ProHoster > وبلاگ > اداره > چگونه با GOST R 57580 و مجازی سازی کانتینر دوست شویم. پاسخ بانک مرکزی (و نظر ما در این مورد)

چگونه با GOST R 57580 و مجازی سازی کانتینر دوست شویم. پاسخ بانک مرکزی (و نظر ما در این مورد)

چندی پیش ارزیابی دیگری از انطباق با الزامات GOST R 57580 (که از این پس به سادگی GOST نامیده می شود) انجام دادیم. مشتری شرکتی است که سیستم پرداخت الکترونیکی را توسعه می دهد. سیستم جدی است: بیش از 3 میلیون کاربر، بیش از 200 هزار تراکنش روزانه. آنها امنیت اطلاعات را در آنجا بسیار جدی می گیرند.

در طی فرآیند ارزیابی، مشتری به طور اتفاقی اعلام کرد که بخش توسعه، علاوه بر ماشین های مجازی، قصد دارد از کانتینرها نیز استفاده کند. اما مشتری اضافه کرد که با این کار، یک مشکل وجود دارد: در GOST کلمه ای در مورد همان Docker وجود ندارد. باید چکار کنم؟ چگونه امنیت کانتینرها را ارزیابی کنیم؟

چگونه با GOST R 57580 و مجازی سازی کانتینر دوست شویم. پاسخ بانک مرکزی (و نظر ما در این مورد)

درست است، GOST فقط در مورد مجازی سازی سخت افزار می نویسد - در مورد نحوه محافظت از ماشین های مجازی، یک هایپروایزر و یک سرور. از بانک مرکزی توضیح خواستیم. پاسخ ما را متحیر کرد.

GOST و مجازی سازی

برای شروع، به یاد بیاوریم که GOST R 57580 استاندارد جدیدی است که "الزامات تضمین امنیت اطلاعات سازمان های مالی" (FI) را مشخص می کند. این FI ها شامل اپراتورها و مشارکت کنندگان سیستم های پرداخت، موسسات اعتباری و غیر اعتباری، مراکز عملیاتی و تسویه حساب می شود.

از 1 ژانویه 2021، FIها ملزم به انجام این کار هستند ارزیابی انطباق با الزامات GOST جدید. ما، ITGLOBAL.COM، یک شرکت حسابرسی هستیم که چنین ارزیابی هایی را انجام می دهیم.

GOST دارای یک بخش فرعی است که به حفاظت از محیط های مجازی اختصاص داده شده است - شماره 7.8. اصطلاح "مجازی سازی" در آنجا مشخص نشده است؛ هیچ تقسیم بندی به سخت افزار و مجازی سازی کانتینر وجود ندارد. هر متخصص فناوری اطلاعات خواهد گفت که از نقطه نظر فنی این نادرست است: یک ماشین مجازی (VM) و یک کانتینر محیط های متفاوتی هستند، با اصول جداسازی متفاوت. از نقطه نظر آسیب پذیری میزبانی که کانتینرهای VM و Docker روی آن مستقر هستند، این نیز یک تفاوت بزرگ است.

به نظر می رسد که ارزیابی امنیت اطلاعات ماشین های مجازی و کانتینرها نیز باید متفاوت باشد.

سوالات ما از بانک مرکزی

آنها را به اداره امنیت اطلاعات بانک مرکزی فرستادیم (سوالات را به صورت اختصاری ارائه می کنیم).

  1. چگونه ظروف مجازی نوع Docker را هنگام ارزیابی انطباق با GOST در نظر بگیریم؟ آیا ارزیابی فناوری مطابق با بخش 7.8 GOST صحیح است؟
  2. چگونه ابزارهای مدیریت کانتینر مجازی را ارزیابی کنیم؟ آیا می توان آنها را با مؤلفه های مجازی سازی سرور برابر دانست و آنها را مطابق همان زیربخش GOST ارزیابی کرد؟
  3. آیا باید امنیت اطلاعات داخل کانتینرهای Docker را جداگانه ارزیابی کنم؟ اگر چنین است، چه تدابیری باید در طول فرآیند ارزیابی در نظر گرفته شود؟
  4. اگر کانتینری‌سازی معادل زیرساخت مجازی باشد و طبق بخش 7.8 ارزیابی شود، الزامات GOST برای پیاده‌سازی ابزارهای ویژه امنیت اطلاعات چگونه اجرا می‌شود؟

پاسخ بانک مرکزی

در زیر گزیده های اصلی آورده شده است.

"GOST R 57580.1-2017 الزامات اجرا را از طریق اعمال اقدامات فنی در رابطه با اقدامات زیر ZI زیربخش 7.8 GOST R 57580.1-2017 ایجاد می کند که به نظر وزارت می تواند به موارد استفاده از مجازی سازی کانتینر تعمیم یابد. فن آوری ها با در نظر گرفتن موارد زیر:

  • اجرای اقدامات ZSV.1 - ZSV.11 برای سازماندهی شناسایی، احراز هویت، مجوز (کنترل دسترسی) هنگام اجرای دسترسی منطقی به ماشین های مجازی و اجزای سرور مجازی سازی ممکن است با موارد استفاده از فناوری مجازی سازی کانتینر متفاوت باشد. با در نظر گرفتن این موضوع، به منظور اجرای تعدادی از اقدامات (به عنوان مثال، ZVS.6 و ZVS.7)، ما معتقدیم که می توان توصیه کرد که موسسات مالی اقدامات جبرانی را توسعه دهند که همان اهداف را دنبال می کند.
  • اجرای اقدامات ZSV.13 - ZSV.22 برای سازماندهی و کنترل تعامل اطلاعاتی ماشین های مجازی، تقسیم بندی شبکه کامپیوتری یک سازمان مالی را برای تمایز بین اشیاء اطلاعات سازی که فناوری مجازی سازی را اجرا می کنند و متعلق به مدارهای امنیتی مختلف هستند، فراهم می کند. با در نظر گرفتن این موضوع، ما معتقدیم که توصیه می‌شود هنگام استفاده از فناوری مجازی‌سازی کانتینر، تقسیم‌بندی مناسب (هم در رابطه با کانتینرهای مجازی قابل اجرا و هم در رابطه با سیستم‌های مجازی‌سازی مورد استفاده در سطح سیستم عامل) ارائه شود.
  • اجرای اقدامات ZSV.26، ZSV.29 - ZSV.31 برای سازماندهی حفاظت از تصاویر ماشین های مجازی باید با قیاس نیز انجام شود تا از تصاویر اصلی و فعلی ظروف مجازی محافظت شود.
  • اجرای اقدامات ZVS.32 - ZVS.43 برای ثبت رویدادهای امنیت اطلاعات مربوط به دسترسی به ماشین‌های مجازی و اجزای مجازی‌سازی سرور باید با قیاس در رابطه با عناصر محیط مجازی‌سازی که فناوری مجازی سازی کانتینر را پیاده‌سازی می‌کنند، انجام شود.

چه مفهومی داره

دو نتیجه اصلی از پاسخ اداره امنیت اطلاعات بانک مرکزی:

  • اقدامات برای محافظت از کانتینرها با اقدامات محافظت از ماشین های مجازی تفاوتی ندارد.
  • از این نتیجه می شود که در زمینه امنیت اطلاعات، بانک مرکزی دو نوع مجازی سازی - کانتینرهای داکر و ماشین های مجازی را برابر می داند.

در این پاسخ همچنین به «اقدامات جبرانی» اشاره شده است که باید برای خنثی کردن تهدیدها اعمال شوند. فقط مشخص نیست که این "اقدامات جبرانی" چیست و چگونه می توان کفایت، کامل بودن و اثربخشی آنها را اندازه گیری کرد.

موضع بانک مرکزی چه اشکالی دارد؟

اگر در حین ارزیابی (و خودارزیابی) از توصیه های بانک مرکزی استفاده کنید، باید تعدادی از مشکلات فنی و منطقی را حل کنید.

  • هر کانتینر اجرایی نیاز به نصب نرم افزار حفاظت اطلاعات (IP) روی آن دارد: آنتی ویروس، نظارت بر یکپارچگی، کار با لاگ ها، سیستم های DLP (جلوگیری از نشت داده ها) و غیره. همه اینها را می توان بدون هیچ مشکلی روی ماشین مجازی نصب کرد، اما در مورد کانتینر، نصب امنیت اطلاعات یک حرکت پوچ است. ظرف حاوی حداقل مقدار «کیت بدنه» است که برای عملکرد سرویس مورد نیاز است. نصب SZI در آن با معنای آن در تضاد است.
  • تصاویر کانتینر باید بر اساس همان اصل محافظت شوند؛ نحوه اجرای آن نیز نامشخص است.
  • GOST نیاز به محدود کردن دسترسی به اجزای مجازی سازی سرور، به عنوان مثال، به هایپروایزر دارد. در مورد Docker چه جزء سرور در نظر گرفته می شود؟ آیا این بدان معنا نیست که هر کانتینر باید روی یک میزبان جداگانه اجرا شود؟
  • اگر برای مجازی سازی مرسوم، می توان ماشین های مجازی را با خطوط امنیتی و بخش های شبکه مشخص کرد، در مورد کانتینرهای Docker در همان میزبان، اینطور نیست.

در عمل، این احتمال وجود دارد که هر حسابرسی امنیت کانتینرها را به روش خود و بر اساس دانش و تجربه خود ارزیابی کند. خوب، یا اصلاً آن را ارزیابی نکنید، اگر نه یکی وجود دارد و نه دیگری.

در هر صورت، اضافه می کنیم که از 1 ژانویه 2021، حداقل امتیاز نباید کمتر از 0,7 باشد.

به هر حال، ما به طور مرتب پاسخ ها و نظرات تنظیم کننده های مربوط به الزامات GOST 57580 و مقررات بانک مرکزی را در ما ارسال می کنیم. کانال تلگرام.

چه کاری انجام دهید

به نظر ما سازمان های مالی تنها دو گزینه برای حل مشکل دارند.

1. از اجرای ظروف خودداری کنید

راه حلی برای کسانی که حاضرند فقط از مجازی سازی سخت افزاری استفاده کنند و در عین حال از رتبه های پایین طبق GOST و جریمه های بانک مرکزی می ترسند.

یک مثبت: رعایت الزامات زیربخش 7.8 GOST آسان تر است.

منهای: ما باید ابزارهای توسعه جدید مبتنی بر مجازی سازی کانتینر، به ویژه Docker و Kubernetes را کنار بگذاریم.

2. از رعایت الزامات بخش 7.8 GOST خودداری کنید

اما در عین حال بهترین شیوه ها را در تضمین امنیت اطلاعات هنگام کار با کانتینرها به کار بگیرید. این راه حلی برای کسانی است که به فناوری های جدید و فرصت هایی که ارائه می دهند ارزش قائل هستند. منظور ما از "بهترین شیوه ها" هنجارها و استانداردهای مورد قبول صنعت برای تضمین امنیت کانتینرهای Docker است:

  • امنیت سیستم عامل میزبان، ورود به سیستم به درستی پیکربندی شده، ممنوعیت تبادل داده بین کانتینرها و غیره؛
  • استفاده از تابع Docker Trust برای بررسی یکپارچگی تصاویر و استفاده از اسکنر آسیب پذیری داخلی؛
  • ما نباید امنیت دسترسی از راه دور و مدل شبکه را به طور کلی فراموش کنیم: حملاتی مانند ARP-spoofing و MAC-flooding لغو نشده اند.

یک مثبت: هیچ محدودیت فنی در استفاده از مجازی سازی کانتینر وجود ندارد.

منهای: احتمال زیادی وجود دارد که تنظیم کننده برای عدم رعایت الزامات GOST مجازات شود.

نتیجه

مشتری ما تصمیم گرفت کانتینرها را رها نکند. در همان زمان، او مجبور شد به طور قابل توجهی در محدوده کار و زمان انتقال به Docker تجدید نظر کند (آنها به مدت شش ماه به طول انجامید). مشتری به خوبی خطرات را درک می کند. او همچنین می داند که در ارزیابی بعدی انطباق با GOST R 57580، خیلی به حسابرس بستگی دارد.

در این شرایط تو چکار خواهی کرد؟

منبع: www.habr.com

اضافه کردن نظر