Eräänä päivänä saimme pyynnön pilvipalveluista. Selvitimme yleisesti, mitä meiltä vaaditaan, ja lähetimme takaisin kysymysluettelon yksityiskohtien selventämiseksi. Sitten analysoimme vastauksia ja tajusimme: asiakas haluaa sijoittaa pilveen toisen turvallisuustason henkilötietoja. Vastaamme hänelle: "Sinulla on toinen taso henkilötietoja, valitettavasti voimme luoda vain yksityisen pilven." Ja hän: "Tiedätkö, mutta yrityksessä X he voivat lähettää minulle kaiken julkisesti."
Kuva: Steve Crisp, Reuters
Oudot asiat! Kävimme yrityksen X nettisivuilla, tutkimme heidän sertifiointiasiakirjojaan, pudistelimme päätämme ja tajusimme: henkilötietojen sijoittamisessa on paljon avoimia kysymyksiä ja niihin pitäisi puuttua perusteellisesti. Näin teemme tässä postauksessa.
Miten kaiken pitäisi toimia
Ensin selvitetään, millä kriteereillä henkilötiedot luokitellaan jollekin turvallisuustasolle. Tämä riippuu tietoluokasta, näiden tietojen kohteiden lukumäärästä, jonka operaattori tallentaa ja käsittelee, sekä nykyisten uhkien tyypistä.
Nykyisten uhkien tyypit on määritelty kohdassa päivätty 1 "Henkilötietojen suojaa koskevien vaatimusten hyväksymisestä niiden käsittelyn aikana henkilötietojärjestelmissä":
"Tyypin 1 uhat ovat tärkeitä tietojärjestelmälle, jos se sisältää liittyvät nykyiset uhat joissa on dokumentoimattomia (ilmoittamattomia) ominaisuuksia järjestelmäohjelmistossakäytetään tietojärjestelmässä.
Toisen tyyppiset uhat ovat tietojärjestelmän kannalta merkityksellisiä, jos se koskee sitä, mukaan lukien liittyvät nykyiset uhat joissa on dokumentoimattomia (ilmoittamattomia) ominaisuuksia sovellusohjelmistoissakäytetään tietojärjestelmässä.
Kolmannen tyypin uhat ovat tärkeitä tietojärjestelmälle, jos se on sitä varten uhkia, jotka eivät liity toisiinsa joissa on dokumentoimattomia (ilmoittamattomia) ominaisuuksia järjestelmä- ja sovellusohjelmistoissakäytetään tietojärjestelmässä."
Pääasia näissä määritelmissä on dokumentoimattomien (ilmoittamattomien) ominaisuuksien olemassaolo. Dokumentoimattomien ohjelmistoominaisuuksien puuttumisen varmistamiseksi (pilven tapauksessa tämä on hypervisor) sertifioinnin suorittaa Venäjän FSTEC. Jos PD-operaattori hyväksyy, että ohjelmistossa ei ole tällaisia ominaisuuksia, vastaavat uhat ovat merkityksettömiä. PD-operaattorit pitävät tyyppien 1 ja 2 uhkia erittäin harvoin merkityksellisinä.
PD-suojaustason määrittämisen lisäksi operaattorin on määritettävä myös tietyt ajankohtaiset julkisen pilven uhat ja määritettävä tunnistetun PD-tietoturvatason ja tämänhetkisten uhkien perusteella tarvittavat toimenpiteet ja suojakeinot niitä vastaan.
FSTEC luettelee selkeästi kaikki tärkeimmät uhat (uhkatietokanta). Pilviinfrastruktuurin tarjoajat ja arvioijat käyttävät tätä tietokantaa työssään. Tässä on esimerkkejä uhkailuista:
: "Uhka on mahdollisuus loukata virtuaalikoneen sisällä toimivien ohjelmien käyttäjätietojen turvallisuutta virtuaalikoneen ulkopuolella toimivilla haittaohjelmilla." Tämä uhka johtuu hypervisor-ohjelmiston haavoittuvuuksista, mikä varmistaa, että virtuaalikoneen sisällä toimivien ohjelmien käyttäjätietojen tallentamiseen käytetty osoiteavaruus on eristetty virtuaalikoneen ulkopuolella toimivien haittaohjelmien luvattomalta käytöltä.
Tämän uhan toteuttaminen on mahdollista edellyttäen, että haittaohjelmakoodi ylittää onnistuneesti virtuaalikoneen rajat, ei vain hyödyntämällä hypervisorin haavoittuvuuksia, vaan myös suorittamalla tällaisen vaikutuksen alemmalta (suhteessa hypervisoriin) järjestelmä toimii."
: "Uhka on mahdollisuus päästä luvatta toisen pilvipalvelun kuluttajan suojattuun tietoon. Tämä uhka johtuu siitä, että pilviteknologioiden luonteesta johtuen pilvipalvelujen kuluttajien on jaettava sama pilviinfrastruktuuri. Tämä uhka voi toteutua, jos virheitä tehdään erotettaessa pilviinfrastruktuurin elementtejä pilvipalvelun kuluttajien välillä sekä eristäessä heidän resurssejaan ja erotettaessa dataa toisistaan."
Näiltä uhilta voi suojautua vain hypervisorin avulla, koska se hallitsee virtuaalisia resursseja. Siksi hypervisoria on pidettävä suojakeinona.
Ja sen mukaisesti 18 päivätty hypervisor on sertifioitu ei-NDV tasolle 2013, muuten tason 4 ja 1 henkilötietojen käyttö sen kanssa on laitonta ("Kohta 12. ... Henkilötietoturvatasojen 1 ja 2 sekä henkilötietoturvatason 3 varmistamiseksi tietojärjestelmissä, joiden tyypin 2 uhat on luokiteltu ajankohtaisiksi, käytetään tietoturvatyökaluja, joiden ohjelmistot on testattu vähintään 4-tason valvontatason mukaan ilmoittamattomien ominaisuuksien puuttuessa").
Vain yhdellä Venäjällä kehitetyllä hypervisorilla on vaadittu sertifiointitaso, NDV-4. . Lievästi sanottuna ei suosituin ratkaisu. Kaupalliset pilvet rakennetaan pääsääntöisesti VMware vSpheren, KVM:n, Microsoft Hyper-V:n pohjalta. Mikään näistä tuotteista ei ole NDV-4-sertifioitu. Miksi? On todennäköistä, että tällaisen sertifikaatin saaminen valmistajille ei ole vielä taloudellisesti perusteltua.
Ja meille jää vain Horizon BC:n tason 1 ja 2 henkilötiedot julkisessa pilvessä. Surullista mutta totta.
Kuinka kaikki (meidän mielestämme) todella toimii
Ensi silmäyksellä kaikki on melko tiukkaa: nämä uhat on eliminoitava määrittämällä oikein NDV-4:n mukaan sertifioidun hypervisorin vakiosuojausmekanismit. Mutta on yksi porsaanreikä. FSTEC:n määräyksen nro 21 (”2 kohta Henkilötietojen turvallisuuden henkilötietojärjestelmässä (jäljempänä tietojärjestelmä) käsiteltäessä huolehtii toiminnanharjoittaja tai toiminnanharjoittajan puolesta henkilötietoja käsittelevä henkilö tietosuojalain mukaisesti. Venäjän federaatio"), palveluntarjoajat arvioivat itsenäisesti mahdollisten uhkien merkityksellisyyden ja valitsevat suojatoimenpiteet sen mukaisesti. Siksi, jos et hyväksy UBI.44- ja UBI.101-uhkia ajankohtaisina, sinun ei tarvitse käyttää NDV-4:n mukaan sertifioitua hypervisoria, joka on juuri se, mikä suojaa niitä vastaan. Ja tämä riittää todistuksen saamiseksi julkisen pilven henkilötietojen suojaustasojen 1 ja 2 mukaisuudesta, johon Roskomnadzor on täysin tyytyväinen.
Tietysti Roskomnadzorin lisäksi FSTEC voi tulla tarkastuksen kanssa - ja tämä organisaatio on paljon tarkempi teknisissä asioissa. Hän on luultavasti kiinnostunut siitä, miksi juuri uhkauksia UBI.44 ja UBI.101 pidettiin merkityksettöminä? Mutta yleensä FSTEC suorittaa tarkastuksen vasta saatuaan tietoa jostain merkittävästä tapahtumasta. Tässä tapauksessa liittovaltion palvelu tulee ensin henkilötietojen operaattorille - eli pilvipalvelujen asiakkaalle. Pahimmassa tapauksessa operaattori saa pienen sakon - esimerkiksi Twitteristä vuoden alussa vastaavassa tapauksessa oli 5000 ruplaa. Sitten FSTEC siirtyy edelleen pilvipalveluntarjoajaan. Jolta voidaan hyvinkin evätä lisenssi lakisääteisten vaatimusten noudattamatta jättämisen vuoksi - ja nämä ovat täysin erilaisia riskejä sekä pilvipalveluntarjoajalle että sen asiakkaille. Mutta toistan, FSTEC:n tarkistamiseen tarvitaan yleensä selkeä syy. Pilvipalveluntarjoajat ovat siis valmiita ottamaan riskejä. Ensimmäiseen vakavaan tapaukseen asti.
On myös joukko "vastuullisempia" palveluntarjoajia, jotka uskovat, että kaikki uhat on mahdollista sulkea lisäämällä hypervisoriin lisäosa, kuten vGate. Mutta virtuaaliympäristössä, joka on jaettu asiakkaiden kesken tiettyjä uhkia varten (esimerkiksi yllä oleva UBI.101), tehokas suojamekanismi voidaan toteuttaa vain NDV-4:n mukaan sertifioidun hypervisorin tasolla, koska kaikki lisäjärjestelmät hypervisorin vakiotoiminnot resurssien (erityisesti RAM) hallintaan eivät vaikuta.
Miten toimimme
Meillä on pilvisegmentti, joka on toteutettu FSTEC:n sertifioimassa hypervisorissa (mutta ilman NDV-4-sertifikaattia). Tämä segmentti on sertifioitu, joten sen perusteella voidaan tallentaa henkilötietoja pilveen 3 ja 4 turvatasoa — Ilmoittamattomilta ominaisuuksilta suojausta koskevia vaatimuksia ei tarvitse noudattaa tässä. Tässä on muuten suojatun pilvisegmenttimme arkkitehtuuri:
Henkilötietojen järjestelmät 1 ja 2 turvatasoa Toteutamme vain erityisillä laitteilla. Vain tässä tapauksessa esimerkiksi UBI.101:n uhka ei todellakaan ole relevantti, koska palvelintelineet, joita ei yhdistä yksi virtuaaliympäristö, eivät voi vaikuttaa toisiinsa edes samassa konesalissa. Tällaisia tapauksia varten tarjoamme erillisen laitevuokrauspalvelun (se tunnetaan myös nimellä Laitteisto palveluna).
Jos et ole varma, millaista suojaustasoa henkilötietojärjestelmältäsi vaaditaan, autamme myös sen luokittelussa.
johtopäätös
Pieni markkinatutkimuksemme osoitti, että jotkut pilvioperaattorit ovat melko valmiita riskeeraamaan sekä asiakastietojen turvallisuuden että oman tulevaisuutensa saadakseen tilauksen. Mutta näissä asioissa noudatamme erilaista politiikkaa, jota kuvailimme lyhyesti juuri edellä. Vastaamme mielellämme kysymyksiisi kommenteissa.
Lähde: will.com