No hace mucho llevamos a cabo otra evaluación del cumplimiento de los requisitos de GOST R 57580 (en adelante, simplemente GOST). El cliente es una empresa que desarrolla un sistema de pago electrónico. El sistema es serio: más de 3 millones de usuarios, más de 200 mil transacciones diarias. Allí se toman muy en serio la seguridad de la información.
Durante el proceso de evaluación, el cliente anunció casualmente que el departamento de desarrollo, además de máquinas virtuales, planea utilizar contenedores. Pero con esto, añadió el cliente, hay un problema: en GOST no hay ni una palabra sobre el mismo Docker. ¿Qué tengo que hacer? ¿Cómo evaluar la seguridad de los contenedores?
Es cierto, GOST solo escribe sobre virtualización de hardware, sobre cómo proteger máquinas virtuales, un hipervisor y un servidor. Le pedimos una aclaración al Banco Central. La respuesta nos desconcertó.
GOST y virtualización
Para empezar, recordemos que GOST R 57580 es un nuevo estándar que especifica "los requisitos para garantizar la seguridad de la información de las organizaciones financieras" (FI). Estas IF incluyen operadores y participantes de sistemas de pago, organizaciones crediticias y no crediticias, centros operativos y de compensación.
A partir del 1 de enero de 2021, las IF deben realizar . Nosotros, ITGLOBAL.COM, somos una empresa de auditoría que realiza este tipo de evaluaciones.
GOST tiene una subsección dedicada a la protección de entornos virtualizados: No. 7.8. El término "virtualización" no se especifica allí, no hay división entre virtualización de hardware y virtualización de contenedores. Cualquier especialista en TI dirá que desde un punto de vista técnico esto es incorrecto: una máquina virtual (VM) y un contenedor son entornos diferentes, con diferentes principios de aislamiento. Desde el punto de vista de la vulnerabilidad del host en el que se implementan la VM y los contenedores Docker, esta también es una gran diferencia.
Resulta que la evaluación de la seguridad de la información de las máquinas virtuales y los contenedores también debería ser diferente.
Nuestras preguntas al Banco Central
Las enviamos al Departamento de Seguridad de la Información del Banco Central (presentamos las preguntas de forma abreviada).
- ¿Cómo considerar los contenedores virtuales tipo Docker al evaluar el cumplimiento de GOST? ¿Es correcto evaluar la tecnología de acuerdo con la subsección 7.8 de GOST?
- ¿Cómo evaluar las herramientas de gestión de contenedores virtuales? ¿Es posible equipararlos con los componentes de virtualización de servidores y evaluarlos según la misma subsección de GOST?
- ¿Necesito evaluar por separado la seguridad de la información dentro de los contenedores Docker? De ser así, ¿qué salvaguardas deberían considerarse al respecto durante el proceso de evaluación?
- Si la contenedorización se equipara a la infraestructura virtual y se evalúa de acuerdo con la subsección 7.8, ¿cómo se implementan los requisitos GOST para la implementación de herramientas especiales de seguridad de la información?
La respuesta del Banco Central
A continuación se muestran los principales extractos.
“GOST R 57580.1-2017 establece requisitos para la implementación mediante la aplicación de medidas técnicas en relación con las siguientes medidas ZI subsección 7.8 de GOST R 57580.1-2017, que, en opinión del Departamento, pueden extenderse a los casos de uso de virtualización de contenedores tecnologías, teniendo en cuenta lo siguiente:
- la implementación de las medidas ZSV.1 - ZSV.11 para organizar la identificación, autenticación, autorización (control de acceso) al implementar el acceso lógico a máquinas virtuales y componentes del servidor de virtualización puede diferir de los casos de uso de tecnología de virtualización de contenedores. Teniendo esto en cuenta, para implementar una serie de medidas (por ejemplo, ZVS.6 y ZVS.7), creemos que es posible recomendar que las instituciones financieras desarrollen medidas compensatorias que persigan los mismos objetivos;
- la implementación de las medidas ZSV.13 - ZSV.22 para la organización y control de la interacción de la información de las máquinas virtuales prevé la segmentación de la red informática de una organización financiera para distinguir entre objetos de informatización que implementan tecnología de virtualización y pertenecen a diferentes circuitos de seguridad. Teniendo esto en cuenta, creemos aconsejable prever una segmentación adecuada al utilizar la tecnología de virtualización de contenedores (tanto en relación con contenedores virtuales ejecutables como en relación con sistemas de virtualización utilizados a nivel de sistema operativo);
- la implementación de las medidas ZSV.26, ZSV.29 - ZSV.31 para organizar la protección de imágenes de máquinas virtuales debe llevarse a cabo por analogía también para proteger las imágenes básicas y actuales de contenedores virtuales;
- la implementación de las medidas ZVS.32 - ZVS.43 para registrar eventos de seguridad de la información relacionados con el acceso a máquinas virtuales y componentes de virtualización de servidores debe llevarse a cabo por analogía también en relación con los elementos del entorno de virtualización que implementan tecnología de virtualización de contenedores”.
Que significa
Dos conclusiones principales de la respuesta del Departamento de Seguridad de la Información del Banco Central:
- las medidas para proteger los contenedores no son diferentes de las medidas para proteger las máquinas virtuales;
- De esto se deduce que, en el contexto de la seguridad de la información, el Banco Central equipara dos tipos de virtualización: los contenedores Docker y las máquinas virtuales.
La respuesta también menciona “medidas compensatorias” que deben aplicarse para neutralizar las amenazas. Simplemente no está claro qué son estas “medidas compensatorias” y cómo medir su idoneidad, integridad y eficacia.
¿Qué hay de malo en la posición del Banco Central?
Si se utilizan las recomendaciones del Banco Central durante la evaluación (y la autoevaluación), es necesario resolver una serie de dificultades técnicas y lógicas.
- Cada contenedor ejecutable requiere la instalación de software de protección de la información (IP): antivirus, monitoreo de integridad, trabajo con registros, sistemas DLP (Prevención de fuga de datos), etc. Todo esto se puede instalar en una VM sin problemas, pero en el caso de un contenedor, instalar seguridad de la información es una jugada absurda. El contenedor contiene la cantidad mínima de “kit de carrocería” que se necesita para que funcione el servicio. Instalar un SZI en él contradice su significado.
- Las imágenes de contenedores deben protegerse según el mismo principio; tampoco está claro cómo implementarlo.
- GOST requiere restringir el acceso a los componentes de virtualización del servidor, es decir, al hipervisor. ¿Qué se considera un componente del servidor en el caso de Docker? ¿No significa esto que cada contenedor debe ejecutarse en un host independiente?
- Si para la virtualización convencional es posible delimitar las VM por contornos de seguridad y segmentos de red, en el caso de los contenedores Docker dentro del mismo host, este no es el caso.
En la práctica, es probable que cada auditor evalúe la seguridad de los contenedores a su manera, basándose en sus propios conocimientos y experiencia. Bueno, o no evaluarlo en absoluto, si no hay ni lo uno ni lo otro.
Por si acaso, sumamos que a partir del 1 de enero de 2021 la puntuación mínima no debe ser inferior a 0,7.
Por cierto, publicamos periódicamente respuestas y comentarios de los reguladores relacionados con los requisitos de GOST 57580 y las regulaciones del Banco Central en nuestro .
Qué hacer
En nuestra opinión, las organizaciones financieras sólo tienen dos opciones para resolver el problema.
1. Evite implementar contenedores
Una solución para aquellos que están dispuestos a permitirse el lujo de utilizar únicamente la virtualización de hardware y, al mismo tiempo, temen las bajas calificaciones según GOST y las multas del Banco Central.
Más: es más fácil cumplir con los requisitos de la subsección 7.8 de GOST.
Menos: Tendremos que abandonar las nuevas herramientas de desarrollo basadas en la virtualización de contenedores, en particular Docker y Kubernetes.
2. Negarse a cumplir con los requisitos de la subsección 7.8 de GOST.
Pero al mismo tiempo, aplique las mejores prácticas para garantizar la seguridad de la información cuando trabaje con contenedores. Esta es una solución para quienes valoran las nuevas tecnologías y las oportunidades que brindan. Por "mejores prácticas" nos referimos a normas y estándares aceptados por la industria para garantizar la seguridad de los contenedores Docker:
- seguridad del sistema operativo host, registro configurado correctamente, prohibición del intercambio de datos entre contenedores, etc.
- usar la función Docker Trust para verificar la integridad de las imágenes y usar el escáner de vulnerabilidades incorporado;
- No debemos olvidarnos de la seguridad del acceso remoto y del modelo de red en su conjunto: ataques como la suplantación de ARP y la inundación de MAC no han sido cancelados.
Más: No hay restricciones técnicas sobre el uso de la virtualización de contenedores.
Menos: Existe una alta probabilidad de que el regulador castigue por el incumplimiento de los requisitos GOST.
Conclusión
Nuestro cliente decidió no renunciar a los contenedores. Al mismo tiempo, tuvo que reconsiderar significativamente el alcance del trabajo y el momento de la transición a Docker (duraron seis meses). El cliente comprende muy bien los riesgos. También entiende que en la próxima evaluación del cumplimiento de GOST R 57580 mucho dependerá del auditor.
¿Qué haría usted en esta situación?
Fuente: habr.com