Un día recibimos una solicitud de servicios en la nube. Describimos en términos generales lo que se nos exigiría y enviamos una lista de preguntas para aclarar los detalles. Luego analizamos las respuestas y nos dimos cuenta: el cliente quiere colocar datos personales del segundo nivel de seguridad en la nube. Le contestamos: “Tienes un segundo nivel de datos personales, lo siento, solo podemos crear una nube privada”. Y él: “Ya sabes, pero en la empresa X me pueden publicar todo públicamente”.
Foto de Steve Crisp, Reuters
¡Cosas extrañas! Entramos en el sitio web de la empresa X, examinamos sus documentos de certificación, sacudimos la cabeza y nos dimos cuenta: hay muchas preguntas abiertas en la colocación de datos personales y es necesario abordarlas a fondo. Eso es lo que haremos en esta publicación.
Cómo debería funcionar todo
Primero, averigüemos qué criterios se utilizan para clasificar los datos personales en uno u otro nivel de seguridad. Esto depende de la categoría de los datos, del número de sujetos de estos datos que el operador almacena y procesa, así como del tipo de amenazas actuales.
Los tipos de amenazas actuales se definen en de 1 de noviembre de 2012 “Sobre la aprobación de los requisitos para la protección de datos personales durante su procesamiento en los sistemas de información de datos personales”:
“Las amenazas de tipo 1 son relevantes para un sistema de información si incluye amenazas actuales relacionadas con con la presencia de capacidades indocumentadas (no declaradas) en el software del sistemautilizados en el sistema de información.
Las amenazas del segundo tipo son relevantes para un sistema de información si para él, incluyendo amenazas actuales relacionadas con con la presencia de capacidades indocumentadas (no declaradas) en software de aplicaciónutilizados en el sistema de información.
Las amenazas del tercer tipo son relevantes para un sistema de información si para ello amenazas que no están relacionadas con la presencia de capacidades indocumentadas (no declaradas) en software de sistemas y aplicacionesutilizado en el sistema de información."
Lo principal en estas definiciones es la presencia de capacidades no documentadas (no declaradas). Para confirmar la ausencia de capacidades de software no documentadas (en el caso de la nube, se trata de un hipervisor), la certificación la lleva a cabo la FSTEC de Rusia. Si el operador de PD acepta que no existen tales capacidades en el software, entonces las amenazas correspondientes son irrelevantes. Los operadores de PD rara vez consideran relevantes las amenazas de tipos 1 y 2.
Además de determinar el nivel de seguridad de PD, el operador también debe determinar las amenazas actuales específicas a la nube pública y, en función del nivel de seguridad de PD identificado y las amenazas actuales, determinar las medidas y medios de protección necesarios contra ellas.
FSTEC enumera claramente todas las principales amenazas en (base de datos de amenazas). Los proveedores y evaluadores de infraestructuras en la nube utilizan esta base de datos en su trabajo. A continuación se muestran ejemplos de amenazas:
: "La amenaza es la posibilidad de violar la seguridad de los datos del usuario de los programas que operan dentro de una máquina virtual mediante software malicioso que opera fuera de la máquina virtual". Esta amenaza se debe a la presencia de vulnerabilidades en el software del hipervisor, que garantiza que el espacio de direcciones utilizado para almacenar datos de usuario para programas que operan dentro de la máquina virtual esté aislado del acceso no autorizado por parte de software malicioso que opera fuera de la máquina virtual.
La implementación de esta amenaza es posible siempre que el código del programa malicioso supere con éxito los límites de la máquina virtual, no solo explotando las vulnerabilidades del hipervisor, sino también realizando dicho impacto desde niveles inferiores (en relación con el hipervisor) de funcionamiento del sistema."
: “La amenaza radica en la posibilidad de acceso no autorizado a la información protegida de un consumidor de servicios en la nube por parte de otro. Esta amenaza se debe al hecho de que, debido a la naturaleza de las tecnologías de la nube, los consumidores de servicios de nube tienen que compartir la misma infraestructura de nube. Esta amenaza puede materializarse si se cometen errores al separar los elementos de la infraestructura de la nube entre los consumidores de servicios en la nube, así como al aislar sus recursos y separar los datos entre sí”.
Sólo puedes protegerte contra estas amenazas con la ayuda de un hipervisor, ya que es quien gestiona los recursos virtuales. Por tanto, el hipervisor debe considerarse como un medio de protección.
Y de acuerdo con con fecha 18 de febrero de 2013, el hipervisor debe estar certificado como no NDV en el nivel 4; de lo contrario, el uso de datos personales de nivel 1 y 2 con él será ilegal (“Cláusula 12. ... Para garantizar los niveles 1 y 2 de seguridad de los datos personales, así como para garantizar el nivel 3 de seguridad de los datos personales en los sistemas de información para los cuales las amenazas tipo 2 se clasifican como actuales, se utilizan herramientas de seguridad de la información, cuyo software ha sido probado al menos según el nivel 4 de control sobre la ausencia de capacidades no declaradas").
Sólo un hipervisor desarrollado en Rusia tiene el nivel de certificación requerido: NDV-4. . Por decirlo suavemente, no es la solución más popular. Las nubes comerciales, por regla general, se construyen sobre la base de VMware vSphere, KVM, Microsoft Hyper-V. Ninguno de estos productos tiene la certificación NDV-4. ¿Por qué? Es probable que la obtención de dicha certificación para los fabricantes aún no esté justificada económicamente.
Y lo único que nos queda para los datos personales de nivel 1 y 2 en la nube pública es Horizon BC. Triste pero cierto.
Cómo funciona realmente todo (en nuestra opinión)
A primera vista, todo es bastante estricto: estas amenazas deben eliminarse configurando correctamente los mecanismos de protección estándar de un hipervisor certificado según NDV-4. Pero hay un vacío legal. De acuerdo con la Orden FSTEC No. 21 (“cláusula 2 La seguridad de los datos personales cuando se procesan en el sistema de información de datos personales (en adelante, el sistema de información) está garantizada por el operador o la persona que procesa los datos personales en nombre del operador de conformidad con Federación Rusa"), los proveedores evalúan de forma independiente la relevancia de posibles amenazas y eligen las medidas de protección en consecuencia. Por lo tanto, si no se aceptan las amenazas UBI.44 y UBI.101 como actuales, no será necesario utilizar un hipervisor certificado según NDV-4, que es precisamente lo que debería proporcionar protección contra ellas. Y esto será suficiente para obtener un certificado de cumplimiento de la nube pública con los niveles 1 y 2 de seguridad de datos personales, con lo que Roskomnadzor estará completamente satisfecho.
Por supuesto, además de Roskomnadzor, el FSTEC también puede realizar una inspección, y esta organización es mucho más meticulosa en cuestiones técnicas. Probablemente le interese saber por qué exactamente las amenazas UBI.44 y UBI.101 se consideraron irrelevantes. Pero normalmente FSTEC realiza una inspección sólo cuando recibe información sobre algún incidente importante. En este caso, el servicio federal llega primero al operador de datos personales, es decir, al cliente de los servicios en la nube. En el peor de los casos, el operador recibe una pequeña multa, por ejemplo, por Twitter a principios de año. en un caso similar ascendió a 5000 rublos. Luego, FSTEC pasa al proveedor de servicios en la nube. A los que bien se les puede privar de su licencia por no cumplir con los requisitos reglamentarios, y estos son riesgos completamente diferentes, tanto para el proveedor de la nube como para sus clientes. Pero repito, Para verificar FSTEC, generalmente necesita una razón clara. Por eso los proveedores de la nube están dispuestos a correr riesgos. Hasta el primer incidente grave.
También hay un grupo de proveedores "más responsables" que creen que es posible cerrar todas las amenazas añadiendo un complemento como vGate al hipervisor. Pero en un entorno virtual distribuido entre los clientes para algunas amenazas (por ejemplo, el UBI.101 anterior), solo se puede implementar un mecanismo de protección eficaz a nivel de un hipervisor certificado según NDV-4, ya que cualquier sistema complementario a Las funciones estándar del hipervisor para administrar recursos (en particular, RAM) no afectan.
Cómo trabajamos
Contamos con un segmento de nube implementado en un hipervisor certificado por FSTEC (pero sin certificación para NDV-4). Este segmento está certificado, por lo que los datos personales se pueden almacenar en la nube en función de él. 3 y 4 niveles de seguridad — aquí no es necesario cumplir los requisitos de protección contra capacidades no declaradas. Aquí, por cierto, está la arquitectura de nuestro segmento de nube segura:
Sistemas de datos personales 1 y 2 niveles de seguridad Implementamos solo en equipos dedicados. Sólo que en este caso, por ejemplo, la amenaza UBI.101 realmente no es relevante, ya que los racks de servidores que no están unidos por un entorno virtual no pueden influir entre sí, incluso si se encuentran en el mismo centro de datos. Para tales casos, ofrecemos un servicio exclusivo de alquiler de equipos (también llamado Hardware como servicio).
Si no está seguro de qué nivel de seguridad se requiere para su sistema de datos personales, también le ayudamos a clasificarlo.
conclusión
Nuestra pequeña investigación de mercado mostró que algunos operadores de la nube están bastante dispuestos a arriesgar tanto la seguridad de los datos de los clientes como su propio futuro para recibir un pedido. Pero en estos asuntos seguimos una política diferente, que describimos brevemente anteriormente. Estaremos encantados de responder a tus preguntas en los comentarios.
Fuente: habr.com