Un jour, nous avons reçu une demande de services cloud. Nous avons décrit en termes généraux ce qui serait attendu de nous et renvoyé une liste de questions pour clarifier les détails. Ensuite, nous avons analysé les réponses et réalisé : le client souhaite placer des données personnelles du deuxième niveau de sécurité dans le cloud. On lui répond : "Vous disposez d'un deuxième niveau de données personnelles, désolé, on ne peut créer qu'un cloud privé." Et lui : « Vous savez, mais dans l’entreprise X, ils peuvent tout me publier publiquement. »
Photo de Steve Crisp, Reuters
Des choses étranges! Nous sommes allés sur le site Internet de l'entreprise X, avons étudié leurs documents de certification, secoué la tête et réalisé : il y a beaucoup de questions ouvertes concernant le placement des données personnelles et elles doivent être traitées en profondeur. C'est ce que nous ferons dans cet article.
Comment tout devrait fonctionner
Voyons d’abord quels critères sont utilisés pour classer les données personnelles selon l’un ou l’autre niveau de sécurité. Cela dépend de la catégorie de données, du nombre de sujets de ces données que l'opérateur stocke et traite, ainsi que du type de menaces actuelles.
Les types de menaces actuelles sont définis dans du 1er novembre 2012 « Sur l'approbation des exigences relatives à la protection des données personnelles lors de leur traitement dans les systèmes d'information sur les données personnelles » :
« Les menaces de type 1 sont pertinentes pour un système d’information si celui-ci menaces actuelles liées à avec la présence de capacités non documentées (non déclarées) dans le logiciel systèmeutilisé dans le système d’information.
Les menaces du 2ème type sont pertinentes pour un système d'information si pour lui, notamment menaces actuelles liées à avec la présence de capacités non documentées (non déclarées) dans le logiciel d'applicationutilisé dans le système d’information.
Les menaces du 3ème type sont pertinentes pour un système d'information si pour lui menaces qui ne sont pas liées avec la présence de capacités non documentées (non déclarées) dans les logiciels système et d'applicationutilisé dans le système d'information.
L'essentiel de ces définitions est la présence de capacités non documentées (non déclarées). Pour confirmer l'absence de capacités logicielles non documentées (dans le cas du cloud, il s'agit d'un hyperviseur), la certification est réalisée par le FSTEC de Russie. Si l’opérateur PD admet que de telles fonctionnalités n’existent pas dans le logiciel, alors les menaces correspondantes ne sont pas pertinentes. Les menaces de types 1 et 2 sont extrêmement rarement considérées comme pertinentes par les opérateurs de PD.
En plus de déterminer le niveau de sécurité PD, l'opérateur doit également déterminer les menaces actuelles spécifiques contre le cloud public et, sur la base du niveau de sécurité PD identifié et des menaces actuelles, déterminer les mesures et moyens de protection nécessaires contre elles.
FSTEC répertorie clairement toutes les principales menaces dans (base de données des menaces). Les fournisseurs d’infrastructures cloud et les évaluateurs utilisent cette base de données dans leur travail. Voici des exemples de menaces :
: "La menace est la possibilité de violer la sécurité des données utilisateur des programmes fonctionnant à l'intérieur d'une machine virtuelle par des logiciels malveillants fonctionnant en dehors de la machine virtuelle." Cette menace est due à la présence de vulnérabilités dans le logiciel hyperviseur, qui garantit que l'espace d'adressage utilisé pour stocker les données utilisateur des programmes fonctionnant à l'intérieur de la machine virtuelle est isolé des accès non autorisés par des logiciels malveillants opérant en dehors de la machine virtuelle.
La mise en œuvre de cette menace est possible à condition que le code du programme malveillant franchisse avec succès les limites de la machine virtuelle, non seulement en exploitant les vulnérabilités de l'hyperviseur, mais également en exerçant un tel impact à partir de niveaux de sécurité inférieurs (par rapport à l'hyperviseur). fonctionnement du système."
: «La menace réside dans la possibilité d'un accès non autorisé aux informations protégées d'un consommateur de services cloud par un autre. Cette menace est due au fait que, en raison de la nature des technologies cloud, les consommateurs de services cloud doivent partager la même infrastructure cloud. Cette menace peut se concrétiser si des erreurs sont commises lors de la séparation des éléments de l’infrastructure cloud entre les consommateurs de services cloud, ainsi que lors de l’isolement de leurs ressources et de la séparation des données les unes des autres.
Vous ne pouvez vous protéger contre ces menaces qu’à l’aide d’un hyperviseur, puisque c’est celui qui gère les ressources virtuelles. Ainsi, l’hyperviseur doit être considéré comme un moyen de protection.
Et conformément à en date du 18 février 2013, l'hyperviseur doit être certifié non-NDV de niveau 4, sans quoi l'utilisation de données personnelles de niveau 1 et 2 avec lui sera illégale («Article 12. ... Pour assurer les niveaux 1 et 2 de sécurité des données personnelles, ainsi que pour assurer le niveau 3 de sécurité des données personnelles dans les systèmes d'information pour lesquels les menaces de type 2 sont classées comme actuelles, des outils de sécurité de l'information sont utilisés, dont le logiciel a été testé au moins selon le niveau 4 de contrôle sur l'absence de capacités non déclarées").
Un seul hyperviseur, développé en Russie, possède le niveau de certification requis, NDV-4. . Pour le moins, ce n’est pas la solution la plus populaire. En règle générale, les cloud commerciaux sont construits sur la base de VMware vSphere, KVM, Microsoft Hyper-V. Aucun de ces produits n'est certifié NDV-4. Pourquoi? Il est probable que l’obtention d’une telle certification pour les fabricants ne soit pas encore économiquement justifiée.
Et tout ce qui nous reste pour les données personnelles de niveau 1 et 2 dans le cloud public, c'est Horizon BC. Triste mais vrai.
Comment tout (à notre avis) fonctionne réellement
À première vue, tout est assez strict : ces menaces doivent être éliminées en configurant correctement les mécanismes de protection standards d'un hyperviseur certifié selon NDV-4. Mais il y a une faille. Conformément à l'ordonnance FSTEC n° 21 ("clause 2 La sécurité des données personnelles lors du traitement dans le système d'information sur les données personnelles (ci-après dénommé le système d'information) est assurée par l'opérateur ou la personne traitant les données personnelles pour le compte de l'opérateur conformément à Fédération Russe"), les prestataires évaluent de manière indépendante la pertinence des menaces possibles et choisissent les mesures de protection en conséquence. Par conséquent, si vous n'acceptez pas les menaces UBI.44 et UBI.101 comme actuelles, il ne sera alors pas nécessaire d'utiliser un hyperviseur certifié selon NDV-4, qui est précisément ce qui devrait assurer une protection contre elles. Et cela suffira pour obtenir un certificat de conformité du cloud public aux niveaux 1 et 2 de sécurité des données personnelles, dont Roskomnadzor sera entièrement satisfait.
Bien entendu, en plus de Roskomnadzor, le FSTEC peut proposer une inspection - et cette organisation est beaucoup plus méticuleuse sur les questions techniques. Elle se demandera probablement pourquoi les menaces UBI.44 et UBI.101 ont été considérées comme non pertinentes ? Mais généralement, le FSTEC entreprend une inspection uniquement lorsqu'il reçoit des informations sur un incident important. Dans ce cas, le service fédéral s'adresse en premier lieu à l'opérateur de données personnelles, c'est-à-dire au client des services cloud. Dans le pire des cas, l'opérateur reçoit une petite amende - par exemple pour Twitter en début d'année dans un cas similaire, s'élevait à 5000 XNUMX roubles. Ensuite, FSTEC va plus loin vers le fournisseur de services cloud. Qui pourrait bien être privé de licence en raison du non-respect des exigences réglementaires - et ce sont des risques complètement différents, tant pour le fournisseur de cloud que pour ses clients. Mais je le répète, Pour vérifier FSTEC, vous avez généralement besoin d’une raison claire. Les fournisseurs de cloud sont donc prêts à prendre des risques. Jusqu'au premier incident grave.
Il existe également un groupe de fournisseurs « plus responsables » qui estiment qu'il est possible de bloquer toutes les menaces en ajoutant un module complémentaire tel que vGate à l'hyperviseur. Mais dans un environnement virtuel réparti entre les clients pour certaines menaces (par exemple, UBI.101 ci-dessus), un mécanisme de protection efficace ne peut être mis en œuvre qu'au niveau d'un hyperviseur certifié selon NDV-4, puisque tout système complémentaire à les fonctions standards de l'hyperviseur pour la gestion des ressources (notamment la RAM) n'affectent pas.
Comment nous travaillons
Nous avons un segment cloud implémenté sur un hyperviseur certifié par FSTEC (mais sans certification pour NDV-4). Ce segment est certifié, les données personnelles peuvent donc être stockées dans le cloud sur cette base 3 et 4 niveaux de sécurité — il n'est pas nécessaire de respecter ici les exigences de protection contre les capacités non déclarées. Voici d’ailleurs l’architecture de notre segment cloud sécurisé :
Systèmes de données personnelles 1 et 2 niveaux de sécurité Nous implémentons uniquement sur du matériel dédié. Seulement dans ce cas, par exemple, la menace d'UBI.101 n'est vraiment pas pertinente, puisque les racks de serveurs qui ne sont pas unis par un environnement virtuel ne peuvent pas s'influencer mutuellement, même lorsqu'ils sont situés dans le même centre de données. Pour de tels cas, nous proposons un service dédié de location de matériel (on l’appelle aussi Hardware as a service).
Si vous n'êtes pas sûr du niveau de sécurité requis pour votre système de données personnelles, nous vous aidons également à le classer.
conclusion
Notre petite étude de marché a montré que certains opérateurs cloud sont tout à fait disposés à risquer à la fois la sécurité des données clients et leur propre avenir pour recevoir une commande. Mais dans ces domaines, nous suivons une politique différente, que nous avons brièvement décrite ci-dessus. Nous serons heureux de répondre à vos questions dans les commentaires.
Source: habr.com