Il n'y a pas si longtemps, nous avons effectué une autre évaluation du respect des exigences de GOST R 57580 (ci-après simplement dénommé GOST). Le client est une entreprise qui développe un système de paiement électronique. Le système est sérieux : plus de 3 millions d'utilisateurs, plus de 200 mille transactions quotidiennement. Là-bas, ils prennent la sécurité des informations très au sérieux.
Au cours du processus d'évaluation, le client a annoncé avec désinvolture que le service de développement, en plus des machines virtuelles, prévoyait d'utiliser des conteneurs. Mais avec cela, a ajouté le client, il y a un problème : dans GOST, il n'y a pas un mot sur le même Docker. Que dois-je faire? Comment évaluer la sécurité des conteneurs ?
C'est vrai, GOST n'écrit que sur la virtualisation matérielle - sur la façon de protéger les machines virtuelles, un hyperviseur et un serveur. Nous avons demandé des éclaircissements à la Banque centrale. La réponse nous a intrigués.
GOST et virtualisation
Pour commencer, rappelons que GOST R 57580 est une nouvelle norme qui précise « les exigences visant à assurer la sécurité des informations des organisations financières » (FI). Ces IF comprennent des opérateurs et des participants aux systèmes de paiement, des organismes de crédit et non-crédit, des centres opérationnels et de compensation.
À compter du 1er janvier 2021, les IF sont tenus de mener . Nous, ITGLOBAL.COM, sommes une société d'audit qui effectue de telles évaluations.
GOST comporte une sous-section dédiée à la protection des environnements virtualisés - n° 7.8. Le terme « virtualisation » n’y est pas spécifié ; il n’y a pas de division entre virtualisation matérielle et virtualisation de conteneurs. N’importe quel informaticien dira que d’un point de vue technique c’est inexact : une machine virtuelle (VM) et un conteneur sont des environnements différents, avec des principes d’isolation différents. Du point de vue de la vulnérabilité de l'hôte sur lequel les conteneurs VM et Docker sont déployés, c'est aussi une grande différence.
Il s'avère que l'évaluation de la sécurité des informations des machines virtuelles et des conteneurs devrait également être différente.
Nos questions à la Banque Centrale
Nous les avons envoyés au Département de la sécurité de l'information de la Banque centrale (nous présentons les questions sous forme abrégée).
- Comment prendre en compte les conteneurs virtuels de type Docker lors de l'évaluation de la conformité GOST ? Est-il correct d'évaluer la technologie conformément à la sous-section 7.8 de GOST ?
- Comment évaluer les outils de gestion de conteneurs virtuels ? Est-il possible de les assimiler à des composants de virtualisation de serveur et de les évaluer selon la même sous-section de GOST ?
- Dois-je évaluer séparément la sécurité des informations contenues dans les conteneurs Docker ? Si oui, quelles garanties devraient être prises en compte à cet égard lors du processus d’évaluation ?
- Si la conteneurisation est assimilée à une infrastructure virtuelle et est évaluée conformément à la sous-section 7.8, comment les exigences GOST pour la mise en œuvre d'outils spéciaux de sécurité de l'information sont-elles mises en œuvre ?
Réponse de la Banque centrale
Ci-dessous, les principaux extraits.
«GOST R 57580.1-2017 établit des exigences de mise en œuvre par l'application de mesures techniques en relation avec les mesures suivantes ZI sous-section 7.8 de GOST R 57580.1-2017, qui, de l'avis du ministère, peuvent être étendues aux cas d'utilisation de la virtualisation de conteneurs technologies, en tenant compte des éléments suivants :
- la mise en œuvre des mesures ZSV.1 - ZSV.11 pour organiser l'identification, l'authentification, l'autorisation (contrôle d'accès) lors de la mise en œuvre de l'accès logique aux machines virtuelles et aux composants du serveur de virtualisation peut différer des cas d'utilisation de la technologie de virtualisation de conteneurs. Compte tenu de cela, afin de mettre en œuvre un certain nombre de mesures (par exemple, ZVS.6 et ZVS.7), nous pensons qu'il est possible de recommander aux institutions financières de développer des mesures compensatoires qui poursuivront les mêmes objectifs ;
- la mise en œuvre des mesures ZSV.13 - ZSV.22 pour l'organisation et le contrôle de l'interaction informationnelle des machines virtuelles prévoit la segmentation du réseau informatique d'une organisation financière pour distinguer les objets d'information qui mettent en œuvre la technologie de virtualisation et appartiennent à différents circuits de sécurité. Compte tenu de cela, nous pensons qu'il est conseillé de prévoir une segmentation appropriée lors de l'utilisation de la technologie de virtualisation des conteneurs (à la fois par rapport aux conteneurs virtuels exécutables et par rapport aux systèmes de virtualisation utilisés au niveau du système d'exploitation) ;
- la mise en œuvre des mesures ZSV.26, ZSV.29 - ZSV.31 pour organiser la protection des images des machines virtuelles doit être effectuée par analogie également afin de protéger les images de base et actuelles des conteneurs virtuels ;
- la mise en œuvre des mesures ZVS.32 - ZVS.43 pour l'enregistrement des événements de sécurité de l'information liés à l'accès aux machines virtuelles et aux composants de virtualisation des serveurs doit être effectuée par analogie également en relation avec les éléments de l'environnement de virtualisation qui mettent en œuvre la technologie de virtualisation des conteneurs.
Qu'est-ce que cela signifie
Deux conclusions principales de la réponse du Département de la sécurité de l'information de la Banque centrale :
- les mesures de protection des conteneurs ne sont pas différentes des mesures de protection des machines virtuelles ;
- Il s'ensuit que, dans le contexte de la sécurité de l'information, la Banque centrale assimile deux types de virtualisation : les conteneurs Docker et les VM.
La réponse mentionne également des « mesures compensatoires » qui doivent être appliquées pour neutraliser les menaces. On ne sait tout simplement pas ce que sont ces « mesures compensatoires » et comment mesurer leur adéquation, leur exhaustivité et leur efficacité.
Quel est le problème avec la position de la Banque centrale ?
Si vous utilisez les recommandations de la Banque centrale lors de l'évaluation (et de l'auto-évaluation), vous devez résoudre un certain nombre de difficultés techniques et logiques.
- Chaque conteneur exécutable nécessite l'installation d'un logiciel de protection des informations (IP) : antivirus, surveillance de l'intégrité, utilisation des journaux, systèmes DLP (Data Leak Prevention), etc. Tout cela peut être installé sur une VM sans aucun problème, mais dans le cas d'un conteneur, installer la sécurité des informations est une démarche absurde. Le conteneur contient la quantité minimale de « kit carrosserie » nécessaire au fonctionnement du service. Y installer un SZI contredit son sens.
- Les images de conteneurs doivent être protégées selon le même principe ; la manière de mettre en œuvre cela n'est pas non plus claire.
- GOST nécessite de restreindre l'accès aux composants de virtualisation du serveur, c'est-à-dire à l'hyperviseur. Qu'est-ce qui est considéré comme un composant serveur dans le cas de Docker ? Cela ne signifie-t-il pas que chaque conteneur doit être exécuté sur un hôte distinct ?
- Si pour la virtualisation classique il est possible de délimiter les VM par contours de sécurité et segments de réseau, alors dans le cas de conteneurs Docker au sein d'un même hôte, ce n'est pas le cas.
En pratique, il est probable que chaque auditeur évaluera la sécurité des conteneurs à sa manière, en fonction de ses propres connaissances et expériences. Eh bien, ou ne l'évaluez pas du tout, s'il n'y a ni l'un ni l'autre.
Au cas où, ajoutons qu’à partir du 1er janvier 2021, le score minimum ne devra pas être inférieur à 0,7.
À propos, nous publions régulièrement des réponses et des commentaires des régulateurs concernant les exigences de GOST 57580 et les réglementations de la banque centrale dans notre .
Que faire
À notre avis, les organismes financiers n'ont que deux options pour résoudre le problème.
1. Évitez de mettre en œuvre des conteneurs
Une solution pour ceux qui sont prêts à se permettre d'utiliser uniquement la virtualisation matérielle et qui ont en même temps peur des mauvaises notes selon GOST et des amendes de la Banque centrale.
Plus: il est plus facile de se conformer aux exigences de la sous-section 7.8 de GOST.
Moins: Il faudra abandonner les nouveaux outils de développement basés sur la virtualisation des conteneurs, notamment Docker et Kubernetes.
2. Refuser de se conformer aux exigences de la sous-section 7.8 de GOST
Mais en même temps, appliquez les meilleures pratiques pour garantir la sécurité des informations lorsque vous travaillez avec des conteneurs. C'est une solution pour ceux qui apprécient les nouvelles technologies et les opportunités qu'elles offrent. Par « meilleures pratiques », nous entendons les normes et standards acceptés par l’industrie pour garantir la sécurité des conteneurs Docker :
- sécurité du système d'exploitation hôte, journalisation correctement configurée, interdiction d'échange de données entre conteneurs, etc.
- en utilisant la fonction Docker Trust pour vérifier l'intégrité des images et en utilisant le scanner de vulnérabilités intégré ;
- Il ne faut pas oublier la sécurité de l'accès à distance et le modèle de réseau dans son ensemble : les attaques telles que l'usurpation d'identité ARP et l'inondation MAC n'ont pas été annulées.
Plus: aucune restriction technique sur l'utilisation de la virtualisation des conteneurs.
Moins: il existe une forte probabilité que le régulateur sanctionne le non-respect des exigences GOST.
Conclusion
Notre client a décidé de ne pas abandonner les conteneurs. Dans le même temps, il a dû reconsidérer considérablement l'étendue des travaux et le calendrier de la transition vers Docker (ils ont duré six mois). Le client comprend très bien les risques. Il comprend également que lors de la prochaine évaluation de la conformité à GOST R 57580, beaucoup dépendra de l'auditeur.
Que feriez-vous dans cette situation?
Source: habr.com