόσθετο όπως το vGate στον hypervisor. Ωστόσο, σε ένα εικονικό περιβάλλον που διανέμεται μεταξύ των πελατών για ορισμένες απειλές (για παράδειγμα, το παραπάνω UBI.101), ένας αποτελεσματικός μηχανισμός προστασίας μπορεί να εφαρμοστεί μόνο στο επίπεδο ενός υπερεπόπτη πιστοποιημένου σύμφωνα με το NDV-4, καθώς τυχόν πρόσθετα συστήματα οι τυπικές λειτουργίες του hypervisor για τη διαχείριση πόρων (ιδίως RAM) δεν επηρεάζουν.
Πώς δουλεύουμε
Έχουμε ένα τμήμα cloud που υλοποιείται σε έναν hypervisor πιστοποιημένο από την FSTEC (αλλά χωρίς πιστοποίηση για NDV-4). Αυτό το τμήμα έχει πιστοποιηθεί, επομένως τα προσωπικά δεδομένα μπορούν να αποθηκευτούν στο cloud με βάση αυτό 3 και 4 επίπεδα ασφάλειας — οι απαιτήσεις για προστασία από αδήλωτες δυνατότητες δεν χρειάζεται να τηρούνται εδώ. Εδώ, παρεμπιπτόντως, είναι η αρχιτεκτονική του ασφαλούς τμήματός μας στο cloud:
Συστήματα για προσωπικά δεδομένα 1 και 2 επίπεδα ασφάλειας Εφαρμόζουμε μόνο σε ειδικό εξοπλισμό. Μόνο σε αυτήν την περίπτωση, για παράδειγμα, η απειλή του UBI.101 δεν είναι πραγματικά σχετική, καθώς τα rack server που δεν ενώνονται από ένα εικονικό περιβάλλον δεν μπορούν να επηρεάσουν το ένα το άλλο ακόμη και όταν βρίσκονται στο ίδιο κέντρο δεδομένων. Για τέτοιες περιπτώσεις, προσφέρουμε μια αποκλειστική υπηρεσία ενοικίασης εξοπλισμού (ονομάζεται επίσης Hardware as a service).
Εάν δεν είστε βέβαιοι ποιο επίπεδο ασφάλειας απαιτείται για το σύστημα προσωπικών σας δεδομένων, βοηθάμε επίσης στην ταξινόμησή του.
Παραγωγή
Η μικρή μας έρευνα αγοράς έδειξε ότι ορισμένοι χειριστές cloud είναι αρκετά πρόθυμοι να ρισκάρουν τόσο την ασφάλεια των δεδομένων των πελατών όσο και το δικό τους μέλλον για να λάβουν μια παραγγελία. Αλλά σε αυτά τα θέματα ακολουθούμε μια διαφορετική πολιτική, την οποία περιγράψαμε εν συντομία ακριβώς παραπάνω. Θα χαρούμε να απαντήσουμε στις ερωτήσεις σας στα σχόλια.
Πηγή: www.habr.com