ProHoster > Блог > Administrado > Kiel amikiĝi kun GOST R 57580 kaj ujo-virtualigo. La respondo de la Centra Banko (kaj niaj pensoj pri ĉi tiu afero)

Kiel amikiĝi kun GOST R 57580 kaj ujo-virtualigo. La respondo de la Centra Banko (kaj niaj pensoj pri ĉi tiu afero)

Antaŭ nelonge ni faris alian takson pri plenumo de la postuloj de GOST R 57580 (ĉi-poste nomata simple GOST). La kliento estas kompanio, kiu disvolvas elektronikan pagsistemon. La sistemo estas serioza: pli ol 3 milionoj da uzantoj, pli ol 200 mil transakcioj ĉiutage. Ili prenas informan sekurecon tre serioze tie.

Dum la taksa procezo, la kliento hazarde anoncis, ke la disvolva fako, krom virtualaj maŝinoj, planas uzi ujojn. Sed kun ĉi tio, aldonis la kliento, estas unu problemo: en GOST ne estas vorto pri la sama Docker. Kion mi devus fari? Kiel taksi la sekurecon de ujoj?

Kiel amikiĝi kun GOST R 57580 kaj ujo-virtualigo. La respondo de la Centra Banko (kaj niaj pensoj pri ĉi tiu afero)

Estas vere, GOST nur skribas pri aparataro virtualigo - pri kiel protekti virtualajn maŝinojn, hiperviziilon kaj servilon. Ni petis la Centran Bankon pri klarigo. La respondo konfuzis nin.

GOST kaj virtualigo

Komence, ni memoru, ke GOST R 57580 estas nova normo, kiu specifas "postulojn por certigi informan sekurecon de financaj organizoj" (FI). Tiuj FIoj inkludas funkciigistojn kaj partoprenantojn de pagsistemoj, kredit- kaj ne-kreditorganizojn, funkciajn kaj klarigantajn centrojn.

Ekde la 1-a de januaro 2021, FI-oj devas konduki takso de plenumo de la postuloj de la nova GOST. Ni, ITGLOBAL.COM, estas revizia kompanio, kiu faras tiajn taksojn.

GOST havas subfakon dediĉitan al la protekto de virtualigitaj medioj - n-ro 7.8. La esprimo "virtualigo" ne estas precizigita tie; ekzistas neniu divido en aparataron kaj kontenervirtualigon. Ĉiu IT-specialisto diros, ke el teknika vidpunkto tio estas malĝusta: virtuala maŝino (VM) kaj ujo estas malsamaj medioj, kun malsamaj izolaj principoj. De la vidpunkto de la vundebleco de la gastiganto sur kiu la VM kaj Docker-ujoj estas deplojitaj, ĉi tio ankaŭ estas granda diferenco.

Rezultas, ke la taksado de la informa sekureco de VMs kaj ujoj ankaŭ devus esti malsama.

Niaj demandoj al la Centra Banko

Ni sendis ilin al la Informa Sekureca Departemento de la Centra Banko (ni prezentas la demandojn en mallongigita formo).

  1. Kiel konsideri virtualajn ujojn de tipo Docker kiam oni taksas GOST-konformecon? Ĉu estas ĝuste taksi teknologion laŭ subsekcio 7.8 de GOST?
  2. Kiel taksi virtualajn ujajn mastrumajn ilojn? Ĉu eblas egaligi ilin al servilaj virtualigaj komponantoj kaj taksi ilin laŭ la sama subfako de GOST?
  3. Ĉu mi devas aparte taksi la sekurecon de informoj ene de Docker-ujoj? Se jes, kiaj sekurigiloj devus esti pripensitaj por tio dum la taksa procezo?
  4. Se kontenerigo estas egaligita al virtuala infrastrukturo kaj estas taksita laŭ subsekcio 7.8, kiel estas GOST-postuloj por la efektivigo de specialaj informsekurecaj iloj efektivigitaj?

Respondo de Centra Banko

Malsupre estas la ĉefaj eltiraĵoj.

"GOST R 57580.1-2017 establas postulojn por efektivigo per la aplikado de teknikaj mezuroj rilate al la sekvaj mezuroj ZI subsekcio 7.8 de GOST R 57580.1-2017, kiu, laŭ la opinio de la Departemento, povas esti etendita al kazoj de uzado de ujo-virtualigo. teknologioj, konsiderante la jenajn:

  • la efektivigo de mezuroj ZSV.1 - ZSV.11 por organizi identigon, aŭtentikigon, rajtigon (kontrolo de aliro) kiam efektivigas logikan aliron al virtualaj maŝinoj kaj virtualigo-servilkomponentoj povas diferenci de kazoj de uzado de ujo-virtualigoteknologio. Konsiderante tion, por efektivigi kelkajn mezurojn (ekzemple ZVS.6 kaj ZVS.7), ni kredas, ke eblas rekomendi, ke financaj institucioj evoluigu kompensajn rimedojn, kiuj persekutos la samajn celojn;
  • la efektivigo de mezuroj ZSV.13 - ZSV.22 por la organizo kaj kontrolo de informa interago de virtualaj maŝinoj provizas por la segmentado de la komputila reto de financa organizo por distingi inter informadigo objektoj kiuj efektivigas virtualigon teknologio kaj apartenas al malsamaj sekurecaj cirkvitoj. Konsiderante ĉi tion, ni opinias, ke estas konsilinde provizi taŭgan segmentadon kiam oni uzas ujo-virtualigan teknologion (kaj rilate al realigeblaj virtualaj ujoj kaj rilate al virtualigaj sistemoj uzataj ĉe la mastruma sistemo);
  • la efektivigo de mezuroj ZSV.26, ZSV.29 - ZSV.31 por organizi la protekton de bildoj de virtualaj maŝinoj devas esti efektivigita per analogio ankaŭ por protekti bazajn kaj aktualajn bildojn de virtualaj ujoj;
  • la efektivigo de mezuroj ZVS.32 - ZVS.43 por registri informajn sekurecajn eventojn rilatajn al aliro al virtualaj maŝinoj kaj servilaj virtualigaj komponantoj devas esti efektivigita per analogio ankaŭ rilate elementojn de la virtualiga medio, kiuj efektivigas ujo-virtualigan teknologion."

Kion ĝi signifas

Du ĉefaj konkludoj el la respondo de la Centra Banka Informa Sekureca Departemento:

  • mezuroj por protekti ujojn ne diferencas de mezuroj por protekti virtualajn maŝinojn;
  • El tio sekvas, ke, en la kunteksto de informa sekureco, la Centra Banko egaligas du specojn de virtualigo - Docker-ujoj kaj VMs.

La respondo ankaŭ mencias "kompensajn mezurojn", kiuj devas esti aplikataj por neŭtraligi la minacojn. Estas nur neklare, kio estas ĉi tiuj "kompensaj mezuroj" kaj kiel mezuri ilian taŭgecon, kompletecon kaj efikecon.

Kio estas malbona kun la pozicio de la Centra Banko?

Se vi uzas la rekomendojn de la Centra Banko dum taksado (kaj memtakso), vi devas solvi kelkajn teknikajn kaj logikan malfacilaĵojn.

  • Ĉiu plenumebla ujo postulas la instaladon de informprotekta programaro (IP) sur ĝi: kontraŭviruso, monitorado de integreco, laborado kun ŝtipoj, DLP-sistemoj (Data Leak Prevention), ktp. Ĉio ĉi povas esti instalita sur VM sen problemoj, sed en la kazo de ujo, instali informan sekurecon estas absurda movo. La ujo enhavas la minimuman kvanton de "korpa ilaro" necesa por ke la servo funkciu. Instali SZI en ĝi kontraŭdiras ĝian signifon.
  • Ujbildoj devas esti protektitaj laŭ la sama principo; kiel efektivigi tion ankaŭ estas neklara.
  • GOST postulas limigi aliron al servilaj virtualigkomponentoj, t.e., al la hiperviziero. Kio estas konsiderata servila komponanto en la kazo de Docker? Ĉu ĉi tio ne signifas, ke ĉiu ujo devas esti funkciigata sur aparta gastiganto?
  • Se por konvencia virtualigo eblas limigi VM-ojn per sekurecaj konturoj kaj retsegmentoj, tiam en la kazo de Docker-ujoj ene de la sama gastiganto, tio ne estas la kazo.

En praktiko, estas verŝajne ke ĉiu revizoro taksos la sekurecon de ujoj laŭ sia propra maniero, surbaze de sia propra scio kaj sperto. Nu, aŭ tute ne taksu ĝin, se ekzistas nek unu nek la alia.

Ĉiaokaze, ni aldonos, ke ekde la 1-a de januaro 2021, la minimuma poentaro ne devas esti pli malalta ol 0,7.

Cetere, ni regule afiŝas respondojn kaj komentojn de regulistoj rilataj al la postuloj de GOST 57580 kaj Regularoj de Centra Banko en nia Telegram-kanalo.

Kion fari?

Laŭ nia opinio, financaj organizaĵoj havas nur du eblojn por solvi la problemon.

1. Evitu efektivigi ujojn

Solvo por tiuj, kiuj pretas pagi uzi nur aparataron virtualigon kaj samtempe timas malaltajn taksojn laŭ GOST kaj monpunojn de la Centra Banko.

Pluso: estas pli facile plenumi la postulojn de subsekcio 7.8 de GOST.

Minuso: Ni devos forlasi novajn evoluilojn bazitajn sur ujo-virtualigo, precipe Docker kaj Kubernetes.

2. Rifuzu plenumi la postulojn de subsekcio 7.8 de GOST

Sed samtempe, apliku la plej bonajn praktikojn por certigi informan sekurecon kiam vi laboras kun ujoj. Ĉi tio estas solvo por tiuj, kiuj taksas novajn teknologiojn kaj la ŝancojn, kiujn ili provizas. Per "plej bonaj praktikoj" ni celas industriakceptitajn normojn kaj normojn por certigi la sekurecon de Docker-ujoj:

  • sekureco de la gastiganta OS, konvene agordita enhavado, malpermeso de interŝanĝo de datumoj inter ujoj, ktp;
  • uzante la funkcion Docker Trust por kontroli la integrecon de bildoj kaj uzante la enkonstruitan vundeblecon skanilo;
  • Ni ne devas forgesi pri la sekureco de fora aliro kaj la retmodelo entute: atakoj kiel ARP-spoofing kaj MAC-inundo ne estis nuligitaj.

Pluso: neniuj teknikaj limigoj pri la uzo de ujo-virtualigo.

Minuso: estas alta probablo, ke la reguligisto punos pro neobservo de GOST-postuloj.

konkludo

Nia kliento decidis ne rezigni ujojn. Samtempe, li devis signife rekonsideri la amplekson de laboro kaj la tempon de la transiro al Docker (ili daŭris dum ses monatoj). La kliento komprenas la riskojn tre bone. Li ankaŭ komprenas, ke dum la sekva taksado de plenumo de GOST R 57580, multe dependos de la revizoro.

Kion vi farus en ĉi tiu situacio?

fonto: www.habr.com

Aldoni komenton