Mitte kaua aega tagasi viisime läbi veel ühe GOST R 57580 (edaspidi lihtsalt GOST) nõuetele vastavuse hindamise. Klient on ettevõte, mis arendab elektroonilist maksesüsteemi. Süsteem on tõsine: rohkem kui 3 miljonit kasutajat, üle 200 tuhande tehingu päevas. Nad võtavad seal infoturvet väga tõsiselt.
Hindamisprotsessi käigus teatas klient juhuslikult, et arendusosakond plaanib lisaks virtuaalmasinatele kasutada konteinereid. Kuid sellega, lisas klient, on üks probleem: GOST-is pole sama Dockeri kohta sõnagi. Mida ma peaksin tegema? Kuidas hinnata konteinerite turvalisust?
On tõsi, GOST kirjutab ainult riistvara virtualiseerimisest - sellest, kuidas kaitsta virtuaalseid masinaid, hüperviisorit ja serverit. Küsisime selgitust keskpangalt. Vastus hämmastas meid.
GOST ja virtualiseerimine
Alustuseks tuletagem meelde, et GOST R 57580 on uus standard, mis määrab kindlaks “finantsorganisatsioonide infoturbe tagamise nõuded” (FI). Nende finantsvahendajate hulka kuuluvad maksesüsteemide operaatorid ja osalejad, krediidi- ja mittekrediidiorganisatsioonid, tegevus- ja arvelduskeskused.
Alates 1. jaanuarist 2021 on FI-d kohustatud läbi viima . Meie, ITGLOBAL.COM, oleme selliseid hindamisi läbi viiv audiitorfirma.
GOST-is on virtualiseeritud keskkondade kaitsele pühendatud alajaotis - nr 7.8. Terminit "virtualiseerimine" seal ei täpsustata, riistvaraks ja konteineri virtualiseerimiseks pole jaotust. Iga IT-spetsialist ütleb, et tehnilisest seisukohast on see vale: virtuaalne masin (VM) ja konteiner on erinevad keskkonnad, millel on erinevad isoleerimispõhimõtted. VM-i ja Dockeri konteinereid juurutava hosti haavatavuse seisukohalt on see samuti suur erinevus.
Selgub, et ka VM-ide ja konteinerite infoturbe hinnang peaks olema erinev.
Meie küsimused keskpangale
Saatsime need keskpanga infoturbe osakonnale (küsimused esitame lühendatult).
- Kuidas arvestada GOST-i vastavuse hindamisel Docker-tüüpi virtuaalkonteinereid? Kas on õige hinnata tehnoloogiat vastavalt GOST-i punktile 7.8?
- Kuidas hinnata virtuaalse konteineri haldustööriistu? Kas neid on võimalik võrdsustada serveri virtualiseerimiskomponentidega ja hinnata sama GOST-i alajaotuse järgi?
- Kas ma pean Dockeri konteinerites oleva teabe turvalisust eraldi hindama? Kui jah, siis milliseid kaitsemeetmeid tuleks hindamisprotsessi käigus arvesse võtta?
- Kui konteineriseerimine võrdsustatakse virtuaalse taristuga ja seda hinnatakse vastavalt alajaotusele 7.8, siis kuidas rakendatakse GOST-i nõudeid infoturbe erivahendite rakendamiseks?
Keskpanga vastus
Allpool on toodud peamised väljavõtted.
„GOST R 57580.1-2017 kehtestab nõuded rakendamiseks tehniliste meetmete rakendamise kaudu seoses järgmiste meetmetega GOST R 7.8-57580.1 ZI alajaotis 2017, mida osakonna hinnangul saab laiendada konteinerite virtualiseerimise kasutamise juhtudele. tehnoloogiaid, võttes arvesse järgmist:
- identifitseerimise, autentimise, autoriseerimise (juurdepääsu kontrolli) korraldamise meetmete ZSV.1 - ZSV.11 rakendamine virtuaalsetele masinatele ja virtualiseerimisserveri komponentidele loogilise juurdepääsu rakendamisel võib erineda konteinerite virtualiseerimistehnoloogia kasutamise juhtumitest. Seda arvesse võttes on paljude meetmete (näiteks ZVS.6 ja ZVS.7) rakendamiseks võimalik soovitada finantsasutustel töötada välja kompenseerivad meetmed, millel on samad eesmärgid;
- meetmete rakendamine ZSV.13 - ZSV.22 virtuaalmasinate infointeraktsiooni korraldamiseks ja juhtimiseks näeb ette finantsorganisatsiooni arvutivõrgu segmenteerimise, et eristada virtualiseerimistehnoloogiat rakendavaid ja erinevatesse turvaahelatesse kuuluvaid informatiseerimisobjekte. Seda arvesse võttes usume, et konteinerite virtualiseerimistehnoloogia kasutamisel on soovitatav ette näha asjakohane segmenteerimine (nii seoses käivitatavate virtuaalkonteinerite kui ka operatsioonisüsteemi tasemel kasutatavate virtualiseerimissüsteemidega);
- meetmete ZSV.26, ZSV.29 - ZSV.31 rakendamine virtuaalmasinate kujutiste kaitse korraldamiseks tuleks läbi viia analoogia põhjal ka virtuaalkonteinerite põhi- ja jooksvate kujutiste kaitsmiseks;
- meetmete ZVS.32 - ZVS.43 rakendamine virtuaalmasinatele ja serverite virtualiseerimiskomponentidele juurdepääsuga seotud infoturbesündmuste salvestamiseks tuleks analoogia põhjal läbi viia ka konteinerite virtualiseerimistehnoloogiat rakendavate virtualiseerimiskeskkonna elementide osas.
Mida see tähendab
Kaks peamist järeldust keskpanga infoturbe osakonna vastusest:
- konteinerite kaitsemeetmed ei erine virtuaalsete masinate kaitsemeetmetest;
- Sellest järeldub, et infoturbe kontekstis võrdsustab keskpank kahte tüüpi virtualiseerimist – Dockeri konteinerid ja VM-id.
Vastuses mainitakse ka "kompensatsioonimeetmeid", mida tuleb ohtude neutraliseerimiseks rakendada. Jääb lihtsalt ebaselgeks, mis need "kompensatsioonimeetmed" on ja kuidas mõõta nende piisavust, täielikkust ja tõhusust.
Mis on keskpanga positsioonil valesti?
Kui kasutate hindamisel (ja enesehindamisel) keskpanga soovitusi, peate lahendama mitmeid tehnilisi ja loogilisi probleeme.
- Iga käivitatav konteiner nõuab sellele teabekaitsetarkvara (IP) installimist: viirusetõrje, terviklikkuse jälgimine, logidega töötamine, DLP-süsteemid (Data Leak Prevention) ja nii edasi. Seda kõike saab probleemideta VM-ile installida, kuid konteineri puhul on infoturbe paigaldamine absurdne samm. Konteiner sisaldab minimaalset kogust “kerekomplekti”, mis on teenuse toimimiseks vajalik. SZI installimine sellesse on vastuolus selle tähendusega.
- Sama põhimõtte kohaselt tuleks kaitsta ka konteineripilte, samuti on ebaselge, kuidas seda rakendada.
- GOST nõuab juurdepääsu piiramist serveri virtualiseerimiskomponentidele, st hüperviisorile. Mida peetakse Dockeri puhul serverikomponendiks? Kas see ei tähenda, et iga konteinerit tuleb käitada eraldi hostis?
- Kui tavapärase virtualiseerimise puhul on võimalik VM-e piiritleda turvakontuuride ja võrgusegmentidega, siis samas hostis olevate Dockeri konteinerite puhul see nii ei ole.
Praktikas on tõenäoline, et iga audiitor hindab konteinerite turvalisust omal moel, tuginedes oma teadmistele ja kogemustele. No või ära hinda seda üldse, kui pole ei üht ega teist.
Igaks juhuks lisame, et alates 1. jaanuarist 2021 ei tohi miinimumskoor olla madalam kui 0,7.
Muide, postitame regulaarselt reguleerivate asutuste vastuseid ja kommentaare, mis on seotud GOST 57580 nõuete ja keskpanga eeskirjadega. .
Mida teha
Meie arvates on finantsorganisatsioonidel probleemi lahendamiseks vaid kaks võimalust.
1. Vältige konteinerite rakendamist
Lahendus neile, kes on valmis kasutama ainult riistvara virtualiseerimist ja kardavad samal ajal madalaid reitinguid GOST-i järgi ja keskpanga trahve.
Pluss: GOST-i punkti 7.8 nõuete täitmine on lihtsam.
Miinus: Peame loobuma uutest konteinerite virtualiseerimisel põhinevatest arendustööriistadest, eriti Dockerist ja Kubernetesest.
2. Keelduda GOST-i punkti 7.8 nõuete täitmisest
Kuid samal ajal rakendage konteineritega töötamisel infoturbe tagamisel parimaid tavasid. See on lahendus neile, kes hindavad uusi tehnoloogiaid ja nende pakutavaid võimalusi. "Parimate tavade" all peame silmas Dockeri konteinerite turvalisuse tagamise valdkonnas aktsepteeritud norme ja standardeid:
- host OS-i turvalisus, õigesti konfigureeritud logimine, andmevahetuse keeld konteinerite vahel jne;
- funktsiooni Docker Trust kasutamine piltide terviklikkuse kontrollimiseks ja sisseehitatud haavatavuse skanneri kasutamine;
- Unustada ei tohi kaugjuurdepääsu turvalisust ja võrgumudelit tervikuna: selliseid rünnakuid nagu ARP-spoofing ja MAC-üleujutus pole tühistatud.
Pluss: konteinerite virtualiseerimise kasutamisel puuduvad tehnilised piirangud.
Miinus: on suur tõenäosus, et regulaator karistab GOST-i nõuete mittejärgimise eest.
Järeldus
Meie klient otsustas konteineritest mitte loobuda. Samal ajal pidi ta oluliselt ümber mõtlema töö ulatuse ja Dockerile ülemineku aja (need kestsid kuus kuud). Klient mõistab riske väga hästi. Samuti mõistab ta, et järgmisel GOST R 57580 järgimise hindamisel sõltub palju audiitorist.
Mida teie teeksite selles olukorras?
Allikas: www.habr.com