ProHoster > Blog > Administrazioa > Nola egin lagun GOST R 57580 eta edukiontzien birtualizazioa. Banku Zentralaren erantzuna (eta gai honi buruzko gure pentsamenduak)

Nola egin lagun GOST R 57580 eta edukiontzien birtualizazioa. Banku Zentralaren erantzuna (eta gai honi buruzko gure pentsamenduak)

Duela ez asko, GOST R 57580 (aurrerantzean, GOST besterik gabe) baldintzak betetzen direnaren beste ebaluazio bat egin genuen. Bezeroa ordainketa elektronikoko sistema garatzen duen enpresa da. Sistema serioa da: 3 milioi erabiltzaile baino gehiago, 200 mila transakzio baino gehiago egunero. Informazioaren segurtasuna oso serio hartzen dute bertan.

Ebaluazio prozesuan, bezeroak kasualitatez iragarri zuen garapen sailak, makina birtualez gain, edukiontziak erabiltzeko asmoa duela. Baina honekin, bezeroak gehitu zuen, arazo bat dago: GOST-en ez dago Docker berari buruz hitzik. Zer egin beharko nuke? Nola ebaluatu edukiontzien segurtasuna?

Nola egin lagun GOST R 57580 eta edukiontzien birtualizazioa. Banku Zentralaren erantzuna (eta gai honi buruzko gure pentsamenduak)

Egia da, GOSTek hardware birtualizazioari buruz bakarrik idazten du: makina birtualak, hipervisor bat eta zerbitzari bat nola babestu buruz. Banku Zentralari argitzeko eskatu genion. Erantzunak harritu gintuen.

GOST eta birtualizazioa

Hasteko, gogora dezagun GOST R 57580 "finantza erakundeen informazioaren segurtasuna bermatzeko baldintzak" (FI) zehazten dituen estandar berria dela. FI horiek ordainketa-sistemen operadoreak eta parte-hartzaileak, kreditu-erakundeak eta kreditukoak ez diren erakundeak, eragiketa- eta konpentsazio-zentroen artean daude.

1eko urtarrilaren 2021etik aurrera, FIek egin behar dute GOST berriaren eskakizunak betetzen direla ebaluatzea. Gu, ITGLOBAL.COM, horrelako ebaluazioak egiten dituen auditoretza-enpresa gara.

GOSTek ingurune birtualizatuen babesari eskainitako azpiatal bat du - 7.8. zenbakia. "Birtualizazio" terminoa ez da hor zehazten; ez dago zatiketarik hardware eta edukiontzien birtualizazioan. Edozein informatikako espezialistak esango du ikuspuntu teknikotik hori okerra dela: makina birtual bat (VM) eta edukiontzi bat ingurune desberdinak dira, isolamendu printzipio ezberdinekin. VM eta Docker edukiontziak zabaltzen diren ostalariaren ahultasunaren ikuspuntutik, hau ere alde handia da.

Ematen du VM eta edukiontzien informazioaren segurtasunaren ebaluazioak ere ezberdina izan behar duela.

Gure galderak Banku Zentralari

Banku Zentraleko Informazioaren Segurtasun Sailera bidali ditugu (galderak laburtuta aurkezten ditugu).

  1. Nola kontuan hartu Docker motako edukiontzi birtualak GOST betetzea ebaluatzean? Zuzena al da teknologia GOSTren 7.8 azpiatalearen arabera ebaluatzea?
  2. Nola ebaluatu edukiontzi birtualak kudeatzeko tresnak? Posible al da zerbitzariaren birtualizazio osagaiekin parekatzea eta GOSTren azpiatal beraren arabera ebaluatzea?
  3. Docker edukiontzien barruan dagoen informazioaren segurtasuna bereizita ebaluatu behar al dut? Hala bada, zer berme hartu behar dira kontuan ebaluazio-prozesuan?
  4. Kontainerizazioa azpiegitura birtualarekin parekatzen bada eta 7.8 azpiatalearen arabera ebaluatzen bada, nola ezartzen dira GOST eskakizunak informazio-segurtasun tresna bereziak ezartzeko?

Banku Zentralaren erantzuna

Jarraian, pasarte nagusiak.

β€œGOST R 57580.1-2017 GOST R 7.8-57580.1ko 2017 azpiataleko hurrengo neurriei dagokienez neurri teknikoak aplikatuz ezartzeko baldintzak ezartzen ditu, Sailaren iritziz, edukiontzien birtualizazioa erabiltzeko kasuetara heda daiteke. teknologiak, honako hauek kontuan hartuta:

  • identifikazioa, autentifikazioa, baimena (sarbide-kontrola) antolatzeko ZSV.1 - ZSV.11 neurriak ezartzea makina birtualetarako sarbide logikoa eta birtualizazio zerbitzariaren osagaiak ezartzean edukiontzien birtualizazio teknologiaren kasuetatik desberdina izan daiteke. Hori kontuan hartuta, hainbat neurri ezartzeko (ZVS.6 eta ZVS.7 adibidez), uste dugu posible dela gomendatzea finantza-erakundeek helburu berberak lortuko dituzten konpentsazio-neurriak garatzea;
  • ZSV.13 - ZSV.22 neurrien ezarpenak makina birtualen informazio-interakzioa antolatzeko eta kontrolatzeko, finantza-erakunde baten ordenagailu-sarearen segmentazioa aurreikusten du, birtualizazio-teknologia ezartzen duten eta segurtasun-zirkuitu desberdinetakoak diren informatizatze-objektuak bereizteko. Hori kontuan hartuta, komenigarria dela uste dugu edukiontzien birtualizazio-teknologia erabiltzean segmentazio egokia ematea (bai edukiontzi birtual exekutagarriei dagokienez, bai sistema eragilearen mailan erabiltzen diren birtualizazio sistemei dagokienez);
  • Makina birtualen irudien babesa antolatzeko ZSV.26, ZSV.29 - ZSV.31 neurrien ezarpena analogia bidez egin behar da, baita ere edukiontzi birtualen oinarrizko eta egungo irudiak babesteko;
  • ZVS.32 - ZVS.43 neurriak ezartzea makina birtualetara eta zerbitzariaren birtualizazio osagaietarako sarbidearekin lotutako informazioaren segurtasun-gertaerak erregistratzeko analogia bidez egin behar da edukiontzien birtualizazio teknologia ezartzen duten birtualizazio inguruneko elementuekin ere.

Zer esan nahi du

Banku Zentraleko Informazioaren Segurtasun Sailaren erantzunetik bi ondorio nagusi:

  • edukiontziak babesteko neurriak ez dira desberdinak makina birtualak babesteko neurriekin;
  • Hortik ondorioztatzen da, informazioaren segurtasunaren testuinguruan, Banku Zentralak bi birtualizazio mota berdintzen dituela: Docker edukiontziak eta VM-ak.

Erantzunak mehatxuak neutralizatzeko aplikatu beharreko Β«konpentsazio neurriakΒ» ere aipatzen ditu. Ez dago argi "konpentsazio-neurri" horiek zein diren eta nola neurtu haien egokitasuna, osotasuna eta eraginkortasuna.

Zer gertatzen da Banku Zentralaren jarrerarekin?

Ebaluazioan (eta autoebaluazioan) Banku Zentralaren gomendioak erabiltzen badituzu, hainbat zailtasun tekniko eta logiko konpondu behar dituzu.

  • Edukiontzi exekutagarri bakoitzak informazioa babesteko softwarea (IP) instalatzea eskatzen du bertan: birusen aurkakoa, osotasunaren jarraipena, erregistroekin lan egitea, DLP sistemak (Data Leak Prevention) eta abar. Hori guztia VM batean arazorik gabe instala daiteke, baina edukiontzi baten kasuan, informazioaren segurtasuna instalatzea mugimendu zentzugabea da. Edukiontzi horrek zerbitzuak funtziona dezan behar den "gorputz-kit" kopuru minimoa dauka. Bertan SZI bat instalatzeak bere esanahia kontraesanean du.
  • Edukiontzien irudiak printzipio beraren arabera babestu behar dira; hori nola inplementatu ere ez dago argi.
  • GOSTek zerbitzariaren birtualizazio osagaietarako sarbidea mugatu behar du, hau da, hipervisorera. Zer kontsideratzen da zerbitzariaren osagaitzat Dockerren kasuan? Horrek ez al du esan nahi edukiontzi bakoitza ostalari ezberdin batean exekutatu behar dela?
  • Ohiko birtualizaziorako VM-ak segurtasun-ingerada eta sare-segmentuen arabera mugatzea posible bada, ostalari bereko Docker edukiontzien kasuan, ez da horrela.

Praktikan, litekeena da auditore bakoitzak ontzien segurtasuna bere erara ebaluatzea, bere ezagutza eta esperientziaren arabera. Tira, edo ez baloratu batere, ez badago ez bata ez bestea.

Badaezpada, gehituko dugu 1eko urtarrilaren 2021etik aurrera gutxieneko puntuazioa ez dela 0,7 baino txikiagoa izan behar.

Bide batez, aldian-aldian GOST 57580 eta Banku Zentraleko Araudiaren eskakizunekin lotutako erregulatzaileen erantzunak eta iruzkinak argitaratzen ditugu gurean. Telegram kanala.

Zer egin

Gure ustez, finantza erakundeek bi aukera baino ez dituzte arazoa konpontzeko.

1. Saihestu edukiontziak ezartzea

Hardwarearen birtualizazioa soilik erabiltzeko prest daudenentzat irtenbidea eta, aldi berean, GOSTren eta Banku Zentralaren isunen arabera balorazio baxuen beldur direnentzat.

Plus bat: errazagoa da GOSTren 7.8 azpiataleko baldintzak betetzea.

Minus: Edukiontzien birtualizazioan oinarritutako garapen tresna berriak alde batera utzi beharko ditugu, Docker eta Kubernetes bereziki.

2. Uko egin GOSTren 7.8 azpiataleko baldintzak betetzeari

Baina, aldi berean, edukiontziekin lan egitean informazioaren segurtasuna bermatzeko jardunbide onenak aplikatzea. Teknologia berriak eta eskaintzen dituzten aukerak baloratzen dituztenentzat irtenbidea da. "Praktika onenak" esan nahi dugu industriak onartutako arau eta estandarrak Docker-eko edukiontzien segurtasuna bermatzeko:

  • OS ostalariaren segurtasuna, behar bezala konfiguratutako erregistroa, edukiontzien arteko datu-trukearen debekua eta abar;
  • Docker Trust funtzioa erabiliz irudien osotasuna egiaztatzeko eta integratutako ahultasun eskanerra erabiliz;
  • Ez dugu ahaztu behar urruneko sarbidearen segurtasuna eta sare-eredua oro har: ARP-spoofing eta MAC-flooding bezalako erasoak ez dira bertan behera utzi.

Plus bat: edukiontzien birtualizazioa erabiltzeko muga teknikorik ez.

Minus: probabilitate handia dago arautzaileak GOST eskakizunak ez betetzeagatik zigortzeko.

Ondorioa

Gure bezeroak edukiontziak ez uztea erabaki zuen. Aldi berean, lan-esparrua eta Dockerrerako trantsizioaren garaia (sei hilabete iraun zuten) nabarmen birplanteatu behar izan zituen. Bezeroak oso ondo ulertzen ditu arriskuak. GOST R 57580 betetzearen hurrengo ebaluazioan auditorearen araberakoa izango dela ere ulertzen du.

Zer egingo zenuke egoera honetan?

Iturria: www.habr.com

Gehitu iruzkin berria