ProHoster > Blog > Bestjoer > Hoe freonen te meitsjen mei GOST R 57580 en containervirtualisaasje. It antwurd fan 'e Sintrale Bank (en ús gedachten oer dizze saak)

Hoe freonen te meitsjen mei GOST R 57580 en containervirtualisaasje. It antwurd fan 'e Sintrale Bank (en ús gedachten oer dizze saak)

Net lang lyn hawwe wy in oare beoardieling útfierd fan it neilibjen fan de easken fan GOST R 57580 (hjirnei oantsjutten as gewoan GOST). De klant is in bedriuw dat in elektroanysk betellingssysteem ûntwikkelet. It systeem is serieus: mear as 3 miljoen brûkers, mear as 200 tûzen transaksjes deistich. Se nimme ynformaasjefeiligens dêr tige serieus.

Tidens it evaluaasjeproses kundige de kliïnt tafallich oan dat de ûntwikkelingsôfdieling, neist firtuele masines, plannen hat om konteners te brûken. Mar hjirmei, tafoege de klant, is d'r ien probleem: yn GOST is d'r gjin wurd oer deselde Docker. Wat moat ik dwaan? Hoe kinne jo de feiligens fan konteners evaluearje?

Hoe freonen te meitsjen mei GOST R 57580 en containervirtualisaasje. It antwurd fan 'e Sintrale Bank (en ús gedachten oer dizze saak)

It is wier, GOST skriuwt allinich oer hardware-virtualisaasje - oer hoe't jo firtuele masines, in hypervisor en in tsjinner kinne beskermje. Wy fregen de Sintrale Bank om opheldering. It antwurd fernuvere ús.

GOST en virtualisaasje

Om te begjinnen, lit ús ûnthâlde dat GOST R 57580 is in nije standert dy't spesifisearret "easken foar it garandearjen fan ynformaasje feiligens fan finansjele organisaasjes" (FI). Sokke FI's omfetsje operators en dielnimmers fan betellingssystemen, kredyt- en net-kredytorganisaasjes, operasjonele en clearingsintra.

Fan 1 jannewaris 2021 ôf binne FI's ferplichte te fieren beoardieling fan it neilibjen fan de easken fan 'e nije GOST. Wy, ITGLOBAL.COM, binne in kontrôlebedriuw dat sokke beoardielingen docht.

GOST hat in subseksje wijd oan de beskerming fan virtualized omjouwings - No.. 7.8. De term "virtualisaasje" is dêr net spesifisearre; d'r is gjin ferdieling yn hardware- en container-virtualisaasje. Elke IT-spesjalist sil sizze dat dit út in technysk eachpunt ferkeard is: in firtuele masine (VM) en in kontener binne ferskillende omjouwings, mei ferskillende isolaasjeprinsipes. Ut it eachpunt fan 'e kwetsberens fan' e host wêrop de VM- en Docker-konteners wurde ynset, is dit ek in grut ferskil.

It docht bliken dat de beoardieling fan de ynformaasjefeiligens fan VM's en konteners ek oars moat.

Us fragen oan de Sintrale Bank

Wy stjoerde se nei de ôfdieling Information Security fan 'e Sintrale Bank (wy presintearje de fragen yn ôfkoarte foarm).

  1. Hoe kinne firtuele konteners fan Docker-type beskôgje by it beoardieljen fan GOST-neilibjen? Is it korrekt om technology te evaluearjen yn oerienstimming mei subseksje 7.8 fan GOST?
  2. Hoe kinne jo ark foar firtuele kontenerbehear evaluearje? Is it mooglik om se lyk te meitsjen oan servervirtualisaasjekomponinten en evaluearje se neffens deselde subseksje fan GOST?
  3. Moat ik de feiligens fan ynformaasje yn Docker-konteners apart evaluearje? Sa ja, hokker garânsjes moatte dêrfoar beskôge wurde yn it beoardielingsproses?
  4. As kontenerisaasje wurdt lyksteld oan firtuele ynfrastruktuer en wurdt beoardiele neffens subseksje 7.8, hoe wurde GOST-easken foar de ymplemintaasje fan spesjale ark foar ynformaasjefeiligens ymplementearre?

Sintrale Bank syn antwurd

Hjirûnder binne de wichtichste úttreksels.

"GOST R 57580.1-2017 stelt easken foar ymplemintaasje troch it tapassen fan technyske maatregels yn relaasje ta de folgjende maatregels ZI subsection 7.8 fan GOST R 57580.1-2017, dy't, yn 'e miening fan' e ôfdieling, kin wurde útwreide nei gefallen fan gebrûk fan containervirtualisaasje technologyen, rekken hâldend mei de folgjende:

  • de útfiering fan maatregels ZSV.1 - ZSV.11 foar it organisearjen fan identifikaasje, autentikaasje, autorisaasje (tagongskontrôle) by it útfieren fan logyske tagong ta firtuele masines en virtualisaasjeserverkomponinten kinne ferskille fan gefallen fan gebrûk fan containervirtualisaasjetechnology. Mei dit yn 'e rekken, om in oantal maatregels út te fieren (bygelyks ZVS.6 en ZVS.7), leauwe wy dat it mooglik is om oan te rieden dat finansjele ynstellings kompensearjende maatregels ûntwikkelje dy't deselde doelen neistribbet;
  • de útfiering fan maatregels ZSV.13 - ZSV.22 foar de organisaasje en kontrôle fan ynformaasje ynteraksje fan firtuele masines soarget foar de segmentation fan de kompjûter netwurk fan in finansjele organisaasje om te ûnderskieden tusken ynformatization objekten dy't ymplemintearje virtualization technology en hearre ta ferskate feiligens circuits. Mei it rekkenjen fan dit, leauwe wy dat it oan te rieden is om te soargjen foar passende segmintaasje by it brûken fan container-virtualisaasjetechnology (sawol yn relaasje ta útfierbere firtuele konteners en yn relaasje ta virtualisaasjesystemen dy't brûkt wurde op it bestjoeringssysteemnivo);
  • de útfiering fan maatregels ZSV.26, ZSV.29 - ZSV.31 te organisearjen de beskerming fan bylden fan firtuele masines moatte wurde útfierd troch analogy ek om te beskermjen basis en aktuele bylden fan firtuele konteners;
  • de ymplemintaasje fan maatregels ZVS.32 - ZVS.43 foar it opnimmen fan eveneminten foar ynformaasjefeiligens yn ferbân mei tagong ta firtuele masines en servervirtualisaasjekomponinten moatte analogysk wurde útfierd, ek yn relaasje ta eleminten fan 'e virtualisaasjeomjouwing dy't kontenervirtualisaasjetechnology ymplementearje.

Wat betsjut dat

Twa wichtichste konklúzjes út it antwurd fan 'e Sintrale Bank Information Security Department:

  • maatregels om konteners te beskermjen binne net oars fan maatregels om firtuele masines te beskermjen;
  • Dêrút folget dat, yn 'e kontekst fan ynformaasjefeiligens, de Sintrale Bank twa soarten virtualisaasje lykweardich makket - Docker-konteners en VM's.

It antwurd neamt ek "kompensearjende maatregels" dy't tapast wurde moatte om de bedrigingen te neutralisearjen. It is gewoan ûndúdlik wat dizze "kompensearjende maatregels" binne en hoe't se har adekwaatheid, folsleinens en effektiviteit mjitte kinne.

Wat is der mis mei de posysje fan de Sintrale Bank?

As jo ​​de oanbefellings fan 'e Sintrale Bank brûke by beoardieling (en selsbeoardieling), moatte jo in oantal technyske en logyske swierrichheden oplosse.

  • Elke útfierbere kontener fereasket ynstallaasje fan software foar ynformaasjebeskerming (IP) derop: antivirus, yntegriteitsmonitoring, wurkje mei logs, DLP-systemen (Data Leak Prevention), ensfh. Dit alles kin sûnder problemen ynstalleare wurde op in VM, mar yn it gefal fan in kontener is it ynstallearjen fan ynformaasjefeiligens in absurde beweging. De kontener befettet it minimale bedrach fan "body kit" dat is nedich foar de tsjinst te funksjonearjen. It ynstallearjen fan in SZI dêryn tsjinsprekt syn betsjutting.
  • Kontenerôfbyldings moatte neffens itselde prinsipe beskerme wurde; hoe't dit útfiere kin is ek ûndúdlik.
  • GOST fereasket it beheinen fan tagong ta servervirtualisaasjekomponinten, dus ta de hypervisor. Wat wurdt beskôge as in serverkomponint yn it gefal fan Docker? Betsjut dit net dat elke kontener op in aparte host útfierd wurde moat?
  • As it foar konvinsjonele virtualisaasje mooglik is om VM's te beskieden troch feiligenskonturen en netwurksegminten, dan is dit net it gefal yn it gefal fan Docker-konteners binnen deselde host.

Yn 'e praktyk is it wierskynlik dat elke auditor de feiligens fan konteners op syn eigen manier beoardielet, basearre op syn eigen kennis en ûnderfining. No, of evaluearje it hielendal net, as der noch it iene noch it oare is.

Foar it gefal, sille wy tafoegje dat fanôf 1 jannewaris 2021 de minimale skoare net leger dan 0,7 wêze moat.

Trouwens, wy pleatse regelmjittich antwurden en opmerkingen fan tafersjochhâlders yn ferbân mei de easken fan GOST 57580 en Sintrale Bankregelingen yn ús Telegram kanaal.

Wat te dwaan

Neffens ús hawwe finansjele organisaasjes mar twa opsjes foar it oplossen fan it probleem.

1. Mije it útfieren fan konteners

In oplossing foar dyjingen dy't ree binne om te beteljen om allinich hardware-virtualisaasje te brûken en tagelyk bang binne foar lege wurdearrings neffens GOST en boetes fan 'e Sintrale Bank.

In plus: it is makliker om te foldwaan oan de easken fan subseksje 7.8 fan GOST.

Min: Wy sille nije ûntwikkelingsynstruminten moatte ferlitte op basis fan containervirtualisaasje, yn it bysûnder Docker en Kubernetes.

2. Wegerje om te foldwaan oan de easken fan subseksje 7.8 fan GOST

Mar tagelyk de bêste praktiken tapasse by it garandearjen fan ynformaasjefeiligens by it wurkjen mei konteners. Dit is in oplossing foar dyjingen dy't nije technologyen wurdearje en de kânsen dy't se biede. Mei "bêste praktiken" bedoele wy yn 'e sektor aksepteare noarmen en noarmen foar it garandearjen fan de feiligens fan Docker-konteners:

  • feiligens fan it host OS, goed ynsteld logging, ferbod op gegevens útwikseling tusken konteners, ensafuorthinne;
  • it brûken fan de Docker Trust-funksje om de yntegriteit fan ôfbyldings te kontrolearjen en de ynboude kwetsberensscanner te brûken;
  • Wy moatte net ferjitte oer de feiligens fan tagong op ôfstân en it netwurkmodel as gehiel: oanfallen lykas ARP-spoofing en MAC-oerstreaming binne net annulearre.

In plus: gjin technyske beheiningen op it brûken fan container virtualization.

Min: Der is in hege kâns dat de tafersjochhâlder sil straffen foar net-neilibjen fan GOST easken.

konklúzje

Us klant besleat konteners net op te jaan. Tagelyk moast hy de omfang fan it wurk en de timing fan 'e oergong nei Docker flink op'e nij besjen (se hawwe seis moanne duorre). De klant begrypt de risiko's tige goed. Hy begrypt ek dat by de folgjende beoardieling fan neilibjen fan GOST R 57580 in protte sil ôfhingje fan 'e auditor.

Wat soene jo dwaan yn dizze situaasje?

Boarne: www.habr.com

Add a comment