Ühel päeval saime palve pilveteenuste saamiseks. Kirjeldasime üldiselt, mida meilt nõutakse, ja saatsime üksikasjade täpsustamiseks tagasi küsimuste loendi. Seejärel analüüsisime vastuseid ja saime aru: klient soovib pilve paigutada teise turvataseme isikuandmeid. Vastame talle: "Teil on isikuandmete teine tase, vabandust, me saame luua ainult privaatpilve." Ja ta: "Tead, aga ettevõttes X võivad nad mulle kõike avalikult postitada."
Foto Steve Crisp, Reuters
Imelikud asjad! Käisime ettevõtte X kodulehel, uurisime nende sertifitseerimisdokumente, vangutasime pead ja tõdesime: isikuandmete paigutamisel on palju lahtisi küsimusi ja need tuleks põhjalikult käsitleda. Seda me selles postituses teemegi.
Kuidas kõik peaks toimima
Esiteks selgitame välja, milliste kriteeriumide alusel klassifitseeritakse isikuandmed ühe või teise turvataseme alla. See sõltub andmete kategooriast, nende andmete subjektide arvust, mida operaator talletab ja töötleb, ning ka praeguste ohtude tüübist.
Praeguste ohtude tüübid on määratletud artiklis 1 “Isikuandmete kaitse nõuete kinnitamise kohta nende töötlemisel isikuandmete infosüsteemides”:
“I tüüpi ohud on infosüsteemi jaoks olulised, kui see sisaldab seotud praegused ohud dokumentideta (deklareerimata) võimete olemasoluga süsteemitarkvaraskasutatakse infosüsteemis.
2. tüüpi ohud on infosüsteemi jaoks olulised, kui selle jaoks, sealhulgas seotud praegused ohud dokumentideta (deklareerimata) võimete olemasoluga rakendustarkvaraskasutatakse infosüsteemis.
3. tüüpi ohud on infosüsteemi jaoks olulised, kui selle jaoks ähvardused, mis ei ole omavahel seotud dokumentideta (deklareerimata) võimete olemasoluga süsteemi- ja rakendustarkvaraskasutatakse infosüsteemis."
Nendes määratlustes on peamine asi dokumentideta (deklareerimata) võimete olemasolu. Dokumenteerimata tarkvara võimaluste puudumise kinnitamiseks (pilve puhul on see hüperviisor) viib sertifitseerimise läbi Venemaa FSTEC. Kui PD operaator nõustub, et tarkvaras selliseid võimalusi pole, siis vastavad ohud ei oma tähtsust. PD-operaatorid peavad 1. ja 2. tüüpi ohte väga harva asjakohaseks.
Lisaks PD turvalisuse taseme määramisele peab operaator välja selgitama ka konkreetsed hetkeohud avalikule pilvele ning lähtudes tuvastatud PD turvalisuse tasemest ja hetkeohtudest, määrama nende vastu vajalikud kaitsemeetmed ja vahendid.
FSTEC loetleb selgelt kõik peamised ohud (ohtude andmebaas). Pilvetaristu pakkujad ja hindajad kasutavad seda andmebaasi oma töös. Siin on näited ähvardustest:
: "Oht on võimalus rikkuda virtuaalmasinas töötavate programmide kasutajaandmete turvalisust väljaspool virtuaalmasinat töötava pahatahtliku tarkvara poolt." See oht on tingitud haavatavuste olemasolust hüperviisori tarkvaras, mis tagab, et virtuaalmasinas töötavate programmide kasutajaandmete salvestamiseks kasutatav aadressiruum on isoleeritud väljaspool virtuaalmasinat töötava pahatahtliku tarkvara volitamata juurdepääsu eest.
Selle ohu realiseerimine on võimalik tingimusel, et pahatahtliku programmi kood ületab edukalt virtuaalmasina piirid, mitte ainult hüperviisori haavatavusi ära kasutades, vaid ka sellise mõju avaldamisega madalamatelt (hüperviisori suhtes) tasemetelt. süsteem toimib."
: “Oht seisneb võimaluses pääseda volitamata ligi ühe pilveteenuse tarbija kaitstud teabele teiselt. See oht on tingitud asjaolust, et pilvetehnoloogiate olemuse tõttu peavad pilveteenuste tarbijad jagama sama pilveinfrastruktuuri. See oht saab realiseeruda, kui tehakse vigu pilvetaristu elementide eraldamisel pilveteenuse tarbijate vahel, samuti nende ressursside eraldamisel ja andmete üksteisest eraldamisel.
Nende ohtude eest saate kaitsta ainult hüperviisori abil, kuna see haldab virtuaalseid ressursse. Seega tuleb hüperviisorit käsitleda kui kaitsevahendit.
Ja vastavalt 18. veebruar 2013, peab hüperviisor olema 4. tasemel sertifitseeritud mitte-NDV-ks, vastasel juhul on 1. ja 2. taseme isikuandmete kasutamine temaga ebaseaduslik ("Punkt 12. ... Isikuandmete turvalisuse tasemete 1 ja 2, samuti isikuandmete turvalisuse taseme 3 tagamiseks infosüsteemides, mille puhul 2. tüüpi ohud on liigitatud aktuaalseteks, kasutatakse infoturbe tööriistu, mille tarkvara on testitud vähemalt 4. kontrollitaseme kohaselt deklareerimata võimaluste puudumise üle").
Ainult ühel Venemaal välja töötatud hüperviisoril on nõutav sertifitseerimise tase, NDV-4. . Pehmelt öeldes mitte kõige populaarsem lahendus. Kommertspilved on reeglina üles ehitatud VMware vSphere, KVM, Microsoft Hyper-V baasil. Ükski neist toodetest ei ole NDV-4 sertifikaadiga. Miks? Tõenäoliselt ei ole sellise sertifikaadi saamine tootjatele veel majanduslikult põhjendatud.
Ja meile jääb avalikus pilves 1. ja 2. taseme isikuandmete jaoks alles vaid Horizon BC. Kurb aga tõsi.
Kuidas kõik (meie arvates) tegelikult toimib
Esmapilgul on kõik üsna range: need ohud tuleb kõrvaldada, konfigureerides õigesti NDV-4 järgi sertifitseeritud hüperviisori standardsed kaitsemehhanismid. Kuid on üks lünk. Vastavalt FSTEC korraldusele nr 21 («punkt 2 Isikuandmete turvalisuse isikuandmete infosüsteemis (edaspidi infosüsteem ) töötlemisel tagab käitaja või käitaja nimel isikuandmeid töötlev isik vastavalt Eesti Vabariigile. Venemaa Föderatsioon"), hindavad teenuseosutajad iseseisvalt võimalike ohtude asjakohasust ja valivad vastavalt sellele kaitsemeetmed. Seega, kui te ei aktsepteeri ohte UBI.44 ja UBI.101 praegusteks, siis pole vaja kasutada NDV-4 järgi sertifitseeritud hüperviisorit, mis peaks just nende eest kaitset pakkuma. Ja sellest piisab, et saada sertifikaat avaliku pilve vastavuse kohta isikuandmete turvalisuse tasemetele 1 ja 2, millega Roskomnadzor on täiesti rahul.
Muidugi võib ülevaatusega tulla lisaks Roskomnadzorile ka FSTEC – ja see organisatsioon on tehnilistes küsimustes märksa pedantsem. Tõenäoliselt huvitab teda, miks just ähvardusi UBI.44 ja UBI.101 peeti ebaolulisteks? Kuid tavaliselt teostab FSTEC kontrolli ainult siis, kui saab teavet mõne olulise intsidendi kohta. Sel juhul jõuab föderaalteenus esmalt isikuandmete halduri - see tähendab pilveteenuste kliendi - juurde. Halvemal juhul saab operaator väikese trahvi – näiteks Twitteri eest aasta alguses sarnasel juhul ulatus 5000 rubla. Seejärel läheb FSTEC kaugemale pilveteenuse pakkuja juurde. Millest võidakse regulatiivsete nõuete täitmata jätmise tõttu litsents ilma jääda – ja need on täiesti erinevad riskid nii pilveteenuse pakkuja kui ka tema klientide jaoks. Aga kordan, FSTEC-i kontrollimiseks vajate tavaliselt selget põhjust. Seega on pilveteenuse pakkujad valmis riske võtma. Kuni esimese tõsise juhtumini.
Samuti on rühm "vastutustundlikumaid" pakkujaid, kes usuvad, et kõiki ohte on võimalik sulgeda, lisades hüperviisorile lisandmooduli nagu vGate. Kuid teatud ohtude (näiteks ülaltoodud UBI.101) jaoks klientide vahel jagatud virtuaalses keskkonnas saab tõhusat kaitsemehhanismi rakendada ainult NDV-4 kohaselt sertifitseeritud hüperviisori tasemel, kuna kõik lisasüsteemid hüperviisori standardfunktsioonid ressursside (eriti RAM) haldamiseks ei mõjuta.
Kuidas me töötame
Meil on pilvesegment, mis on rakendatud FSTECi sertifitseeritud hüperviisoril (kuid ilma NDV-4 sertifikaadita). See segment on sertifitseeritud, seega saab selle alusel pilve salvestada isikuandmeid 3 ja 4 turvalisuse taset — siin ei pea järgima deklareerimata võimete eest kaitsmise nõudeid. Siin on muide meie turvalise pilvesegmendi arhitektuur:
Isikuandmete süsteemid 1 ja 2 turvalisuse taset Rakendame ainult spetsiaalsetel seadmetel. Ainult sel juhul pole näiteks UBI.101 oht tegelikult asjakohane, kuna serveririiulid, mida üks virtuaalne keskkond ei ühenda, ei saa üksteist mõjutada ka siis, kui need asuvad samas andmekeskuses. Sellisteks puhkudeks pakume spetsiaalset varustuse renditeenust (seda nimetatakse ka riistvaraks kui teenust).
Kui te pole kindel, millist turvalisuse taset teie isikuandmete süsteemi jaoks vaja on, aitame ka selle klassifitseerimisel.
Väljund
Meie väike turu-uuring näitas, et mõned pilveoperaatorid on tellimuse saamiseks üsna valmis riskima nii kliendiandmete turvalisuse kui ka enda tulevikuga. Kuid nendes küsimustes järgime teistsugust poliitikat, mida kirjeldasime lühidalt eespool. Vastame hea meelega teie küsimustele kommentaarides.
Allikas: www.habr.com